PILLOLE di Medicina Telematica – Luglio-Agosto 2004
A cura di Daniele Zamperini, Raimondo Farinacci, Luca Puccetti
MED LEGALE
Novita' sul Documento Programmatico per la Sicurezza: ancora burocrazia ma per fortuna un rinvio
Da molte parti si sono levate voci preoccupate in merito alla stesura del famoso (o famigerato) DPS (Documento Programmatico della Sicurezza), obbligo che la recente legge sulla privacy metta a carico anche dei medici che gestiscano uno studio professionale o un ambulatorio.
A complicare le cose, e' intervenuta la recentissima " Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)" pubblicata sul sito del Garante.
Fortunatamente il Garante stesso specifica chiaramente che si tratta solo di un' indicazione, e che non e' vincolante.
La suddetta Guida (che qualcuno puo' supporre nata allo scopo di complicare le cose semplici) si dilunga infatti per ben 18 pagine, gettando nello sconforto i poveri lettori e dettagliando tutto con estrema pignoleria: basti pensare che, nell' elencazione dei rischi prevede, per esempio, "movimenti tellurici, scariche atmosferiche, incendi, allagamenti" eccetera.
Viene da chiedersi perche' non includere anche l' asteroide che scende dallo spazio o un' eventuale guerra atomica. E viene da chiedersi quali provvedimenti si aspetta il Garante che prenda un povero medico di famiglia al fine di neutralizzare un terremoto o altri eventi del genere...
Alla fin fine pero', a guardar bene, quelle 18 pagine non fanno che dettagliare una cosa molto semplice: bisogna descrivere: la tipologia della struttura (studio medico); i dati che vengono trattati (dati personali e sanitari dei pazienti); quali sono i rischi a cui sono soggetti (sottrazione, consultazione illecita, alterazione, perdita e altro che viene in mente); quali misure vengono prese per ovviare (porte e cassetti con chiusura a chiave, computer con password, copie di backup cifrate e protette con pw, accesso limitato agli operatori, misure contro la negligenza della segretaria ecc.).
Alla fine, a ben guardare, tutto cio' si riduce a quei moduli-guida che da piu' parti (anche dal sottoscritto) sono stati diffusi. Ma nessuno di questi moduli (nemmeno quelli delle piu' alte autorita') gode di assoluta autorevolezza, in quanto ciascuno deve adattarne il contenuto alla propria situazione locale e, soprattutto, deve applicare quanto vi e' scritto.
Il vero problema, infatti, non e' quello di compilare un documento "di fantasia", piu' o meno bello esteticamente o sintatticamente, quanto quello di compilare un documento che, ad una eventuale verifica, dimostri di corrispondere alla verita'.
L' importante, infatti, e' che i dati vengano effettivamente protetti da intrusioni, alterazioni, perdite.
E' perfettamente inutile o addirittura controproducente compilare un modulo perfetto e poi lasciare le ricette in vista di tutti nella "cassettina" della sala d' aspetto, oppure lasciare il computer acceso in modo tale che estranei possano spiare i dati clinici di qualche paziente.
Questo e' il vero problema.
Il provvedimento e' consultabile sul sito del Garante www.garanteprivacy.it
Nelle more della pubblicazione, abbiamo avuto notizia (peraltro non ancora pubblicata sulla Gazzetta Ufficiale) che il Governo avrebbe firmato un Decreto che rinvia al 31 dicembre l' obbligo del DPS, e presenterebbe dei moduli "standard" (con tutti i limiti detti sopra). Non abbiamo ancora, purtroppo, i particolari del provvedimento, ne' i moduli in questione. Sara' nostra cura informare i colleghi nelle edizioni successive.
Daniele Zamperini