Dal 1 gennaio 2004 è entrata in vigore la nuova normativa relativa al trattamento dei dati sanitari, cd Legge sulla Privacy. La legge contiene numerosi adempimenti che influenzano in maniera significativa l'attività professionale di medici e odontoiatri. L'art. 83 della legge prevede che il medico "adotti soluzioni volte a rispettare un ordine di precedenza e di chiamata dei pazienti prescindendo dalla loro individuazione nominativa", definendo in pratica il principio che nelle sale d'attesa i pazienti devono essere chiamati attraverso un numero e non per nome. Per quanto riguarda invece la ricettazione, l'apposizione di un adesivo sul nome e cognome del paziente nelle ricette del SSN è slittata al 1.1.2005.
L'articolo 33 e un successivo allegato riepilogano le misure minime di sicurezza per conservare i dati siano essi in forma digitale o in formato cartaceo. Le sanzioni previste per gli inadempienti, per quanto riguarda l'articolo 33, prevedono l'arresto sino a 2 anni e un'ammenda da Euro 10.000 a Euro 50.000.
Trattamento con ausilio di strumenti elettronici: il trattamento dei dati con strumenti elettronici è consentito oltre che al titolare anche ad altri incaricati (personale di segreteria) dotati di credenziali di autenticazione. Le credenziali di autenticazione consistono in un codice per l'identificazione associato a una parola chiave riservata composta da almeno otto caratteri. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate.
Con cadenza almeno annuale va aggiornata la lista degli incaricati ai quali è consentito il trattamento dei dati. I dati personali sono protetti contro il rischio di intrusione mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. I dati vanno salvati con una frequenza almeno settimanale.
Entro il 31 marzo di ogni anno il titolare di un trattamento di dati sensibili redige un documento programmatico sulla sicurezza.
Trattamento senza l'ausilio di strumenti elettronici: il titolare o l'incaricato sono tenuti al controllo ed alla custodia degli atti e dei documenti contenenti dati personali fino alla loro restituzione in maniera che ad essi non accedano persone prive di autorizzazioni. Anche qui, con cadenza almeno annuale va aggiornata la lista degli incaricati ai quali è consentito il trattamento dei dati (personale di segreteria e i sostituti).
Ulteriori misure in caso di trattamento dei dati sensibili:
I dati sensibili o giudiziari sono protetti contro l'accesso abusivo mediante l'utilizzo di idonei strumenti elettronici (è sufficiente la password della Scheda Sanitaria Individuale). Sono impartite istruzioni per la custodia dei supporti rimovibili su cui sono memorizzati i dati salvati. I supporti rimovibili contenenti dati sensibili se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati se le informazioni precedentemente in esse contenuti non sono intelligibili e tecnicamente in alcun modo ricostruibili. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici entro sette giorni.
Dati genetici e biometrici
Sono esonerati dalla notificazione sia i professionisti che trattano dati genetici e biometrici individualmente, sia i medici che in forma associata condividono il trattamento con altri professionisti, specie all'interno di uno stesso studio medico. Il trattamento dei dati genetici non va notificato quando il professionista, nell'ambito di ordinari rapporti con il paziente, viene a volte a conoscenza di informazioni di tipo genetico (esame di screening o test genetici, indagini prenatali, diagnosi e cura di determinate patologie genetiche).