vai al Contenuto

Portale Norme & Concorsi Salute

Numero Atti:60799
Ultima Gazzetta Ufficiale del: 15 gennaio 2019 Ultima Modifica: 17 gennaio 2019
servizio rss

Dettaglio atto

Ministero della Salute

Decreto 06 agosto 2012

Modifiche al decreto 17 dicembre 2008, recante «Istituzione del sistema informativo per il monitoraggio dell'assistenza domiciliare». (12A09199)

(G.U. Serie Generale , n. 197 del 24 agosto 2012)

 
 
 
                      IL MINISTRO DELLA SALUTE 
 
  Visto il decreto legislativo 30 dicembre 1992, n. 502, e successive
modificazioni,  recante  «Riordino  della   disciplina   in   materia
sanitaria, a norma dell'art. 1 della legge 23 ottobre 1992, n. 421»; 
  Visto il decreto del  Presidente  del  Consiglio  dei  Ministri  14
febbraio 2001 «Atto  di  indirizzo  e  coordinamento  in  materia  di
prestazioni socio-sanitarie in attuazione dell'art. 2 della legge  30
novembre 1998, n. 419», pubblicato nella Gazzetta  Ufficiale  n.  129
del 6 giugno 2001, che, all'art. 4, prevede che: 
  per  favorire  l'efficacia  e  l'appropriatezza  delle  prestazioni
socio-sanitarie necessarie a soddisfare le  necessita'  assistenziali
dei  soggetti  destinatari,  l'erogazione  delle  prestazioni  e  dei
servizi  e'  organizzata   di   norma   attraverso   la   valutazione
multidisciplinare del bisogno, la definizione di un piano  di  lavoro
integrato e personalizzato e la valutazione periodica  dei  risultati
ottenuti; 
  la regione emana indirizzi e protocolli volti  ad  omogeneizzare  a
livello territoriale i criteri della valutazione multidisciplinare  e
l'articolazione del piano di lavoro  personalizzato  vigilando  sulla
loro  corretta  applicazione  al  fine  di  assicurare  comportamenti
uniformi ed omogenei a livello territoriale; 
  Visto il decreto del  Presidente  del  Consiglio  dei  Ministri  29
novembre 2001, pubblicato nella Gazzetta Ufficiale 8  febbraio  2002,
n.  33,  supplemento  ordinario,  recante  «Definizione  dei  livelli
essenziali di assistenza», che  individua  l'assistenza  territoriale
domiciliare tra le prestazioni di assistenza sanitaria garantite  dal
Servizio sanitario nazionale in  quanto  ricompresa  nel  livello  di
assistenza distrettuale; 
  Visto l'Accordo-quadro tra il Ministro della sanita', le regioni  e
le province autonome, sancito  dalla  Conferenza  permanente  tra  lo
Stato, le regioni e le province autonome di Trento e di Bolzano nella
seduta del 22 febbraio 2001 (rep. atti n. 1158) relativo al piano  di
azione coordinato per  lo  sviluppo  del  Nuovo  sistema  informativo
sanitario nazionale (NSIS), che all'art. 6 stabilisce che le funzioni
di indirizzo, coordinamento e controllo delle fasi di attuazione  del
Nuovo sistema informativo sanitario (NSIS), debbano essere esercitate
congiuntamente attraverso un organismo denominato «Cabina di regia»; 
  Visto il decreto del Ministro della salute del 14 giugno 2002,  con
il quale e' stata istituita la cabina di regia per  lo  sviluppo  del
Nuovo sistema informativo sanitario nazionale (NSIS); 
  Vista l'intesa sancita dalla Conferenza permanente tra lo Stato, le
regioni e le province autonome di Trento e di  Bolzano  nella  seduta
del 23 marzo 2005 (rep. atti n. 2271),  in  attuazione  dell'art.  1,
commi 173 e 180, della legge 30 dicembre 2004, n. 311,  5,  la  quale
dispone all'art. 3 che: 
  la definizione ed il continuo adeguamento nel tempo  dei  contenuti
informativi e delle modalita'  di  alimentazione  del  Nuovo  sistema
informativo sanitario (NSIS), come indicato al comma 5, sono affidati
alla cabina di regia e vengono recepiti dal  Ministero  della  salute
con  propri  decreti  attuativi,  compresi   i   flussi   informativi
finalizzati alla verifica degli standard qualitativi  e  quantitativi
dei livelli essenziali di assistenza; 
  il conferimento dei dati al  Sistema  informativo  sanitario,  come
indicato al comma 6, e'  ricompreso  tra  gli  adempimenti  cui  sono
tenute le regioni per l'accesso al finanziamento integrativo a carico
dello Stato di cui all'art. 1, comma 164,  della  legge  30  dicembre
2004, n. 311; 
  Vista l'intesa sancita dalla Conferenza permanente tra lo Stato, le
regioni e le province autonome di Trento e di  Bolzano  nella  seduta
del 3 dicembre 2009 (rep. atti n. 243) sul Nuovo patto per la  salute
2010-2012 che: 
  all'art. 4, ai fini dell'accesso al finanziamento  integrativo  del
Servizio   sanitario   nazionale,   stabilisce   che    costituiscono
adempimento regionale gli adempimenti  derivanti  dalla  legislazione
vigente e quelli derivanti dagli accordi e dalle  intese  intervenute
tra lo Stato, le regioni e  le  province  autonome  di  Trento  e  di
Bolzano; 
  all'art. 17 sul Nuovo sistema  informativo  sanitario  dispone  una
proroga dei compiti e della composizione della cabina  di  regia  del
NSIS fino alla stipula  del  nuovo  accordo  di  riadeguamento  della
composizione e delle modalita' di funzionamento della stessa; 
  Considerato che il Nuovo sistema informativo sanitario (NSIS) ha la
finalita' di supportare il monitoraggio  dei  livelli  essenziali  di
assistenza,  attraverso  gli  obiettivi  strategici  approvati  dalla
cabina di regia nella seduta dell'11 settembre 2002; 
  Vista l'intesa sancita dalla Conferenza permanente tra lo Stato, le
regioni e le province autonome di Trento e di  Bolzano  nella  seduta
del 10 dicembre 2003 (rep. atti n. 1895), la  quale  dispone  l'avvio
del  progetto  «Mattoni  del  Servizio   sanitario   nazionale»   con
l'obiettivo di individuare le metodologie e i  contenuti  informativi
necessari al pieno sviluppo del Nuovo sistema  informativo  sanitario
(NSIS); 
  Visto il parere positivo espresso, in data 16  maggio  2007,  dalla
cabina di regia  per  il  Nuovo  sistema  informativo  sanitario  sul
documento «Assistenza primaria e prestazioni domiciliari -  Relazione
finale»,  conclusivo  delle  attivita'  condotte   dal   Mattone   13
«Assistenza  primaria  e  prestazioni  domiciliari»  nell'ambito  del
programma «Mattoni del Servizio sanitario nazionale»; 
  Visto il parere positivo espresso, in data 18 ottobre  2006,  dalla
Commissione di cui all'art. 4-bis, comma  10,  del  decreto-legge  15
aprile 2002, n. 63, convertito, con  modificazioni,  dalla  legge  15
giugno  2002,  n.  112,  sul   documento   «Nuova   caratterizzazione
dell'assistenza   territoriale   domiciliare   e   degli   interventi
ospedalieri a domicilio»; 
  Visto il decreto  legislativo  30  giugno  2003,  n.  196,  recante
«Codice in materia di protezione dei dati  personali»,  e  successive
modificazioni; 
  Visto il decreto del Ministro della salute  12  dicembre  2007,  n.
277, recante «Regolamento di attuazione dell'art. 20, commi  2  e  3,
dell'art. 21 e  dell'art.  181,  comma  1,  lettera  a)  del  decreto
legislativo 30 giugno 2003, n. 196, recante: «Codice  in  materia  di
protezione dei  dati  personali»,  con  il  quale  si  individuano  i
trattamenti dei dati sensibili e giudiziari effettuati dal  Ministero
della salute; 
  Visto, in particolare,  l'allegato  C-01  del  citato  decreto  del
Ministro della salute n. 277 del 2007, che prevede il trattamento  di
dati sensibili per finalita' di programmazione, gestione, controllo e
valutazione dell'assistenza sanitaria, ai sensi dell'art.  85,  comma
1, lettera b), del citato Codice in materia di  protezione  dei  dati
personali, senza elementi identificativi diretti; 
  Visti i  regolamenti  per  il  trattamento  dei  dati  sensibili  e
giudiziari adottati dalle regioni e province autonome in  conformita'
allo schema tipo di regolamento volto a  disciplinare  i  trattamenti
dei dati sensibili e giudiziari effettuati dalle regioni  e  province
autonome, ai sensi degli articoli 20 e 21 del decreto legislativo  30
giugno  2003,  n.  196,  approvato  dall'Autorita'  garante  per   la
protezione dei dati personali in data 13 aprile 2006; 
  Rilevato, in particolare, che la scheda 12 del suddetto schema tipo
di regolamento per il trattamento dei  dati  sensibili  e  giudiziari
effettuati dalle regioni e province  autonome,  prevede  che  i  dati
provenienti  dalle  aziende  sanitarie  locali  siano  privati  degli
elementi identificativi diretti subito dopo la loro  acquisizione  da
parte della regione o provincia autonoma; che, ai fini della verifica
della  non  duplicazione  delle  informazioni   e   della   eventuale
interconnessione con altre banche dati sanitarie  della  regione,  la
specifica struttura tecnica individuata  dalla  regione,  alla  quale
viene esplicitamente affidata la funzione infrastrutturale,  provvede
ad assegnare ad ogni soggetto un codice univoco che non  consente  la
identificazione dell'interessato durante  il  trattamento  dei  dati;
che, qualora le regioni e le  province  autonome  non  dispongano  di
sistemi di codifica, coerenti con quanto stabilito nello schema  tipo
di regolamento, i dati saranno inviati in forma anonima; 
  Considerato che, tra gli obiettivi  strategici  del  Nuovo  sistema
informativo sanitario (NSIS) una  delle  componenti  fondamentali  e'
rappresentata  dal  «Sistema  di  integrazione   delle   informazioni
sanitarie  individuali»,  nell'ambito  del  quale  e'  ricompreso  il
monitoraggio dell'assistenza domiciliare; 
  Visto il decreto del Ministro del  lavoro,  della  salute  e  delle
politiche  sociali  17  dicembre  2008,  pubblicato  nella   Gazzetta
Ufficiale n. 6 del 9 gennaio 2009, recante «Istituzione  del  sistema
informativo per il monitoraggio dell'assistenza domiciliare»; 
  Vista la relazione  annuale  2009  dell'Autorita'  garante  per  la
protezione dei dati personali,  ai  sensi  dell'art.  154,  comma  1,
lettera m), del citato decreto legislativo n. 196 del 2003,  che  nel
capitolo I «Stato di attuazione del Codice in materia  di  protezione
dei  dati  personali»  ha  evidenziato   la   mancata   consultazione
dell'Autorita' medesima in merito al decreto del Ministro del lavoro,
della salute e delle politiche sociali del 17 dicembre 2008,  recante
«Istituzione   del   sistema   informativo   per   il    monitoraggio
dell'assistenza domiciliare»; 
  Considerato che, a  seguito  di  quanto  evidenziato  nella  citata
relazione annuale 2009 dell'Autorita' Garante per la  protezione  dei
dati personali, il  Ministero  della  salute  ha  ritenuto  opportuno
svolgere una serie di incontri con l'Ufficio del Garante,  nel  corso
dei quali sono state formulate osservazioni  da  parte  del  predetto
Ufficio in merito al decreto del Ministro del lavoro, della salute  e
delle politiche sociali del 17 dicembre  2008,  recante  «Istituzione
del  sistema  informativo   per   il   monitoraggio   dell'assistenza
domiciliare» e al relativo  disciplinare  tecnico  allegato  1  parte
integrante del medesimo decreto; 
  Tenuto conto che le osservazioni formulate nel corso  dei  predetti
incontri da parte dell'Ufficio  del  Garante  hanno  reso  necessario
procedere alla modifica del citato decreto del Ministro  del  lavoro,
della salute e delle politiche sociali del 17 dicembre 2008,  recante
«Istituzione   del   sistema   informativo   per   il    monitoraggio
dell'assistenza domiciliare» e del disciplinare  tecnico  allegato  1
parte integrante del medesimo decreto; 
  Considerato che in data 8 marzo 2012 il Ministero della  salute  ha
trasmesso all'Autorita' Garante per la protezione dei dati personali,
ai fini dell'acquisizione del parere formale, il presente decreto  ed
il relativo disciplinare tecnico allegato  A,  parte  integrante  del
medesimo decreto»; 
  Acquisito  il  parere  del  Garante  per  la  protezione  dei  dati
personali, reso in data 29 marzo 2012, ai sensi dell'art. 154,  comma
4, del decreto legislativo 30 giugno 2003, n. 196, con il quale  sono
state formulate ulteriori osservazioni e  raccomandazioni,  che  sono
state integralmente recepite; 
  Acquisito il  parere  della  cabina  di  regia  del  Nuovo  sistema
informativo sanitario in data 12 aprile 2012; 
  Visto il decreto legislativo 7 marzo 2005, n. 82,  recante  «Codice
dell'amministrazione   digitale»,   come   modificato   dal   decreto
legislativo 30 dicembre 2010, n. 235; 
  Visto il  parere  favorevole  della  Conferenza  permanente  per  i
rapporti tra lo Stato, le regioni e le province autonome di Trento  e
di Bolzano, ai sensi dell'art. 2, comma 4, del decreto legislativo 28
agosto 1997, n. 281, nella seduta del 25 luglio 2012  (rep.  atti  n.
161/CSR); 
 
                              Decreta: 
 
                               Art. 1 
 
Modifiche al decreto del Ministro del lavoro, della  salute  e  delle
  politiche  sociali  17  dicembre  2008,  recante  «Istituzione  del
  sistema   informativo   per   il    monitoraggio    dell'assistenza
  domiciliare» e al relativo disciplinare tecnico  allegato  1  parte
  integrante del medesimo decreto 
  1. Al decreto  del  Ministro  del  lavoro,  della  salute  e  delle
politiche sociali 17 dicembre 2008, recante «Istituzione del  sistema
informativo per il monitoraggio  dell'assistenza  domiciliare»  e  al
relativo  disciplinare  tecnico  allegato  1  parte  integrante   del
medesimo decreto, sono apportate le seguenti modificazioni: 
    a) all'art. 2 dopo il comma 2 e' inserito il seguente: 
  «2-bis. Al fine di consentire il monitoraggio delle prestazioni  di
assistenza domiciliare nonche' consentire il monitoraggio dei livelli
essenziali e uniformi di assistenza nel rispetto dei  principi  della
dignita' della persona umana, del  bisogno  di  salute,  dell'equita'
nell'accesso all'assistenza, della qualita' delle cure e  della  loro
appropriatezza   riguardo   alle   specifiche    esigenze,    nonche'
dell'economicita' nell'impiego delle risorse, ai  sensi  del  decreto
legislativo 30 dicembre 1992, n. 502, e successive modificazioni,  il
Sistema di cui al presente decreto e' volto a consentire  le  analisi
aggregate utili per il calcolo di indicatori,  anche  ai  fini  della
verifica di cui  all'art.  3  dell'intesa  sancita  dalla  Conferenza
permanente per i rapporti tra lo Stato,  le  regioni  e  le  province
autonome di Trento e di Bolzano il 23 marzo  2005.  Per  le  predette
finalita' e' consentita l'interconnessione dei contenuti  informativi
presenti nel Nuovo sistema informativo sanitario attraverso il codice
univoco dell'assistito previsto dalla scheda 12 dello schema tipo  di
regolamento per  il  trattamento  dei  dati  sensibili  e  giudiziari
effettuati   dalle   regioni   e   province    autonome,    approvato
dall'Autorita' Garante per la protezione di dati personali in data 13
aprile 2006, con le modalita' di cui all'art. 8»; 
  b) all'art. 2, comma 3 dopo le parole «disciplinare  tecnico»  sono
aggiunte le seguenti:  «allegato  1  parte  integrante  del  presente
decreto.»; 
  c) all'art. 3 il primo capoverso del  comma  1  e'  sostituito  dal
seguente:  «Il  flusso  informativo,  dettagliato  nel   disciplinare
tecnico, fa riferimento alle informazioni relative all'erogatore e ai
seguenti  dati  personali  riferiti  all'assistito  non  direttamente
identificativi ai sensi del decreto legislativo 30  giugno  2003,  n.
196:»; 
  d) all'art. 3,  comma  1  le  parole  «caratteristiche  anagrafiche
dell'assistito» sono sostituite, ovunque  ricorrano,  con  le  parole
«caratteristiche dell'assistito»; 
  e) l'art. 4 e' sostituito dal seguente: 
  «Art.  4  (Accesso  ai  dati).  -  1.  Al  fine  di  consentire  il
monitoraggio delle prestazioni in assistenza domiciliare, il  Sistema
e' predisposto per permettere: 
  a) alle unita' organizzative  delle  regioni  e  province  autonome
competenti,   come   individuate   da   provvedimenti   regionali   e
provinciali, di  consultare  le  informazioni  rese  disponibili  dal
Sistema in forma aggregata al fine di effettuare analisi  comparative
in materia di assistenza  sanitaria  domiciliare,  sulla  base  degli
indicatori calcolati ai sensi dell'art. 2, comma 2-bis; 
  b) alle competenti unita' organizzative  della  Direzione  generale
della programmazione sanitaria e della Direzione generale del sistema
informativo e statistico sanitario del  Ministero,  come  individuate
dal  decreto  ministeriale  di  organizzazione,  di   consultare   le
informazioni rese disponibili dal Sistema in forma aggregata.»; 
  f) all'art. 5, il comma 2 e' sostituito dal seguente: 
  «2. A partire dal 1° agosto  2012  le  informazioni  devono  essere
rilevate al verificarsi degli eventi di cui all'art.  3,  comma  3  e
trasmesse al NSIS, con cadenza  trimestrale  entro  i  quarantacinque
giorni successivi al periodo di riferimento in cui si sono verificati
gli eventi stessi»; 
    g) all'art. 5, il comma 3 e' sostituito dal seguente: 
  «3. Le trasmissioni al Sistema devono avvenire secondo le modalita'
indicate nel disciplinare tecnico e secondo  le  specifiche  tecniche
disponibili      sul      sito      internet      del       Ministero
(www.nsis.salute.gov.it).»; 
    h) all'art. 5, dopo il comma  3,  come  sostituito  dal  presente
decreto, sono inseriti i seguenti: 
  «3-bis. La trasmissione telematica dei dati, secondo  le  procedure
descritte nel disciplinare tecnico allegato  avviene  in  conformita'
alle relative regole tecniche del Sistema pubblico  di  connettivita'
(SPC) previsto e  disciplinato  dagli  articoli  72  e  seguenti  del
decreto legislativo 7 marzo 2005, n. 82, e successive  modificazioni,
concernente il codice dell'amministrazione digitale.  In  particolare
si  utilizzera'   un   protocollo   sicuro   e   si   fara'   ricorso
all'autenticazione  bilaterale  fra  sistemi  basata  su  certificati
digitali emessi da un'autorita' di certificazione ufficiale. 
  3-ter. Ai fini della cooperazione  applicativa,  le  regioni  e  le
province autonome e il Ministero garantiscono  la  conformita'  delle
infrastrutture  alle  regole  dettate   dal   Sistema   pubblico   di
connettivita' (SPC).»; 
  i) all'art. 5, comma 4 le parole «eventuali variazioni  riguardanti
le modalita'  di  comunicazione  e  aggiornamento  di  cui  ai  commi
precedenti,  saranno  pubblicate  sul  sito  internet  del  Ministero
(www.nsis.ministerosalute.it)»  sono   sostituite   dalle   seguenti:
«eventuali variazioni riguardanti le specifiche tecniche  di  cui  al
comma 3, saranno pubblicate, a seguito  di  condivisione  nell'ambito
della cabina di regia del Nuovo sistema  informativo  sanitario,  sul
sito internet del Ministero (www.nsis.salute.gov.it)»; 
  l) all'art. 6, dopo il comma 5 e' inserito il seguente: 
  «5-bis. Per le regioni e le province autonome che non dispongano di
servizi di cooperazione applicativa conformi alle regole dettate  dal
Sistema pubblico di connettivita' (SPC), nelle more  dell'adeguamento
dei sistemi regionali, e' possibile il conferimento dei dati  secondo
le modalita' alternative descritte nel disciplinare tecnico  allegato
1 parte integrante del presente decreto.»; 
    m) all'art. 8, i commi 2, 3, 4 e 5 sono sostituiti dai seguenti: 
  «2. Nel Sistema sono raccolti e trattati solo i dati indispensabili
per il  perseguimento  delle  finalita'  del  presente  decreto,  con
modalita'  e  logiche  di  organizzazione   ed   elaborazione   delle
informazioni dirette esclusivamente a  fornire  una  rappresentazione
aggregata dei dati. L'accesso degli  incaricati  del  trattamento  ai
dati registrati nel Sistema avviene attraverso chiavi di ricerca  che
non consentono,  anche  mediante  operazioni  di  interconnessione  e
raffronto,  la  consultazione,  la  selezione   o   l'estrazione   di
informazioni riferite a singoli individui  o  di  elenchi  di  codici
identificativi. Le funzioni applicative del Sistema non consentono la
consultazione e l'analisi di informazioni che rendano  identificabile
l'interessato, ai sensi dei codici di deontologia e di buona condotta
per  i  trattamenti  di  dati  personali  per  scopi   statistici   o
scientifici di cui agli allegati A3 e A4 del decreto  legislativo  30
giugno 2003, n. 196. 
  3.  Il  codice  univoco  e'  assegnato  a  ciascun   soggetto,   in
applicazione di quanto previsto dalla scheda 12 dello schema tipo  di
regolamento per  il  trattamento  dei  dati  sensibili  e  giudiziari
effettuati   dalle   regioni   e   province    autonome,    approvato
dall'Autorita' Garante per la protezione di dati personali in data 13
aprile 2006. Qualora le regioni e le province autonome non dispongano
di sistemi di codifica, coerenti con quanto stabilito con  lo  schema
tipo di regolamento, i dati saranno inviati in forma anonima. 
  4. I dati inviati dalle regioni e  province  autonome,  gia'  privi
degli  elementi  identificativi  diretti,  sono   archiviati   previa
separazione dei dati sanitari dagli altri dati. I dati sanitari  sono
trattati con tecniche crittografiche 
  5.  Al  fine   di   rendere   le   informazioni   sulla   patologia
temporaneamente  inintelligibili  anche  a  chi  e'  autorizzato   ad
accedervi, le stesse sono trattate con tecniche crittografiche.»; 
    n)  al  disciplinare  tecnico,  allegato  1,  sono  apportate  le
modificazioni contenute nell'allegato A parte integrante del presente
decreto. 
                               Art. 2 
 
 
                          Entrata in vigore 
 
  1.  Il  presente  decreto  entra  in  vigore   dalla   data   della
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. 
  Il presente decreto sara' inviato ai competenti organi di controllo
e pubblicato nella Gazzetta Ufficiale della Repubblica italiana. 
    Roma, 6 agosto 2012 
 
                                                Il Ministro: Balduzzi 
                                                           Allegato A 
 
Modifiche  al  Disciplinare  tecnico,  Allegato  1  del  decreto  del
Ministro del lavoro, della salute e delle politiche  sociali  del  17
dicembre 2008, recante "Istituzione del sistema  informativo  per  il
              monitoraggio dell'assistenza domiciliare" 
 
1. Al Disciplinare Tecnico Allegato 1 del decreto  del  Ministro  del
lavoro, della salute e delle politiche sociali del 17 dicembre  2008,
recante "Istituzione del  sistema  informativo  per  il  monitoraggio
dell'assistenza   domiciliare"    sono    apportate    le    seguenti
modificazioni: 
a) al quarto capoverso del  paragrafo  "1.  Introduzione"  le  parole
"www.nsis.ministerosalute.it"   sono   sostituite   dalle   seguenti:
"www.nsis.salute.gov.it" e le parole "articolo  71"  sono  sostituite
dalle seguenti: "articolo 54"; 
b) dopo il paragrafo "2. I soggetti" e' inserito il seguente: 
"2-bis. Descrizione del sistema informativo 
2-bis.1 Caratteristiche infrastrutturali 
Date le caratteristiche organizzative, le necessita'  di  scambio  di
informazioni tra sistemi eterogenei e  le  caratteristiche  dei  dati
trattati, il Sistema e' basato su un'architettura standard del  mondo
Internet: 
• Utilizza lo standard XML per definire in modo unificato il  formato
e l'organizzazione  dei  dati  scambiati  nelle  interazioni  tra  le
applicazioni; 
• Attua forme di cooperazione applicativa tra sistemi; 
• Prevede una architettura di sicurezza specifica per la gestione dei
dati personali trattati. 
E' costituito, a livello nazionale, da: 
• un sistema che ospita il front-end web dell'applicazione (avente la
funzione di web server); 
• un  sistema  che  ospita  l'applicazione  (avente  la  funzione  di
application server); 
• un sistema dedicato alla memorizzazione dei dati (data server); 
•  un  sistema  dedicato  alla  autenticazione  degli  utenti  e  dei
messaggi; 
• un sistema dedicato a funzioni di Business Intelligence. 
Tutti i sistemi  sono  collegati  in  rete  locale  e  connessi  alle
infrastrutture  comunicative   attraverso   firewall   opportunamente
configurati. Inoltre,  la  sicurezza  degli  stessi  e'  incrementata
mediante: 
• strumenti IDS (Intrusion Detection System) collocati nei  punti  di
accesso  alla  rete  al  fine  di  consentire  l'identificazione   di
attivita' ostili, ostacolando l'accesso  da  parte  di  soggetti  non
identificati e permettendo una reazione automatica alle intrusioni; 
• il software e' aggiornato secondo la tempistica prevista dalle case
produttrici  ovvero,  periodicamente,  a  seguito  di  interventi  di
manutenzione; 
• il database e' configurato per consentire  un  ripristino  completo
delle  informazioni  senza  causarne  la  perdita  di  integrita'   e
disponibilita'; 
• gruppi di continuita' che, in caso  di  mancanza  di  alimentazione
elettrica di rete, garantiscono la continuita' operativa. 
Le operazioni di accesso al sistema, tramite funzioni  applicative  o
tramite accesso diretto, sono tracciate al fine di poter  individuare
eventuali anomalie. 
2-bis.1.1 Gestione dei supporti di memorizzazione 
I supporti di  memorizzazione,  includono  nastri  magnetici,  dischi
ottici e cartucce, possono essere fissi o rimovibili. E' identificato
un ruolo di custode dei  supporti  di  memorizzazione,  al  quale  e'
attribuita  la  responsabilita'  della  gestione  dei   supporti   di
memorizzazione rimovibili. 
Per la gestione dei supporti di memorizzazione sono  state  adottate,
in particolare, le seguenti misure: 
• tutti i supporti sono etichettati a seconda  della  classificazione
dei dati contenuti; 
• viene tenuto un inventario dei supporti di  memorizzazione  secondo
controlli predefiniti; 
• sono state definite ed adottate misure  di  protezione  fisica  dei
supporti di memorizzazione. 
• I supporti di memorizzazione non piu' utilizzati saranno  distrutti
e resi inutilizzabili. 
2-bis.1.2 Misure idonee a garantire la continuita' del servizio 
A garanzia  della  corretta  operativita'  del  servizio  sono  state
attivate procedure idonee a definire tempi e modi  per  salvaguardare
l'integrita' e la disponibilita' dei dati e consentire il  ripristino
del  sistema  in  caso  di  eventi  che  lo  rendano  temporaneamente
inutilizzabile.  In  particolare,  per  quel  che  riguarda  i   dati
custoditi presso il CED, sono previste: 
• procedure  per  il  salvataggio  periodico  dei  dati  (backup  sia
incrementale che storico); 
• procedure che regolamentano la sostituzione,  il  riutilizzo  e  la
rotazione dei supporti ad ogni ciclo di backup; 
• procedure per il data recovery; 
• procedure per la verifica dell'efficacia sia  del  backup  che  del
possibile, successivo, ripristino. 
La  struttura  organizzativa  del  CED  e   le   procedure   adottate
consentono, in caso di necessita', di operare ripristino dei dati  in
un arco di tempo inferiore ai sette giorni. 
2-bis.2 Abilitazione degli utenti 
Sara' consentito  agli  utenti  l'accesso  al  Sistema  attraverso  i
dispositivi standard (Carta nazionale dei servizi, Carta di identita'
elettronica), definiti dalle vigenti normative,  come  strumenti  per
l'autenticazione  telematica  ai  servizi  erogati  in   rete   dalle
pubbliche amministrazioni. 
In fase di prima attuazione, gli utenti possono accedere  al  sistema
tramite credenziali di autenticazione generate secondo  le  modalita'
riportate sul sito del Ministero,  in  conformita'  all'art.  64  del
Codice dell'Amministrazione Digitale. 
Per l'accesso al Sistema, l'architettura prevede  un'abilitazione  in
due fasi. 
La prima fase consente la registrazione da parte dell'utente mediante
l'inserimento delle generalita' e  del  proprio  indirizzo  di  posta
elettronica ove ricevere le credenziali di autenticazione nonche' dei
dettagli  inerenti  la  struttura  organizzativa   di   appartenenza.
Successivamente,  il  sistema  di  registrazione  invia   una   email
contenente l'identificativo e la password che l'utente e' obbligato a
cambiare al primo accesso e, periodicamente, con cadenza trimestrale. 
La parola chiave dovra' avere le seguenti caratteristiche: 
  - sara' composta da almeno otto caratteri, 
  - non    conterra'     riferimenti     facilmente     riconducibili
all'incaricato. 
Le credenziali di autorizzazione non utilizzate da  almeno  sei  mesi
sono disattivate. 
Nella seconda fase, l'utente (che viene definito  utente  NSIS)  puo'
chiedere l'abilitazione ad un profilo di un'applicazione censita  nel
NSIS (in questo caso il  "sistema  informativo  per  il  monitoraggio
dell'assistenza  domiciliare").  Il  sistema  permette  di  formulare
richieste  solo  per  le  applicazioni   associate   alla   struttura
organizzativa di appartenenza. 
L'amministratore del sistema effettua un riscontro della presenza del
nominativo nella  lista  di  coloro  che  sono  stati  designati  dal
referente della Regione o Provincia Autonoma di appartenenza. Qualora
questa verifica abbia esito negativo la procedura di registrazione si
interrompe; nel caso in cui  questa  verifica  abbia  esito  positivo
l'utente e' abilitato all'utilizzo del sistema. 
Per garantire l'effettiva necessita', da  parte  del  singolo  utente
NSIS, di accedere alle informazioni  per  le  quali  ha  ottenuto  un
profilo di accesso, le utenze vengono, periodicamente,  sottoposte  a
revisione e l'amministratore verifica con i referenti delle Regioni e
delle Province Autonome il permanere degli  utenti  abilitati,  nelle
liste delle persone autorizzate ad accedere all'NSIS e ai sistemi  ad
esso riconducibili (allegato b, decreto legislativo 30  giugno  2003,
n. 196) 
2-bis.3 Modalita' di trasmissione 
La Regione o Provincia Autonoma fornisce al Sistema  le  informazioni
nei formati stabiliti nelle successive sezioni,  scegliendo  fra  tre
modalita' alternative: 
a) utilizzando le regole tecniche  di  cooperazione  applicativa  del
SPC; 
b)  utilizzando  i  servizi  applicativi  che  il  Sistema  mette   a
disposizione tramite il protocollo sicuro https e secondo  le  regole
per l'autenticazione di cui al punto 2-bis.2; 
c) ricorrendo alla autenticazione bilaterale fra  sistemi  basata  su
certificati  digitali  emessi  da  un'autorita'   di   certificazione
ufficiale. 
A supporto degli utenti, il Sistema rende disponibile un servizio  di
assistenza raggiungibile mediante un unico numero telefonico da tutto
il territorio nazionale, ogni ulteriore dettaglio e'  reperibile  sul
sito      istituzionale       del       Ministero       all'indirizzo
www.nsis.salute.gov.it. 
Le  tempistiche  di  trasmissione  ed  i  servizi   di   cooperazione
applicativa  sono  pubblicati  a  cura  del  Ministero  all'indirizzo
www.nsis.salute.gov.it. 
2-bis.3.1. Sistema Pubblico di Connettivita' 
Il Sistema Pubblico  di  Connettivita'  e'  definito  e  disciplinato
all'art. 73 del decreto legislativo 7 marzo 2005, n. 82. 
Le trasmissioni telematiche devono avvenire nel rispetto delle regole
tecniche del SPC, cosi' come definito agli artt. 51 e 71 del  decreto
legislativo 7 marzo 2005, n. 82. 
Per  l'accesso  ai  servizi  gli  utenti  dovranno  avvalersi  di  un
collegamento da realizzare secondo una delle seguenti modalita': 
• connessione mediante le Community network istituite  dalle  regioni
per  garantire  il  rispetto  dei  requisiti  previsti  dalle  regole
tecniche approvate dalla Commissione  di  Coordinamento  SPC  di  cui
all'articolo 80 del Codice; 
•  connessione  attraverso  i  fornitori  qualificati  SPC   previsti
dall'articolo 82 del Codice. 
2-bis.3.2. Garanzie per la sicurezza della  trasmissione  dei  flussi
informativi 
Nel caso in cui la Regione o la Provincia  Autonoma  disponga  di  un
sistema informativo in grado di  interagire  secondo  le  logiche  di
cooperazione applicativa, l'erogazione e la  fruizione  del  servizio
richiedono  come  condizione   preliminare   che   siano   effettuate
operazioni  di  identificazione  univoca  delle   entita'   (sistemi,
componenti software, utenti)  che  partecipano,  in  modo  diretto  e
indiretto  (attraverso  sistemi  intermedi)  ed  impersonando   ruoli
diversi, allo scambio di messaggi e alla erogazione e  fruizione  dei
servizi. 
In particolare  occorrera'  fare  riferimento  alle  regole  tecniche
individuate ex art. 71, comma 2,  del  decreto  legislativo  7  marzo
2005, n. 82. 
Nel caso in cui il sistema  informativo  della  Regione  o  Provincia
Autonoma non risponda alle specifiche  di  cui  sopra,  l'utente  che
debba procedere all'inserimento delle informazioni potra' accedere al
Sistema, nell'ambito del NSIS, e inviare le  informazioni  attraverso
una connessione sicura. 
2-bis.3.3. Standard tecnologici per la predisposizione dei dati 
L'utente deve provvedere alla creazione  e  alla  predisposizione  di
documenti conformi alle specifiche  dell'Extensible  Markup  Language
(XML) 1.0 (raccomandazione W3C 10 febbraio 1998). 
Gli schemi standard  dei  documenti  in  formato  XML  contenenti  le
definizioni delle strutture dei dati  dei  messaggi  da  trasmettere,
sono pubblicati, nella loro versione aggiornata,  sul  sito  Internet
del Ministero all'indirizzo www.nsis.salute.gov.it. 
2-bis.4.Servizi di analisi 
Il Sistema e' stato strutturato per  perseguire,  tra  gli  altri,  i
seguenti obiettivi: 
• monitoraggio dell'attivita' dei servizi, con analisi del volume  di
prestazioni  e  valutazioni  epidemiologiche  sulle   caratteristiche
dell'utenza e sui pattern di trattamento; 
• supporto alle attivita' gestionali dei  Servizi,  per  valutare  il
grado di efficienza e di utilizzo delle risorse; 
• supporto alla costruzione di indicatori di struttura,  processo  ed
esito sia a livello regionale che nazionale. 
Il sistema consente di  accedere  ad  un  apposita  funzionalita'  di
reportistica che prevede due tipologie di utenti: 
• utenti del Ministero; 
• utenti delle Regioni o Province autonome"; 
c) al primo capoverso del paragrafo 4, le parole "dati anagrafici dei
pazienti"   sono   sostituite   dalle    seguenti    "caratteristiche
dell'assistito". 
d) il secondo capoverso del paragrafo 4 e' sostituito  dal  seguente:
"Tali informazioni devono essere trasmesse  con  le  modalita'  ed  i
tempi previsti dall'articolo 5  al  verificarsi  degli  eventi  (cfr.
articolo 3 comma 3)."; 
e) al paragrafo "4. Le informazioni", la tabella e' sostituita  dalla
seguente: 
"Tabella: Alimentazione sistema informativo  -  Schema  degli  eventi
rilevati 
 

              Parte di provvedimento in formato grafico 

 
Torna su