A meno di ulteriori proroghe, entro il 31 dicembre 2005 le aziende sanitarie e i titolari di studi professionali che trattano dati sensibili devono adempiere agli obblighi previsti dal D.lgs 196/2003, che stabilisce le norme di tutela della privacy. I liberi professionisti titolari di studi e le aziende devono redigere il documento programmatico sulla sicurezza (Dps).
Il Dps è un manuale di pianificazione della sicurezza dei dati personali; nel documento il professionista illustra quali dati personali tratta, in che modo vengono tutelati attualmente (strumentazioni come Pc, luogo fisico di tutela, eventuale affidamento a società, ecc.) e la programmazione per il futuro, gli eventuali rischi di accesso ai dati e le strategie di prevenzione dei rischi.
Scopo del Dps è descrivere la situazione attuale e in che modo la struttura si adeguerà alla normativa. Il documento non va inviato a nessun ente, ma va conservato per essere esibito in caso di controlli e va aggiornato annualmente. Si consiglia di autoinviarselo per raccomandata in modo da documentare la data di compilazione. Ogni anno il documento deve essere aggiornato entro il 31 marzo.
Ogni paziente che si reca in uno studio professionale o azienda sanitaria deve sottoscrivere un modulo di informativa e consenso al trattamento dei propri dati personali. Per favorire i colleghi che devono rispettare gli obblighi della normativa, l'Aifi ha predisposto un facsimile del modulo di informativa e consenso, una guida operativa per la redazione del Dps e le relative tabelle. Gli associati possono ricevere gratuitamente la documentazione, contattando la sede regionale.