SUGGERIMENTI E ISTRUZIONI PER LA COMPILAZIONE DEL DPS (Documento Programmatico per la Sicurezza) 

Siamo tutti bersagliati da ditte che offrono i loro servizi per compilare il Documento Programmatico di Sicurezza a prezzi non proprio modesti, tenendo conto che noi medici, non essendo aziende, possiamo godere di un regime piuttosto semplice.

Il DPS e' un documento in cui vengono analizzati i rischi che corrono i dati personali da noi custoditi, vengono esposte le misure adottate per fronteggiare tali rischi, e le misure generali di protezione adottate per la custodia di questi dati.
Sui vari siti web sono esposti numerosi modelli di DPS (sito FNOM, siti Ordinistici, siti Sindacali, ecc.).  Un modello e' riportato anche su questo sito.

Tenete presente comunque che questo NON e' un documento ufficiale, perche' documenti ufficiali NON ESISTONO, ma solo una indicazione.
E' una proposta di modulo che a noi sembra adeguata ma che ciascuno puo' e deve modificare secondo le sue esigenze. Se non convince, ce ne sono innumerevoli altri.  

Ricordate pero':
- SONO MODELLI STANDARD, PURAMENTE INDICATIVI, CHE VANNO ADATTATI ALLA SITUAZIONE DI CIASCUNO
Non prendeteli cosi' come sono, acriticamente: modificateli e adattateli. Non e' un gran lavoro.
- RISPETTATE LE REGOLE CHE VOI STESSI AVETE DICHIARATO.
Se avete scritto, per es., che il computer e' protetto da password e che tale pw e' conosciuta solo dall' interessato, deve essere effettivamente cosi'.
- QUESTO DOCUMENTO NON VA SPEDITO. Va conservato in studio per eventuali controlli.
- DEVE AVERE DATA CERTA? Questo problema non e' stato ancora risolto con certezza. La vecchia normativa diceva di si' (qualcuno ricordera' che andammo tutti a far timbrare il documento all' ufficio postale); la nuova legge sulla privacy non lo dispone espressamente, per cui sembrerebbe di no. Siccome pero' le interpretazioni potrebbero cambiare e dopo sarebbe troppo tardi per correre ai ripari, e' consigliabile attribuire una data certa, anche perche' e' una procedura non difficile. 
- COME SI FA? : e' possibile far timbrare il documento all' ufficio postale, in altro ufficio pubblico (qualcuno dice per esempio all' ACI) oppure spedirlo a se stessi con raccomandata, conservandola poi chiusa.
- PER QUANTO TEMPO VA CONSERVATO? Indefinitamente, se non ci sono variazioni da registrare; in caso di variazione della situazione locale occorre stilare un nuovo documento, ma e' bene conservare anche quello vecchio e far riferimento ad esso.
VANNO COMPILATI ALTRI DOCUMENTI? : occorre far firmare al personale la dichiarazione di avvenuta formazione (che sono stati informati e "formati" sulle procedure da rispettare per la tutela, custodia e protezione dei dati ad essi affidati).

Per capire meglio le procedure ricordate che:
- L' amministratore di sistema e' colui che, nel caso di computer collegati in rete, gestisce la rete stessa, le pw dei vari medici ecc. (ciascun medico deve conoscere SOLO la propria pw, l' amministratore e' l' unico che le conosce tutte).
- Il Titolare dei dati e', in  genere, il medico stesso.
- Il Responsabile e' ancora il medico, a meno che non abbia affidato la responsabilita' ad una ditta o simili.
- L' Incaricato e' colui che, dietro incarico del medico, accede ai dati dei pazienti (segretaria, sostituto, tirocinante ecc. Gli associati sono "titolari" e "responsabili" dei propri dati, e devono compilare ciascuno il proprio DPS, ma sono "incaricati" per quanto riguarda i dati degli altri medici).
- Questi soggetti non vanno indicati nominativamente ma in modo generico (l' ha detto il Garante in una riunione presso un Sindacato), pero' a ciascuno di essi va dato un foglio di incarico scritto (trattenendone una copia firmata per ricevuta). Questo e' necessario perche' il medico possa respingere delle responsabilita' qualora un incaricato ecceda dai suoi compiti o compia qualche violazione.
DZ (aggiornato 21/12/2005)