PSYCOMMUNITY

HOME | STRUMENTI | LINEE GUIDA PER IL DPS

Dall’anno 2006 per tutti i colleghi psicologi liberi professionisti sono diventate obbligatorie una serie di misure rivolte a tutelare la sicurezza dei dati personali sia dei pazienti/clienti sia dei fornitori. La normativa è piuttosto complessa e perciò si è qui cercato di dare un contributo al fine di semplificare gli adempimenti previsti dalla legge. Il Codice della Privacy, entrato in vigore il 1 gennaio 2004, convalida ed estende la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici introdotta nel 1996. In particolare indica due distinti obblighi:
a) l’obbligo più generale di ridurre al minimo tutti i rischi a carico dei dati.
• il libero professionista deve custodire e controllare i dati personali, oggetto di trattamento, limitando al massimo il rischio di distruzione o cancellazione anche accidentale degli stessi, cercando di evitare di comunicarli a terzi (salvo i casi consentiti) o di utilizzati in modo illecito.
b) l’obbligo di adottare in ogni caso le "misure minime".
• il libero professionista deve assicurare un livello minimo di protezione dei dati personali.
Questo livello minimo di sicurezza è chiaramente espresso nel Codice agli art. 33-34-35-36 e nell'Allegato B).

Cosa dice la legge?
Il Codice della Privacy, ovvero il decreto legislativo n. 196 del 30 giugno 2003 prevede nuovi adempimenti in merito alla protezione dei dati personali. Uno di questi consiste nell’obbligo di redigere il DPS ovvero il Documento Programmatico sulla Sicurezza. Inoltre vanno poi assolti tutti i gli adempimenti per garantire i "requisiti minimi" di sicurezza previsti dalla legge.

Chi deve mettersi in regola?
I liberi professionisti (oltre che, le pubbliche amministrazioni, le aziende, le associazioni, le cooperative). Quindi tutti coloro che trattano dati personali di clienti, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati, ecc.

Cosa rischia chi non è in regola?
Chi non si mette in regola con la nuova legge rischia una sanzione penale che prevede l'arresto sino a 2 anni o un’ammenda da 10.000 a 50.000 euro (Art. 169 comma 1 D.Lgs. 196/2003).

Quali sono gli adempimenti?
- Redigere il Documento Programmatico sulla Sicurezza (DPS), nel quale dovranno essere precisate le procedure adottate per: il trattamento dei dati personali, l'attribuzione di compiti e responsabilità, l'analisi del rischio dei dati, l'elenco delle misure rivolte a garantire l’integrità e la riservatezza dei dati, la formazione del personale sul tema della sicurezza, la misure minime di sicurezza, e la descrizione delle misure seguite per la cifratura dei dati sensibili/giudiziari/sanitari.
- Adottare le “misure minime” di sicurezza
sia per il trattamento dei dati con strumenti elettronici che per il trattamento dei dati su supporto cartaceo.

• Quando si utilizzano strumenti elettronici è necessario fornire il sistema di strumenti di autenticazione, scrivere le procedure per la gestione delle password, disporre l’aggiornamento periodico del personale addetto sia al trattamento dei dati che ai sistemi informativi, mettere in atto misure di protezione dei computer rispetto al trattamento illecito dei dati e ad accessi non autorizzati, predisporre procedure per il backup dei dati ed il loro ripristino e, soprattutto, adottare metodi di cifratura/criptazione per i dati sensibili/sanitari.
• Quando si utilizzano strumenti cartacei è necessario stabilire procedure per la gestione e la custodia di atti e documenti, l'analisi del rischio, la formazione del personale sui temi della sicurezza e la descrizione delle misure minime di sicurezza adottate.

Qual è la scadenza?
Il Codice della Privacy, ovvero il decreto legislativo n. 196 del 30 giugno 2003 è entrato in vigore il 1 gennaio 2004 e stabilisce la scadenza annuale del 31 marzo per la redazione ed i successivi aggiornamenti del DPS, il Documento Programmatico sulla Sicurezza. Sempre entro il 31 marzo di ogni anno devono essere adottate anche le misure minime di sicurezza, sopra descritte, e previste dagli articoli 33, 34 e 35 del Codice della Privacy.
Il Documento Programmatico sulla Sicurezza (DPS) fa parte delle “misure minime” richieste dal Codice della Privacy. Una copia del DPS deve essere custodita presso lo studio per essere esibita in caso di controlli. La data di redazione del DPS deve essere certa quindi si suggerisce la sua autospedizione tramite raccomandata.

Proponiamo un modello di DPS completo adatto sia alle realtà professionali più complesse come studi associati con dipendenti, sia ai colleghi che lavorano individualmente. La redazione del DPS è facilitata in quanto basta compilare le parti di testo evidenziate in colore rosso scegliendo le opzioni che meglio descrivono la propria realtà professionale. Infine si sottolinea che questo modello è solo una proposta in corso d’opera aperta ai suggerimenti dei colleghi.

Il DPS è costituito da un documento principale e da sei allegati da scegliere a seconda della propria situazione professionale, in ogni caso, è opportuno inserire i primi quattro allegati insieme alla copia dei moduli utilizzati per il consenso informato.

Modello elaborato dal dr. Riccardo Capozzi (Staff Member di Psycommunity):

DPS, Documento Programmatico sulla sicurezza (modello + allegati) (versione in formato RTF)

Redigere il documento e inviarlo a se stessi tramite raccomandata entro il 31 marzo dell'anno corrente.

Coloro che vogliono essere avvisati via email nel caso in cui il modello qui proposto sia modificato o corretto, possono ricordare il proprio indirizzo email al coordinatore.

Tuo indirizzo email:

Quali sono i riferimenti legislativi essenziali?

CODICE DELLA PRIVACY
Decreto legislativo n. 196 del 30 giugno 2003

MISURE MINIME DI SICUREZZA

Art. 33 – Misure minime

1. Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

Art. 34 – Trattamenti con strumenti elettronici

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato Documento Programmatico sulla Sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Art. 35 – Trattamenti senza l’ausilio di strumenti elettronici

1. Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

Art. 36 – Adeguamento

1. Il disciplinare tecnico di cui all’allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.

ALLEGATO B) - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
Trattamenti con strumenti elettronici

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

1. 19.1. l'elenco dei trattamenti di dati personali;
2. 19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;

1. 19.3. l'analisi dei rischi che incombono sui dati;
2. 19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
3. 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

1. 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
2. 19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
3. 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari (ivi inclusi quelli sanitari)

1. 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.
2. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
3. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.
1. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
2. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

Misure di tutela e garanzia

1. 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
2. 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Trattamenti senza l’ausilio di strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici.

1. 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
2. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
3. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.