NUOVO DECRETO PRIVACY: scadenza 11/12/2000 per regolarizzarsi

L'ennesimo decreto sulla privacy, pubblicato il 9 novembre 2000, stabilisce delle scadenze e ci costringe ad un complesso lavoro per districarci nella giungla di norme che regolano questa materia. Tenendo presente che tutta la materia risulta complessa e ferragginosa ci sembra ragionevole fornire queste indicazioni. La FIMMG inoltre si sta adoperando per chiedere un incontro diretto all'Authority per chiarire il problema e magari ottenere qualche
ragionevole semplificazione.
Omettendo ogni riferimento alle singole norme, che rischierebbe di creare solo confusione, cerchiamo di definire cosa deve fare e cosa non deve fare ciascun medico di famiglia a seconda dell'organizzazione interna del suo
sistema di raccolta dei dati clinici. Per prima cosa diciamo chiaramente che il medico di famiglia, come ogni
altro professionista iscritto ad un albo, non deve fare alcuna notificazione al Garante per il trattamento dei dati strettamente correlati all'assolvimento della sua professione, indipendentemente dal fatto che usi cartelle cliniche cartacee o computer isolati o collegati in rete.
 
Il problema che dobbiamo affrontare è quello della sicurezza dei dati. Le norme prevedono che chiunque raccolga dati personali, con più attenzione chi raccoglie anche dati sensibili (abitudini sessuali, religione, dati sanitari, ecc.) debba mettere in atto tutti quei provvedimenti necessari per evitare che questi dati siano distrutti totalmente o parzialmente e per evitare che ad essi possa accedere personale non autorizzato. Ribadiamo inoltre come l'inosservanza delle seguenti norme sia sanzionabile con misure di carattere penale.

Esaminiamo i singoli casi.

    a) Medico che usa cartelle cliniche cartacee
Le cartelle devono essere chiuse a chiave in uno schedario dotato di serratura se ai locali accedono persone diverse dal medico titolare, (anche solo l'addetto alle pulizie o parenti del medico). La chiave deve essere custodita dal titolare. Qualora il medico si avvalga della collaborazione di personale di segreteria o di sostituti, questi soggetti devono essere autorizzati per scritto, specificando per quali competenze sono autorizzati a consultare le cartelle
(la/e lettera/e deve essere conservata dal titolare e dagli interessati ed essere disponibile nello studio per eventuali controlli - non deve essere timbrata alla posta o autenticata dal notaio, ne spedita al garante). Su un altro foglio conservato nello studio devono essere identificate le altre persone che accedono ai locali dopo l'orario di chiusura, anche se non sono autorizzati a prendere visione delle cartelle. Questi documenti ovviamente devono essere rifatti ogni volta che cambiano le persone e comunque almeno una volta all'anno.
   b) Medico che usa cartelle cliniche informatizzate su computer non collegato a rete locale o pubblica
Deve essere previsto un salvataggio periodico dei dati (tutti dovrebbero già  provvedere al backup periodico). Deve essere prevista una parola chiave per l'accesso al computer o al programma contenente i dati.
   c) Medico con segretaria
Se nello studio ci sono segretarie od altri medici che devono avere accesso al programma ed ai dati per le loro funzioni, il titolare deve autorizzarli per scritto specificando per quali competenze sono autorizzati a consultare le cartelle (la/e lettera/e deve essere conservata dal titolare e dagli interessati ed essere disponibile nello studio per eventuali controlli - non deve essere timbrata alla posta o autenticata dal notaio, ne spedita al garante). Questi documenti devono essere rifatti ovviamente ogni volta che cambiano le persone e comunque almeno una volta all'anno.
   d) Medico che usa cartelle cliniche informatizzate su computer collegati ad una rete locale
Deve essere previsto un salvataggio periodico dei dati (tutti dovrebbero già provvedere al backup periodico). Deve essere installato un software antivirus (registrato) aggiornato almeno ogni sei mesi. Deve essere prevista una parola chiave diversa per ogni persona autorizzata a collegarsi alla rete (Colleghi, segretarie, infermieri, ecc.) Uno dei titolari deve assumere il ruolo di amministratore di sistema che assegna e conserva le parole chiave di accesso di tutte le persone autorizzate. L'amministratore di sistema deve provvedere a rimuovere la parola chiave e l'autorizzazione all'accesso qualora il soggetto non sia più autorizzato o non acceda all'elaboratore per più di sei mesi. Il titolare dei dati (in pratica ciascun medico per le sue cartelle) deve autorizzare per scritto la altre persone che devono trattare i dati, specificando per quali competenze sono autorizzati). In caso di più medici nello stesso studio, ciascun medico deve autorizzare gli altri con la stessa procedura. Tali documenti devono essere conservati dai titolari e dagli interessati ed essere disponibili nello studio per eventuali controlli - non devono essere timbrati alla posta o autenticati dal notaio, ne spediti al garante. Questi documenti devono ovviamente essere rifatti ogni volta che cambiano le persone  e comunque almeno una volta all'anno. 
 e) Medico che usa cartelle cliniche informatizzate su computer collegati ad una rete di telecomunicazioni accessibile al pubblico (per intendersi coloro che usano programmi di cartelle cliniche che trasmettono dati per telefono)
Oltre a ciò che è stato specificato per i medici che lavorano in rete locale, i colleghi che si trovano in questa condizione devono predisporre e aggiornare con cadenza annuale un documento programmatico sulla sicurezza dei dati per definire, sulla base dell'analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati stessi:
a- I criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi.
b-  I criteri e le procedure per assicurare l'integrità dei dati
c-  I criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per la restrizione dell'accesso per via telematica.
d-  L'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire i danni.
L'efficacia delle misure di sicurezza adottate deve essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale. Il documento programmatico deve essere conservato presso lo studio, non deve essere spedito al garante. In questo caso sembra opportuno, per la complessità delle problematiche e per la necessità di dotarsi di idonei programmi, consigliare ai colleghi di avvalersi della consulenza di un esperto di informatica. Tutti gli adempimenti sopra descritti dovevano essere già in atto al 29 marzo 2000. Chi non avesse provveduto, e quindi non è in possesso di documenti di data anteriore a quella scadenza, può valersi della proroga prevista dalla legge n. 325 del 3 novembre 2000 pubblicata sulla G.U. del 9 novembre 2000. Per valersene il medico deve redigere, entro e non oltre l' 11 dicembre 2000,  un documento contenente:
1-       le particolari esigenze tecniche e organizzative che rendono necessario avvalersi di un termine più ampio rispetto a quello previsto.
2-       Gli accorgimenti da adottare o già adottati e gli elementi che caratterizzano il programma di adeguamento, nonché le singole fasi in cui esso è eventualmente ripartito.
3-       Le linee guida previste per dare piena attuazione alle misure minime di sicurezza.

Questo documento non deve essere inviato al garante, ma trattenuto e conservato  presso lo studio. Tuttavia deve avere data certa. Il modo più semplice e meno costoso per disporre di data certa è quello di apporvi un timbro postale, ad esempio spedendosi una raccomandata con foglio piegato senza busta, oppure di recarsi alla posta od in circoscrizione e far apporre un timbro datario di annullamento, così come per il passaporto. Una volta redatto questo documento, il termine per l'adeguamento si sposta dal 29 marzo 2000 al 31 dicembre 2000.
 
In caso contrario è opportuno seguire le procedure indicate dalla Legge 03.11.2000 per richiedere la proroga, indicando quale giustificativo la particolare complessità tecnico organizzativa della messa a punto delle procedure.

Compensi per gli Specializzandi anni 83/91

Una sentenza della Corte Europea ha riconosciuto ad alcuni ricorrenti il diritto di essere risarciti per la mancata retribuzione del periodo di frequenza del corso di specializzazione negli anni compresi tra il periodo 1983. La FIMMG assieme all’ ANAAO, sta studiando la modulistica per il ricorso, che non si presenta di facile e scontata soluzione anche in relazione ai tempi, come alcune altre organizzazioni sindacali con molta superficialità stanno dicendo. L’importo annuo del risarcimento si aggirerebbe attorno ai 21 milioni. Tra pochi giorni notizie più precise e la modulistica per richiedere il risarcimento che andrà indirizzata alla Presidenza del Consiglio dei Ministri e alla sede Universitaria dove si è conseguita la specializzazione