Giovedì 22 luglio 2004, il funzionario di Confartigianato Veneto, dott. Andrea Galtarossa, responsabile in ambito Regionale della materia relativa alla "privacy", ha risposto on line ad alcune domande poste da colleghi odontotecnici. Di seguito riportiamo gli interventi più significativi.

Fino a che punto la privacy interessa gli odontotecnici e come deve essere gestita dai nostri laboratori?

  
Ricordiamo innanzitutto che la normativa sulla protezione dei dati personali risale al 1996, con la vecchia Legge 675. Detto questo, in base al nuovo codice sulla privacy, chiunque tratta dati personali, comuni e sensibili, è soggetto agli adempimenti dettati da tale normativa. Va da sé che nell'attività aziendale di qualsiasi impresa si opera quotidianamente con dati personali. Nel caso specifico di un laboratorio odontotecnico questi dati possono anche essere "sensibili", e quindi soggetti a maggiori tutele con l'applicazione delle misure minime di sicurezza.
  

Che tipo di sanzioni sono previste per chi non dovesse rispettare la normativa sulla privacy? Sono di tipo amministrativo o anche di tipo penale?

    
Le sanzioni previste dal nuovo codice sulla privacy sono sia di tipo amministrativo che di tipo penale. Ad esempio, la omessa o inidonea informativa all'interessato circa l'uso dei dati raccolti è punita, a titolo amministrativo, con il pagamento di una somma da 3.000 a 18.000 euro. La mancata adozione delle misure minime di sicurezza è sanzionata invece penalmente con l'arresto sino a due anni o con l'ammenda da 10.000 a 50.000 euro.
  

Devo farmi firmare qualcosa dal medico per i dati che mi fornisce? E ancora, mi serve il consenso del paziente o mi basta quello del medico per trattare i dati?

  
E' compito del medico rilasciare l'informativa e raccogliere il relativo consenso al trattamento dei dati riguardanti il paziente. La comunicazione dei dati dal medico all'odontotecnico non prevede nessun obbligo da parte di quest'ultimo di sottoscrizione alcuna. Restano fermi gli adempimenti relativi al trattamento dei dati personali così acquisiti.
  

Se il medico mi fornisce i dati del paziente, chi alla fine risulta responsabile del loro trattamento?

  
In base al D.Lgs. 196/2003 il medico può lecitamente comunicare i dati dei pazienti all'odontotecnico, previo rilascio dell'informativa al paziente stesso e conseguente raccolta del consenso di quest'ultimo che dovrà autorizzare anche la comunicazione dei dati a terzi, individuabili in questo caso con l'odontotecnico. In merito alla responsabilità, l'odontotecnico è tenuto al rispetto della normativa sulla protezione dei dati acquisiti, ivi compresa l'applicazione delle misure minime di sicurezza.
    

Quando un laboratorio riceve dati sensibili non solo dai medici ma anche direttamente dal paziente, per esempio per una riparazione, che comportamento si deve tenere?  

  
Quando si acquisiscono dati personali relativi ad altri soggetti è necessario rilasciare all'interessato l'informativa sul trattamento, ai sensi dell'articolo 13 del D.Lgs. 196/2003, e raccoglierne il consenso che, nel caso di dati sensibili, deve avvenire per iscritto. Resta salvo, comunque, l'obbligo di adottare tutte le misure minime di sicurezza per assicurare la protezione dei dati trattati.
  

Per la legge applicativa della direttiva comunitaria 93/42, gli odontotecnici sono obbligati a rilasciare il documento di conformità del dispositivo medico prodotto. In questo documento debbono essere inseriti nome e cognome del paziente e tipo di dispositivo prodotto. Alcuni medici mi dicono che per la privacy non possono darmi i dati del paziente. Come posso io produrre il documento e conservare la rintracciabilità del dispositivo? E' sufficiente l'utilizzo di un codice alfanumerico?

  
La Direttiva 93/42/CEE concernente i dispositivi medici recepita dall'Italia con il D.Lgs. 24.02.1997 n.46 stabilisce che, a partire dal 15 giugno 1998, i fabbricanti di detti dispositivi, tra i quali vi sono gli odontotecnici, sono obbligati a redigere la dichiarazione prevista dall'allegato VIII del Decreto, correntemente denominata "dichiarazione di conformità". Tale dichiarazione andrà consegnata al medico che ha richiesto il dispositivo per il proprio paziente. In essa il paziente può essere individuato direttamente con il nome e cognome ovvero con un codice assegnato dal medico, il quale saprà necessariamente associarlo ad un proprio paziente. In tal caso, per la successiva rintracciabilità del dispositivo sarà cura del medico dover indicare all'odontotecnico il codice per individuare esattamente il dispositivo medico.
  

Nella mia attività mi avvalgo della collaborazione di colleghi per la costruzione di parti di protesi. Posso trasmettere loro i dati che mi vengono forniti dal medico e che sono essenziali per questa collaborazione? Se la risposta è affermativa, che tipo di precauzione debbo richiedere che venga attuata? E, in questo caso, sono io il responsabile della gestione dei dati da parte del collega?

  
Per effettuare una lecita comunicazione di dati personali a terzi è necessario aver rilasciato l'informativa all'interessato cui si riferiscono i dati ed aver ottenuto dallo stesso il consenso, oltre che al trattamento, anche espressamente quello alla comunicazione. Una idonea precauzione per la comunicazione è che questa avvenga in forma anonima, ovvero il primo odontotecnico associ un codice al paziente e trasmetta le prescrizioni individuandole con tale codice. Per quanto riguarda la responsabilità, salvo quella collegata alla lecita comunicazione da parte del primo odontotecnico (per cui vale quanto detto sopra), sarà il collega a dover adottare tutte le misure minime di sicurezza per assicurare la protezione dei dati da lui trattati.

Ho sentito dire che ci sono delle modalità per la protezione dei dati nei computer. Mi interessava sapere in particolare come deve essere composta la password.

  
In base al D.Lgs. 196/2003, entrato in vigore dal 1° gennaio 2004, la password obbligatoria ogni volta in cui si trattano dati personali con strumenti elettronici deve essere composta da almeno 8 caratteri alfanumerici. Se il sistema operativo non permette di utilizzare tutti gli otto caratteri, si dovrà comunque fare uso di una password con un numero di caratteri pari al massimo consentito. Altra misura minima di sicurezza collegata alla password è quella che comporta l'obbligo di sostituirla ogni 6 mesi nel caso di trattamento di "dati comuni" e con scadenza trimestrale se i dati trattati con strumenti elettronici sono "sensibili".
   

Qualche giorno fa, dopo che era stato prorogato a dicembre il termine per il DPS, da parte di una ditta che vendeva servizi è arrivata una mail che riportava, alla voce adempimenti: "SOLO PER CHI GESTISCE I DATI SU COMPUTER CON CONNESSIONE INTERNET : Predisposizione del Documento Programmatico di Sicurezza entro il 30/6/2004." A me questa informazione non risulta corretta. Come mi devo comportare? 

  
In base alla nuova normativa (D.Lgs. 196/2003) non si distingue più tra strumenti elettronici in rete e non in rete: pertanto chi tratta dati sensibili con strumenti elettronici, indipendentemente da connessioni in rete o meno, è tenuto a predisporre il DPS (Documento Programmatico sulla Sicurezza). Detto questo, avvalendosi della facoltà di proroga prevista dal recente Decreto Legge, il termine ultimo per la predisposizione del documento è il 31/12/2004.
[ATTENZIONE: I termini per la predisposizione del DPR sono stati ulteriormente prorogati.]