Le misure di sicurezza non possono prescindere da una corretta organizzazione in termini di incarichi, ripartizione della responsabilità e consapevolezza delle misure e delle procedure da adottarsi secondo una visione sostanzialistica della normativa.
Se il medico, nel proprio studio, si avvale di collaboratori o sostituti o personale infermieristico o di personale di segreteria deve redigere una lettera di nomina dei soggetti autorizzati al trattamento, che si devono attenere alle istruzioni impartite dal Titolare del trattamento. Tale istruzioni non possono prescindere da una attività formativa del personale, che dovrà essere anche responsabilizzarlo, attraverso un regolamento o un manuale di procedure sulla protezione dei dati e sull’uso corretto degli strumenti informatici che può assurgere anche a codice disciplinare per il personale dipendente. Deve essere valorizzata e costantemente adeguata la formazione del personale di segreteria, che deve essere consapevole dei comportamenti più adeguati a tutela della privacy.
Tutto ciò deve avvenire costantemente e deve sostanziarsi in una serie di attività specifiche e dimostrabili, con monitoraggi periodici.
Se il medico si avvale di tecnici, consulenti e fornitori esterni che trattano per suo conto i dati personali dei suoi pazienti (commercialista per la tenuta della sua contabilità, l’amministratore di sistema, società fornitrici di software gestionali di studio ecc…), questi dovranno essere nominati responsabili esterni del trattamento art. 28. La nomina prevista dall’art. 28 del Regolamento, richiede non solo che alla base del rapporto vi sia un contratto scritto con il fornitore, ma che lo stesso risponda in solido per l’intero, con il Titolare del trattamento, in caso di richieste risarcitorie provenienti da soggetti che si ritengano lesi nei loro diritti fondamentali alla riservatezza, alla salute, alla libertà.
