Politica e Sanità
25 Marzo 2016Le farmacie sono tenute ad applicare come gli altri Titolari del trattamento le misure di sicurezza minime e idonee di cui al D. Lgs 196/2003 che sono poi analiticamente disciplinate - per quel che concerne le minime - nei 29 punti dell'Allegato Tecnico al codice Privacy e ai principi contenuti nel Provvedimento sul rispetto della dignità dell'interessato nelle strutture sanitarie del 9 Novembre 2005 (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1191411).
Le misure minime sono quelle obbligatorie e indispensabili e che, in mancanza, possono portare all'arresto del suo titolare, essendo protette da norme di natura penale. Tra queste, per quel che concerne i trattamenti effettuati con strumenti automatizzati, gli antivirus, i firewall, le password a 8 caratteri alfanumerici con aggiornamento trimestrale (quando riguardi dati sensibili), l'adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi, la crittografia per i dati sulla salute trattati con modalità digitali e le regole sulle credenziali di autenticazione. Per quanto riguarda i trattamenti manuali, sono misure minime gli archivi chiusi a chiave, le distanze di sicurezza, la separazione degli spazi dedicati alle prenotazioni delle visite o analisi mediche, le procedure per l'accesso ai documenti contenenti dati sensibili, come sono sempre quelli relativi allo stato di salute. Fino al 2012 c'era tra le misure minime anche il famoso Documento Programmatico sulla sicurezza che se è pure vero che è stato abrogato dal Decreto Monti tornerà - in altra veste - prepotentemente in vigore con il nuovo Regolamento Europeo (qui la Proposta al 28 Gennaio http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CONSIL:ST_5455_2016_INIT&from=EN). Infatti nel prossimo Regolamento Europeo si indicano tra le misure di sicurezza che i Titolari debbono avere:
Dall'entrata in vigore del Regolamento, prevista nei prossimi mesi, si avranno due anni di tempo per mettersi in regola. Quello che è certo fin da ora è che le scelte in materia di sicurezza sia informatica che fisica dovranno essere sempre documentate ed elaborate sempre in seguito ad una attenta analisi dei rischi.
Sotto un profilo di idoneità si ritiene che gli obblighi siano ancor più gravosi, soprattutto perché non sono tipizzati, nel senso che non esiste un elenco preciso. Solo il buon Titolare (farmacista) saprà trovarseli da solo, in base allo stato dell'arte e della tecnica, alle caratteristiche del trattamento e alla natura dei dati. Ad esempio sarà una misura idonea quella di utilizzare credenziali di autenticazione forti come i token (dispositivi elettronici fisici che si usano in genere per l'home banking) rispetto alle semplici password e usare-name, o ancora sarà considerata misura idonea quella di scegliere una formazione mirata ad hoc, in aula, in tema di privacy, piuttosto che un più semplice e-learning. Ad un recente convegno a Roma al Policlinico, in tema di Privacy e Fascicolo Elettronico, un funzionario del Garante ha espresso l'auspicio che nelle facoltà di medicina si inserisca un corso obbligatorio sulla Privacy, perchè a suo parere questa deve essere considerata tra le materie fondamentali nel curriculum di un medico.
Altro argomento che rientra tra le misure di sicurezza è quello che riguarda le designazioni dei Responsabili Interni od Esterni del trattamento. Il buon Titolare dovrò designare all'interno coloro che siano in grado di fornire la propria collaborazione ai fini di una migliore conformità alla disciplina e qualora il Titolare abbia difficoltà a gestirla da solo e all'esterno tutti quei soggetti che trattano dati per suo conto (si pensi al soggetto che trasporti l'ossigeno e conosca quindi lo stato di salute di alcuni clienti o al consulente informatico, ecc.).
Si ricorda poi che chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza è punito con l'arresto sino a due anni (art. 169 Codice Privacy) e che oltre alla sanzione di carattere penale, in caso di trattamento di dati personali effettuati senza l'adozione delle misure minime di sicurezza prescritte dalla legge è prevista una sanzione amministrativa consistente nel pagamento di una somma da 20.000 euro a 120.000 euro.
Monica Gobbato
Se l'articolo ti è piaciuto rimani in contatto con noi sui nostri canali social seguendoci su:
Oppure rimani sempre aggiornato in ambito farmaceutico iscrivendoti alla nostra newsletter!
POTREBBERO INTERESSARTI ANCHE
28/12/2019
Per contrastare la compravendita illegale di farmaci per uso veterinario il Ministero sta studiando un logo, un bollino di qualità sulla falsa riga di quanto fatto per le farmaciePer...
27/12/2019
La Commissione europea ha approvato upadacitinib (Rinvoq) per il trattamento dell'artrite reumatoide attiva di grado da moderato a severoLa Commissione europea ha approvato upadacitinib (Rinvoq) per...
27/12/2019
Solo il 2% delle farmaciste donne possiede una farmacia nonostante rappresentino il 62% della forza lavoro, è quanto emerge dal sondaggio "Survey of registered pharmacy professionals 2019" del...
A cura di Lara Figini
27/12/2019
Acquistare i farmaci su internet attraverso siti non autorizzati è un fenomeno in continua crescita e l'unica arma per contrastarlo resta l'educazione sanitaria e l'orientamento dei cittadini...

©2026 Edra S.p.a | www.edraspa.it | P.iva 08056040960 | Tel. 02/881841 | Sede legale: Viale Enrico Forlanini 21 - 20134 Milano (Italy)