Settore: | Normativa nazionale |
Materia: | 86. Sanità |
Capitolo: | 86.11 sanità pubblica |
Data: | 07/12/2016 |
Numero: | 262 |
Sommario |
Art. 1. Definizioni |
Art. 2. Finalità e ambito di applicazione |
Art. 3. Procedure per il trattamento e l'interconnessione |
Art. 4. Accesso ai dati |
Art. 5. Trattamento dei dati nel NSIS |
Art. 6. Misure di sicurezza del NSIS |
Art. 7. Fascicolo sanitario elettronico |
Art. 8. Prima attuazione delle procedure per l'interconnessione |
Art. 9. Disposizioni transitorie |
Art. 10. Entrata in vigore |
§ 86.11.403 - D.M. 7 dicembre 2016, n. 262.
Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato.
(G.U. 8 febbraio 2017, n. 32)
IL MINISTRO DELLA SALUTE
Visto il
ai fini della attivazione dei programmi nazionali di valutazione sull'applicazione delle norme di cui al presente articolo, il Ministero della salute provvede alla modifica ed integrazione di tutti i sistemi informativi del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato, ed alla interconnessione a livello nazionale di tutti i flussi informativi su base individuale;
il complesso delle informazioni e dei dati individuali così ottenuti è reso disponibile per le attività di valutazione esclusivamente in forma anonima ai sensi dell'articolo 35 del
il Ministero della salute si avvale dell'AGENAS per lo svolgimento delle funzioni di valutazione degli esiti delle prestazioni assistenziali e delle procedure medico-chirurgiche nell'ambito del Servizio sanitario nazionale. A tal fine l'AGENAS accede, in tutte le fasi della loro gestione, ai sistemi informativi interconnessi del Servizio sanitario nazionale di cui al presente comma in modalità anonima;
Visto l'articolo 17, comma 3, della
Visto il
con decreto del Ministro della salute, al fine di migliorare i sistemi informativi e statistici della sanità e per il loro migliore utilizzo in termini di monitoraggio dell'organizzazione dei livelli di assistenza, vengono stabilite le procedure di anonimizzazione dei dati individuali presenti nei flussi informativi, già oggi acquisiti in modo univoco sulla base del codice fiscale dell'assistito, con la trasformazione del codice fiscale, ai fini di ricerca per scopi di statistica sanitaria, in codice anonimo, mediante apposito algoritmo biunivoco, in modo da tutelare l'identità dell'assistito nel procedimento di elaborazione dei dati;
i dati così anonimizzati sono utilizzati per migliorare il monitoraggio e la valutazione della qualità e dell'efficacia dei percorsi di cura, con un pieno utilizzo degli archivi informatici dell'assistenza ospedaliera, specialistica, farmaceutica;
Visto il
Vista la
Visto il
Visto il
Visto il decreto del Presidente del Consiglio dei ministri 29 novembre 2001, pubblicato nella Gazzetta Ufficiale 8 febbraio 2002, n. 33, recante «Definizione dei livelli essenziali di assistenza»;
Visto il
Vista la
Visto l'accordo-quadro tra il Ministro della sanità, le regioni e le province autonome, sancito dalla Conferenza permanente tra lo Stato, le regioni e le province autonome di Trento e di Bolzano nella seduta del 22 febbraio 2001 (Rep. atti n. 1158) relativo al piano di azione coordinato per lo sviluppo del Nuovo sistema informativo sanitario nazionale, che, all'articolo 6, stabilisce che le funzioni di indirizzo, coordinamento e controllo delle fasi di attuazione del Nuovo sistema informativo sanitario, debbano essere esercitate congiuntamente attraverso un organismo denominato Cabina di regia;
Visto il decreto del Ministro della salute del 14 giugno 2002, con il quale è stata istituita la Cabina di regia per lo sviluppo del Nuovo sistema informativo sanitario nazionale;
Visto l'articolo 50, del
il comma 9, ai sensi del quale si demanda al Ministero dell'economia e delle finanze, di concerto con il Ministero della salute, ai fini dell'allineamento dell'archivio dei codici fiscali con quello degli assistiti, e per disporre le codifiche relative al prontuario farmaceutico nazionale e al nomenclatore delle prestazioni specialistiche ambulatoriali, di stabilire i dati che le regioni, nonchè i Ministeri e gli altri enti pubblici di rilevanza nazionale che li detengono, trasmettono al Ministero dell'economia e delle finanze, con modalità telematica;
il comma 10, il quale dispone, tra l'altro, che con protocollo approvato dal Ministero dell'economia e delle finanze, dal Ministero della salute d'intesa con la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sentito il Garante per la protezione dei dati personali, sono stabiliti i dati contenuti negli archivi di cui al comma 9 che possono essere trasmessi al Ministero della salute e alle regioni, nonchè le modalità di tale trasmissione;
Vista l'intesa sancita dalla Conferenza permanente tra lo Stato, le regioni e le province autonome di Trento e di Bolzano nella seduta del 23 marzo 2005 (Rep. atti n. 2271), in attuazione dell'articolo 1, commi 173 e 180, della
per le misure di qualità, efficienza ed appropriatezza del Servizio sanitario nazionale, come indicato al comma 1, ci si avvale del Nuovo sistema informativo sanitario, istituito presso il Ministero della salute;
il Nuovo sistema informativo sanitario, come indicato al comma 2, ricomprende i dati dei sistemi di monitoraggio delle prescrizioni previsti dall'articolo 87 della
per le finalità dei livelli nazionale e regionale del Nuovo sistema informativo sanitario, come indicato al comma 3, va previsto il trattamento di dati individuali, in grado di associare il codice fiscale del cittadino alle prestazioni sanitarie erogate, ai soggetti prescrittori e alle strutture erogatrici;
la definizione ed il continuo adeguamento nel tempo dei contenuti informativi e delle modalità di alimentazione del Nuovo sistema informativo sanitario, come indicato al comma 5, sono affidati alla Cabina di regia e vengono recepiti dal Ministero della salute con propri decreti attuativi, compresi i flussi informativi finalizzati alla verifica degli standard qualitativi e quantitativi dei Livelli essenziali di assistenza;
il conferimento dei dati al Sistema informativo sanitario, come indicato al comma 6, è ricompreso tra gli adempimenti cui sono tenute le regioni per l'accesso al finanziamento integrativo a carico dello Stato di cui all'articolo 1, comma 164, della
Vista l'intesa sancita dalla Conferenza permanente tra lo Stato, le regioni e le province autonome di Trento e di Bolzano nella seduta del 3 dicembre 2009 (Rep. atti n. 243) sul Nuovo patto per la salute 2010-2012 che:
all'articolo 4, ai fini dell'accesso al finanziamento integrativo del Servizio sanitario nazionale, stabilisce che costituiscono adempimento regionale gli adempimenti derivanti dalla legislazione vigente e quelli derivanti dagli accordi e dalle intese intervenute tra lo Stato, le Regioni e le Province Autonome di Trento e di Bolzano;
all'articolo 17 sul Nuovo sistema informativo sanitario dispone una proroga dei compiti e della composizione della Cabina di regia del Nuovo sistema informativo sanitario fino alla stipula del nuovo accordo di riadeguamento della composizione e delle modalità di funzionamento della stessa;
Considerato che il Nuovo sistema informativo sanitario ha la finalità di supportare il monitoraggio dei livelli essenziali di assistenza, attraverso gli obiettivi strategici approvati dalla Cabina di regia nella seduta dell'11 settembre 2002;
Considerato che, tra gli obiettivi strategici del Nuovo sistema informativo sanitario una delle componenti fondamentali è rappresentata dal «Sistema di integrazione delle informazioni sanitarie individuali»;
Visto il
Visto il
Visto il decreto del Ministro della salute 31 luglio 2007, pubblicato nella Gazzetta Ufficiale 2 ottobre 2007, n. 229, recante «Istituzione del flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto», e successive modificazioni;
Visto il decreto del Ministro del lavoro, della salute e delle politiche sociali 17 dicembre 2008, pubblicato nella Gazzetta Ufficiale 9 gennaio 2009, n. 6, recante «Istituzione del sistema informativo per il monitoraggio dell'assistenza domiciliare», e successive modificazioni;
Visto il decreto del Ministro del lavoro, della salute e delle politiche sociali 17 dicembre 2008, pubblicato nella Gazzetta Ufficiale 13 gennaio 2009, n. 9, recante «Istituzione del sistema informativo per il monitoraggio delle prestazioni erogate nell'ambito dell'assistenza sanitaria in emergenza-urgenza», e successive modificazioni;
Visto il decreto del Ministro del lavoro, della salute e delle politiche sociali 17 dicembre 2008, pubblicato nella Gazzetta Ufficiale 9 gennaio 2009, n. 6, recante «Istituzione della banca dati finalizzata alla rilevazione delle prestazioni residenziali e semiresidenziali», e successive modificazioni;
Visto il decreto del Ministro della salute 11 giugno 2010, pubblicato nella Gazzetta Ufficiale 12 luglio 2010, n. 160, recante «Istituzione del sistema informativo nazionale per le dipendenze»;
Visto il decreto del Ministro della salute 15 ottobre 2010, pubblicato nella Gazzetta Ufficiale 29 ottobre 2010, n. 254, recante «Istituzione del sistema informativo salute mentale»;
Visto il decreto del Ministro della salute 6 giugno 2012, pubblicato nella Gazzetta Ufficiale 20 giugno 2012, n. 142, recante «Istituzione del sistema informativo per il monitoraggio dell'assistenza erogata presso gli Hospice»;
Visto il
l'articolo 27 comma 2, il quale prevede che per la determinazione dei costi per i fabbisogni standard regionali si fa riferimento agli elementi informativi presenti nel Nuovo sistema informativo sanitario del Ministero della salute;
l'articolo 30, comma 2, il quale prevede che il Ministero della salute implementi un sistema adeguato di valutazione della qualità delle cure e dell'uniformità dell'assistenza in tutte le regioni ed effettui un monitoraggio costante dell'efficacia e dell'efficienza dei servizi;
Visto il
Visto il
Visto, in particolare, l'allegato C-01 del citato decreto del Ministro della salute n. 277 del 2007 che prevede il trattamento di dati sensibili per finalità di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, ai sensi dell'articolo 85, comma 1, lettera b), del citato Codice in materia di protezione dei dati personali, senza elementi identificativi diretti;
Visti i regolamenti per il trattamento dei dati sensibili e giudiziari adottati dalle regioni e province autonome in conformità allo schema tipo di regolamento volto a disciplinare i trattamenti dei dati sensibili e giudiziari effettuati presso le regioni e le province autonome, le aziende sanitarie, gli enti e agenzie regionali/provinciali, gli enti vigilati dalle regioni e dalle province autonome, ai sensi degli articoli 20 e 21 del
Rilevato, in particolare, che il suddetto schema tipo di regolamento prevede:
nella scheda 12 dell'allegato A, che i dati provenienti dalle aziende sanitarie locali siano privati degli elementi identificativi diretti subito dopo la loro acquisizione da parte della regione; che, ai fini della verifica della non duplicazione delle informazioni e della eventuale interconnessione con altre banche dati sanitarie della regione, la specifica struttura tecnica individuata dalla Regione, alla quale viene esplicitamente affidata la funzione infrastrutturale, provvede ad assegnare ad ogni soggetto un codice univoco che non consente la identificazione dell'interessato durante il trattamento dei dati; che, qualora le regioni e le province autonome non dispongano di sistemi di codifica, coerenti con quanto stabilito nello schema tipo di Regolamento, i dati saranno inviati in forma anonima;
Visto il
Visto il
Ritenuto di dover definire, in attuazione del citato articolo 15, comma 25-bis, del
Sentita la Cabina di regia del Nuovo sistema informativo sanitario in data 24 marzo 2015;
Acquisito il parere del Garante per la protezione dei dati personali, reso in data 19 marzo 2015 ai sensi dell'articolo 154, comma 4, del
Acquisito il parere favorevole della Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, ai sensi dell'articolo 2, comma 4, del decreto legislativo 28 agosto 1997, n. 281, nella seduta del 20 gennaio 2016 (Rep. atti n. 8/CSR);
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 10 marzo 2016;
Vista la comunicazione al Presidente del Consiglio dei ministri a norma dell'articolo 17, comma 3, della citata
Adotta
il seguente regolamento:
Art. 1. Definizioni
1. Ai fini del presente decreto si intende per:
a) NSIS: il Nuovo sistema informativo sanitario del Ministero della salute, gestito dalla Direzione generale della digitalizzazione, del sistema informativo sanitario e della statistica;
b) livello nazionale: il Ministero della salute;
c) fornitori dei dati per il livello nazionale: le regioni e le province autonome, e il Ministero dell'economia e delle finanze;
d) codice identificativo: codice che identifica l'assistito nei rapporti con il Servizio sanitario nazionale, ovvero il codice fiscale, il codice Straniero temporaneamente presente (STP), il codice Europeo non iscritto (ENI) o il numero di identificazione personale della Tessera europea di assicurazione malattia (TEAM);
e) codice univoco: codice assegnato, attraverso una procedura automatica, ad ogni assistito a partire dal codice identificativo, tale da non consentire la identificazione diretta dell'interessato durante il trattamento dei dati personali;
f) SPC: il sistema pubblico di connettività di cui agli articoli 73 e seguenti del
g) regole tecniche SPC: le disposizioni di cui al decreto del Presidente del Consiglio dei ministri 1° aprile 2008, pubblicato nella Gazzetta Ufficiale 21 giugno 2008, n. 144, recante regole tecniche e di sicurezza per il funzionamento del sistema pubblico di connettività previste dall'articolo 71, comma 1-bis, del
h) cooperazione applicativa: l'interazione tra i sistemi informatici delle pubbliche amministrazioni disciplinata dalle regole tecniche SPC di cui alla lettera f), che avviene tramite le porte di dominio;
i) accordo di servizio: atto tecnico che ha lo scopo di definire le prestazioni del servizio e le modalità di erogazione/fruizione, ovvero le funzionalità del servizio, le interfacce di scambio dei messaggi tra erogatore e fruitore, i requisiti di qualità del servizio dell'erogazione/fruizione, e i requisiti di sicurezza dell'erogazione/fruizione. È redatto dall'erogatore in collaborazione con i fruitori secondo le regole tecniche di cui alla lettera f) e viene reso pubblico dall'erogatore attraverso le infrastrutture condivise dal SPC (registro SICA). L'erogatore è inoltre responsabile della gestione del ciclo di vita dei propri accordi di servizio e dell'erogazione del servizio in conformità con gli accordi;
l) credenziali di autenticazione: i dati e i dispositivi in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
m) porta di dominio: componente architetturale del SPC attraverso il quale si accede al dominio applicativo dell'Amministrazione per l'utilizzo dei servizi applicativi;
n) profilo di autorizzazione: l'insieme delle informazioni, univocamente associate a una persona, che consente di individuare a quali dati essa può accedere, nonchè i trattamenti ad essa consentiti;
o) registrazione delle operazioni di trattamento: registrazione in appositi file, detti «file di log», delle operazioni di trattamento con identificazione dell'utente incaricato che le effettua;
p) Tessera Sanitaria: il sistema informativo del Ministero dell'economia e delle finanze, istituito ai sensi delle disposizioni dell'articolo 50, del
q) CAD: il
r) FSE: il fascicolo sanitario elettronico, di cui all'articolo 12 del
s) AGENAS: l'Agenzia nazionale per i servizi sanitari regionali;
t) CUNI: il codice univoco non invertibile;
u) CUNA: il codice univoco nazionale dell'assistito;
v) SDO: le schede di dimissione ospedaliera di cui al decreto del Ministro della sanità del 27 ottobre 2000, n. 380, e successive modificazioni.
Art. 2. Finalità e ambito di applicazione
1. Il presente decreto ha lo scopo di definire le procedure per l'interconnessione a livello nazionale, nell'ambito del NSIS, dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato, per le seguenti finalità di rilevante interesse pubblico, ai sensi degli articoli 85, comma 1, lettera b) e 98, comma 1, lettera b) del
a) lo svolgimento delle funzioni di valutazione degli esiti delle prestazioni assistenziali e delle procedure medico-chirurgiche nell'ambito del Servizio sanitario nazionale, di cui all'articolo 15, comma 25-bis, del
b) il monitoraggio dei livelli essenziali e uniformi di assistenza, ai sensi del
c) le finalità statistiche perseguite dai soggetti pubblici che fanno parte del Sistema statistico nazionale (SISTAN) ai sensi del
2. I sistemi informativi su base individuale cui si applica la procedura di interconnessione, di cui all'articolo 3, per le finalità di cui al comma 1, sono:
a) i sistemi informativi del Ministero della salute previsti nell'ambito del NSIS ai fini del monitoraggio dei livelli essenziali e uniformi di assistenza, ai sensi del
b) il sistema informativo Tessera Sanitaria del Ministero dell'economia e delle finanze, relativamente alle prestazioni di specialistica ambulatoriale e di assistenza farmaceutica convenzionata;
c) i sistemi informativi sanitari delle regioni e delle province autonome, limitatamente ai soli dati individuati dai decreti istitutivi dei sistemi informativi NSIS.
Art. 3. Procedure per il trattamento e l'interconnessione
1. I fornitori dei dati per il livello nazionale, prima di inviare al Ministero della salute, nell'ambito del NSIS, i dati relativi ai flussi informativi previsti dal presente regolamento, effettuano:
a) la verifica della validità del codice identificativo attraverso il servizio fornito dall'Anagrafe nazionale degli assistiti, istituita ai sensi dell'articolo 62-ter del CAD;
b) l'assegnazione di un codice univoco non invertibile (CUNI) che sostituisce il codice identificativo, tramite un sistema di codifica univoco a livello nazionale, definito dal Ministero della salute, che non consente alcuna correlazione immediata con i dati anagrafici del soggetto e consiste in una sequenza di caratteri alfanumerici casuali di lunghezza fissa ottenuti attraverso una procedura di cifratura (algoritmi) biunivoca non invertibile del codice identificativo, secondo le modalità indicate nel disciplinare tecnico allegato al presente decreto.
2. I dati di cui al comma 1, così privati del codice identificativo, unitamente ai correlati dati sanitari, vengono inviati ai sensi delle disposizioni vigenti al NSIS e con le specificazioni indicate nel disciplinare tecnico allegato al presente decreto, in forma individuale, ma priva di ogni riferimento che ne permetta il collegamento diretto con gli interessati e comunque con modalità che, pur consentendo il collegamento nel tempo delle informazioni riferite ai medesimi individui, rendono questi ultimi non identificabili.
3. Il Ministero della salute, per il perseguimento delle finalità di cui all'articolo 2, comma 1, sostituisce il codice univoco non invertibile di cui al comma 1, lettera b) con il codice univoco nazionale dell'assistito (CUNA), come dettagliato nel disciplinare tecnico allegato al presente decreto. Tale codice permette l'interconnessione a livello nazionale, nell'ambito del NSIS, di tutti i sistemi informativi su base individuale oggetto del presente decreto.
4. L'Anagrafe nazionale degli assistiti, istituita ai sensi dell'articolo 62-ter del CAD, fornisce al Ministero della salute il servizio di verifica della validità del codice identificativo e di aggiornamento dei dati.
Art. 4. Accesso ai dati
1. Al fine di consentire il perseguimento delle finalità di cui all'articolo 2, comma 1, lettere a) e b), il NSIS è predisposto per permettere:
a) alle competenti unità organizzative delle regioni e province autonome, come individuate da provvedimenti regionali e provinciali, di consultare le informazioni rese disponibili in forma aggregata o anonima; i dati relativi ad assistiti di altre regioni o province autonome possono essere utilizzati solo per effettuare analisi comparative;
b) alle competenti unità organizzative del Ministero della salute, come individuate dal decreto ministeriale di organizzazione, di consultare le informazioni rese disponibili in forma aggregata o anonima.
2. Nel perseguimento delle finalità di cui all'articolo 2, comma 1, lettera a), il NSIS consente, per comprovate e documentate esigenze di validazione delle misure di esito:
a) alle competenti unità organizzative delle regioni e province autonome di consultare le informazioni riferite anche ai singoli assistiti, con esclusione dei relativi dati anagrafici e del codice univoco;
b) alle competenti unità organizzative del Ministero della salute, anche con l'ausilio tecnico-operativo dell'AGENAS, di consultare le informazioni riferite anche ai singoli assistiti, con esclusione dei relativi dati anagrafici e del codice univoco.
3. Solo qualora risulti indispensabile per corrispondere a comprovate e documentate esigenze strettamente connesse alle finalità di cui all'articolo 2, comma 1, il Ministero della salute effettua operazioni di selezione, estrazione ed elaborazione dei soli dati sanitari indispensabili a tali fini, contenuti nei diversi sistemi informativi del NSIS oggetto di interconnessione e riferiti ad individui presenti in specifici elenchi o coorti, i cui dati identificativi sono acquisiti nel rispetto degli articoli 20 e 22 del
4. Al fine di consentire il perseguimento delle finalità di cui all'articolo 2, comma 1, lettera c), il NSIS è predisposto per permettere all'Ufficio di statistica del Ministro della salute di consultare le informazioni riferite anche ai singoli assistiti, nel rispetto della disciplina di settore e dell'allegato A3 del
Art. 5. Trattamento dei dati nel NSIS
1. Il Ministero della salute è titolare del trattamento dei dati conferiti al NSIS, attraverso i sistemi informativi di cui all'articolo 2, comma 2, secondo quanto previsto dall'articolo 28 del
2. Il Ministero della salute per le finalità di cui all'articolo 2, comma 1, utilizza il codice univoco nazionale dell'assistito esclusivamente per collegare le informazioni sanitarie riferite al medesimo assistito secondo le modalità previste dall'articolo 4.
3. Nel perseguimento delle finalità di cui all'articolo 2, comma 1, qualora sia indispensabile consultare le informazioni riferite ai singoli assistiti nei limiti indicati all'articolo 4, commi 2 e 3 e 4, il trattamento dei dati avviene nel rispetto delle specifiche misure di sicurezza di cui all'articolo 6, commi 4 e 6.
4. Per il perseguimento delle finalità di cui all'articolo 2, comma 1, lettera b), le modalità e logiche di organizzazione ed elaborazione delle informazioni contenute nei sistemi informativi su base individuale cui si applica il presente decreto sono dirette esclusivamente a fornire una rappresentazione aggregata dei dati. L'accesso degli incaricati del trattamento ai dati avviene attraverso chiavi di ricerca che non consentono, anche mediante operazioni di interconnessione e raffronto, la consultazione, la selezione o l'estrazione di informazioni riferite a singoli individui o di elenchi di codici identificativi. Le funzioni applicative non consentono la consultazione e l'analisi di informazioni che rendano identificabile l'interessato, ai sensi del codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del sistema statistico nazionale di cui all'allegato A3 del
5. I dati dei sistemi informativi su base individuale cui si applica il presente decreto sono archiviati previa separazione dei dati sanitari dagli altri dati e i dati sanitari sono trattati con tecniche crittografiche.
Art. 6. Misure di sicurezza del NSIS
1. Le operazioni sui dati personali, necessarie per l'adempimento alle disposizioni di cui al presente decreto, sono effettuate mediante strumenti elettronici con modalità e soluzioni necessarie per assicurare confidenzialità, integrità e disponibilità dei dati, adottate in coerenza con le misure di sicurezza espressamente previste nel
2. La riservatezza dei dati trattati nell'ambito del NSIS, ai sensi del
3. I file di log sono protetti con idonee misure contro ogni uso improprio o non conforme alle finalità per cui sono registrati e sono trattati in forma anonima mediante opportuna aggregazione, salvo il caso in cui risulti indispensabile verificare la liceità e correttezza di singole operazioni di trattamento. I file di log sono conservati per 12 mesi e cancellati alla scadenza.
4. Per il perseguimento delle finalità di cui all'articolo 2, comma 1, qualora sia indispensabile consultare le informazioni riferite ai singoli assistiti nei limiti indicati all'articolo 4, commi 2, 3 e 4, il processo di autenticazione degli utenti avviene attraverso strumenti di autenticazione forte, in conformità all'articolo 64 del CAD e all'articolo 34 del
5. Il titolare del trattamento di cui all'articolo 5, comma 1, individua il responsabile preposto alla definizione di:
a) profili di autorizzazione, in relazione al ruolo istituzionale, alle funzioni svolte e all'ambito territoriale delle azioni di competenza;
b) procedure di designazione degli amministratori di sistema e degli utenti e dei rispettivi privilegi;
c) modalità di conferimento, sospensione e revoca dei profili di accesso.
6. Le specifiche misure di sicurezza adottate per gli accessi al sistema sono descritte nel disciplinare tecnico allegato al presente decreto.
Art. 7. Fascicolo sanitario elettronico
1. La procedure di interconnessione di cui al presente decreto si applicano ai dati del fascicolo sanitario elettronico (FSE), per le finalità di cui all'articolo 12, comma 2, lettera c) del
Art. 8. Prima attuazione delle procedure per l'interconnessione
1. Entro sei mesi dalla data di entrata in vigore del presente regolamento, si applicano le disposizioni di cui all'articolo 3, comma 1.
2. Entro sessanta giorni dall'entrata in vigore del presente regolamento, la Cabina di regia del NSIS individua, previa consultazione del Garante per la protezione dei dati personali, un cronoprogramma che, tenuto conto della disponibilità, da parte delle regioni e province autonome, dei servizi a supporto dell'interoperabilità delle schede di dimissione ospedaliera di cui al decreto del Ministro della sanità del 27 ottobre 2000, n. 380, e successive modificazioni, preveda la graduale applicazione delle disposizioni di cui all'articolo 3, comma 1, al flusso delle schede di dimissione ospedaliera.
3. Nelle more dell'applicazione delle disposizioni di cui all'articolo 3, comma 1, al flusso delle schede di dimissione ospedaliera si applicano le procedure indicate al paragrafo 5.2 del disciplinare tecnico allegato al presente decreto.
4. Il sistema Tessera Sanitaria, nelle more dell'attivazione dell'Anagrafe nazionale degli assistiti, istituita ai sensi dell'articolo 62-ter del CAD, rende disponibili:
a) ai fornitori dei dati per il livello nazionale un servizio di verifica della validità del codice identificativo, le cui modalità sono indicate nel disciplinare tecnico allegato al presente decreto;
b) al Ministero della salute un servizio di verifica della validità del codice identificativo e di aggiornamento dei dati, le cui modalità sono indicate nel disciplinare tecnico allegato al presente decreto.
Art. 9. Disposizioni transitorie
1. Entro sei mesi dalla data di entrata in vigore del presente decreto il Ministero della salute adegua la propria infrastruttura tecnologica al fine di interconnettere i seguenti sistemi informativi:
a) sistema informativo Schede di dimissione ospedaliera;
b) sistema informativo per il monitoraggio delle prestazioni erogate nell'ambito dell'assistenza sanitaria in emergenza-urgenza-Pronto soccorso, limitatamente agli accessi che esitano in ricovero ospedaliero;
c) sistema informativo tessera sanitaria, relativamente alle prestazioni di specialistica ambulatoriale e di assistenza farmaceutica convenzionata, del sistema tessera sanitaria.
1. Entro dodici mesi dalla data di entrata in vigore del presente decreto il Ministero della salute adegua la propria infrastruttura tecnologica al fine di interconnettere i seguenti sistemi informativi:
a) sistema informativo certificato di assistenza al parto;
b) sistema informativo per il monitoraggio delle prestazioni erogate nell'ambito dell'assistenza sanitaria in emergenza-urgenza - Pronto soccorso, relativamente agli accessi che non esitano in ricovero ospedaliero;
c) sistema informativo per il monitoraggio delle prestazioni erogate nell'ambito dell'assistenza sanitaria in emergenza-urgenza - Sistema 118;
d) sistema informativo per il monitoraggio dell'assistenza domiciliare;
e) sistema informativo per il monitoraggio delle prestazioni residenziali e semiresidenziali;
f) sistema informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto;
g) sistema informativo per il monitoraggio dell'assistenza erogata presso gli Hospice.
2. Entro diciotto mesi dalla data di entrata in vigore del presente decreto il Ministero della salute adegua la propria infrastruttura tecnologica al fine di interconnettere i seguenti sistemi informativi:
a) sistema informativo salute mentale;
b) sistema informativo nazionale dipendenze.
3. Le ulteriori disposizioni relative ai sistemi informativi di cui all'articolo 2, comma 2, lettera a), da interconnettere, sono adottate con successivi decreti.
Art. 10. Entrata in vigore
1. Il presente decreto entra in vigore il quindicesimo giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Registrato alla Corte dei conti il 31 gennaio 2017 Ufficio di controllo sugli atti del MIUR, MIBAC, Min. salute e Min. lavoro, foglio n. 83
Allegato
Disciplinare tecnico
1 Introduzione e obiettivi del documento
Nel contesto di profonda evoluzione del Servizio sanitario nazionale, la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano ha siglato, il 22 febbraio 2001, l'Accordo quadro per lo sviluppo del Nuovo Sistema Informativo Sanitario Nazionale (NSIS). Il disegno di un nuovo sistema informativo sanitario si propone quale strumento essenziale per il governo della sanità a livello nazionale, regionale e locale e per migliorare l'accesso alle strutture e la fruizione dei servizi da parte dei cittadini - utenti.
Il protocollo d'intesa del 23 marzo 2005 e, successivamente, il Patto per la Salute del 28 settembre 2006 hanno ribadito l'utilizzo del NSIS per le misure di qualità, efficienza ed appropriatezza del Servizio sanitario nazionale, evidenziando il conferimento dei dati al Nuovo Sistema Informativo Sanitario «fra gli adempimenti a cui sono tenute le regioni».
Il Sistema di integrazione delle Informazioni Sanitarie Individuali (SIISI), inserito nell'ambito del NSIS, è il sistema di supporto ai diversi livelli del Servizio sanitario nazionale (locale/regionale e nazionale), ideato ed implementato secondo il principio che è necessario intercettare l'informazione relativa al singolo evento sanitario, su base individuale, per consentire diverse e articolate forme di aggregazione e di analisi dei dati, non essendo possibile prevedere a priori tutti i possibili criteri di aggregazione degli eventi stessi al fine del perseguimento delle finalità del NSIS.
In considerazione della rilevanza delle procedure derivanti dall'attuazione delle disposizioni di cui al presente decreto, il Ministero della salute (di seguito Ministero) adotta il presente disciplinare tecnico che descrive le caratteristiche tecniche del NSIS, le modalità di trattamento e le misure di sicurezza previste, con particolare riferimento alla gestione dei sistemi informativi su base individuale.
Ogni variazione significativa alle caratteristiche descritte nel presente disciplinare è resa pubblica sul sito Internet del Ministero (www.nsis.salute.gov.it), secondo le modalità previste dall'art. 54 del Codice dell'amministrazione digitale.
Il presente disciplinare tecnico definisce:
la procedura di verifica della validità del codice identificativo, in attuazione di quanto già indicato nell'art. 3, comma 1, lettera a) e nell'art. 8, comma 4, lettera a);
la procedura di assegnazione del codice univoco non invertibile (CUNI), in attuazione di quanto già indicato nell'art. 3, comma 1, lettera b);
le specificazioni per l'invio dei dati al NSIS, in attuazione di quanto già indicato nell'art. 3, comma 2;
la procedura di assegnazione del codice univoco non invertibile (CUNI) da parte del Ministero della salute per il flusso SDO, in attuazione di quanto già indicato nell'art. 8, comma 3;
la procedura di assegnazione del codice univoco nazionale dell'assistito (CUNA), in attuazione di quanto già indicato nell'art. 3, comma 3;
la procedura di verifica della validità del codice identificativo e di aggiornamento dei dati, in attuazione di quanto già indicato nell'art. 3, comma 4 e nell'art. 8, comma 4;
la procedura di selezione, estrazione ed elaborazione di dati riferiti ad individui presenti in specifici elenchi o coorti, in attuazione di quanto già indicato nell'art. 4, comma 3;
le misure di sicurezza adottate per gli accessi al NSIS, quali: le modalità di abilitazione degli utenti, il sistema di tracciatura degli accessi ai dati personali, le modalità di trasmissione dei dati dei sistemi informativi alimentanti il NSIS e le garanzie per la sicurezza delle basi dati, in attuazione di quanto già indicato nell'art. 6, comma 6.
2 Definizioni
Ai fini del presente disciplinare tecnico si intende per:
a) crittografia: tecnica per rendere inintelligibili informazioni a chi non dispone dell'apposita chiave di decifrazione e dell'algoritmo necessario;
b) crittografia simmetrica: un tipo di crittografia in cui la stessa chiave viene utilizzata per crittografare e decrittografare il messaggio, ovvero una chiave nota sia al mittente che al destinatario;
c) crittografia asimmetrica: un tipo di crittografia in cui ogni soggetto coinvolto nello scambio di informazioni dispone di una coppia di chiavi, una privata, da mantenere segreta, l'altra da rendere pubblica. L'utilizzo combinato delle chiavi dei due soggetti permette di garantire l'identità del mittente, l'integrità delle informazioni e di renderle inintelligibili a terzi;
d) sito Internet del Ministero: il sito istituzionale del Ministero della salute www.salute.gov.it accessibile dagli utenti per le funzioni informative relative alla trasmissione telematica dei dati;
e) XML: il linguaggio di markup aperto e basato su testo che fornisce informazioni di tipo strutturale e semantico relative ai dati veri e propri. Acronimo di "eXtensible Markup Language" metalinguaggio creato e gestito dal World Wide Web Consortium (W3C);
f) Centro Elaborazione Dati o CED: l'infrastruttura dedicata ai servizi di Hosting del complesso delle componenti tecnologiche del NSIS, dove i servizi di sicurezza fisica logica e organizzativa sono oggetto di specifiche procedure e processi;
g) DGSISS: la Direzione Generale della Digitalizzazione, del Sistema Informativo Sanitario e della Statistica del Ministero della salute;
h) CUNI: il codice univoco non invertibile;
i) CUNA: il codice univoco nazionale dell'assistito;
l) SDO, le schede di dimissione ospedaliera di cui al decreto del Ministro della sanità del 27 ottobre 2000, n. 380, e successive modificazioni.
3 I soggetti
I soggetti che alimentano il NSIS e che effettuano le procedure di cui agli articoli 3 e 8 sono i seguenti:
le regioni e le province autonome di Trento e di Bolzano (art. 3, commi 1 e 2 e art. 8, commi 3 e 4, lettera a));
il Ministero dell'economia e delle finanze (art. 3, commi 1, 2, e 4 nelle more dell'attivazione dell'Anagrafe nazionale degli assistiti, istituita ai sensi dell'art. 62-ter del CAD, art. 8, comma 4);
Il Ministero della salute (art. 3, commi 3 e 4, e art. 8, commi 3 e 4, lettera b).
4 Descrizione della piattaforma NSIS
4.1 Caratteristiche infrastrutturali
Date le caratteristiche organizzative, le necessità di scambio di informazioni tra sistemi eterogenei e le caratteristiche dei dati trattati, il NSIS è basato su un'architettura standard del mondo Internet:
utilizza lo standard XML per definire in modo unificato il formato e l'organizzazione dei dati scambiati nelle interazioni tra le applicazioni;
attua forme di cooperazione applicativa tra sistemi;
prevede un'architettura di sicurezza specifica per la gestione dei dati personali trattati.
Ogni sistema informativo che ne fa parte, è costituito, a livello nazionale, da:
un sistema che ospita il front-end web del sistema informativo (avente la funzione di web server);
un sistema che ospita il sistema informativo (avente la funzione di application server);
un sistema dedicato alla memorizzazione dei dati (data server);
un sistema dedicato alla autenticazione degli utenti e dei messaggi;
un sistema dedicato a funzioni di Business Intelligence.
In aggiunta a questi sistemi esiste un sistema infrastrutturale trasversale denominato "piattaforma codice univoco nazionale dell'assistito", dedicato alla procedura di cui all'art. 3, che provvede alla generazione ed assegnazione del codice univoco nazionale dell'assistito, che non consente la identificazione diretta dell'interessato, utilizzato per l'interconnessione dei sistemi informativi su base individuale. Le specifiche caratteristiche e modalità di trattamento che si applicano a tale sistema sono riportate nella sezione 0.
Tutti i succitati sistemi sono collegati in rete locale e connessi alle infrastrutture comunicative attraverso firewall opportunamente configurati. Inoltre, la sicurezza degli stessi è incrementata mediante:
strumenti IPS/IDS (Intrusion Prevention System/Intrusion Detection System) collocati nei punti di accesso alla rete al fine di consentire l'identificazione di attività ostili, ostacolando l'accesso da parte di soggetti non identificati e permettendo una reazione automatica alle intrusioni;
aggiornamenti dei software, secondo la tempistica prevista dalle case produttrici ovvero, periodicamente, a seguito di interventi di manutenzione;
configurazioni delle basi di dati per consentire un ripristino completo delle informazioni senza causarne la perdita di integrità e disponibilità;
gruppi di continuità che, in caso di mancanza di alimentazione elettrica di rete, garantiscono la continuità operativa;
un sistema di gestione degli accessi e di profilazione utenti, che prevede anche, ove opportuno, strumenti di autenticazione forte e certificazione digitale delle postazioni;
un sistema di tracciatura delle operazioni di accesso ai sistemi (sia tramite funzioni applicative o tramite accesso diretto), al fine di permettere l'individuazione di eventuali anomalie.
4.1.1 Gestione dei supporti di memorizzazione
I supporti di memorizzazione, che includono nastri magnetici, dischi ottici e cartucce, possono essere fissi o rimovibili. Sui supporti di memorizzazione non vengono, comunque, conservate informazioni in chiaro; ciò malgrado, per ridurre al minimo il rischio di manomissione delle informazioni, viene identificato un ruolo di custode dei supporti di memorizzazione, al quale è attribuita la responsabilità della gestione dei supporti di memorizzazione rimovibili.
Per la gestione dei supporti di memorizzazione sono state adottate, in particolare, le seguenti misure:
tutti i supporti sono etichettati a seconda della classificazione dei dati contenuti;
viene tenuto un inventario dei supporti di memorizzazione secondo controlli predefiniti;
sono state definite ed adottate misure di protezione fisica dei supporti di memorizzazione.
I supporti di memorizzazione non più utilizzati saranno distrutti e resi inutilizzabili.
4.1.2 Misure idonee a garantire la continuità del servizio
A garanzia della corretta operatività del servizio sono state attivate procedure idonee a definire tempi e modi per salvaguardare l'integrità e la disponibilità dei dati e consentire il ripristino del sistema in caso di eventi che lo rendano temporaneamente inutilizzabile.
In particolare, per quel che riguarda i dati custoditi presso il Centro Elaborazione Dati (CED), sono previste:
procedure per il salvataggio periodico dei dati (backup sia incrementale che storico);
procedure che regolamentano la sostituzione, il riutilizzo e la rotazione dei supporti ad ogni ciclo di backup;
procedure per il data recovery;
procedure per la verifica dell'efficacia sia del backup che del possibile, successivo ripristino.
La struttura organizzativa del CED e le procedure adottate consentono, in caso di necessità, di operare il ripristino dei dati in un arco di tempo inferiore ai sette giorni.
4.2 Modalità di abilitazione degli utenti
Gli utenti accedono ai servizi del NSIS attraverso gli strumenti definiti dalla vigente normativa (art. 64 del Codice dell'amministrazione digitale) per l'autenticazione telematica ai servizi erogati in rete dalle pubbliche amministrazioni.
In fase di prima attuazione, qualora compatibile con la tipologia dei dati trattati, come meglio specificato nei paragrafi che seguono, gli utenti possono accedere al sistema tramite credenziali di autenticazione generate secondo le modalità riportate sul sito del Ministero, in conformità all'art. 64 del Codice dell'amministrazione digitale.
Il NSIS dispone di un sistema di gestione delle identità digitali, attraverso il quale vengono definiti i profili di autorizzazione previsti per ogni sistema, definiti secondo le logiche del Controllo degli accessi basato sui ruoli, declinati nello specifico in relazione al ruolo istituzionale, alle funzioni svolte e all'ambito territoriale delle azioni di competenza. Gli amministratori del sistema, nominati dal Ministero della salute, gestiscono la designazione degli utenti e l'assegnazione dei privilegi di accesso.
Per l'accesso, l'architettura prevede un'abilitazione in due fasi.
4.2.1 Fase A - Abilitazione alla piattaforma NSIS
La prima fase consente la registrazione da parte dell'utente mediante l'inserimento delle generalità e del proprio indirizzo di posta elettronica ove ricevere le credenziali di autenticazione nonchè dei dettagli inerenti la struttura organizzativa di appartenenza. Successivamente, il sistema di registrazione invia una e-mail contenente l'identificativo e la password che l'utente è obbligato a cambiare al primo accesso e, periodicamente, con cadenza trimestrale.
La parola chiave dovrà avere le seguenti caratteristiche:
sarà composta da almeno otto caratteri;
non conterrà riferimenti facilmente riconducibili all'incaricato.
Le credenziali di autorizzazione non utilizzate da almeno sei mesi sono disattivate.
4.2.2 Fase B - Abilitazione ai servizi
Nella seconda fase, l'utente (che viene definito utente NSIS) può chiedere l'abilitazione ad un profilo di un sistema informativo censito nel NSIS. Il sistema permette di formulare richieste solo per le applicazioni associate alla struttura organizzativa di appartenenza dell'utente.
L'amministratore del sistema effettua un riscontro della presenza del nominativo nella lista di coloro che sono stati formalmente designati dal referente competente (ad es. della regione o provincia autonoma di appartenenza). Qualora questa verifica abbia esito negativo, la procedura di registrazione si interrompe; nel caso in cui questa verifica abbia esito positivo, l'utente è abilitato all'utilizzo del sistema.
Per garantire l'effettiva necessità, da parte del singolo utente NSIS, di accedere alle informazioni per le quali ha ottenuto un profilo di accesso, le utenze vengono, periodicamente, sottoposte a revisione e l'amministratore verifica, con i referenti competenti, il permanere degli utenti abilitati nelle liste delle persone autorizzate ad accedere all'NSIS e ai sistemi ad esso riconducibili.
4.2.3 Fase B - Regole speciali per l'abilitazione ai servizi che prevedono l'accesso a informazioni riferite ai singoli assistiti
Nel caso il servizio per il quale è richiesta l'abilitazione, preveda l'accesso a informazioni riferite ai singoli assistiti (art. 4, comma 2) sono previste ulteriori misure specifiche (art. 6, comma 4).
Il processo di autenticazione degli utenti avviene esclusivamente da postazioni identificate e attraverso strumenti di autenticazione forte, in conformità all'art. 64 del
L'amministratore del sistema effettua uno specifico riscontro della presenza del nominativo nella lista di coloro che sono stati designati, la cui gestione è a cura del Ministero della salute. (1) Qualora questa verifica abbia esito negativo la procedura di registrazione si interrompe; nel caso in cui questa verifica abbia esito positivo viene confermata all'utente la possibilità di accedere a tali servizi e gli viene chiesto di indicare la postazione da cui intende accedere al servizio.
La postazione viene censita nell'elenco delle postazioni abilitate e vengono predisposti gli opportuni certificati digitali, emessi da un'autorità di certificazione ufficiale, da adottare per abilitare l'accesso.
Infine, per rendere più sicuro il processo di abilitazione, un altro amministratore del sistema, distinto dall'amministratore che ha generato le credenziali, provvede all'eventuale consegna dello strumento di autenticazione forte (se non già in possesso dell'utente che richiede l'abilitazione) e, in ogni caso, alla sua associazione alle suddette credenziali.
In nessun caso i servizi consentono di effettuare più accessi contemporanei con le medesime credenziali.
Al collegamento dell'utente al servizio, vengono visualizzati:
una informativa per l'assunzione di responsabilità circa il trattamento dei dati acceduti;
gli estremi dell'ultima sessione effettuata, indicativa di: data e ora, indirizzo ip/nome macchina da cui è stata effettuata la precedente connessione, anche al fine di evidenziare eventuali abusi.
Inoltre, ad ulteriore garanzia dell'effettiva titolarità da parte del singolo utente di accedere alla procedura:
le Unità organizzative competenti segnalano tempestivamente il venir meno di tale titolarità per gli utenti;
le utenze vengono, trimestralmente, sottoposte a revisione e l'amministratore verifica con i referenti dell'Unità organizzativa competente, il permanere degli utenti abilitati, nelle liste delle persone autorizzate.
4.2.4 Abilitazione alla piattaforma codice univoco nazionale assistito
Con riferimento alla piattaforma codice univoco nazionale assistito, di cui al paragrafo 5.3, date le caratteristiche e le finalità della piattaforma, che prevede esclusivamente procedure automatizzate, gli utenti incaricati al trattamento del dato ricoprono la funzione di amministratori di sistemi applicativi complessi e accedono al sistema esclusivamente per finalità di gestione e manutenzione.
Pertanto trova integrale applicazione il Provvedimento dell'Autorità Garante per la protezione dei dati personali in materia di "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" del 27 novembre 2008 e successive modificazioni.
Il processo di autenticazione degli utenti avviene esclusivamente attraverso strumenti di autenticazione forte, in conformità all'art. 64 del
L'amministratore della piattaforma codice univoco nazionale assistito effettua uno specifico riscontro della presenza del nominativo utente da abilitare nella lista di coloro che sono stati designati, la cui gestione è a cura del Ministero della salute. Qualora questa verifica abbia esito negativo, la procedura di registrazione si interrompe; nel caso in cui questa verifica abbia esito positivo, l'utente è abilitato all'utilizzo della piattaforma e gli vengono assegnate le credenziali di autenticazione digitali (utenza e password).
Al fine di rendere più sicuro il processo di abilitazione, un altro amministratore della piattaforma codice univoco nazionale assistito, distinto dall'amministratore che ha generato le credenziali, provvede all'eventuale consegna dello strumento di autenticazione forte e, in ogni caso, alla sua associazione alle suddette credenziali.
Per quel che riguarda la variazione della password e le caratteristiche che la devono contraddistinguere, si vedano i paragrafi 4.2.1 e 4.2.2.
Inoltre, per garantire l'effettiva titolarità da parte del singolo utente, di accedere alla piattaforma, le utenze vengono, trimestralmente, sottoposte a revisione e l'amministratore della piattaforma codice univoco nazionale assistito verifica con i referenti del Ministero della salute, il permanere degli utenti abilitati, nelle liste delle persone autorizzabili.
L'abilitazione a questo specifico trattamento è incompatibile con ogni altro servizio o funzionalità di amministrazione del NSIS. Qualora l'utente fosse in precedenza abilitato ad uno o più dei suddetti servizi, l'incompatibilità cessa decorsi sei mesi dalla revoca dell'abilitazione dell'ultimo servizio.
4.3 Sistema di registrazione delle operazioni di trattamento
Nel caso lo specifico servizio preveda il trattamento di dati comprensivi del codice univoco, le operazioni di accesso degli utenti sono registrate e i dati vengono conservati in appositi file di log, al fine di evidenziare eventuali anomalie e/o utilizzi impropri, anche tramite specifici alert.
Le informazioni registrate in tali file di log sono le seguenti:
i dati identificativi del soggetto che ha effettuato l'accesso;
la data e l'ora dell'accesso;
l'operazione effettuata.
I predetti file di log sono conservati in modalità sicura e vengono trattati in forma aggregata, salvo la necessità di verificare la correttezza e la liceità delle singole operazioni effettuate. I file di log sono conservati per dodici mesi e cancellati alla scadenza.
4.4 Modalità di trasmissione dei dati dei sistemi informativi alimentanti il NSIS
I soggetti alimentanti il NSIS forniscono le informazioni secondo le modalità stabilite nei decreti di istituzione dei singoli sistemi informativi, con le seguenti specifiche ed integrazioni ai tracciati di anagrafica:
utilizzo del codice CUNI di cui all'art. 3, comma 1, lettera b) in luogo del codice univoco assegnato a ciascun soggetto, in applicazione di quanto previsto dai regolamenti per il trattamento dei dati sensibili e giudiziari adottati dalle regioni e province autonome in conformità alla scheda 12 dell'allegato A dello schema tipo di regolamento volto a disciplinare i trattamenti dei dati sensibili e giudiziari effettuati presso le regioni e le province autonome, le aziende sanitarie, gli enti e agenzie regionali/provinciali, gli enti vigilati dalle regioni e dalle province autonome, ai sensi degli articoli 20 e 21 del
utilizzo del codice CUNI di cui all'art. 3, comma 1, lettera b) in luogo del codice fiscale previsto dal
integrazione dell'informazione relativa alla presenza nella banca dati del sistema Tessera Sanitaria del codice identificativo dell'assistito (codice fiscale, STP, ENI, TEAM) corrispondente al codice CUNI (cfr. paragrafo 6, tabella 1, campo A);
integrazione dell'informazione relativa alla tipologia del codice identificativo dell'assistito (codice fiscale, STP, ENI, TEAM) corrispondente al codice CUNI (cfr. paragrafo 6, tabella 1, campo B).
4.5 Garanzie per la sicurezza delle basi dati
I dati dei sistemi informativi su base individuale cui si applica il presente decreto sono archiviati previa separazione dei dati sanitari dagli altri dati ed i dati sanitari sono trattati con tecniche crittografiche. Le tecniche crittografiche applicate sono tali da rendere inintelligibili i dati sanitari ai soggetti preposti alla funzione di amministratore di sistema.
Le procedure di interconnessione vengono applicate ai predetti archivi di norma mediante elaborazioni software. Tuttavia, in funzione delle specifiche esigenze e tipologie di elaborazioni, è prevista anche la memorizzazione temporanea di porzioni di dati interconnessi in appositi, specifici archivi cui vengono applicate tecniche di cifratura e che sono protetti con idonee misure contro ogni uso improprio o non conforme alle finalità per cui sono predisposti. Tali archivi vengono cancellati al termine delle analisi che ne hanno richiesto la creazione.
Il NSIS è inoltre concepito in modo tale da mettere a disposizione basi dati derivate, aggregate o anonime, ottenute attraverso trattamenti eseguiti esclusivamente con modalità automatizzate dei dati comprensivi del codice univoco al fine di minimizzare l'utilizzo dei dati individuali, comprensivi del codice univoco, ai soli casi di effettiva necessità.
4.6 Servizi applicativi (reportistica ed analisi)
Nell'ambito del NSIS sono previsti servizi di reportistica e di analisi sui dati dei singoli sistemi informativi e sui dati derivanti dall'interconnessione dei suddetti sistemi. Tali funzionalità sono riconducibili a tre tipologie distinte, in base ai tipi di dati trattati ed alle tipologie di elaborazioni, e rispondono alle necessità di trattamento derivanti dal perseguimento delle diverse finalità di cui al presente decreto:
5 La procedura di assegnazione del codice univoco nazionale dell'assistito
La procedura di cui all'art. 3 prevede un processo complesso, articolato su più fasi eseguite da soggetti diversi, al fine di garantire la massima sicurezza per il trattamento di dati personali e viene dettagliata nel seguito.
5.1 Assegnazione del codice univoco non invertibile ("CUNI") da parte dei soggetti alimentanti il NSIS
Ai sensi delle disposizioni dell'art. 3, comma 1, lettera b), i sistemi informativi dei soggetti alimentanti il NSIS, mediante procedure automatiche eseguite successivamente alla verifica di validità del codice identificativo di cui alla successiva sezione 6 e preliminarmente alla trasmissione dei dati anagrafici al NSIS, sostituiscono i codici identificativi presenti nei tracciati di origine con i corrispettivi codici univoci prodotti da una funzione non invertibile e resistente alle collisioni. (2) Tale funzione è rappresentata da un algoritmo di hash (3) che, applicato ad un codice identificativo (dato in input), produce un codice univoco (digest di output) dal quale non è possibile risalire al codice identificativo di origine. L'algoritmo di hash adottato è definito dalla DGSISS ed è condiviso tra tutti i soggetti alimentanti, al fine di rendere il codice univoco non invertibile (CUNI) così ottenuto, a fronte del codice identificativo dell'assistito, unico sul territorio nazionale, anche in caso di mobilità di questi ultimi (ad es. trattamenti sanitari fuori regione, cambi di residenza, etc.).
5.2 Assegnazione del codice univoco non invertibile (CUNI) da parte del Ministero della salute per il flusso SDO
Ai sensi delle disposizioni dell'art. 8, comma 3, i soggetti alimentanti trasmettono al NSIS il tracciato anagrafico del flusso SDO, contenente, in luogo del codice identificativo, un codice cifrato ottenuto applicando un algoritmo asimmetrico (4) , a chiave pubblica nota, al codice identificativo originario.
Il predetto algoritmo di cifratura di tipo asimmetrico, definito dalla DGSISS e abilitato da chiavi diverse da quelle adottate da ogni altro algoritmo utilizzato nel NSIS, viene reso noto a tutti i soggetti alimentanti il NSIS.
Il Ministero della salute mediante procedure automatiche procede:
alla decifratura del codice cifrato, applicando all'algoritmo asimmetrico la propria chiave privata;
alla verifica di validità del codice identificativo di cui alla successiva sezione 6;
alla sostituzione dei codici identificativi presenti nei tracciati di origine con i corrispettivi codici univoci (CUNI) prodotti dalla stessa funzione non invertibile e resistente alle collisioni, di cui alla sezione 5.1.
Ai fini di garantire il massimo livello di sicurezza nel trattamento dei dati, le suddette procedure vengono effettuate dal Ministero della salute mediante il dispositivo in alta affidabilità denominato Hardware Security Module (HSM), descritto più diffusamente nella sezione 5.3.
5.3 Assegnazione del codice univoco nazionale dell'assistito (CUNA)
Le procedure di cui agli articoli 3, commi 3 e 4 e art. 8, commi 3 e 4, lettera b) sono attuate in modo centralizzato nel NSIS e sono abilitate dall'adozione di una componente infrastrutturale tecnologica denominata "piattaforma codice univoco nazionale assistito" che effettua la generazione ed assegnazione del codice univoco nazionale dell'assistito (CUNA) agli assistiti rappresentati dal codice identificativo non invertibile (CUNI).
Tale operazione avviene contestualmente all'acquisizione dei tracciati dei dati anagrafici contenenti i codici univoci non invertibili (5) , con le seguenti modalità operative:
il CUNA è generato mediante l'adozione di una funzione di Hash, rappresentata da un algoritmo (6) definito dalla DGSISS, del codice identificativo non invertibile CUNI ricevuto nei tracciati anagrafici;
il CUNA è assegnato attraverso la diretta sostituzione del codice identificativo non invertibile CUNI all'interno del tracciato anagrafico di pertinenza con il CUNA;
il CUNA è utilizzato come unico elemento identificativo dell'assistito nel corso di tutti i successivi trattamenti operati sul NSIS.
La "piattaforma codice univoco nazionale dell'assistito" si avvale per la funzionalità di cifratura di un dispositivo in alta affidabilità denominato Hardware Security Module (HSM) e presenta le seguenti caratteristiche:
prevede una gestione esclusivamente automatizzata delle procedure di generazione, assegnazione ed utilizzo del codice univoco;
dispone di algoritmi di hashing e di cifratura simmetrica o asimmetrica volti all'elaborazione del codice univoco a partire dal codice univoco non invertibile ed alla cifratura e decifratura dei codici identificativi per le deroghe concesse;
gestisce esclusivamente in un'area protetta della memoria i dati di input, rimuovendoli dalla stessa una volta applicate le tecniche crittografiche di pertinenza e calcolato pertanto i corrispettivi dati di output. Tale accorgimento preclude la potenziale costruzione di matrici di associazione 'dato di input - dato di output' che consentirebbero di rendere invertibili le elaborazioni eseguite senza conoscere la chiave degli algoritmi;
genera, memorizza e protegge per l'intero ciclo di vita, le chiavi che consentono il calcolo del codice univoco e la cifratura e decifratura dei codici identificativi per le deroghe concesse;
prevede l'autenticazione forte per gli amministratori della piattaforma che accedono al sistema esclusivamente per finalità di gestione e manutenzione (il sistema di autenticazione è integrato con il sistema di autenticazione del NSIS) e per gli utenti autorizzati ad accedere direttamente od indirettamente alle funzionalità di hashing, cifratura e decifratura.
Le operazioni di accesso da parte degli amministratori sono registrate e i dati relativi sono registrati in appositi file di log, al fine di evidenziare eventuali anomalie e/o utilizzi impropri, anche tramite specifici allarmi.
Le informazioni registrate in tali file di log sono le seguenti:
i dati identificativi del soggetto che ha effettuato l'accesso;
la data e l'ora dell'accesso;
l'operazione effettuata.
I predetti file di log sono conservati in modo sicuro e trattati in forma aggregata, salvo la necessità di verificare la correttezza e la liceità delle singole operazioni effettuate. I file di log sono conservati per dodici mesi e cancellati alla scadenza.
5.4 Procedure per il trattamento dei dati di specifiche coorti di assistiti
Nei casi di cui all'art. 4, comma 3, il Ministero della salute applica le procedure di assegnazione dei codici univoci a elenchi o coorti di assistiti identificati dal codice identificativo (codice fiscale, STP, ENI o TEAM), procedendo alla sostituzione dei predetti codici identificativi con i corrispettivi codici univoci (CUNI) prodotti dalla stessa funzione non invertibile e resistente alle collisioni, di cui alla sezione 5.1, nonchè all'assegnazione del codice univoco nazionale dell'assistito (CUNA), di cui alla sezione 5.3.
Gli elenchi di assistiti così ottenuti sono utilizzati esclusivamente per collegare al medesimo assistito le diverse informazioni sanitarie che lo riguardano. Tali elenchi vengono cancellati al termine delle analisi che ne hanno richiesto la creazione.
6 Procedura di verifica della validità del codice identificativo
Nelle more dell'attivazione dell'Anagrafe nazionale degli assistiti, istituita ai sensi dell'art. 62-ter del CAD, la procedura di verifica della validità del codice identificativo, di cui all'art. 3, comma 1, lettera a) prevede uno scambio informativo con il servizio fornito dal sistema Tessera Sanitaria (art. 8, comma 4).
Il servizio viene invocato, preventivamente alla sostituzione del codice identificativo con il codice univoco non invertibile, da:
soggetti alimentanti NSIS, per le procedure di cui all'art. 8, comma 4, lettera a);
Ministero della salute, per le procedure di cui all'art. 8, commi 3 e 4, lettera b).
Tale servizio, a fronte di un codice identificativo in ingresso, restituisce le informazioni inerenti la sua validità (valido, non valido - in quanto variato - o errato in quanto inesistente nella banca dati del sistema Tessera Sanitaria), utilizzando, limitatamente ai soli campi indicati di seguito, il tracciato definito nel disciplinare tecnico, allegato 1 del decreto 22 luglio 2005 del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute, attuativo del comma 9 dell'art. 50 del
Tabella 1 - Informazioni restituite nella procedura di verifica del codice identificativo
Inoltre, ai sensi dell'art. 8, comma 4, lettera b), il sistema Tessera Sanitaria, nelle more dell'attivazione dell'Anagrafe nazionale degli assistiti, istituita ai sensi dell'art. 62-ter del CAD, attiva verso il Ministero della salute un flusso, con periodicità non superiore al mese, contenente le variazioni di validità dei codici univoci, secondo il formato esposto nella citata tabella "Variazioni anagrafiche trasmesse dal Ministero dell'economia e delle finanze", valorizzando con dati significativi solamente i seguenti campi:
Tabella 2 - Informazioni nella procedura di inoltro variazioni del codice univoco
Le informazioni così ricevute vengono acquisite nel NSIS e assoggettate alle procedure di cui alla sezione 5.3, al fine di mantenere aggiornate le informazioni in merito alla validità del codice identificativo, anche in tempi successivi all'acquisizione dei dati dei sistemi informativi di cui all'art. 2, comma 2, lettere b) e c).
Le predette informazioni di cui alle tabelle 1 e 2 sono conservate per il tempo strettamente necessario a completare le operazioni tecniche di verifica della validità del codice identificativo e di variazione del codice univoco e, al termine delle operazioni, sono cancellate irreversibilmente.
7 Schema logico del Sistema di Integrazione delle Informazioni Sanitarie Individuali
Lo schema seguente rappresenta, in forma semplificata, i flussi dati, i blocchi logico-funzionali e le tipologie di servizi che il NSIS implementa, con riferimento al Sistema di Integrazione delle Informazioni Sanitarie Individuali, evidenziando gli elementi che attuano le disposizioni del presente decreto in materia di interconnessione.
(1) Si prevede infatti che la gestione della lista di nominativi autorizzati a tali specifici servizi sia accentrata presso il Ministero della salute. Le diverse unità organizzative del Ministero, di AGENAS e delle regioni comunicheranno al referente del Ministero preposto a tale funzione i nominativi degli incaricati che necessitano dell'accesso a tali servizi.
(2) Per il dominio rappresentato dalla totalità dei codici identificativi teoricamente possibili.
(3) La funzione di Hash dipenderà da una chiave di lunghezza adeguata alla dimensione e al ciclo di vita dei dati. (Si vedano in proposito le raccomandazioni ENISA contenute nel rapporto "Algorithms, Key Sizes and Parameters Report", October 2013 (https://www.enisa.europa.eu/activities/identity-and-trust/librar y/deliverables/algorithms-key-sizes-and-parameteres-report).
(4) L'algoritmo asimmetrico dipenderà da una coppia di chiavi di lunghezza adeguata alla dimensione e al ciclo di vita dei dati. (Si vedano in proposito le raccomandazioni ENISA contenute nel rapporto "Algorithms, Key Sizes and Parameters Report", October 2013 (https://www.enisa.europa.eu/activities/identity-and-trust/librar y/deliverables/algorithms-key-sizes-and-parameteres-report).
(5) In luogo dei codici identificativi. (6) La funzione di Hash dipenderà da una chiave di lunghezza adeguata alla dimensione e al ciclo di vita dei dati. (Si vedano in proposito le raccomandazioni ENISA contenute nel rapporto "Algorithms, Key Sizes and Parameters Report", October 2013 (https://www.enisa.europa.eu/activities/identity-and-trust/librar y/deliverables/algorithms-key-sizes-and-parameteres-report).