Gazzetta n. 210 del 9 settembre 2011 (vai al sommario) PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER LA PUBBLICA AMMINISTRAZIONE E L'INNOVAZIONE DECRETO 20 giugno 2011 Modalita' di assorbimento della Tessera Sanitaria nella Carta nazionale dei servizi. IL MINISTRO PER LA PUBBLICA AMMINISTRAZIONE E L'INNOVAZIONE Visto l'art. 52 della legge 27 dicembre 2002 n. 289 e, in particolare, il comma 4 che disciplina gli adempimenti cui sono tenute le Regioni ai fini dell'accesso all'adeguamento del finanziamento del Servizio sanitario nazionale (SSN) per gli anni 2003, 2004 e 2005 e per il monitoraggio delle prestazioni sanitarie ai fini del contenimento della spesa; Visto l'art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, nella legge 24 novembre 2003, n. 326, e successive modificazioni, e, in particolare, i commi 1, 11 e 13; Visto il decreto 11 marzo 2004 del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute e con la Presidenza del Consiglio dei ministri - Dipartimento per l'innovazione e le tecnologie, attuativo del citato art. 50, comma 1, del decreto-legge del 30 settembre 2003, n. 269, come modificato dai decreti 19 aprile 2006, 30 novembre 2006 e 25 febbraio 2010, concernente, in particolare, le caratteristiche tecniche della tessera sanitaria (TS) e delle tessere sanitarie regionali su supporto carta nazionale dei servizi (TS-CNS) delle regioni Lombardia, Sicilia, Friuli Venezia Giulia e Toscana, riconosciute conformi alla TS e sostitutive del tesserino del codice fiscale; Visto l'art. 2 del decreto 28 aprile 2006 del Ministro dell'economia e delle finanze, di concerto con il Ministro della salute, attuativo del comma 6 del citato art. 50, del decreto legge del 30 settembre 2003, n. 269, pubblicato nella Gazzetta Ufficiale dell'8 maggio 2006, n. 105, che prevede che eventuali richieste di adesione parziale o totale al comma 11 del citato art. 50 devono essere presentate al Ministero dell'economia e delle finanze entro trenta giorni dalla pubblicazione nella Gazzetta Ufficiale del medesimo decreto; Visto il decreto 30 giugno 2004 del Ministro dell'economia e delle finanze, di concerto con il Ministro della salute, pubblicato nella Gazzetta Ufficiale n. 153 del 2 luglio 2004, attuativo del comma 6 del citato art. 50 del decreto legge del 30 settembre 2003, n. 269, concernente le modalita' di gestione della tessera sanitaria e il programma di attuazione del sistema di monitoraggio della spesa sanitaria; Visto il decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e successive modificazioni, concernente le disposizioni relative all'anagrafe tributaria e al codice fiscale; Visto il decreto del Ministro delle finanze 23 dicembre 1976 e successive modificazioni, pubblicato nella Gazzetta Ufficiale, supplemento ordinario, n. 345 del 29 dicembre 1976, concernente le modalita' per l'attribuzione e la comunicazione del numero di codice fiscale; Visto il decreto del Ministero delle finanze 15 novembre 1983, pubblicato nella Gazzetta Ufficiale n. 333 del 5 dicembre 1983, concernente l'approvazione del tesserino plastificato del codice fiscale; Viste le decisioni 189, 190 e 191 del 18 giugno 2003 della Commissione amministrativa delle Comunita' europee per la sicurezza sociale dei lavoratori migranti (CASSTM), pubblicate nella Gazzetta Ufficiale dell'Unione europea del 27 ottobre 2003, n. L276, che definiscono le caratteristiche della Tessera Europea di assicurazione malattia; Visto il decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali; Visto il decreto 9 dicembre 2004 del Ministro dell'interno, del Ministro per l'innovazione e le tecnologie e del Ministro dell'economia e delle finanze, pubblicato nella Gazzetta Ufficiale del 18 dicembre 2004, n. 296, concernente, tra l'altro, le regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della carta nazionale dei servizi, nonche' le modalita' di impiego; Visto il decreto del Presidente della Repubblica 2 marzo 2004, n. 117, recante regolamento concernente la diffusione della carta nazionale dei servizi a norma dell'art. 27, comma 8, lettera b), della legge 16 gennaio 2003, n. 3; Visto il decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni, e, in particolare, l'art. 66 concernente le caratteristiche e modalita' di rilascio della carta d'identita' elettronica e della carta nazionale dei servizi; Visto l'art. 33 della legge 18 giugno 2009, n. 69 che delega il Governo ad adottare uno o piu' decreti legislativi volti a modificare il codice dell'amministrazione digitale; Visto il decreto del Presidente del Consiglio dei ministri 13 giugno 2008, recante delega di funzioni del Presidente del Consiglio dei Ministri in materia di pubblica amministrazione ed innovazione al Ministro senza portafoglio on. prof. Renato Brunetta; Visto il decreto legislativo 1° dicembre 2009, n. 177, con il quale si e' provveduto alla riorganizzazione del CNIPA (Centro nazionale per l'informatica nella pubblica amministrazione) che ha assunto la denominazione di DigitPA; Visto l'art. 11, comma 15, del decreto-legge 31 maggio 2010, convertito, con modificazioni, dall'art. 1, comma 1, della legge 30 luglio 2010, n.122; Visto il decreto legislativo 30 dicembre 2010, n. 235 recante modifiche al Codice dell'amministrazione digitale, ai sensi dell'art. 33 della legge 18 giugno 2009, n. 69; Considerati i risultati del gruppo di lavoro tecnico composto di rappresentanti dei Ministeri e delle Regioni; Considerato che l'elevata diffusione della Carta nazionale dei servizi rende opportuno un'accelerazione dell'iniziativa volta a realizzare l'assorbimento della tessera sanitaria nella carta nazionale dei servizi; Rilevata la necessita' di stabilire, ai sensi dell'art. 50, comma 13 del citato decreto-legge n. 269 del 2003, le modalita' per l'assorbimento, senza oneri aggiuntivi a carico del bilancio dello Stato, della tessera sanitaria nella carta d'identita' elettronica o nella carta nazionale dei servizi; Considerato che dal combinato disposto dei commi 1 e 13 del citato art. 50 del decreto-legge n. 269 del 2003 deriva la necessita' di consegnare la TS-CNS a tutti i soggetti titolari di codice fiscale; Ritenuto che in sede di riemissione delle TS in scadenza possano essere presentate al Ministero dell'economia e delle finanze esclusivamente richieste di adesione parziale al citato art. 50, comma 11, del decreto-legge n. 269 del 2003, concernenti l'adozione da parte delle Regioni di TS-CNS per l'accesso a servizi regionali conformi alle vigenti regole tecniche in materia di TS; Sentito il Garante per la protezione dei dati personali; Sentita la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano nella seduta del 29 luglio 2010; Espletata la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, attuata con decreto legislativo 23 novembre 2000, n. 427; di concerto con il Ministro dell'economia e delle finanze, il Ministro dell'interno e il Ministro della salute; Decreta: Art. 1 Definizioni 1. Ai fini del presente decreto si intende per: a) APDU: l'acronimo che identifica le specifiche dei comandi del sistema operativo del microprocessore della TS-CNS; b) assistiti regionali: i soggetti assistiti dalle Aziende Sanitarie Locali ubicate nel territorio di competenza di una Regione; c) Carta nazionale dei servizi (CNS): il documento rilasciato su supporto informatico per consentire l'accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni; d) Tessera sanitaria (TS): il documento rilasciato dal Ministero dell'economia e delle finanze in attuazione di quanto disposto dall'art. 50, del decreto-legge del 30 settembre 2003, n. 269, sostitutivo del tesserino di codice fiscale che reca il codice fiscale del titolare, anche in codice a barre nonche' in banda magnetica, quale requisito necessario per l'accesso alle prestazioni a carico del Servizio sanitario nazionale (SSN) valida come Tessera europea di assicurazione malattia, requisito necessario per l'accesso alle cure urgenti presso i Paesi appartenenti all'Unione Europea. e) TS-CNS: CNS con le funzionalita' della TS; f) Componente CNS: le funzionalita' CNS della TS-CNS; g) Codici PIN-PUK: i codici personali utilizzati dal titolare per utilizzare e sbloccare la Componente CNS; h) File system: la struttura dei dati all'interno del microprocessore della TS-CNS; i) Sito del Sistema TS: www.sistemats.it; j) Enti certificatori: sono gli enti i cui servizi vengono richiesti, in sede di produzione delle CNS, per acquisire i certificati da inserire nel microprocessore. L'acquisizione dei certificati e' un'operazione di competenza dell'Ente emettitore, delegabile a terzi, di cui l'Ente emettitore mantiene comunque la responsabilita' dei rapporti nelle operazioni di attivazione e gestione delle CNS. k) Sistema pubblico di connettivita' (SPC): l'insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, l'integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare l'interoperabilita' di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonche' la salvaguardia e l'autonomia del patrimonio informativo di ciascuna pubblica amministrazione.   Art. 2 Modalita' di assorbimento della TS nella CNS 1. Le caratteristiche tecniche della componente CNS della TS-CNS sono definite nel disciplinare tecnico di cui all'allegato 1 che costituisce parte integrante del presente decreto.   Art. 3 Modalita' di adozione delle TS-CNS da parte delle regioni e delle province autonome 1. E' facolta' delle regioni e delle province autonome chiedere al Ministero dell'economia e delle finanze, ai sensi dell'art. 50, comma 11, del decreto-legge n. 269 del 2003, la generazione e consegna delle TS-CNS per i propri assistiti, nell'ambito della generazione e progressiva consegna delle TS che il Ministero dell'economia e finanze cura in attuazione di quanto disposto al comma 1del citato art. 50, in occasione del processo di riemissione massiva delle TS in scadenza, il cui piano di attuazione e' pubblicato sul sito del Sistema TS, in raccordo con il Ministero della salute, ai fini della compatibilita' con le decisioni n. 189, 190 e 191 del 18 giugno 2003 della Commissione Amministrativa della Comunita' europee per la Sicurezza Sociale dei lavoratori migranti (CASSTM), e successive modificazioni, per garantire la validita' della TS-CNS quale tessera europea di assicurazione malattia. 2. Le regioni e le province autonome che intendono avvalersi della facolta' di cui al comma 1, a seguito dell'accordo con il Ministero dell'economia e delle finanze: a) sottoscrivono con l'Agenzia delle entrate una apposita convenzione secondo lo schema pubblicato sul sito del Sistema TS, allo scopo di garantire la validita' della TS-CNS, in sostituzione del tesserino di codice fiscale; b) si dotano di un sistema di gestione della componente CNS delle TS-CNS, come definito all'art. 4; c) garantiscono, nei processi di erogazione dei servizi regionali di cui all'art. 8 che utilizzano la componente CNS, il rispetto degli standard tecnologici previsti dalla normativa vigente e in particolare di quelli definiti nell'allegato 1 al presente decreto. 3. L'Agenzia delle Entrate, nell'ambito della convenzione di cui al comma 2 lettera a), fornisce alle regioni e alle province autonome di cui al comma 1le informazioni necessarie alla gestione della componente CNS della TS-CNS, cosi' come prodotte nel processo di emanazione delle carte e ricevute dai certificatori interessati, secondo i formati di trasferimento dei dati pubblicati sul sito del Sistema TS. 4. Le regioni e le province autonome di cui al comma 1, in qualita' di enti emettitori della componente CNS delle TS-CNS, curano le attivita' di attivazione su richiesta dei propri assistiti e di gestione della componente CNS con modalita' organizzative autonomamente definite.   Art. 4 Sistema di Gestione della componente CNS 1. Ciascuna regione e provincia autonoma di cui all'art. 3 cura il sistema di gestione della componente CNS delle TS-CNS, conformemente alle specifiche tecniche di cui all'allegato 2, che costituisce parte integrante del presente decreto, in modo da garantire almeno le seguenti funzionalita' principali: a) richiesta «attivazione carta»; b) richiesta «modifica stato carta»; c) richiesta «storia e dettagli della carta». 2. Ciascuna regione e provincia autonoma di cui all'art. 3 acquisisce i dati anagrafici secondo le modalita' indicate nel Piano operativo redatto ai sensi dell'allegato 2 del presente decreto.   Art. 5 Elementi tecnologici del Microprocessore della TS-CNS 1. I microprocessori utilizzati per la componente CNS delle TS-CNS sono conformi alle specifiche dei comandi del sistema operativo APDU e al file system riportati sul sito istituzionale di DigitPA nell'ambito delle specifiche tecniche della CNS. Sullo stesso sito, e' definito il sistema operativo APDU e il file system che al termine della sperimentazione in corso sostituira' l'attuale tecnologia. 2. Con decreto del Ministro delegato per la pubblica amministrazione e l'innovazione, di concerto con il Ministro dell'economia e delle finanze, sentita la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano e' fissata la data a decorrere dalla quale si applica l'eventuale nuova configurazione tecnologica di cui al comma 1.   Art. 6 Validita' delle funzionalita' CNS della TS-CNS 1. Le funzionalita' della componente CNS, quale strumento di autenticazione per l'accesso ai servizi in rete, rimangono valide fino alla scadenza del certificato di autenticazione ovvero fino alla scadenza della TS-CNS, anche nel caso in cui il titolare trasferisca l'assistenza sanitaria in un'altra regione. 2. Ai sensi dell'art. 64, commi 1 e 2, del decreto legislativo 7 marzo 2005, n. 82, le pubbliche Amministrazioni che offrono servizi in rete per i quali sia necessaria l'autenticazione informatica garantiscono l'accesso ai servizi tramite la componente CNS.   Art. 7 Servizio per il processo di validazione 1. Con uno o piu' decreti del Ministro delegato per la pubblica amministrazione e l'innovazione, di concerto con il Ministro dell'economia e delle finanze, sentita la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sono definite le modalita' operative finalizzate alla realizzazione di un servizio infrastrutturale a livello nazionale per la validazione dei certificati di autenticazione della componente CNS, nel rispetto degli standard e delle regole tecniche e organizzative relative al Sistema Pubblico di Connettivita'.   Art. 8 Servizi qualificati 1. La realizzazione di servizi che attengono all'utilizzo della componente CNS delle TS-CNS e' curata dalla regione o dalla provincia autonoma unicamente per le finalita' e i compiti ad essa istituzionalmente attribuiti, anche in funzione delle richieste degli altri enti pubblici del territorio. Nella realizzazione dei servizi qualificati le regioni e le province autonome si attengono alle linee guida «Servizi Qualificati in ambito TS-CNS» disponibili sul sito istituzionale di DigitPA. 2. I servizi accessibili tramite la TS-CNS di competenza della regione o della provincia autonoma che essa abbia delegato a un soggetto terzo devono essere da questo erogati secondo il principio di buona amministrazione e di tutela dell'immagine dello Stato.   Art. 9 Tessere sanitarie regionali 1. Le tessere sanitarie regionali, di cui al decreto 11 marzo 2004 del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute e con la Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie, e successive modificazioni, adottate dalle Regioni Lombardia, Sicilia, Friuli Venezia Giulia e Toscana sono riconosciute valide come TS-CNS ai sensi del presente decreto. Roma, 20 giugno 2011 Il Ministro per la pubblica amministrazione e l'innovazione Brunetta Il Ministro dell'economia e delle finanze Tremonti Il Ministro dell'interno Maroni Il Ministro della salute Fazio Registrato alla Corte dei conti il 9 agosto 2011 Presidenza del Consiglio dei Ministri - Ministeri istituzionali, registro n. 16, foglio n. 291.   Allegato 1 Caratteristiche tecniche della componente CNS della TS-CNS 1. Premessa. Il presente allegato illustra le caratteristiche tecniche e le tecnologie di riferimento della componente CNS della Tessera Sanitaria - Carta Nazionale dei Servizi (TS-CNS), nonche' le informazioni necessarie alla sua personalizzazione. La documentazione tecnica di dettaglio cui fare riferimento e' disponibile sul sito istituzionale di DigitPA. 1.2. Normativa e standard tecnici di riferimento. Per la componente CNS della TS-CNS valgono la normativa e gli standard tecnici di riferimento relativi alla CNS. 2. Microprocessore. Il microprocessore deve avere i seguenti requisiti minimi: almeno 64k byte di memoria EEPROM; crittografia asimmetrica RSA tramite coprocessore ad almeno 1024 bit (a seguito di eventuali modifiche normative potranno essere richieste lunghezze maggiori delle chiavi o altri algoritmi asimmetrici); capacita' crittografiche simmetriche 3DES almeno sino a 128 bit; possibilita' di generare chiavi RSA all''interno del chip o altre chiavi asimmetriche conformemente a eventuali modifiche normative; conformita' con le norme di sicurezza previste per la firma digitale; capacita' di ritenzione dei dati di almeno 10 anni; numero di cicli di scrittura in EEPROM maggiore di centomila. Le interfacce devono essere conformi: alla norma ISO 7816, secondo quanto previsto dal documento «CNS - Carta Nazionale dei Servizi Functional Specification» e sue evoluzioni per l''interfaccia a contatti; alla norma ISO 14443 sino alla parte quarta in modalita' A oppure B per l''interfaccia contactless e sue evoluzioni. 3. Sistema operativo e File System. Il sistema operativo dei microprocessori deve essere conforme a quanto specificato nel documento «CNS - Carta Nazionale dei Servizi Functional Specification», pubblicato sul sito istituzionale di DigitPA e alle estensioni relative alla sperimentazione in corso, anch''esse pubblicate sul sito di DigitPA. Il File System adottato deve essere conforme al decreto 9 dicembre 2004 «Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della Carta Nazionale dei Servizi» e al documento «Carta Nazionale dei Servizi - File System» pubblicato sul sito di DigitPA e alle estensioni relative alla sperimentazione in corso, anch'esse pubblicate sul sito di DigitPA. Ulteriori specifiche di dettaglio, concernenti anche la gestione della Firma Digitale e di ulteriori servizi qualificati, sono contenute nella documentazione resa disponibile tramite il sito di DigitPA. 4. Flusso dati, processo di produzione e Certificate Revocation List. Il Ministero dell'economia e delle finanze definira' con il certificatore prescelto ( Certification Authority - CA) le modalita' di produzione dei certificati e delle corrispondenti chiavi. Le modalita' di attuazione dei flussi di produzione delle TS-CNS e le specifiche XML dei relativi formati di scambio dei dati sono definiti in dettaglio sul sito del Sistema TS. La gestione delle Certificate Revocation List (CRL) ed i relativi CRL Distribution Point (CDP) saranno definiti dal certificatore prescelto che li applichera' nel manuale operativo. Il certificatore garantira' prestazioni adeguate per l'utilizzo delle CRL in funzione della mole di certificati emessi. Le modalita' di interfacciamento con il CMS (Card Management System), le cui caratteristiche tecniche sono definite all'allegato 2, saranno definite dal certificatore di concerto con la Regione emittente della TS-CNS. Allegato 2 Specifiche tecniche del sistema di gestione della componente CNS delle TS-CNS Premessa. Per l'attivazione della componente CNS della TS-CNS sul territorio regionale, e' necessario provvedere al riconoscimento dei destinatari e a rilasciare loro i codici personali PIN e PUK, predisponendo un sistema regionale per la gestione dell'intero ciclo di vita delle carte che preveda la definizione di un modello organizzativo ed operativo e dei relativi servizi software, dando vita al Card Management System (CMS) Regionale. Il presente allegato definisce i requisiti funzionali del CMS Regionale in relazione agli adempimenti previsti dal decreto. Per la definizione delle specifiche di dettaglio si fa riferimento alla idonea documentazione presente sul sito istituzionale di DigitPA. In particolare, i tracciati record per lo scambio dei dati con il CMS Regionale sono disponibili in un'apposita sezione del sito istituzionale di DigitPA. Piano operativo per l'attivazione del CMS Regionale. Il Piano deve prevedere: 1. allineamento di codici fiscali e relativi dati anagrafici tra anagrafe dei comuni e Archivio Anagrafico dell'Anagrafe Tributaria, detenuto dal Ministero dell'economia e delle finanze che gia' si avvale dei servizi del sistema INA/SAIA detenuto dal Ministero dell'interno; 2. allineamento di codici fiscali e relativi dati anagrafici tra Archivio Anagrafico dell'Anagrafe Tributaria, detenuto dal Ministero dell'economia e delle finanze, ed Anagrafi Sanitarie, detenute dalle ASL. L'operazione consente la corretta identificazione dei dati che attestano il diritto all'accesso ai servizi erogati dal Sistema Sanitario Nazionale ivi compresa la corretta attribuzione del medico di famiglia (MMG o PLS); 3. acquisizione da parte delle ASL, per il tramite dei servizi posti a disposizione dell'art. 50, delle variazioni anagrafiche sopravvenute nell'Archivio Anagrafico dell'Anagrafe Tributaria successivamente all'attivita' di allineamento di cui ai numeri 1 e 2. Per tale attivita' le ASL dovranno avvalersi, a regime, dei servizi di circolarita' anagrafica forniti dal sistema INA/SAIA detenuto dal Ministero dell'interno; 4. analisi organizzativa e amministrativa con conseguente definizione dei seguenti elementi: regole operative; facsimile modulistica; informativa privacy; eventuali convenzioni con gli enti individuati dalla Regione per l'attivazione delle TS-CNS; incarichi formali agli operatori di sportello; 5. predisposizione del CMS; 6. predisposizione sportelli operativi; 7. piano comunicazione; 8. call center assistenza; 9. predisposizione dei processi di attivazione delle TS-CNS che include la raccolta e gestione dei moduli di consenso rilasciati dai cittadini. Funzionalita' del CMS Regionale. Il CMS e' costituito dai servizi necessari per la gestione del ciclo di vita della componente CNS delleTS-CNS. Il CMS deve offrire le funzionalita' necessarie a supportare le seguenti attivita': 1. Processo di attivazione della TS-CNS che prevede: a) registrazione degli estremi di un documento d'identita' (del richiedente, del tutore o dei genitori in caso di minore); b) stampa del modulo di richiesta di attivazione (richiesta rilascio codici PIN e PUK) e registrazione del consenso all'attivazione; c) in alternativa, stampa in busta chiusa dei codici PIN e PUK contestualmente alla richiesta di attivazione. 2. Stampa del modulo di consenso al trattamento dei dati idonei a rilevare lo stato di salute per finalita' di prevenzione, diagnosi e cura (con eventuale supporto bilingue) e annotazione del consenso secondo le modalita' previste dall'art. 81 del Codice della privacy di cui al decreto legislativo 30 giugno 2003, n. 196; 3. Revoca del certificato; 4. Sospensione del certificato; 5. Stato delle operazioni (elenco di tutte le operazioni eseguite relative ad un cittadino); 6. Verifica dello stato di una carta; 7. Richiesta di duplicato (riemissione); 8. Richiesta di emissione (nuovi nati ed immigrati in Regione). Per quanto concerne il punto 1, lettere (a), (b) e (c), le Regioni possono organizzarsi anche con modalita' differenti da quelle citate, purche' siano soddisfatti i requisiti di identificazione dei cittadini e di conservazione dei moduli di richiesta di attivazione. Il CMS deve consentire la gestione di tutti i flussi informativi relativi alle funzionalita' della componente CNS delle TS-CNS, garantendo la sicurezza delle informazioni. In particolare, per quanto concerne gli operatori abilitati al processo di attivazione della componente CNS delle TS-CNS, valgono le misure di sicurezza previste dal Codice della privacy di cui al decreto legislativo 30 giugno 2003, n. 196, dal Disciplinare tecnico di cui all'Allegato B del medesimo Codice e dal provvedimento del Garante del 27 novembre 2008, e successive modificazioni, recante: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, nonche' i seguenti principi: ogni operatore deve avere delle credenziali d'accesso personali. per nessun motivo tali credenziali devono essere comunicate a terzi. per nessun motivo si deve accedere al sistema con credenziali non proprie. Tutte le operazioni eseguite dal CMS devono essere tracciate per garantire i requisiti di sicurezza del sistema. Per ogni richiesta devono essere memorizzati: l'identificativo dell'operatore; la data e l'ora dell'operazione; gli estremi dell'operazione; Attraverso il CMS deve essere possibile recuperare tutte le informazioni relative ad una carta o ad un cittadino e, in particolare: lo stato attuale della carta (attiva, revocata,...); l'elenco cronologico delle operazioni eseguite con relativo stato; i dati anagrafici essenziali all'identificazione; l'elenco delle carte relative alla persona. Le modalita' operative, tecniche e organizzative, per la gestione dei processi di sospensione, revoca e riemissione di CNS, devono essere definite nel Piano operativo e attuate in conformita' alla vigente normativa in materia di Carta Nazionale dei Servizi e di Firma Digitale, fatti salvi gli accordi di dettaglio fra la Regione e il certificatore accreditato utilizzato per la produzione delle CNS. In base al Piano operativo devono essere definite le modalita' di comunicazione al cittadino sulle procedure per la richiesta di sospensione, revoca e riemissione della TS-CNS; tale comunicazione deve dichiarare i livelli di servizio attesi (tempi di sospensione, revoca e riemissione). Per piu' specifiche informazioni relative alle modalita' attuative si rinvia alla documentazione presente sul sito di DigitPA.