Sanità

mar252016

Le misure di sicurezza ai sensi del Codice Privacy per le farmacie

Le misure di sicurezza ai sensi del Codice Privacy per le farmacie

Le farmacie sono tenute ad applicare come gli altri Titolari del trattamento le misure di sicurezza minime e idonee di cui al D. Lgs 196/2003 che sono poi analiticamente disciplinate - per quel che concerne le minime - nei 29 punti dell'Allegato Tecnico al codice Privacy e ai principi contenuti nel Provvedimento sul rispetto della dignità dell'interessato nelle strutture sanitarie del 9 Novembre 2005 (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1191411).

Le misure minime sono quelle obbligatorie e indispensabili e che, in mancanza, possono portare all'arresto del suo titolare, essendo protette da norme di natura penale. Tra queste, per quel che concerne i trattamenti effettuati con strumenti automatizzati, gli antivirus, i firewall, le password a 8 caratteri alfanumerici con aggiornamento trimestrale (quando riguardi dati sensibili), l'adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi, la crittografia per i dati sulla salute trattati con modalità digitali e le regole sulle credenziali di autenticazione. Per quanto riguarda i trattamenti manuali, sono misure minime gli archivi chiusi a chiave, le distanze di sicurezza, la separazione degli spazi dedicati alle prenotazioni delle visite o analisi mediche, le procedure per l'accesso ai documenti contenenti dati sensibili, come sono sempre quelli relativi allo stato di salute. Fino al 2012 c'era tra le misure minime anche il famoso Documento Programmatico sulla sicurezza che se è pure vero che è stato abrogato dal Decreto Monti tornerà - in altra veste - prepotentemente in vigore con il nuovo Regolamento Europeo (qui la Proposta al 28 Gennaio http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CONSIL:ST_5455_2016_INIT&from=EN). Infatti nel prossimo Regolamento Europeo si indicano tra le misure di sicurezza che i Titolari debbono avere:

  1. una "Procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento"
  2. un codice di condotta o un meccanismo di certificazione approvato che può essere utilizzata come elemento per dimostrare la conformità ai requisiti di conformità al Regolamento.


Dall'entrata in vigore del Regolamento, prevista nei prossimi mesi, si avranno due anni di tempo per mettersi in regola. Quello che è certo fin da ora è che le scelte in materia di sicurezza sia informatica che fisica dovranno essere sempre documentate ed elaborate sempre in seguito ad una attenta analisi dei rischi.

Sotto un profilo di idoneità si ritiene che gli obblighi siano ancor più gravosi, soprattutto perché non sono tipizzati, nel senso che non esiste un elenco preciso. Solo il buon Titolare (farmacista) saprà trovarseli da solo, in base allo stato dell'arte e della tecnica, alle caratteristiche del trattamento e alla natura dei dati. Ad esempio sarà una misura idonea quella di utilizzare credenziali di autenticazione forti come i token (dispositivi elettronici fisici che si usano in genere per l'home banking) rispetto alle semplici password e usare-name, o ancora sarà considerata misura idonea quella di scegliere una formazione mirata ad hoc, in aula, in tema di privacy, piuttosto che un più semplice e-learning. Ad un recente convegno a Roma al Policlinico, in tema di Privacy e Fascicolo Elettronico, un funzionario del Garante ha espresso l'auspicio che nelle facoltà di medicina si inserisca un corso obbligatorio sulla Privacy, perchè a suo parere questa deve essere considerata tra le materie fondamentali nel curriculum di un medico.

Altro argomento che rientra tra le misure di sicurezza è quello che riguarda le designazioni dei Responsabili Interni od Esterni del trattamento. Il buon Titolare dovrò designare all'interno coloro che siano in grado di fornire la propria collaborazione ai fini di una migliore conformità alla disciplina e qualora il Titolare abbia difficoltà a gestirla da solo e all'esterno tutti quei soggetti che trattano dati per suo conto (si pensi al soggetto che trasporti l'ossigeno e conosca quindi lo stato di salute di alcuni clienti o al consulente informatico, ecc.).

Si ricorda poi che chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza è punito con l'arresto sino a due anni (art. 169 Codice Privacy) e che oltre alla sanzione di carattere penale, in caso di trattamento di dati personali effettuati senza l'adozione delle misure minime di sicurezza prescritte dalla legge è prevista una sanzione amministrativa consistente nel pagamento di una somma da 20.000 euro a 120.000 euro.

Monica Gobbato


discuti sul forum

ANNUNCI SPONSORIZZATI


Download Center

Principi e Pratica Clinica
Boiron Roux - Pediatria
vai al download >>

SUL BANCO