| Gazzetta n. 93 del 20 aprile 2024 (vai al sommario) |
| MINISTERO DELL'ECONOMIA E DELLE FINANZE |
| DECRETO 11 aprile 2024 |
| Modifica al decreto 4 agosto 2017, concernente le modalita' di esercizio della facolta' di opposizione all'alimentazione automatica del Fascicolo sanitario elettronico con i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate dal Servizio sanitario nazionale fino al 18 maggio 2020. |
|
|
IL RAGIONIERE GENERALE DELLO STATO
del Ministero dell'economia
e delle finanze
di concerto con
IL CAPO DEL DIPARTIMENTO
dell'amministrazione generale,
delle risorse umane e del bilancio
del Ministero della salute
Visto il decreto 4 agosto 2017 del Ministero dell'economia e delle finanze di concerto con il Ministero della salute, recante «Modalita' tecniche e servizi telematici resi disponibili dall'infrastruttura nazionale per l'interoperabilita' del Fascicolo sanitario elettronico (FSE) di cui all'art. 12, comma 15-ter del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221», pubblicato nella Gazzetta Ufficiale - Serie generale - n. 195 del 22 agosto 2017, e successive modificazioni;
Visto il decreto 7 settembre 2023 del Ministro della salute e del Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega all'innovazione tecnologica di concerto con il Ministro dell'economia e delle finanze (Gazzetta Ufficiale n. 249 del 24 ottobre 2023) e, in particolare:
l'art. 27, che prevede:
al comma 1, che il Ministero della salute e le regioni e province autonome effettuano campagne di informazione in materia di alimentazione e consultazione del FSE, inclusa quella, da effettuarsi entro sei mesi dall'entrata in vigore del presente decreto, per l'alimentazione automatica del FSE con i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate dal Servizio sanitario nazionale fino al 18 maggio 2020 comprensiva della relativa facolta' di opposizione da parte dell'assistito, da manifestarsi entro trenta giorni secondo specifiche modalita' organizzative;
al comma 2, che decorso il termine di cui al comma 1, viene effettuata l'alimentazione del FSE con i dati e documenti digitali sanitari disponibili, generati da eventi clinici riferiti alle prestazioni erogate dal Servizio sanitario nazionale fino al 18 maggio 2020 e riferiti ai soli assistiti che non hanno espresso la loro opposizione;
al comma 3, che i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate al di fuori del Servizio sanitario nazionale fino al 18 maggio 2020 possono essere inseriti nel FSE su iniziativa dell'assistito attraverso il Taccuino personale di cui all'art. 5;
al comma 4, che il FSE viene alimentato con i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate al di fuori del Servizio sanitario nazionale a partire dal 19 maggio 2020;
l'art. 10, che prevede:
al comma 1, che l'indice dei dati e documenti del FSE dell'assistito viene cancellato dal titolare del trattamento decorsi trent'anni dalla data del decesso dello stesso, con periodicita' annuale;
al comma 2, che i dati e i documenti del FSE, inclusi il profilo sanitario sintetico, di cui all'art. 4, e il taccuino personale dell'assistito, di cui all'art. 5, e fatta eccezione per la cartella clinica e i documenti afferenti alla stessa, vengono cancellati dal titolare del trattamento decorsi trent'anni dalla data del decesso dell'assistito stesso, con periodicita' annuale;
Visto l'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, come da ultimo modificato dal decreto-legge 27 gennaio 2022, n. 4, convertito, con modificazioni, dalla legge 28 marzo 2022, n. 25, concernente il Fascicolo sanitario elettronico (FSE);
Visto il parere favorevole del Garante per la protezione dei dati personali circa il modello di informativa al trattamento dei dati personali del FSE, espresso con provvedimento n. 600 del 21 dicembre 2023;
Vista la richiesta delle regioni e Provincie autonome di Trento e Bolzano di assicurare un unico punto di raccolta dell'opposizione all'alimentazione del Fascicolo sanitario elettronico di cui al predetto comma 1 dell'art. 27 del decreto ministeriale 7 settembre 2023, al fine di ottimizzare la spesa informatica, nonche' assicurare il rispetto dei tempi previsti dal medesimo art. 27;
Visto l'art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326 e successive modificazioni, concernente l'istituzione del sistema (c.d. Sistema TS) da parte del Ministero dell'economia e delle finanze;
Visto il comma 2-bis dell'art. 4-bis del decreto 30 dicembre 2020 del Ministero dell'economia e delle finanze di concerto con il Ministero della salute, pubblicato nella Gazzetta Ufficiale del 15 gennaio 2021, n. 11, aggiunto dal decreto 8 giugno 2023 del Ministero dell'economia e delle finanze di concerto con il Ministero della salute, concernente l'adozione delle modalita' l'autenticazione alle procedure delle ricette mediche dematerializzate di farmaci non a carico del Servizio sanitario nazionale gestite dal Sistema tessera sanitaria;
Ritenuto, a fronte della richiesta regionale, di prevedere, attraverso la modifica del predetto decreto 4 agosto 2017:
l'acquisizione on-line della predetta opposizione da parte dell'assistito, attraverso una specifica funzionalita' resa disponibile all'assistito, mediante accesso con la propria identita' digitale, nell'area riservata del portale del Sistema TS http://www.sistemats.it/ - ovvero con i dati della propria tessera sanitaria o del codice STP;
la possibilita' di acquisire, tramite specifica funzionalita' on-line del Sistema TS, i dati dell'opposizione eventualmente resa dall'assistito presso gli intermediari individuati da ciascuna regione o provincia autonoma, da individuarsi esclusivamente nella ASL di assistenza o negli uffici USMAF-SASN del Ministero della salute, rispettivamente per gli assistiti Servizio sanitario nazionale e per i naviganti e aeronaviganti assistiti dal Ministero della salute;
la registrazione della predetta opposizione al pregresso nell'ambito dell'Anagrafe nazionale dei consensi e revoche di cui all'art. 5 del citato decreto 4 agosto 2017;
Visto il decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni, concernente il Codice dell'amministrazione digitale;
Visto il regolamento n. 2016/679/UE del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);
Visto il decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, concernente il Codice in materia di protezione dei dati personali, come modificato dal decreto legislativo 10 agosto 2018, n. 101, concernente «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)»;
Acquisito il parere favorevole del Garante per la protezione dei dati personali espresso con provvedimento n. 158 del 7 marzo 2024 ai sensi dell'art. 36, paragrafo 4, del regolamento (UE) 2016/679, il quale prevede l'ampliamento del periodo previsto per la predetta campagna informativa (almeno sessanta giorni), al fine di garantire un pieno e consapevole esercizio della facolta' di opposizione all'interessato, consentendo l'esercizio della stessa per il medesimo periodo;
Decreta:
Art. 1
Modifiche al decreto 4 agosto 2017
e successive modificazioni
1. Al decreto ministeriale 4 agosto 2017 e successive modificazioni, dopo l'art. 5, e' inserito il seguente articolo:
«Art. 5-bis (Modalita' di esercizio della facolta' di opposizione all'alimentazione ai sensi dell'art. 27 del decreto ministeriale 7 settembre 2023). - 1. Al fine di consentire all'assistito la facolta' di opposizione all'alimentazione del Fascicolo sanitario elettronico con dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate dal Servizio sanitario nazionale fino al 18 maggio 2020, il sistema Tessera sanitaria rende disponibile, nell'area dedicata al cittadino (https://sistemats1.sanita.finanze.it/portale/area-riservata-cittadin o), un'apposita funzionalita', attiva per il periodo di sessanta giorni.
2. L'accesso alla funzionalita' di cui al comma 1 avviene previa verifica dell'identita' digitale (SPID, CIE, CNS) dell'assistito. Qualora l'assistito non sia in possesso di strumenti di identita' digitale, lo stesso puo':
a) accedere alla funzionalita' di cui al comma 1, tramite inserimento dei dati relativi al codice fiscale, numero e data di scadenza della propria tessera sanitaria;
b) per le persone in possesso di codice STP valido, tramite inserimento dei dati relativi al codice STP, regione e data di rilascio del medesimo codice STP;
c) recarsi presso le ASL della regione o provincia autonoma di assistenza ovvero gli assistiti SASN presso uno degli uffici USMAF-SASN individuati quali intermediari per le finalita' di cui al presente articolo. Tali intermediari:
acquisiscono preliminarmente la delega dell'interessato, che compila e sottoscrive il modulo di cui all'allegato F, che fa parte integrante del presente decreto, scaricabile anche dalla funzionalita' di cui al comma 1;
tramite autenticazione a due o piu' fattori, accedono alla specifica funzionalita' del Sistema tessera sanitaria, secondo le modalita' di cui all'allegato E del presente decreto;
la delega sottoscritta dall'interessato e' conservata a cura dell'intermediario per dodici mesi dalla relativa sottoscrizione.
3. Ciascuna regione e provincia autonoma garantisce il servizio di assistenza informativa inerente alla materia del presente articolo, dandone opportuna diffusione attraverso le campagne di comunicazione previste dal citato art. 27 del decreto ministeriale 7 settembre 2023.
4. Con avviso pubblicato in Gazzetta Ufficiale e' data comunicazione della disponibilita' delle suddette funzionalita'. Il medesimo avviso e' reso noto anche nei siti internet istituzionali del Ministero della salute e delle regioni e Provincie autonome di Trento e Bolzano, nonche' sul sito internet del sistema Tessera sanitaria.
5. Sono esclusi dall'ambito di opposizione all'alimentazione i documenti digitali gia' caricati nei FSE regionali per i quali sia stato fornito specifico consenso da parte dell'assistito risultante nell'Anagrafe dei consensi e revoche di cui all'art. 12, comma 15-ter, lettera 4-bis) del decreto-legge n. 179 del 18 ottobre 2012, nonche' le prescrizioni ed erogazioni farmaceutiche e specialistiche rese disponibili a partire dal 1 settembre 2017 e fino al 18 maggio 2020 nei FSE ai sensi dell'art. 14 del presente decreto. E' fatto salvo il diritto dell'assistito di revocare l'opposizione entro la scadenza del periodo di cui al comma 1.
6. L'opposizione all'alimentazione, nel rispetto dei tempi previsti dal comma 1, viene comunicata dal sistema Tessera sanitaria all'Anagrafe dei consensi e revoche, prevista dall'art. 5, con soluzioni tecnologiche che non prevedono meccanismi di persistenza dei dati trattati.
7. Scaduto il termine previsto dal comma 1, INI notifica a ciascun FSE delle regioni e province autonome ovvero ai SASN di assistenza l'elenco degli assistiti di propria competenza per i quali risulta l'opposizione nell'Anagrafe dei consensi e revoche ai sensi del comma 6 e per i quali, pertanto, non e' possibile procedere all'alimentazione automatica dei dati pregressi, ai sensi dell'art. 27 del predetto decreto ministeriale 7 settembre 2023. Tale comunicazione avviene tramite l'apposito servizio di notifica di opposizione al pregresso descritto nell'allegato E.
8. Il Ministero dell'economia e delle finanze, per il tramite di Sogei S.p.a., esclusivamente per la parte tecnica relativa alla funzionalita' di cui al comma 1, garantisce l'assistenza attraverso i propri canali gia' attivi.
9. I dati relativi all'opposizione al pregresso, registrati nell'Anagrafe dei consensi e delle revoche, di cui al presente articolo, vengono cancellati dal titolare del trattamento decorso il periodo di cui all'art. 10 del decreto 7 settembre 2023.
10. Le modalita' tecniche per l'esercizio dell'opposizione di cui al presente articolo, da parte dell'assistito, sono contenute nel disciplinare tecnico, allegato E, che costituisce parte integrante del presente decreto.
11. Al fine di assicurare all'interessato informazioni omogenee e uniformi sul territorio nazionale, nell'allegato G, che costituisce parte integrante del presente decreto, e' riportato il modello di informativa, ai sensi dell'art. 13 del regolamento (UE) 2016/679, da pubblicare sul portale del Sistema TS http://www.sistemats.it/ - per l'opposizione all'alimentazione automatica del FSE con i dati e i documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate dal Servizio sanitario nazionale fino al 18 maggio 2020, di cui al presente articolo. L'informativa riporta, tra l'altro, l'indicazione della possibilita' di delegare l'opposizione a terzi nonche', per il caso degli intermediari, anche il tipo di trattamento dei dati connesso alla delega e il tempo di conservazione della medesima delega. Il Ministero dell'economia e delle finanze e' responsabile dei trattamenti di raccolta e registrazione dell'opposizione all'alimentazione del FSE con dati e documenti degli eventi clinici relativi all'assistenza sanitaria fino al 18 maggio 2020. La regione di assistenza, come risultante dall'ANA alla data del presente decreto e il Ministero della salute, limitatamente agli assistiti SASN alla data del presente decreto, sono titolari dei trattamenti di registrazione dell'opposizione all'alimentazione del FSE con dati e documenti degli eventi clinici relativi all'assistenza sanitaria fino al 18 maggio 2020.».
|
| | Allegato E
DISCIPLINARE TECNICO - FSE
OPPOSIZIONE AL PREGRESSO
Indice
1. Introduzione
2. Modalita' di esercizio dell'opposizione
2.1. Portale sistema TS
3. Accesso ai servizi
4. Modalita' di autenticazione
5. Servizi e dati
6. Azioni successive all'espressione dell'opposizione
7. Servizio di notifica dell'opposizione
8. Misure di sicurezza
8.1. Infrastruttura fisica
8.2. Registrazione degli utenti ed assegnazione degli strumenti di sicurezza
8.3. Canali di comunicazione
8.4. Sistema di monitoraggio del servizio
8.5. Protezione da attacchi informatici
8.6. Sistemi e servizi di backup e disaster recovery
8.7. Sistema di log analysis applicativo
8.8. Accesso ai sistemi 1. Introduzione.
Il presente documento descrive le modalita' tecniche per l'espressione da parte dell'assistito dell'opposizione al caricamento dei dati sanitari generati da eventi clinici occorsi allo stesso antecedentemente al 19 maggio 2020 (c.d. «opposizione al pregresso»), nel proprio FSE e relativi a prestazioni Servizio sanitario nazionale. 2. Modalita' di esercizio dell'opposizione. 2.1. Portale sistema TS.
Per le finalita' indicate nel presente decreto, il sistema Tessera sanitaria rende disponibile, nell'area riservata dedicata al cittadino (https://sistemats1.sanita.finanze.it/portale/area-riservata-cittadin o), un'apposita funzione di opposizione al pregresso per FSE, esclusivamente per il periodo indicato nel presente decreto.
L'accesso a tale funzione avviene previa verifica dell'identita' digitale (SPID, CIE, CNS) dell'assistito. Qualora l'assistito non sia in possesso di strumenti di identita' digitale, lo stesso puo' recarsi presso gli intermediari individuati dalla regione o provincia autonoma di assistenza. A tal fine, ciascuna regione o provincia autonoma comunica al Sistema TS l'elenco delle ASL individuate e degli uffici USMAF-SASN per i quali il sistema Tessera sanitaria rende disponibile un'apposita funzionalita' nell'area riservata dedicata agli operatori: (https://sistemats1.sanita.finanze.it/portale/area-riservata-operator e).
In alternativa, sempre nel caso in cui l'assistito non sia in possesso di strumenti di identita' digitale, puo' esprimere l'opposizione attraverso una funzione presente nell'area libera del Sistema TS, inserendo il codice fiscale, il numero della tessera sanitaria e la sua data di scadenza.
Una ulteriore alternativa, per i soggetti in possesso del codice STP, prevede l'espressione dell'opposizione attraverso una funzione presente nell'area libera del Sistema TS, inserendo il codice STP, la regione di rilascio del codice STP e la data di rilascio del codice STP. 3. Accesso ai servizi.
Le possibilita' di accesso ai servizi da parte degli attori coinvolti nel processo sono riassunte nella seguente tabella:
Parte di provvedimento in formato grafico
La trasmissione dei dati da parte degli utenti 1, 2, 3 e 4 di cui sopra sono da intendersi come collegamento diretto al Sistema TS. 4. Modalita' di autenticazione.
Per l'accesso al Sistema TS, le ASL e gli uffici USMAF-SASN possono utilizzare unicamente modalita' a due o piu' fattori.
In particolare, per l'espressione dell'opposizione e' previsto l'utilizzo di una web application del Sistema TS alla quale e' possibile accedere nel seguente modo: autenticazione SPID/CIE/TS-CNS tramite cui l'utente sara' indirizzato in base al codice fiscale al profilo riconosciuto e abilitato da Sistema TS.
In alternativa, qualora l'assistito non sia in possesso di strumenti di identita' digitale, puo' esprimere l'opposizione attraverso una funzione presente nell'area libera del Sistema TS, inserendo il codice fiscale, il numero della tessera sanitaria e la sua data di scadenza.
Come ulteriore alternativa, i soggetti in possesso del codice STP possono esprimere l'opposizione attraverso una funzione presente nell'area libera del Sistema TS, inserendo il codice STP, la regione di rilascio del codice STP e la data di rilascio del codice STP. 5. Servizi e dati.
L'assistito accedendo al portale https://sistemats1.sanita.finanze.it/portale tramite SPID/CIE/TS-CNS potra' entrare nella funzionalita' dedicata all'opposizione al pregresso per il FSE, attiva per il periodo indicato dal presente decreto, ed esprimere la volonta' di opporsi al caricamento del pregresso per documenti ante 19 maggio 2020. L'espressione dell'opposizione si puo' esercitare anche tramite l'analoga funzionalita' presente nell'area libera del Sistema TS.
INI riceve i dati indicati dall'assistito e verifica tramite ANA (e nelle more tramite il Sistema TS) l'esistenza dell'assistenza sanitaria e la regione di assistenza. Nel caso in cui l'assistito non risulti avere assistenza sanitaria viene presentata una pagina web con messaggio di errore. Diversamente nel caso in cui l'assistito abbia un'assistenza sanitaria viene presentata una pagina web per l'espressione dell'opposizione al pregresso.
Dopo la lettura e conferma di presa visione dell'informativa, richiamata nelle premesse del decreto, l'assistito puo' esprimere l'opposizione al pregresso.
Sono esclusi dall'ambito di opposizione all'alimentazione i documenti digitali gia' caricati nei FSE regionali per i quali sia stato fornito specifico consenso da parte dell'assistito, nonche' le prescrizioni ed erogazioni farmaceutiche e specialistiche rese disponibili nei FSE.
I dati relativi all'opposizione al pregresso sono memorizzati nell'Anagrafe dei consensi e revoche (decreto ministeriale 4 agosto 2017) con soluzioni tecnologiche che non prevedono meccanismi di persistenza dei dati trattati nel Sistema TS. La struttura dati e' la seguente:
Parte di provvedimento in formato grafico
La funzione di opposizione al pregresso FSE consente all'assistito di revocare, eventualmente, l'opposizione espressa, esclusivamente nel periodo in cui tale funzione e' attiva.
Al termine di tale periodo verra' presa in considerazione solo l'ultima decisione espressa dall'assistito, ovvero l'opposizione o la sua revoca. 6. Azioni successive all'espressione dell'opposizione.
Scaduto il termine previsto dall'art. 5-bis, comma 1, del presente decreto, INI notifica ai FSE delle regioni e province autonome di assistenza ovvero ai SASN l'elenco degli assistiti di propria competenza per i quali risulta l'opposizione nell'Anagrafe dei consensi e revoche ai sensi del comma 6 e per i quali, pertanto, non e' possibile procedere all'alimentazione automatica dei dati pregressi. Tale comunicazione avviene tramite l'apposito servizio di notifica di opposizione al pregresso.
Il servizio di notifica e' realizzato in modalita' web service; la comunicazione avviene una tantum al termine del periodo utile per l'espressione dell'opposizione, comunicando i seguenti dati: codice fiscale/STP, valore di opposizione e data di opposizione. Il servizio di notifica e' descritto nel paragrafo 7.
Nel caso di espressione dell'opposizione al pregresso, i soggetti alimentanti il FSE non possono inserire documenti prodotti prima del 19 maggio 2020.
A tal fine, scaduto il termine previsto dal suddetto art. 5-bis, comma 1, del presente decreto, e terminata l'acquisizione delle opposizioni al pregresso da parte delle regioni, INI, solo nel caso di presenza di opposizione, implementa un blocco sul singolo assistito impedendo l'alimentazione con tali documenti attraverso il servizio di comunicazione metadati.
Nel caso di non espressione dell'opposizione al pregresso, i soggetti alimentanti il FSE possono inserire documenti prodotti prima del 19 maggio 2020 e INI permette l'alimentazione. 7. Servizio di notifica dell'opposizione.
Il servizio di notifica consente l'invio alla regione di assistenza dell'interessato (che coincide con la regione di collocazione del FSE) dell'informazione di opposizione espressa dall'assistito. Non e' prevista la notifica in caso non sia stata espressa l'opposizione o in caso di espressione negativa.
Il servizio e' realizzato in modalita' web service. La comunicazione avviene su protocollo almeno pari a TLSv1.2. L'autenticazione verso il sistema regionale FSE ricevente e' realizzata tramite certificato di autenticazione.
Di seguito il messaggio di richiesta del servizio.
===================================================================== | Campo | Descrizione | Fonte | +===========================+=============================+=========+ |Identificativo assistito |Codice fiscale/STP | INI | +---------------------------+-----------------------------+---------+ | |Data di espressione | | |Data opposizione |dell'opposizione | INI | +---------------------------+-----------------------------+---------+ | |Valore dell'opposizione (e' | | | |un campo tecnico valorizzato | | |Valore opposizione |sempre a TRUE) | INI | +---------------------------+-----------------------------+---------+
Di seguito i messaggi di risposta del servizio.
Messaggio di risposta (successo):
=======================================================
| Campo | Descrizione | Fonte |
+=================+=======================+===========+
|Stato risposta |Successo | FSE |
+-----------------+-----------------------+-----------+
Messaggio di risposta (errore):
=============================================================
| Campo | Descrizione | Fonte |
+=======================+=======================+===========+
|Stato risposta |Fallimento | FSE |
+-----------------------+-----------------------+-----------+
|Codice errore |Codifica errore | FSE |
+-----------------------+-----------------------+-----------+
|Descrizione |Descrizione errore | FSE |
+-----------------------+-----------------------+-----------+
8. Misure di sicurezza. 8.1. Infrastruttura fisica.
L'infrastruttura fisica e' realizzata dal Ministero dell'economia e delle finanze attraverso l'utilizzo dell'infrastruttura del Sistema tessera sanitaria in attuazione di quanto disposto dall'art. 50 del decreto-legge n. 269/2003, nonche', per l'infrastruttura INI, da quanto disciplinato dal presente decreto.
I locali sono sottoposti a videosorveglianza continua e sono protetti da qualsiasi intervento di personale esterno, ad esclusione degli accessi di personale preventivamente autorizzato necessari alle attivita' di manutenzione e gestione tecnica dei sistemi e degli apparati.
L'accesso ai locali avviene secondo una documentata procedura, prestabilita dal titolare del trattamento dei dati, che prevede l'identificazione delle persone che accedono e la registrazione degli orari di ingresso ed uscita di tali persone. 8.2. Registrazione degli utenti ed assegnazione degli strumenti di
sicurezza.
E' presente una infrastruttura di Identity e Access Management che censisce direttamente le utenze, accogliendo flussi di autenticazione e di autorizzazione, per l'assegnazione dei certificati client di autenticazione, delle credenziali di autenticazione e delle risorse autorizzative.
L'autenticazione degli assistiti avviene tramite le seguenti modalita' forti a due o piu' fattori: SPID, CIE, TS-CNS. In alternativa, e' possibile accedere all'applicazione tramite inserimento del codice fiscale, numero di tessera sanitaria e data di scadenza della tessera. Come ulteriore alternativa, i soggetti in possesso del codice STP possono accedere all'applicazione inserendo il codice STP, la regione di rilascio del codice STP e la data di rilascio del codice STP.
L'autenticazione delle ASL e degli uffici USMAF-SASN avviene esclusivamente attraverso modalita' a due o piu' fattori: SPID, CIE, TS-CNS. 8.3. Canali di comunicazione.
Le comunicazioni sono scambiate in modalita' sicura su rete internet, mediante protocollo TLS in versione minima 1.2, al fine di garantire la riservatezza dei dati. I protocolli di comunicazione TLS, gli algoritmi e gli altri elementi che determinano la sicurezza del canale di trasmissione protetto sono continuamente adeguati in relazione allo stato dell'arte dell'evoluzione tecnologica, in particolare per il TLS non sono negoziati gli algoritmi crittografici piu' datati (es. MD5). 8.4. Sistema di monitoraggio del servizio.
Per il monitoraggio dei servizi, il Ministero dell'economia e delle finanze si avvale di uno specifico sistema di reportistica. Il sistema di reportistica offre funzioni per visualizzare i dati aggregati come il numero di transazioni effettuate e i relativi esiti. L'aggregazione puo' essere fatta per regione o per tipologia di utente che effettua la transazione. La finalita' e' di fornire il monitoraggio dell'andamento del progetto sia nella fase di avvio che nella fase a regime. 8.5. Protezione da attacchi informatici.
Per proteggere i sistemi dagli attacchi informatici al fine di eliminare le vulnerabilita', si utilizzano le seguenti tecnologie o procedure:
a) aggiornamenti periodici dei sistemi operativi e dei software di sistema, hardening delle macchine;
b) adozione di una infrastruttura di sistemi firewall e sistemi IPS (Intrusion Prevention System) che consentono la rilevazione dell'esecuzione di codice non previsto e l'esecuzione di azioni in tempo reale quali il blocco del traffico proveniente da un indirizzo IP attaccante;
c) esecuzione di WAPT (Web Application Penetration Test), per la verifica della presenza di eventuali vulnerabilita' sul codice sorgente. 8.6. Sistemi e servizi di backup e disaster recovery.
E' previsto il backup dei sistemi.
E' previsto il disaster recovery dei dati. 8.7. Sistema di log analysis applicativo.
Non e' previsto un sistema di log analysis applicativo, non e' prevista la registrazione dei dati applicativi. 8.8. Accesso ai sistemi.
L'infrastruttura dispone di sistemi di tracciamento degli accessi ai sistemi informatici di supporto come base dati, server web e infrastrutture a supporto del servizio.
L'accesso alla base dati avviene tramite utenze nominali o riconducibili ad una persona fisica (escluse le utenze di servizio). Il sistema di tracciamento registra (su appositi log) le seguenti informazioni: identificativo univoco dell'utenza che accede, data e ora di login, logout e login falliti, postazione di lavoro utilizzata per l'accesso (IP client), tipo di operazione eseguita sui dati (ad esclusione delle risposte alle query).
Per ogni accesso ai sistemi operativi, ai sistemi di rete, al software di base e ai sistemi complessi, il sistema di tracciamento registra (su appositi log) le seguenti informazioni: identificativo univoco dell'utenza che accede, data e ora di login, logout e login falliti, postazione di lavoro utilizzata per l'accesso (IP client).
I log prodotti dai sistemi di tracciamento infrastrutturali sono soggetti a monitoraggio costante allo scopo di individuare eventuali anomalie inerenti alla sicurezza (accessi anomali, operazioni anomale, ecc.) e di valutare l'efficacia delle misure implementate.
I log di accesso degli amministratori di sistema e degli incaricati sono protetti da eventuali tentativi di alterazione e dispongono di un sistema di verifica della loro integrita'.
I log relativi agli accessi e alle operazioni effettuate sui sistemi operativi, sulla rete, sul software di base e sui sistemi complessi sono conservati per dodici mesi.
I dati dell'opposizione al pregresso hanno lo stesso tempo di conservazione indicato nell'art. 10 del decreto 7 settembre 2023.
|
| | Allegato F
MODULO DI DELEGA - FSE
OPPOSIZIONE AL PREGRESSO
Parte di provvedimento in formato grafico
|
| | Allegato G
INFORMATIVA AL TRATTAMENTO DEI DATI PERSONALI PER L'OPPOSIZIONE
ALL'ALIMENTAZIONE AUTOMATICA DEL FSE CON I DATI E I DOCUMENTI
DIGITALI SANITARI GENERATI DA EVENTI CLINICI RIFERITI ALLE
PRESTAZIONI EROGATE DAL SERVIZIO SANITARIO NAZIONALE FINO AL 18
MAGGIO 2020.
Ai sensi dell'art. 13 del regolamento generale sulla protezione dei
dati
1. Premessa.
Il Fascicolo sanitario elettronico (di seguito anche «FSE») e' un insieme di dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici, che La riguardano, riferiti a prestazioni erogate dal Servizio sanitario nazionale (SSN) e da strutture sanitarie private.
Il FSE e' uno strumento fondamentale per il miglioramento della qualita' della cura, in quanto fornisce un quadro clinico particolareggiato quando Lei si rivolge a un professionista sanitario (il proprio medico di famiglia, uno specialista, in caso di accesso al pronto soccorso, etc.). 2.Opposizione all'alimentazione del FSE con dati e documenti degli
eventi clinici relativi all'assistenza sanitaria da Lei ricevuta
fino al 18 maggio 2020. 2.1. Che cosa e?
Ai sensi dell'art. 12 del decreto-legge n. 179/2012 convertito con modificazioni dalla legge n. 221/2012, come modificato dal decreto-legge n. 34/2020, a partire dal 19 maggio 2020, il suo FSE e' alimentato in maniera continuativa e tempestiva dai soggetti e dagli esercenti le professioni sanitarie, anche non appartenenti al Servizio sanitario nazionale, con i dati degli eventi clinici relativi all'assistenza sanitaria da Lei ricevuta. Per l'alimentazione del suo FSE e' disponibile l'apposita informativa presso la sua regione di assistenza. Il modello di informativa da adottare a cura delle regioni e Provincie autonome di Trento e Bolzano e' disponibile qui [inserire link].
Per i dati e documenti degli eventi clinici relativi all'assistenza sanitaria da Lei ricevuta fino al 18 maggio 2020, il suo FSE non e' alimentato automaticamente e Lei puo' esprimere la sua eventuale opposizione a tale alimentazione automatica entro il [...]. Sono esclusi dall'ambito di opposizione all'alimentazione i documenti digitali disponibili nel suo FSE per i quali Lei abbia gia' fornito specifico consenso all'alimentazione, nonche' le prescrizioni ed erogazioni farmaceutiche e specialistiche rese disponibili a partire dal 1° settembre 2017 e fino al 18 maggio 2020 nei FSE, ai sensi dell'art. 14 del decreto del Ministero dell'economia e delle finanze 4 agosto 2017 e successive modificazioni.
Qualora Lei non esprima l'opposizione all'alimentazione automatica entro il [...], il suo FSE sara' alimentato con i dati e documenti digitali disponibili riferiti agli eventi clinici e relativi all'assistenza sanitaria da Lei ricevuta fino al 18 maggio 2020. 2.2. Come si esercita?
Per esprimere la sua eventuale opposizione all'alimentazione del suo FSE con i dati e i documenti degli eventi clinici relativi all'assistenza sanitaria da Lei ricevuta fino al 18 maggio 2020, e' disponibile una specifica funzionalita' nell'area riservata del portale del Sistema TS http://www.sistemats.it/ - alla quale potra' accedere con la propria identita' digitale (SPID, CIE e CNS-TS), oppure con i dati della sua tessera sanitaria o con i dati del suo codice STP. In alternativa puo' recarsi presso un intermediario (la sua ASL di assistenza ovvero, in caso di assistenza SASN, presso uno degli uffici USMAF-SASN). Se esprime l'opposizione, Lei ha anche il diritto di revocarla entro la scadenza del [...]. Tali intermediari acquisiscono preliminarmente la sua delega, attraverso la sottoscrizione del modulo pubblicato sul portale del Sistema tessera sanitaria, www.sistemats.it 2.3. Trattamento dei dati dell'opposizione.
L'opposizione all'alimentazione del suo FSE, espressa entro la scadenza del [...], viene comunicata dal sistema Tessera sanitaria all'Anagrafe dei consensi e revoche, prevista dal decreto ministeriale 4 agosto 2017 e successive modificazioni, con soluzioni tecnologiche che non prevedono meccanismi di persistenza dei dati trattati.
Scaduto il termine del [...], a ciascun FSE delle regioni e province autonome, ovvero ai SASN, viene notificato l'elenco degli assistiti di propria competenza per i quali risulta espressa l'opposizione nell'Anagrafe dei consensi e revoche per i quali, pertanto, non e' possibile procedere all'alimentazione automatica dei dati pregressi ai sensi del decreto ministeriale 7 settembre 2023. 3. Titolari dei trattamenti di raccolta e registrazione
dell'opposizione all'alimentazione del FSE con dati e documenti
degli eventi clinici relativi all'assistenza sanitaria da Lei
ricevuta fino al 18 maggio 2020.
In coerenza con quanto previsto dal decreto ministeriale 7 settembre 2023, il Ministero dell'economia e delle finanze e' responsabile dei trattamenti di raccolta e registrazione dell'opposizione all'alimentazione del FSE con dati e documenti degli eventi clinici relativi all'assistenza sanitaria da Lei ricevuta fino al 18 maggio 2020. La regione di assistenza, come risultante dall'ANA alla data del [...], e il Ministero della salute, limitatamente agli assistiti SASN alla data del [...], sono titolari dei trattamenti di registrazione dell'opposizione all'alimentazione del FSE con dati e documenti degli eventi clinici relativi all'assistenza sanitaria da Lei ricevuta fino al 18 maggio 2020. 4. Periodo di conservazione dei dati.
I dati relativi all'opposizione al pregresso vengono cancellati dal titolare del trattamento decorsi trent'anni dalla data di decesso dell'assistito con periodicita' annuale.
La delega sottoscritta dall'interessato e' conservata a cura dell'intermediario per dodici mesi dalla relativa sottoscrizione. 5. Il Responsabile della protezione dei dati personali (RPD).
Il Responsabile della protezione dei dati personali (o Data Protection Officer - DPO) e' un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del regolamento privacy, e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Il RPD nominato dalla regione [...] e' contattabile all'indirizzo e-mail [...] o presso la sede della regione stessa [...].
I recapiti dei RPD nominati dagli altri titolari del trattamento sono resi disponibili sui siti istituzionali dei titolari stessi. 6. Soggetti autorizzati al trattamento e ambito di comunicazione dei
dati.
I Suoi dati personali sono trattati dal personale dei titolari e del/i responsabile/i del trattamento previamente autorizzato/i ai trattamenti di dati personali effettuati, a cui sono impartite idonee istruzioni in ordine a misure, accorgimenti, modus operandi - tutti volti alla concreta tutela dei Suoi dati personali.
I Suoi dati personali non sono in alcun caso soggetti a diffusione. 7. Trasferimento dei dati personali verso paesi non appartenenti
all'Unione europea.
In nessun caso i dati del Suo FSE sono trasferiti verso Paesi che non appartengono all'Unione europea. 8. Principali riferimenti normativi di settore.
Fascicolo sanitario elettronico: art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 e successive modificazioni.
Regolamento in materia di fascicolo sanitario elettronico: decreto del Presidente del Consiglio dei ministri 29 settembre 2015, n. 178.
Decreto del Ministro della salute e del Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega all'innovazione tecnologica di concerto con il Ministro dell'economia e delle finanze 7 settembre 2023, recante «Fascicolo sanitario elettronico 2.0». 9. Glossario.
ANA: l'Anagrafe nazionale degli assistiti, unica anagrafe di riferimento per il Servizio sanitario nazionale, che subentra alle anagrafi e agli elenchi degli assistiti tenuti dalle singole aziende sanitarie locali.
Anagrafe consensi e revoche: l'anagrafe nazionale presso la quale sono conservati i dati relativi ai consensi e alle revoche espressi dagli assistiti relativamente all'accesso al FSE per le finalita' di diagnosi, cura e riabilitazione, prevenzione e profilassi internazionale.
SASN: i Servizi di assistenza sanitaria al personale navigante, marittimo e dell'aviazione civile. Tali servizi sono assicurati dagli Uffici di sanita' marittima, aerea e di frontiera e dei Servizi territoriali per l'assistenza sanitaria al personale navigante, marittimo e dell'aviazione civile (USMAF-SASN) del Ministero della salute.
|
| | Art. 2
Clausola di invarianza finanziaria
1. Dall'attuazione del presente decreto non derivano nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti previsti dal presente decreto con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.
Il presente decreto sara' pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 11 aprile 2024
Il Ragioniere generale dello Stato
Mazzotta
Il Capo del Dipartimento
dell'amministrazione generale, delle risorse umane e del bilancio
Celotto
|
| |
|
|