Gazzetta n. 223 del 23 settembre 2023 - MINISTERO DELLA SALUTE

Gazzetta n. 223 del 23 settembre 2023 (vai al sommario)

MINISTERO DELLA SALUTE

DECRETO 7 agosto 2023

Sistema informativo per il monitoraggio delle attivita' erogate dai consultori familiari (SICOF) - PNRR M6C2 Investimento 1.3.2. Sub investimento 1.3.2.2.1.

IL MINISTRO DELLA SALUTE

Vista la legge 23 dicembre 1978, n. 833, e successive modificazioni, recante: «Istituzione del Servizio sanitario nazionale»;
Visto il decreto legislativo 30 dicembre 1992, n. 502, recante «Riordino della disciplina in materia sanitaria, a norma dell'art. 1 della legge 23 ottobre 1992, n. 421» e successive modifiche e integrazioni, che, all'art. 3-septies, comma 2, definisce le prestazioni sanitarie a rilevanza sociale e le prestazioni sociali a rilevanza sanitaria;
Vista la legge 29 luglio 1975, n. 405, e successive modificazioni, recante «Istituzione dei Consultori familiari»;
Vista la legge 22 maggio 1978, n. 194, recante «Norme per la tutela sociale della maternita' e sull'interruzione volontaria della gravidanza»;
Vista la legge 4 maggio 1983, n. 184, recante «Disciplina dell'adozione e dell'affidamento dei minori», e in particolare l'art. 28, comma 3;
Vista la legge 28 agosto 1997, n. 285, recante «Disposizioni per la promozione di diritti e di opportunita' per l'infanzia e per l'adolescenza»;
Visto il decreto del Ministro della salute 24 aprile 2000, recante «Adozione del progetto obiettivo materno-infantile relativo al "Piano sanitario nazionale per il triennio 1998-2000"», pubblicato nella Gazzetta Ufficiale - Serie generale - n. 131 del 7 giugno 2000 - Supplemento ordinario n. 89;
Vista la legge 8 novembre 2000, n. 328, recante «Legge quadro per la realizzazione del sistema integrato di interventi e servizi sociali»;
Visto il decreto del Presidente del Consiglio dei ministri 14 febbraio 2001, recante «Atto d'indirizzo e coordinamento in materia di prestazioni socio-sanitarie»;
Vista la legge 28 marzo 2001, n. 149, recante «Modifiche alla legge 4 maggio 1983, n. 184, recante "Disciplina dell'adozione e dell'affidamento dei minori", nonche' al Titolo VIII del libro primo del Codice civile»;
Vista la legge 19 febbraio 2004, n. 40, recante «Norme in materia di procreazione medicalmente assistita»;
Visto il decreto del Presidente del Consiglio dei ministri 29 novembre 2001, recante «Definizione dei livelli essenziali di assistenza»;
Visto il decreto del Presidente del Consiglio dei ministri 12 gennaio 2017, recante «Definizione e aggiornamento dei livelli essenziali di assistenza», ed in particolare l'art. 24, relativo alla assistenza sociosanitaria ai minori, alle donne, alle coppie, alle famiglie;
Visto l'accordo quadro, del 22 febbraio 2001, tra il Ministero della salute, le regioni e le Province autonome di Trento e di Bolzano per lo sviluppo del Nuovo sistema informativo sanitario nazionale che all'art. 6, in attuazione dell'art. 4 del decreto legislativo 28 agosto 1997, n. 281, stabilisce che le funzioni di indirizzo, coordinamento e controllo delle fasi di attuazione del Nuovo sistema informativo sanitario (NSIS), debbano essere esercitate congiuntamente attraverso un organismo denominato «Cabina di regia»;
Visto il decreto del Ministro della salute del 14 giugno 2002, con il quale e' stata istituita la Cabina di regia per lo sviluppo del Nuovo sistema informativo sanitario nazionale (NSIS) e successivi atti relativi alla composizione e organizzazione;
Vista l'intesa, sancita ai sensi dell'art. 8, comma 6 della legge 5 giugno 2003, n. 131, tra il Governo, le regioni e le Province autonome di Trento e di Bolzano nella seduta del 23 marzo 2005, la quale dispone all'art. 3 che:
la definizione ed il continuo adeguamento nel tempo dei contenuti informativi e delle modalita' di alimentazione del Nuovo sistema informativo sanitario (NSIS), come indicato al comma 5, sono affidati alla Cabina di regia e vengono recepiti dal Ministero della salute con propri decreti attuativi, compresi i flussi informativi finalizzati alla verifica degli standard qualitativi e quantitativi dei livelli essenziali di assistenza;
il conferimento dei dati al Sistema informativo sanitario, come indicato al comma 6, e' ricompreso tra gli adempimenti cui sono tenute le regioni per l'accesso al finanziamento integrativo a carico dello Stato di cui all'art. 1, comma 164, della legge 30 dicembre 2004, n. 311;
Considerato che il Nuovo sistema informativo sanitario (NSIS) ha la finalita' di supportare il monitoraggio dei livelli essenziali di assistenza, attraverso gli obiettivi strategici approvati dalla Cabina di regia, nella seduta dell'11 settembre 2002;
Visto il decreto del Presidente del Consiglio dei ministri 14 febbraio 2001, recante «Atto d'indirizzo e coordinamento in materia di prestazioni socio-sanitarie»;
Vista l'intesa, sancita ai sensi dell'art. 8, comma 6, della legge 5 giugno 2003, n. 131, tra il Governo, le regioni e le Province autonome di Trento e di Bolzano concernente nella seduta del 18 dicembre 2019 (Rep. atti n. 209/CSR), concernente il nuovo Patto per la salute per gli anni 2019-2021, che alla scheda 8, ultimo capoverso, ha previsto che «Si conviene di accelerare i percorsi di implementazione e integrazione dei flussi informativi necessari per un effettivo monitoraggio dell'assistenza territoriale, completando il sistema anche con i flussi delle cure primarie, della riabilitazione e degli ospedali di comunita' e dei consultori familiari»;
Vista la legge 10 agosto 2000, n. 251, recante «Disciplina delle professioni sanitarie infermieristiche, tecniche, della riabilitazione, della prevenzione nonche' della professione ostetrica»;
Visto il regolamento (UE) 2020/2094 del Consiglio, del 14 dicembre 2020, che istituisce uno strumento dell'Unione europea per la ripresa, a sostegno alla ripresa dell'economia dopo la crisi COVID-19;
Visto il regolamento (UE) 2021/241 del Parlamento europeo e del Consiglio del 12 febbraio 2021, che istituisce il dispositivo per la ripresa e la resilienza dell'Unione europea;
Vista la legge 30 dicembre 2020, n. 178, recante «Bilancio di previsione dello Stato per l'anno finanziario 2021 e bilancio pluriennale per il triennio 2021-2023», che, all'art. 1, comma 1043, prevede l'istituzione del sistema informatico di registrazione e conservazione di supporto dalle attivita' di gestione, monitoraggio, rendicontazione e controllo delle componenti del PNRR;
Visto il decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108 e successive modificazioni ed integrazioni, recante «Governance del Piano nazionale di ripresa e resilienza e delle prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure»;
Visto il Piano nazionale di ripresa e resilienza (PNRR), valutato positivamente con decisione del Consiglio ECOFIN del 13 luglio 2021, notificata all'Italia dal Segretariato generale del Consiglio con nota LT161/21, del 14 luglio 2021, che prevede alla Missione 6, Componente 2, l'Investimento 1.3.2 «Infrastruttura tecnologica del MdS, analisi di dati e modello predittivo per garantire i LEA e di sorveglianza e vigilanza sanitaria», in particolare il sub intervento 1.3.2.2.1 «Implementazione di 4 flussi informativi a livello regionale (riabilitazione territoriale, cure primarie, ospedali di comunita' e consultori)»;
Vista l'intesa, sancita ai sensi dell'art. 8, comma 6, della legge 5 giugno 2003, n. 131, tra il Governo, le regioni e le Province autonome di Trento e di Bolzano concernente nella seduta del 18 dicembre 2019 (Rep. atti n. 209/CSR), concernente il nuovo Patto per la salute per gli anni 2019-2021, che alla scheda 8, ultimo capoverso, ha previsto che «Si conviene di accelerare i percorsi di implementazione e integrazione dei flussi informativi necessari per un effettivo monitoraggio dell'assistenza territoriale, completando il sistema anche con i flussi delle cure primarie, della riabilitazione e degli ospedali di comunita' e dei consultori familiari»;
Visto il decreto del Ministro dell'economia e delle finanze 6 agosto 2021, recante «Assegnazione delle risorse finanziarie previste per l'attuazione degli interventi del Piano nazionale di ripresa e resilienza (PNRR) e ripartizione di traguardi e obiettivi per scadenze semestrali di rendicontazione»;
Visto il decreto-legge 9 giugno 2021, n. 80, convertito, con modificazioni, dalla legge 6 agosto 2021, n. 113, recante: «Misure urgenti per il rafforzamento della capacita' amministrativa delle pubbliche amministrazioni funzionale all'attuazione del Piano nazionale di ripresa e resilienza (PNRR) e per l'efficienza della giustizia»;
Considerato che l'istituzione di un flusso informativo per il monitoraggio dell'assistenza territoriale erogata dai consultori familiari e' un obiettivo specificatamente previsto dal PNRR;
Rilevata, dunque, la necessita' di istituire un nuovo flusso informativo relativo all'assistenza territoriale per finalita' riconducibili al monitoraggio delle prestazioni erogata dai consultori familiari;
Visto il decreto del Ministero della salute 7 dicembre 2016, n. 262, concernente «Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato», pubblicato nella Gazzetta Ufficiale - Serie generale - dell'8 febbraio 2017, n. 32, ed in particolare l'art. 3, che ha introdotto il codice univoco nazionale dell'assistito (CUNA), che permette l'interconnessione a livello nazionale, nell'ambito del NSIS, dei sistemi informativi su base individuale oggetto del decreto;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice dell'amministrazione digitale»;
Visto il regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
Visto il decreto legislativo del 30 giugno 2003, n. 196 e successive modificazioni, recante «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto del Ministro della salute 20 gennaio 2022, recante «Ripartizione programmatica delle risorse alle regioni e alle province autonome per i progetti del Piano nazionale di ripresa e resilienza e del Piano per gli investimenti complementari», relativo alla ripartizione delle risorse;
Vista la nota 0021573-29/05/2023-DGSISS-DGSI SS-UFF03-P, con la quale il Ministero della salute ha fornito all'Autorita' garante per la protezione dei dati personali le motivazioni tecnico-scientifiche correlate all'individuazione del periodo di conservazione dei dati personali trattati nell'ambito dei sistemi informativi NSIS interconnettibili;
Visto il parere della Cabina di regia NSIS, reso in data 14 febbraio 2023;
Acquisito il parere del Garante per la protezione dei dati personali, espresso con provvedimento n. 260 del 22 giugno 2023;
Acquisito il parere in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano, nella seduta del 2 agosto 2023 (Rep. atti n. 184/CSR);

Decreta:

Art. 1
Ambito di applicazione

1. Il presente decreto si applica alle prestazioni erogate dai consultori familiari, istituiti dalla legge 29 luglio 1975, n. 405, e relative all'assistenza territoriale sociosanitaria, prestata in favore dei minori, delle donne, delle coppie e delle famiglie, residenti e non residenti sul territorio italiano, a livello distrettuale, domiciliare e territoriale.

SISTEMA SICOF
Disciplinare tecnico
Sommario
1. Introduzione
2. Definizioni
3. I soggetti
4. Descrizione del sistema SICOF
4.1 Caratteristiche infrastrutturali
4.1.1 Aspetti generali
4.1.2 Misure idonee a garantire la continuita' del servizio
4.1.3 Misure idonee a garantire la protezione dei dati
4.1.4 Gestione dei supporti di memorizzazione
4.2 Specifiche disposizioni per il trattamento dei dati identificativi dell'assistito
4.3 Sistema di autenticazione e autorizzazione degli utenti
4.3.1 Fase 1- Abilitazione alla piattaforma
4.3.2 Fase 2 - Abilitazione ai servizi
4.4 Modalita' di trasmissione
4.4.1 Tempi di trasmissione
4.4.2 Sistema pubblico di connettivita'
4.4.3 Garanzie per la sicurezza della trasmissione dei flussi informativi
4.4.4 Standard tecnologici per la predisposizione dei dati
4.5 Servizi di analisi dati
5. Ambito della rilevazione
5.1 Le informazioni
5.2 Le tipologie di intervento
6. Le informazioni
6.1 Contenuti informativi dei tracciati
6.1.1 Tracciato 1 - Dati contatto
6.1.2 Tracciato 2 - Prestazioni individuali/nuclei familiari/piccoli gruppi
6.1.3 Tracciato 3 - Prestazioni grandi gruppi
6.2 Formato elettronico delle trasmissioni
7. Tempi di trasmissione 1. Introduzione
Il presente disciplinare presenta i contenuti informativi del Sistema informativo consultori familiari (SICOF), i soggetti che concorrono alla sua alimentazione, le modalita' tecniche previste per l'alimentazione e l'utilizzo del sistema stesso, nonche' l'indicazione degli obiettivi di sicurezza e protezione dei dati.
La finalita' per la quale e' istituito il SICOF e' quella di rilevare i dati necessari al corretto monitoraggio delle prestazioni consultoriali.
Per qualificare l'assistenza erogata dai consultori familiari si fa riferimento ai servizi di base a tutela della salute della donna, del bambino e della coppia e famiglia, istituiti con la legge nazionale n. 405/1975.
Ogni variazione significativa alle caratteristiche tecniche descritte nel presente disciplinare e, in generale, le novita' piu' rilevanti, sono rese pubbliche sul sito internet del Ministero della salute (www.salute.gov.it), secondo le modalita' previste dall'art. 54 del codice dell'amministrazione digitale. 2. Definizioni
Ai fini del presente disciplinare tecnico si intende:
a. per «crittografia», tecnica per rendere inintelligibili informazioni a chi non dispone dell'apposita chiave di decifrazione e dell'algoritmo necessario;
b. per «crittografia simmetrica», un tipo di crittografia in cui la stessa chiave viene utilizzata per crittografare e de-crittografare il messaggio, ovvero una chiave nota sia al mittente che al destinatario;
c. per «crittografia asimmetrica», un tipo di crittografia in cui ogni soggetto coinvolto nello scambio di informazioni dispone di una coppia di chiavi, una privata, e una pubblica. L'utilizzo congiunto delle chiavi da parte dei due soggetti permette di garantire l'identita' del mittente, l'integrita' delle informazioni e di renderle inintelligibili a terzi;
d. per «sito internet del Ministero», il sito istituzionale del Ministero della salute www.salute.gov.it accessibile dagli utenti per le funzioni informative relative alla trasmissione telematica dei dati;
e. per «XML», il linguaggio di markup aperto e basato su testo che fornisce informazioni di tipo strutturale e semantico relative ai dati veri e propri. Acronimo di «eXtensible Markup Language» metalinguaggio creato e gestito dal World wide web consortium (W3C);
f. per «Centro elaborazione dati» o «CED», l'infrastruttura dedicata ai servizi di hosting del complesso delle componenti tecnologiche del NSIS, dove i servizi di sicurezza fisica logica e organizzativa sono oggetto di specifiche procedure e processi;
g. per «DGSISS», la Direzione generale competente in materia di digitalizzazione e del sistema informativo sanitario nazionale;
h. per «Codice dell'amministrazione digitale» o «CAD», il decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni;
i. «cooperazione applicativa», l'interazione tra i sistemi informatici delle pubbliche amministrazioni effettuata nel rispetto delle regole tecniche di cui alle linee guida previste dall'art. 71 del CAD;
j. «tracciatura», registrazione delle operazioni compiute con identificazione dell'utente incaricato che accede ai dati;
k. per «SPC», il Sistema pubblico di connettivita' di cui agli articoli 73 e seguenti del CAD;
l. per «credenziali di autenticazione» i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
m. per «documento», la rappresentazione informatica dell'insieme dei dati da inviare;
n. per «utenti» o «utenti NSIS», il personale competente delle amministrazioni regionali e centrali; 3. I soggetti
Le regioni e le Province autonome di Trento e di Bolzano trasmettono le informazioni e i dati relativi al Sistema SICOF attenendosi al presente disciplinare tecnico.
Le regioni e le Province autonome di Trento e di Bolzano individuano, inoltre, un soggetto responsabile della corretta e tempestiva trasmissione dei dati al Sistema SICOF (di seguito SICOF). 4. Descrizione del sistema SICOF
4.1 Caratteristiche infrastrutturali
4.1.1 Aspetti generali
Date le peculiarita' organizzative, le necessita' di scambio di informazioni tra sistemi eterogenei e le caratteristiche dei dati trattati, il SICOF e' basato su un'architettura standard del mondo internet:
utilizza lo standard XML per definire in modo unificato il formato e l'organizzazione dei dati scambiati nelle interazioni tra le applicazioni;
attua forme di cooperazione applicativa tra sistemi;
prevede una architettura di sicurezza specifica per la gestione dei dati personali trattati. E' costituito, a livello nazionale, da:
un sistema che ospita il front-end web dell'applicazione (avente la funzione di web server);
un sistema che ospita l'applicazione (avente la funzione di application server);
un sistema dedicato alla memorizzazione dei dati (data server);
un sistema dedicato alla autenticazione degli utenti e dei messaggi;
un sistema dedicato a funzioni di Business Intelligence.
4.1.2 Misure idonee a garantire la continuita' del servizio
A garanzia della corretta operativita' del servizio sono state attivate procedure idonee a definire tempi e modi per salvaguardare l'integrita' e la disponibilita' dei dati e consentire il ripristino del sistema in caso di eventi che lo rendano temporaneamente inutilizzabile. Tali misure sono periodicamente aggiornate sulla base delle evidenze che emergono dall'analisi dei rischi presentati dal trattamento che derivano in particolare dalla distruzione e dalla perdita dei dati.
In particolare, per quel che riguarda i dati custoditi presso il CED, sono previste:
procedure per il salvataggio periodico dei dati (backup sia incrementale che storico);
procedure che regolamentano la sostituzione, il riutilizzo e la rotazione dei supporti ad ogni ciclo di backup;
procedure per il data recovery;
procedure per la verifica dell'efficacia sia del backup che del possibile, successivo, ripristino;
software aggiornato secondo la tempistica prevista dalle case produttrici ovvero, periodicamente, a seguito di interventi di manutenzione;
basi di dati configurate per consentire un ripristino completo delle informazioni senza causarne la perdita di integrita' e disponibilita';
gruppi di continuita' che, in caso di mancanza di alimentazione elettrica di rete, garantiscono la continuita' operativa;
soluzioni per la continuita' operativa ed il disaster recovery.
La struttura organizzativa del CED e le procedure adottate consentono, in caso di necessita', di operare il ripristino dei dati in un arco di tempo inferiore ai sette giorni.
4.1.3 Misure idonee a garantire la protezione dei dati
4.1.3.1 Aspetti generali
Per garantire la protezione del patrimonio informativo del SICOF sono attivate misure di sicurezza fisica e logica idonee a salvaguardare l'integrita' e la riservatezza delle informazioni. Tali misure sono periodicamente aggiornate sulla base delle evidenze che emergono dall'analisi dei rischi presentati dal trattamento che derivano in particolare dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, ai dati e prevedono:
isolamento logico della rete;
protezione dei dati e delle applicazioni da danneggiamenti provocati da virus informatici;
autenticazione degli utenti;
controllo dell'accesso alle applicazioni ed ai dati;
integrita' dei messaggi scambiati;
cifratura dei dati.
Tutti i sistemi ospitati presso il Centro elaborazione dati (CED) sono collegati in rete locale e connessi alle infrastrutture comunicative attraverso servizi di firewall e proxy opportunamente configurati. Inoltre, la sicurezza degli stessi sistemi e' incrementata mediante:
strumenti IPS/IDS (Intrusion Prevention System/Intrusion Detection System) collocati nei punti di accesso alla rete al fine di consentire l'identificazione di attivita' ostili, ostacolando l'accesso da parte di soggetti non identificati e permettendo una reazione automatica alle intrusioni;
un sistema di gestione degli accessi e di profilazione utenti che prevede strumenti di autenticazione a piu' fattori;
un sistema di registrazione delle operazioni di accesso degli utenti ai sistemi e delle operazioni di trattamento (sia tramite funzioni applicative o tramite accesso diretto), al fine di permettere l'individuazione di eventuali anomalie;
un servizio SIEM (Security Information and Event Management) che realizza le attivita' di logging, monitoraggio e correlazione degli eventi di sicurezza;
un servizio di gestione antivirus e host IPS che centralizza la gestione delle componenti antivirus e HIPS (Host Intrusion Prevention System) al fine di prevenire intrusioni illecite e contrastare le minacce legate a software malevolo;
utilizzo di uno strumento di controllo per l'accesso degli amministratori di sistema;
utilizzo di uno strumento di controllo della gestione dei privilegi di accesso da parte degli amministratori delle basi di dati;
utilizzo del canale HTTPS con protocollo TLS V1.2 o superiori;
utilizzo di componenti di Trasparent Data Encryption (TDE) per proteggere i dati da utilizzi non autorizzati;
funzioni di crittografia simmetrica e asimmetrica;
separazione dei dati anagrafici dei soggetti censiti dai dati sensibili, con la predisposizione di distinti schemi di database.
4.1.3.2 Tracciatura delle operazioni effettuate sul sistema
Tutte le operazioni di accesso ai dati da parte degli utenti sono registrate e i dati vengono conservati in appositi file di log, al fine di evidenziare eventuali anomalie o utilizzi impropri, anche tramite specifici alert.
Le informazioni registrate in tali file di log sono le seguenti:
i dati identificativi del soggetto che ha effettuato l'accesso;
la data e l'ora dell'accesso;
l'operazione effettuata.
Inoltre, nel caso di accesso ai dati individuali, che puo' avvenire soltanto da parte degli amministratori di sistema, nei file di log e' anche registrato il codice dell'assistito su cui e' stato effettuato l'accesso.
Ai fini della verifica della liceita' del trattamento dei dati:
i log sono protetti con idonee misure contro ogni uso improprio;
i log sono conservati per dodici mesi e cancellati alla scadenza;
i dati contenuti nei log sono trattati in forma anonima mediante aggregazione; possono essere trattati in forma non anonima unicamente laddove cio' risulti indispensabile ai fini della verifica della liceita' del trattamento dei dati.
Nel caso di cooperazione applicativa:
sono conservati i file di log degli invii delle informazioni al sistema;
sono conservati i file di log delle ricevute del sistema;
a seguito dell'avvenuta ricezione delle ricevute il contenuto delle comunicazioni effettuate e' eliminato.
Tutte le operazioni di inserimento e aggiornamento dei dati prevedono la creazione di un messaggio in formato XML che viene firmato digitalmente dall'utente. Tutti i messaggi sono archiviati nel sistema per garantire la tracciabilita' di tutte le modifiche dei dati.
4.1.4 Gestione dei supporti di memorizzazione
I supporti di memorizzazione, che includono nastri magnetici, dischi ottici e cartucce, possono essere fissi o rimovibili. Sui supporti di memorizzazione non vengono, comunque, conservate informazioni in chiaro; cio' malgrado, per ridurre al minimo il rischio di manomissione delle informazioni, viene identificato un ruolo di custode dei supporti di memorizzazione, al quale e' attribuita la responsabilita' della gestione dei supporti di memorizzazione rimovibili.
Per la gestione dei supporti di memorizzazione sono state adottate, in particolare, le seguenti misure:
tutti i supporti sono etichettati a seconda della classificazione dei dati contenuti;
viene tenuto un inventario dei supporti di memorizzazione;
sono state definite ed adottate misure di protezione fisica dei supporti di memorizzazione;
i supporti di memorizzazione non piu' utilizzati saranno distrutti e resi inutilizzabili, secondo procedure definite che prevedano la documentazione della distruzione.
4.2 Specifiche disposizioni per il trattamento dei dati identificativi dell'assistito
Come previsto dal decreto del Ministro della salute 7 dicembre 2016, n. 262 (Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato), le regioni e province autonome effettuano, mediante procedure automatiche, prima dell'invio dei dati identificativi dell'assistito al Sistema NSIS:
1. la verifica di validita' dei predetti codici identificativi;
2. la sostituzione dei predetti codici identificativi con i corrispettivi codici univoci prodotti da una funzione non invertibile e resistente a collisioni.
La verifica di cui al punto 1, ammissibile solo nelle more dell'attivazione dell'Anagrafe nazionale degli assistiti («ANA»), istituita ai sensi dell'art. 62-ter del codice dell'amministrazione digitale, prevede uno scambio informativo con il servizio fornito dal sistema Tessera sanitaria («TS»), di cui alle disposizioni dell'art. 50, del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326.
La funzione di cui al punto 2 e' rappresentata da un algoritmo di hash che, applicato a un codice identificativo (dato in input), produce un codice univoco (digest di output) dal quale non e' possibile risalire al codice identificativo di origine. L'algoritmo di hash adottato e' definito dalla DGSISS del Ministero della salute ed e' condiviso tra tutti i soggetti alimentanti, al fine di rendere il codice univoco non invertibile cosi' ottenuto, a fronte del codice identificativo di input, unico sul territorio nazionale.
Il Codice univoco non invertibile (CUNI) cosi' ottenuto rappresenta pertanto l'identificativo dell'assistito univoco sul territorio nazionale e dal quale non e' possibile risalire all'identificativo di origine.
Il Ministero della salute, in fase di acquisizione dei dati, effettua la generazione ed assegnazione del codice univoco nazionale dell'assistito (CUNA) agli assistiti rappresentati dal CUNI, attraverso la diretta sostituzione del codice identificativo non invertibile ricevuto.
Il CUNA e' generato mediante l'adozione di una funzione di Hash, rappresentata da un algoritmo definito dalla DGSISS, del codice identificativo non invertibile CUNI ricevuto.
Il CUNA e' utilizzato come unico elemento identificativo dell'assistito nell'ambito di tutti i successivi trattamenti operati sul NSIS.
4.3 Sistema di autenticazione e autorizzazione degli utenti
Gli utenti del SICOF sono individuati dal Ministero della salute e sono:
a) le unita' organizzative delle regioni e province autonome competenti, come individuate da provvedimenti regionali e provinciali;
b) le unita' organizzative della Direzione generale competente in materia di programmazione sanitaria, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di digitalizzazione e del sistema informativo sanitario nazionale del Ministero della salute, come individuate dal decreto ministeriale di organizzazione.
Il Ministero della salute dispone di un sistema di autenticazione e autorizzazione, nonche' di gestione delle identita' digitali, attraverso il quale vengono definiti i profili di autorizzazione previsti per ogni sistema, definiti secondo le logiche del controllo degli accessi basato sui ruoli e declinati nello specifico in relazione al ruolo istituzionale, alle funzioni svolte e all'ambito territoriale delle azioni di competenza.
Gli amministratori dell'applicazione, nominati dal Ministero della salute, gestiscono la designazione degli utenti e l'assegnazione dei privilegi di accesso.
Gli utenti accedono ai servizi del Ministero della salute attraverso dispositivi standard (Carta nazionale dei servizi, Carta di identita' elettronica, SPID), definiti dalle vigenti normative, come strumenti per l'autenticazione telematica ai servizi erogati in rete dalle pubbliche amministrazioni ovvero, per gli utenti che accedono a soli dati aggregati e anonimi, tramite codice utente e parola chiave, generate secondo le modalita' riportate sul sito del Ministero della salute, in conformita' all'art. 64 del codice dell'amministrazione digitale.
Per l'abilitazione all'accesso e' previsto un processo descritto nei successivi paragrafi.
4.3.1 Fase 1 - Abilitazione alla piattaforma
La prima fase prevede la registrazione da parte dell'utente mediante l'inserimento delle generalita', del proprio indirizzo di posta elettronica ove ricevere le credenziali di autenticazione nonche' dei dettagli inerenti alla struttura organizzativa di appartenenza. Successivamente, il sistema di registrazione invia una e-mail contenente l'identificativo e la password che l'utente e' obbligato a cambiare al primo accesso e, periodicamente, con cadenza definita sulla base delle evidenze che emergono dall'analisi dei rischi e anche a fronte di cambiamenti organizzativi o eventi anomali.
La parola chiave dovra' avere le seguenti caratteristiche:
complessita' (lunghezza e presenza di caratteri speciali) adeguata allo stato dell'arte tecnologico;
non conterra' riferimenti facilmente riconducibili all'incaricato.
Le credenziali di autorizzazione rispondono ai criteri definiti nel documento di password policy adottato dal Ministero della salute e, se non utilizzate per un periodo superiore a quello definito, sono disattivate.
Nelle more della definizione del quadro di garanzie e regole delle identita' SPID ad uso professionale, e' ammesso l'utilizzo di identita' SPID ad uso personale escludendo l'uso di dati personali attinenti alla sfera privata del soggetto (es. e-mail e numero di cellulare personali, domicilio privato) forniti ai service provider.
4.3.2 Fase 2 - Abilitazione ai servizi
Nella seconda fase, l'utente puo' chiedere l'abilitazione ad un profilo del SICOF censito dal Ministero della salute e associato alla struttura organizzativa di appartenenza dell'utente.
L'amministratore dell'applicazione effettua un riscontro della presenza del nominativo nella lista di coloro che sono stati formalmente designati dal referente competente (ad es. della regione o provincia autonoma di appartenenza). Qualora questa verifica abbia esito negativo, la procedura di abilitazione si interrompe; nel caso in cui questa verifica abbia esito positivo, l'utente e' abilitato all'utilizzo del sistema con appropriato profilo di accesso.
Per garantire l'effettiva necessita', da parte del singolo utente, di accedere alle informazioni per le quali ha ottenuto un profilo di accesso, le utenze vengono sottoposte a periodiche verifiche circa la sussistenza dei presupposti che hanno originato l'abilitazione degli utenti.
4.4 Modalita' di trasmissione
La regione o provincia autonoma fornisce al SICOF le informazioni definite nelle successive sezioni, scegliendo fra le seguenti tre modalita' alternative:
a. utilizzando le regole tecniche di cooperazione applicativa del Sistema pubblico di connettivita' (SPC) di cui all'art. 71 del CAD;
b. utilizzando i servizi applicativi web based che il Sistema mette a disposizione tramite il protocollo sicuro https e secondo le regole per l'autenticazione di cui al punto 4.2; il servizio applicativo permette l'upload delle informazioni;
c. ricorrendo alla autenticazione bilaterale fra sistemi basata su certificati digitali emessi da un'autorita' di certificazione ufficiale.
I dati inviati al SICOF sono resi inintelligibili tramite crittografia asimmetrica utilizzando la chiave pubblica resa disponibile dal Ministero della salute.
A supporto degli utenti, il SICOF rende disponibile un servizio di assistenza raggiungibile mediante un unico numero telefonico da tutto il territorio nazionale; ogni ulteriore dettaglio e' reperibile sul sito istituzionale del Ministero.
Le tempistiche di trasmissione ed i servizi di cooperazione applicativa sono pubblicati a cura del Ministero e sono reperibili sul sito istituzionale del Ministero.
4.4.1 Tempi di trasmissione
Il SICOF e' alimentato dalle regioni e province autonome secondo le tempistiche indicate dall'art. 5 del decreto di istituzione del SICOF e devono essere raccolte al verificarsi degli eventi idonei alla generazione ed alla modifica delle informazioni richieste per singolo assistito e struttura erogatrice.
4.4.2 Sistema pubblico di connettivita'
Il Sistema pubblico di connettivita' (SPC) e' definito e disciplinato all'art. 73 e seguenti del codice dell'amministrazione digitale.
Le trasmissioni telematiche devono avvenire nel rispetto delle regole tecniche del SPC, cosi' come definito agli articoli 51 e 71 del codice dell'amministrazione digitale.
4.4.3 Garanzie per la sicurezza della trasmissione dei flussi informativi
Nel caso in cui la regione o la provincia autonoma disponga di un sistema informativo in grado di interagire secondo le logiche di cooperazione applicativa, l'erogazione e la fruizione del servizio richiedono come condizione preliminare che siano effettuate operazioni di identificazione univoca delle entita' (sistemi, componenti software, utenti) che partecipano, in modo diretto e indiretto (attraverso sistemi intermedi) ed impersonando ruoli diversi, allo scambio di messaggi e all'erogazione e fruizione dei servizi.
In particolare, occorrera' fare riferimento alle regole tecniche individuate dall'art. 71 del CAD.
Nel caso in cui il sistema informativo della regione o provincia autonoma non corrisponda alle specifiche di cui sopra, l'utente che deve procedere all'inserimento delle informazioni puo' accedere al SICOF nell'ambito del NSIS ed inviare le informazioni attraverso una connessione sicura.
4.4.4 Standard tecnologici per la predisposizione dei dati
L'utente deve provvedere alla creazione e alla predisposizione di documenti conformi alle specifiche dell'Extensible Markup Language (XML) 1.0 (Fourth Edition) (raccomandazione W3C 29 settembre 2006).
Gli schemi standard dei documenti in formato XML contenenti le definizioni delle strutture dei dati dei messaggi da trasmettere, sono pubblicati, nella loro versione aggiornata, sul sito internet del Ministero all'indirizzo www.salute.gov.it
4.5 Servizi di analisi dati
I servizi applicativi consentono di accedere ad un'apposita funzionalita' di reportistica che prevede tre tipologie di utenti:
utenti delle regioni o province autonome;
utenti del Ministero della salute.
Il Ministero della salute ha realizzato strumenti online a supporto del monitoraggio della completezza e qualita' del caricamento dei dati SICOF, delle analisi dei dati acquisiti in NSIS.
Tali strumenti sono rivolti ai valutatori e a coloro che devono definire le politiche di programmazione sia a livello nazionale sia a livello regionale.
Gli strumenti disponibili nella piattaforma del Sistema informativo sanitario nazionale sono i seguenti:
reportistica dettagliata per il monitoraggio della completezza e qualita' dei dati, in grado di evidenziare tempestivamente alle Regioni e pubblica amministrazione eventuali errori e anomalie riscontrate nel flusso SICOF;
sistema di indicatori tecnico-funzionali, per consentire ad ogni regione e pubblica amministrazione l'analisi dettagliata di informazioni rilevanti, anche attraverso l'integrazione tra flussi informativi diversi;
dashboard di analisi dinamiche: dashboard a supporto dei processi di valutazione e programmazione sanitaria nell'ambito dell'assistenza domiciliare. 5. Ambito della rilevazione
Il SICOF intende raccogliere informazioni riguardanti la rilevazione delle principali informazioni e dati di attivita' dei consultori familiari come definite nella legge 29 luglio 1975, n. 405, e in accordo con quanto previsto dall'art. 24 del decreto del Presidente del Consiglio dei ministri 12 gennaio 2017.
La sostituzione di una rilevazione di dati aggregati con una rilevazione di dati individuali, identificativi degli utenti, oltre a permettere analisi piu' dettagliate, rendera' possibile la ricostruzione dei percorsi di cura degli utenti e il collegamento ad altre banche dati sanitarie o socio-sanitarie.
I servizi oggetto della rilevazione comprendono, oltre ai consultori familiari propriamente detti, gli Spazi giovani e gli Spazi donne e bambini immigrati (chiamati di seguito tutti servizi consultoriali).

=======================================================
| Ambito di applicazione | Ambito di NON applicazione|
| del SICOF | del SICOF |
+=========================+===========================+
| Informazioni sulle | |
| attivita' erogate dai | |
| consultori familiari | |
| secondo quanto previsto | |
| nella legge 29 luglio | Prestazioni di |
| 1975, n. 405, e in |specialistica ambulatoriale|
| accordo con quanto | (ex art. 50, legge del 24 |
|previsto dall'art. 24 del| novembre 2003, n. 326 e |
| decreto del Presidente |s.m.) eseguite a fronte di |
| del Consiglio dei |una prescrizione medica del|
|ministri 12 gennaio 2017 | SSN |
+-------------------------+---------------------------+
Tabella 1 - Ambito di applicazione del SICOF

5.1 Le informazioni
Il SICOF prevede un approccio alla raccolta dei dati improntato sul concetto di «evento». L'introduzione di una logica ad eventi permette di disporre di dati significativi senza dover attendere la conclusione del ciclo di cura o del periodo di rilevazione definito per poter effettuare le opportune analisi.
Partendo dal processo di erogazione, sono stati individuati i seguenti eventi di riferimento:
accesso;
erogazione;
conclusione.
Al fine di individuare in maniera piu' precisa l'attivita' erogata, la logica di rilevazione, prevede anzitutto, la distinzione dell'assistito in tre grandi categorie:
a) singolo;
b) coppia, nucleo familiare o piccolo gruppo;
c) grandi gruppi.
A fronte di tale classificazione l'attivita' erogata viene rilevata in tre diversi tracciati:
tracciato 1: Dati di contatto all'accesso, nel quale vengono rilevate principalmente le informazioni socio-demografiche dell'assistito all'accesso;
tracciato 2: Prestazioni individuali /nuclei familiari/piccoli gruppi, nel quale vengo rilevate le informazioni di attivita' individuali erogate a singoli assistiti, coppie, nuclei familiari o piccoli gruppi;
tracciato 3: Prestazioni grandi gruppi, nel quale vengono rilevate le informazioni delle attivita' erogate a grandi gruppi.
5.2 Le tipologie di intervento
Nella rilevazione delle attivita' previste dal SICOF, si fa riferimento alle prestazioni erogate all'interno delle seguenti macro-aree di attivita':

===========================================
| Codice | Macro-area |
+===============+=========================+
| A | Salute sessuale |
+---------------+-------------------------+
| B | Salute riproduttiva |
+---------------+-------------------------+
| |Prevenzione e promozione |
| C | della salute |
+---------------+-------------------------+
| D | Supporto psicologico |
+---------------+-------------------------+
| E | Adozione - Affidi |
+---------------+-------------------------+
| | Rapporti con le |
| F | istituzioni |
+---------------+-------------------------+
Tabella 2 - Macro-aree di attivita' previste nel flusso SICOF
6. Le informazioni
Le regioni e le Province autonome di Trento e di Bolzano inviano i dati di cui all'art. 2, comma 2, del decreto al Ministero della salute, esclusivamente in modalita' elettronica nel tracciato riportato nel dettaglio nelle successive sezioni.
I dati anagrafici e sanitari sono, quindi, archiviati separatamente e i dati sanitari sono trattati con tecniche crittografiche. Si rimanda al documento di specifiche funzionali per il dettaglio delle regole che disciplinano i tracciati record, indicazioni di dettaglio circa la struttura dei file XML e gli schemi XSD di convalida a cui far riferimento e le procedure di controllo e verifica dei dati trasmessi.
I valori di riferimento da utilizzare nella predisposizione dei file XML sono contenuti nel documento di specifiche funzionali pubblicate sul sito internet del Ministero all'indirizzo www.salute.gov.it
6.1 Contenuti informativi dei tracciati
La seguente tabella riporta, per ciascuna informazione la definizione, fermo restando che per il dettaglio del relativo sistema di codifica, riconosciuto come standard nazionale per le regole che disciplinano i tracciati record, per le indicazioni di dettaglio circa la struttura dei file XML e gli schemi XSD di convalida a cui far riferimento e le procedure di controllo e verifica dei dati trasmessi si rimanda al documento di specifiche funzionali pubblicate sul sito internet del Ministero all'indirizzo www.salute.gov.it
6.1.1 Tracciato 1 - Dati contatto

===================================================================== | Tracciato 1 - Dati contatto | +=====+=================+===========================================+ | id | | | |campo| Nome Campo | Descrizione | +-----+-----------------+-------------------------------------------+ | | |Campo tecnico utilizzato per distinguere | | | |trasmissioni di informazioni nuove, | | 1 | Tipo |modificate o eventualmente annullate. | +-----+-----------------+-------------------------------------------+ | | |Codice Identificativo non invertibile | | | |dell'assistito ai sensi delle disposizioni | | | |decreto Interconnessione del Ministro della| | | |salute del 7 dicembre 2016, n. 262. | | | |Il Codice univoco non invertibile rappre- | | | |senta l'identificativo dell'assistito a | | | |cui e' stata applicata una funzione non | | | |invertibile e resistente alle collisioni. | | | |Tale funzione e' rappresentata da un | | | |algoritmo di hash che, applicato | | | |all'identificativo (dato in input), produce| | | |un codice univoco (digest di output) dal | | | |quale non e' possibile risalire | | | |all'identificativo di origine. A parita' di| | | |input viene restituito sempre lo stesso | | | |output. L'algoritmo di hash adottato e' | | | |definito dal Ministero della salute ed e' | | | |condiviso tra tutti i soggetti alimentanti | | | |al fine di rendere l'identificativo univoco| | | |non invertibile cosi' ottenuto, a fronte | | | |dello stesso identificativo in input, unico| | | |sul territorio nazionale. | | | |Qualora il | | | |soggetto abbia richiesto l'anonimato o | | | |abbia usufruito di prestazioni nella macro | | | |area "ADOZIONI - AFFIDI" il campo dovra' | | | |essere valorizzato con la seguente stringa | | | |(88 caratteri): cVuZtwL7gjVHTMLKPvCSMEt | | | Identificativo |/nAc3rdESXfOwk/qBeQw=pnRO6qrNCVGyXkvuaz2swu| | 2 | Assistito CUNI |9RExX6jH3C/h/Tvi5MI4k= | +-----+-----------------+-------------------------------------------+ | | |Informazione relativa alla validita' del | | | |codice identificativo dell'assistito | | | |recuperata a seguito della chiamata al | | | |servizio di validazione esposto dal sistema| | | |Tessera Sanitaria, ammissibile solo nelle | | | |more dell'attivazione dell'Anagrafe | | |Validita' codice |nazionale degli assistiti-ANA, istituita ai| | 3 | Identificativo |sensi dell'art. 62-ter del CAD. | +-----+-----------------+-------------------------------------------+ | | |Informazione relativa alla tipologia del | | | |codice identificativo dell'assistito nella | | | |banca dati di verifica (sistema Tessera | | | |Sanitaria, ammissibile solo nelle more | | | |dell'attivazione dell'Anagrafe nazionale | | |Tipologia codice |degli assistiti -ANA, istituita ai sensi | | 4 | Identificativo |dell'art. 62-ter del CAD). | +-----+-----------------+-------------------------------------------+ | | Identificativo |Codice progressivo di accesso, nel giorno, | | 5 | Accesso |nella struttura erogatrice. | +-----+-----------------+-------------------------------------------+ | | |Codice progressivo che consente di | | | |associare una singola prestazione a favore | | | Identificativo |di piu' assistiti (coppie, famiglie o | | 6 | Nucleo |piccoli gruppi) | +-----+-----------------+-------------------------------------------+ | | Regione di |Indica il codice della regione di residenza| | 7 | residenza |dell'assistito | +-----+-----------------+-------------------------------------------+ | | Comune di | | | 8 | nascita |Indica il comune di nascita dell'assistito | +-----+-----------------+-------------------------------------------+ | | |Identifica il comune nella cui anagrafe | | | Comune di |(Anagrafe della popolazione residente) e' | | 9 | residenza |iscritto l'assistito | +-----+-----------------+-------------------------------------------+ | | |Indica il codice dell'azienda sanitaria | | | |locale che comprende il comune, o la | | | |frazione di comune, in cui risiede | | 10 |ASL di residenza |l'assistito. | +-----+-----------------+-------------------------------------------+ | 11 | Cittadinanza |Identifica la cittadinanza dell'assistito | +-----+-----------------+-------------------------------------------+ | 12 | Genere |Indica il sesso dell'assistito | +-----+-----------------+-------------------------------------------+ | 13 | Anno di nascita |Indica la data di nascita dell'assistito | +-----+-----------------+-------------------------------------------+ | | |Indica lo stato civile dell'assistito al | | 14 | Stato civile |momento della rilevazione | +-----+-----------------+-------------------------------------------+ | | Condizione |Indica la condizione professionale | | 15 | professionale |dell'assistito al momento della rilevazione| +-----+-----------------+-------------------------------------------+ | 16 |Titolo di studio |Titolo di studio conseguito dall'utente | +-----+-----------------+-------------------------------------------+ | | Soggetto |Indica il soggetto/professionista | | 17 | richiedente |richiedente la prestazione | +-----+-----------------+-------------------------------------------+ | | |Individua la regione a cui afferisce la | | | Regione di |struttura presso la quale e' erogata la | | 18 | erogazione |prestazione. | +-----+-----------------+-------------------------------------------+ | | |Indica il codice dell'Azienda sanitaria | | | |locale cui afferisce la struttura | | 19 |ASL di erogazione|erogatrice | +-----+-----------------+-------------------------------------------+ | | Codice | | | | consultorio di | | | 20 | erogazione |Indica il codice della struttura | +-----+-----------------+-------------------------------------------+ | | |Indica la data di accesso/PIC | | 21 | Data |dell'assistito. | +-----+-----------------+-------------------------------------------+ | | |Tipo di servizio richiesto nell'ambito del | | | |consultorio familiare (se dedicato a | | | |specifica tipologia di utenza - es. spazio | | 22 | Servizio |giovani, donne e bambini immigrati, etc.) | +-----+-----------------+-------------------------------------------+ | | Eventuale | | | | precedente |Indica se l'assistito ha partecipato a | | |partecipazione ad|eventi precedenti di gruppo, di promozione | | 23 |evento di gruppo |della salute organizzate da un consultorio.| +-----+-----------------+-------------------------------------------+

Tabella 3 - Tracciato 1 - Dati contatto

6.1.2 Tracciato 2 - Prestazioni individuali/nuclei familiari/piccoli gruppi

===================================================================== | Tracciato 2 - Prestazioni | | individuali/nuclei familiari/piccoli gruppi | +=====+========================+====================================+ | id | | | |campo| Nome Campo | Descrizione | +-----+------------------------+------------------------------------+ | | |Campo tecnico utilizzato per | | | |distinguere trasmissioni di | | | |informazioni nuove, modificate o | | 1 | Tipo |eventualmente annullate | +-----+------------------------+------------------------------------+ | | |Codice progressivo di accesso, nel | | 2 |Identificativo Accesso |giorno, nella struttura erogatrice | +-----+------------------------+------------------------------------+ | | |Codice progressivo che consente di | | | |associare una singola prestazione a | | | |favore di piu' assistiti (coppie, | | 3 | Identificativo Nucleo |famiglie o piccoli gruppi) | +-----+------------------------+------------------------------------+ | | |Codice che identifica il ciclo di | | | |appartenenza | | | |dell'assistito/coppia/famiglia o | | 4 | Identificativo Ciclo |piccolo gruppo | +-----+------------------------+------------------------------------+ | | |Indica il numero progressivo univoco| | | |nell'ambito dell'accesso, | | | |identificativo della singola | | 5 |Progressivo prestazione |prestazione | +-----+------------------------+------------------------------------+ | | |Individua la regione a cui afferisce| | | |la struttura presso la quale e' | | 6 | Regione di erogazione |erogata la prestazione | +-----+------------------------+------------------------------------+ | | |Indica il codice dell'Azienda | | | |sanitaria locale cui afferisce la | | 7 | ASL di erogazione |struttura erogatrice | +-----+------------------------+------------------------------------+ | | Codice consultorio di | | | 8 | erogazione |Indica il codice della struttura | +-----+------------------------+------------------------------------+ | | |Indica la data di accesso/PIC | | 9 | Data |dell'assistito | +-----+------------------------+------------------------------------+ | 10 | Area attivita' |Indica il codice Area di attivita' | +-----+------------------------+------------------------------------+ | | |Indica il codice Sottoarea di | | 11 | Sottoarea |attivita', ove prevista | +-----+------------------------+------------------------------------+ | | |Indica esclusivamente l'esistenza o | | | |non di un mandato dell'autorita' | | | |giudiziaria per l'esecuzione della | | | Mandato autorita' |prestazione (valori: | | 12 | giudiziaria |presente/assente) | +-----+------------------------+------------------------------------+ | | |Indica la diagnosi rilevata dal | | | |soggetto richiedente indicato al | | 13 | Diagnosi rilevata |campo 17 del Tracciato 1 | +-----+------------------------+------------------------------------+ | | |Identifica la presenza di un | | | |supporto da parte di reti formali e | | | |informali (della famiglia e della | | 14 | Supporto sociale |rete informale) | +-----+------------------------+------------------------------------+ | | |Indica la tipologia di prestazione | | 15 | Tipo prestazione |erogata | +-----+------------------------+------------------------------------+ | | |Indica il numero di | | | Numero di incontri |incontri/prestazioni previsti per | | 16 | totali previsti |l'intervento/prestazione di gruppo | +-----+------------------------+------------------------------------+ | | |Indica la data di prenotazione della| | 17 | Data di prenotazione |prestazione | +-----+------------------------+------------------------------------+ | | Data di inizio ciclo |Indica la data di erogazione della | | 18 | prestazioni |prima prestazione del ciclo | +-----+------------------------+------------------------------------+ | | Data presunta fine del |Indica la data presunta di chiusura | | 19 | ciclo prestazioni |del ciclo di prestazioni | +-----+------------------------+------------------------------------+ | | |Indica il tipo di sede nel quale | | 20 | Sede prestazione |viene eseguita la prestazione | +-----+------------------------+------------------------------------+ | | |Indica la necessita' o meno di una | | | |mediazione culturale per | | 21 | Mediazione culturale |l'esecuzione della prestazione | +-----+------------------------+------------------------------------+ | | |Indica se la prestazione e' eseguita| | | Prestazione/azione |tramite multiprofessionalita' o | | 22 | multiprofessionalita' |monoprofessionalita' | +-----+------------------------+------------------------------------+ | | |Indica la tipologia di personale | | 23 | Personale coinvolto 1 |coinvolto nella prestazione | +-----+------------------------+------------------------------------+ | | |Indica la tipologia di personale | | 24 | Personale coinvolto 2 |coinvolto nella prestazione | +-----+------------------------+------------------------------------+ | | |Indica la tipologia di personale | | 25 | Personale coinvolto 3 |coinvolto nella prestazione | +-----+------------------------+------------------------------------+ | | |Indica la tipologia di personale | | 26 | Personale coinvolto 4 |coinvolto nella prestazione | +-----+------------------------+------------------------------------+ | | Terzi coinvolti: 1° |Indica l'eventuale presenza di | | 27 | soggetto |soggetti terzi coinvolti | +-----+------------------------+------------------------------------+ | | Terzi coinvolti: 2° |Indica l'eventuale presenza di | | 28 | soggetto |soggetti terzi coinvolti | +-----+------------------------+------------------------------------+ | | Terzi coinvolti: 3° |Indica l'eventuale presenza di | | 29 | soggetto |soggetti terzi coinvolti | +-----+------------------------+------------------------------------+

Tabella 4 - Tracciato 2 - Prestazioni individuali/nuclei
familiari/piccoli gruppi

6.1.3 Tracciato 3 - Prestazioni grandi gruppi e salute di Comunita'

===================================================================== | Tracciato 3 - Prestazioni | | grandi gruppi e salute di Comunita' | +=======+===========================+===============================+ | id | | | | campo | Nome Campo |Descrizione | +-------+---------------------------+-------------------------------+ | | |Campo tecnico utilizzato per | | | |distinguere trasmissioni di | | | |informazioni nuove, modificate | | 1 | Tipo |o eventualmente annullate | +-------+---------------------------+-------------------------------+ | | |Codice progressivo che | | | |identifica l'iniziativa di | | 2 |Identificativo Iniziativa |appartenenza del gruppo | +-------+---------------------------+-------------------------------+ | | |Indica il numero dell'incontro | | | |svolto rispetto a quelli | | | |previsti per l'iniziativa di | | 3 | Identificativo Incontro |gruppo | +-------+---------------------------+-------------------------------+ | | |Individua la regione a cui | | | |afferisce la struttura presso | | | |la quale e' erogata la | | 4 | Regione di erogazione |prestazione | +-------+---------------------------+-------------------------------+ | | |Indica il codice dell'Azienda | | | |sanitaria locale cui afferisce | | 5 | ASL di erogazione |la struttura erogatrice | +-------+---------------------------+-------------------------------+ | | Codice consultorio di |Indica il codice della | | 6 | erogazione |struttura | +-------+---------------------------+-------------------------------+ | | |Indica la data di svolgimento | | 7 | Data Incontro |dell'incontro di gruppo | +-------+---------------------------+-------------------------------+ | | |Indica il codice Area di | | 8 | Area attivita' |attivita' | +-------+---------------------------+-------------------------------+ | | |Indica il codice Sottoarea di | | 9 | Sottoarea |attivita', ove prevista | +-------+---------------------------+-------------------------------+ | | |Indica esclusivamente | | | |l'esistenza o non di un mandato| | | |dell'autorita' giudiziaria per | | | Mandato autorita' |l'esecuzione della prestazione | | 10 | giudiziaria |(valori: presente/assente) | +-------+---------------------------+-------------------------------+ | | |Indica la tipologia di | | 11 | Tipo prestazione |prestazione erogata | +-------+---------------------------+-------------------------------+ | | |Indica il numero di | | | |incontri/prestazioni previsti | | | Numero di incontri totali |per l'intervento/prestazione di| | 12 | previsti |gruppo | +-------+---------------------------+-------------------------------+ | | |Indica la data di erogazione | | | |della prima prestazione del | | 13 | Data di inizio iniziativa |ciclo | +-------+---------------------------+-------------------------------+ | | |Indica la data presunta di | | | Data presunta fine |chiusura del ciclo di | | 14 | dell'iniziativa |prestazioni | +-------+---------------------------+-------------------------------+ | | |Indica il n. di utenti | | 15 | N. utenti coinvolti |coinvolti | +-------+---------------------------+-------------------------------+ | | |Indica il n. di utenti di | | |N. utenti con cittadinanza |cittadinanza straniera | | 16 | straniera |coinvolti | +-------+---------------------------+-------------------------------+ | | |Indica il n. di utenti | | 17 | N. utenti minorenni |minorenni coinvolti | +-------+---------------------------+-------------------------------+ | | |Indica il n. di utenti di sesso| | 18 | N. utenti maschi |maschile coinvolti | +-------+---------------------------+-------------------------------+ | | |Indica il n. di utenti di sesso| | 19 | N. utenti femmine |femminile coinvolti | +-------+---------------------------+-------------------------------+ | | |Indica il tipo di sede nel | | | |quale viene eseguita la | | 20 | Sede prestazione |prestazione | +-------+---------------------------+-------------------------------+ | | |Indica la necessita' o meno di | | | |una mediazione culturale per | | 21 | Mediazione culturale |l'esecuzione della prestazione | +-------+---------------------------+-------------------------------+ | | |Indica se la prestazione e' | | | |eseguita tramite | | | Prestazione/azione |multiprofessionalita' o | | 22 | multiprofessionalita' |monoprofessionalita' | +-------+---------------------------+-------------------------------+ | | |Indica la tipologia di | | | |personale coinvolto nelle | | 23 | Personale coinvolto 1 |prestazioni erogate ai gruppi | +-------+---------------------------+-------------------------------+ | | |Indica la tipologia di | | | |personale coinvolto nelle | | 24 | Personale coinvolto 2 |prestazioni erogate ai gruppi | +-------+---------------------------+-------------------------------+ | | |Indica la tipologia di | | | |personale coinvolto nelle | | 25 | Personale coinvolto 3 |prestazioni erogate ai gruppi | +-------+---------------------------+-------------------------------+ | | |Indica la tipologia di | | | |personale coinvolto nelle | | 26 | Personale coinvolto 4 |prestazioni erogate ai gruppi | +-------+---------------------------+-------------------------------+ | | Terzi coinvolti: 1° |Indica l'eventuale presenza di | | 27 | soggetto |soggetti terzi coinvolti | +-------+---------------------------+-------------------------------+ | | Terzi coinvolti: 2° |Indica l'eventuale presenza di | | 28 | soggetto |soggetti terzi coinvolti | +-------+---------------------------+-------------------------------+ | | Terzi coinvolti: 3° |Indica l'eventuale presenza di | | 29 | soggetto |soggetti terzi coinvolti | +-------+---------------------------+-------------------------------+

Tabella 5 - Tracciato 3 - Prestazioni grandi gruppi

6.2 Formato elettronico delle trasmissioni
La trasmissione dei dati e' effettuata esclusivamente in modalita' elettronica secondo le specifiche tecniche pubblicate sul sito internet del Ministero della salute.
Le regioni e le province autonome inviano al livello nazionale del NSIS i dati raccolti e controllati. L'invio delle informazioni da parte della regione o provincia autonoma viene effettuato secondo il tracciato unico nazionale, riportato nel documento di specifiche tecniche.
Si rimanda al suddetto documento di specifiche tecniche per indicazioni di dettaglio circa la struttura dei file XML, nonche' il relativo documento XSD di convalida a cui far riferimento per le procedure di controllo e verifica dei dati trasmessi e alle modalita' di segnalazione ai soggetti interessati riguardo le anomalie riscontrate sui dati trasmessi. 7. Tempi di trasmissione
Le informazioni contenute nei suddetti Tracciati, come stabilito nell'art. 5 del decreto di istituzione del SICOF, devono essere trasmesse:
per i Tracciati 1, 2 e 3, in relazione al periodo di riferimento in cui si sono verificati gli eventi, come riportato nella tabella seguente:
===================================================================== | Periodo di | | | | riferimento delle | | Termine invio | | informazioni |Periodo di trasmissione | modifiche | +======================+========================+===================+ | I semestre | entro il 15 agosto | 15 settembre | +----------------------+------------------------+-------------------+ | | entro il 14 febbraio | 15 marzo (anno | | II semestre | (anno successivo) | successivo) | +----------------------+------------------------+-------------------+
Tabella 6 - Tempi di trasmissione

Art. 2

Sistema informativo per il monitoraggio delle attivita' erogate dai
consultori familiari

1. Nell'ambito del Nuovo sistema informativo sanitario (NSIS), e' istituito il «Sistema informativo per il monitoraggio delle attivita' erogate dai consultori familiari» (di seguito denominato SICOF). La realizzazione e gestione del SICOF e' affidata al Ministero della salute - Direzione generale competente in materia di digitalizzazione e del sistema informativo sanitario nazionale, come individuata dal decreto ministeriale di organizzazione.
2. Il SICOF e' finalizzato alla raccolta delle informazioni relative alle prestazioni erogate dai consultori familiari, individuate nell'art. 1.
3. La raccolta delle informazioni nel SICOF avviene secondo le modalita' e le caratteristiche riportate nel disciplinare tecnico, allegato 1, parte integrante del presente decreto.
4. Al fine di consentire il monitoraggio delle prestazioni erogate dai consultori familiari, nonche' consentire il monitoraggio dei livelli essenziali e uniformi di assistenza nel rispetto dei principi della dignita' della persona umana, del bisogno di salute, dell'equita' nell'accesso all'assistenza, della qualita' delle cure e della loro appropriatezza riguardo alle specifiche esigenze, nonche' dell'economicita' nell'impiego delle risorse, ai sensi del decreto legislativo 30 dicembre 1992, n. 502, e successive modificazioni, il SICOF operando una preventiva aggregazione dei dati a livello aziendale su base annuale, consente, ai soggetti indicati nell'art. 4 del presente decreto, analisi , utili per il calcolo di indicatori, anche ai fini della verifica di cui all'art. 3 dell'intesa sancita dalla Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano il 23 marzo 2005.
5. Le regioni e le province autonome mettono a disposizione del NSIS, presso il Ministero della salute, le informazioni secondo le modalita' riportate nel disciplinare tecnico, allegato 1 al presente decreto.

Art. 3
Flussi in ingresso

1. Il flusso informativo, dettagliato nel disciplinare tecnico, fa riferimento alle informazioni relative all'erogatore e ai seguenti dati personali riferiti all'assistito, singolarmente o alla coppia, alla famiglia, al piccolo gruppo identificabile, non direttamente identificativi ai sensi del decreto legislativo 30 giugno 2003, n. 196, e relativi a:
a) caratteristiche dell'assistito all'accesso al consultorio;
b) codice individuale dell'assistito;
c) dati relativi alla/e prestazione/i erogate.
Per prestazioni erogate a grandi gruppi con assistiti non identificabili il flusso informativo fa riferimento solo alle informazioni relative all'erogatore, alle caratteristiche del gruppo nel suo insieme e alle prestazioni erogate.
2. Le informazioni di cui al comma 1 devono essere raccolte e trasmesse secondo le modalita' e i tempi previsti dall'art. 5, al verificarsi degli eventi idonei alla generazione e modifica delle informazioni richieste per singola prestazione erogata dal consultorio.
3. La trasmissione verso il SICOF delle informazioni di cui al comma 1 deve essere effettuata da parte delle regioni e Province autonome di Trento e di Bolzano con riferimento alle prestazioni erogate dai consultori familiari in favore degli assistiti residenti e non residenti nel territorio italiano.

Art. 4
Accesso ai dati

1. Al fine di consentire il monitoraggio delle prestazioni erogate dai consultori familiari, il SICOF e' predisposto per permettere:
i. alle unita' organizzative delle regioni e province autonome competenti, come individuate da provvedimenti regionali e provinciali, di consultare la base dati centrale in forma aggregata, a livello aziendale su base annuale al fine di effettuare analisi comparative in materia di assistenza sanitaria e socio-sanitaria;
ii. alle unita' organizzative della Direzione generale competente in materia di programmazione sanitaria, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di digitalizzazione e del sistema informativo sanitario nazionale del Ministero della salute, come individuate dal decreto ministeriale di organizzazione, di consultare le informazioni rese disponibili dal SICOF in forma aggregata, a livello aziendale su base annuale.

Art. 5
Modalita' e tempi di trasmissione

1. Il SICOF viene alimentato con le informazioni relative alle prestazioni erogate dai consultori familiari a partire dal secondo semestre 2023, come individuate nell'art. 1 del presente decreto. I dati relativi all'anno 2023 sono conferiti in via sperimentale.
2. Le informazioni sono trasmesse al NSIS con cadenza semestrale, entro i quarantacinque giorni successivi al periodo di riferimento in cui si sono verificati gli eventi stessi. Un ulteriore periodo di trenta giorni e' comunque ammesso per l'acquisizione dei dati.
3. Le trasmissioni al SICOF devono avvenire secondo le modalita' indicate nel disciplinare tecnico allegato e secondo le specifiche tecniche disponibili sul sito internet del Ministero della salute (www.nsis.salute.gov.it).
4. La trasmissione telematica dei dati, secondo le procedure descritte nel disciplinare tecnico allegato avviene in conformita' alle relative regole tecniche del Sistema pubblico di connettivita' (SPC) previsto e disciplinato dagli articoli 72 e seguenti del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, concernente il codice dell'amministrazione digitale. In particolare, si utilizzera' un protocollo sicuro e si fara' ricorso all'autenticazione bilaterale fra sistemi basata su certificati digitali emessi da un'autorita' di certificazione ufficiale.
5. Ai fini della cooperazione applicativa, le regioni e le province autonome e il Ministero garantiscono la conformita' delle infrastrutture alle regole dettate dal Sistema pubblico di connettivita' (SPC).
6. Eventuali variazioni riguardanti le specifiche tecniche di cui al comma 3, saranno pubblicate, a seguito di condivisione nell'ambito della Cabina di regia del Nuovo sistema informativo sanitario, sul sito internet del Ministero (www.nsis.salute.gov.it), anche in attuazione di quanto previsto dall'art. 54 del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, concernente il codice dell'amministrazione digitale.

Art. 6
Ritardi e inadempienze

1. Le informazioni trasmesse sono sottoposte a verifica in ordine a completezza e qualita', in base agli indicatori specificamente individuati dalle competenti Direzioni generali del Ministero della salute.
2. Il conferimento dei dati, nelle modalita' e nei contenuti di cui al presente decreto, relativi alle prestazioni erogate dai consultori familiari a partire dal 1° gennaio 2025 e' ricompreso fra gli adempimenti cui sono tenute le regioni per l'accesso al finanziamento integrativo a carico dello Stato, ai sensi dell'intesa sancita dalla Conferenza Stato-regioni il 23 marzo 2005.

Art. 7
Interconnessione

1. Secondo quanto previsto dall'art. 9, comma 3 del decreto del Ministro della salute 7 dicembre 2016, n. 262, per le finalita' di cui all'art. 2, del medesimo decreto, al SICOF si applica la procedura di interconnessione di cui all'art. 3 del medesimo decreto.
2. Per le finalita' di cui al presente decreto e di cui all'art. 2 del decreto del Ministro della salute 7 dicembre 2016, n. 262, a ogni assistito e' assegnato, da parte della regione o della provincia autonoma inviante, un codice univoco non invertibile («CUNI»), di cui all'art. 3 del citato decreto del Ministro della salute 7 dicembre 2016, n. 262, che non consente alcuna correlazione immediata con i dati anagrafici. Il Ministero della salute, in fase di acquisizione dei dati, effettua la generazione ed assegnazione del codice univoco nazionale dell'assistito (CUNA) agli assistiti rappresentati dal CUNI, attraverso la diretta sostituzione del codice identificativo non invertibile ricevuto.

Art. 8
Trattamento dei dati

1. Nel SICOF sono raccolti, trattati e conservati solo i dati che sono adeguati, pertinenti e limitati a quanto necessario per il perseguimento delle finalita' del presente decreto, con modalita' e logiche di elaborazione delle informazioni dirette a fornire una rappresentazione aggregata dei dati, a livello aziendale su base annuale, nonche' per le finalita' e secondo le modalita' di cui alle disposizioni del citato decreto del Ministro della salute 7 dicembre 2016, n. 262.
2. Il Ministero della salute e' titolare del trattamento dei dati personali contenuti nel SICOF, eseguito per le finalita' di cui al presente decreto.
3. L'integrita' e la riservatezza dei dati trattati nell'ambito del SICOF, ai sensi del regolamento (UE) 2016/679 e del decreto legislativo 30 giugno 2003, n. 196, vengono garantiti mediante misure tecniche e organizzative stabilite anche sulla base del rischio per i diritti e le liberta' delle persone fisiche e i cui obiettivi di protezione sono descritti nel disciplinare tecnico di cui all'allegato 1 al presente decreto, nonche' dalle procedure di sicurezza relative al software e ai servizi telematici, in conformita' alle linee guida contenenti le regole tecniche adottate ai sensi dell'art. 71 del codice dell'amministrazione digitale.
4. Ad ogni soggetto e' assegnato un codice univoco non invertibile («CUNI»), di cui all'art. 3 del decreto del Ministro della salute 7 dicembre 2016, n. 262, specificato in premessa, dai soggetti alimentanti il NSIS, che non consente alcuna correlazione immediata con i dati anagrafici. Il Ministero della salute, in fase di acquisizione dei dati, effettua la generazione ed assegnazione del codice univoco nazionale dell'assistito (CUNA) agli assistiti rappresentati dal CUNI, attraverso la diretta sostituzione del codice identificativo non invertibile ricevuto.
5. L'invio delle informazioni afferenti al parto in anonimato e all'interruzione volontaria di gravidanza, ovvero che possono rilevare lo stato di adottato dell'interessato, deve avvenire con modalita' tali da assicurare il rispetto delle specifiche garanzie a tutela della riservatezza, previste dalla relativa normativa di settore.
6. La trasmissione telematica dei dati, secondo le procedure descritte nel disciplinare tecnico allegato al presente decreto, avviene in conformita' alle relative regole tecniche del Sistema pubblico di connettivita' (SPC) previsto e disciplinato dagli articoli 73 e seguenti del codice dell'amministrazione digitale. Ai fini di cui al primo periodo, si utilizza un protocollo sicuro e si fa ricorso alla autenticazione bilaterale fra sistemi basata su certificati digitali emessi da un'autorita' di certificazione ufficiale.
7. Ai fini della cooperazione applicativa le regioni e Province autonome di Trento e di Bolzano e il Ministero della salute garantiscono la conformita' delle infrastrutture alle regole dettate dal Sistema pubblico di connettivita' (SPC).

Art. 9
Periodo di conservazione

1. I dati personali presenti nel SICOF sono cancellati trascorsi trent'anni dal decesso dell'interessato, con periodicita' annuale.

Art. 10

Pubblicazione degli aggiornamenti relativi alle specifiche tecniche
delle funzioni e dei servizi

1. Gli aggiornamenti alle specifiche tecniche relative alle funzioni e ai servizi di cui al presente decreto, che non incidano sui tipi di dati trattati e sulle operazioni eseguibili, sono pubblicati, previa condivisione nell'ambito della Cabina di regia del Nuovo sistema informativo sanitario, sul sito internet del Ministero (www.salute.gov.it), anche in attuazione di quanto previsto dall'art. 54 del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, concernente il codice dell'amministrazione digitale.
2. Ove necessario e fuori dei casi previsti dal comma 1, l'allegato 1 al presente decreto e' aggiornato con decreto del direttore della Direzione generale competente in materia di digitalizzazione e sistema informativo sanitario nazionale, in coerenza con il decreto ministeriale di organizzazione del Ministero della salute.

Art. 11
Oneri

1. La realizzazione del presente flusso informativo nazionale e' finanziata dalle risorse previste per l'investimento 1.3.2 «Infrastruttura tecnologica del Ministero della salute e analisi dei dati, modello predittivo per la vigilanza LEA» della Missione 6, Componente 2 del Piano nazionale di ripresa e resilienza (PNRR).
2. In particolare, all'attuazione del presente decreto a livello regionale si provvede con le risorse derivanti da decreto ministeriale 20 gennaio 2022, «Ripartizione programmatica delle risorse alle regioni e alle province autonome per i progetti del Piano nazionale di ripresa e resilienza e del Piano per gli investimenti complementari», come ripartite all'allegato 1, tabella 1.

Art. 12
Disposizioni finali

1. Il presente decreto e' trasmesso ai competenti organi di controllo, e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana ed entra in vigore il quindicesimo giorno dalla predetta pubblicazione.
Roma, 7 agosto 2023

Il Ministro: Schillaci

Registrato alla Corte dei conti il 12 settembre 2023 Ufficio di controllo sugli atti del Ministero dell'istruzione e del merito, del Ministero dell'universita' e della ricerca, del Ministero della cultura, del Ministero della salute e del Ministero del lavoro e delle politiche sociali, n. 2447