Gazzetta n. 247 del 22 ottobre 2012 - MINISTERO DELLA SALUTE

Gazzetta n. 247 del 22 ottobre 2012 (vai al sommario)

MINISTERO DELLA SALUTE

DECRETO 6 agosto 2012

Modifiche al decreto 31 luglio 2007, recante «Istituzione del flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto», come modificato dal decreto 13 novembre 2008.

IL MINISTRO DELLA SALUTE

Visto il decreto-legge 18 settembre 2001, n. 347, recante «Interventi urgenti in materia di spesa sanitaria», convertito, con modificazioni, dalla legge 16 novembre 2001, n. 405, ed in particolare l'art. 8, comma 1, il quale stabilisce che le Regioni e le Province Autonome di Trento e di Bolzano, anche con provvedimenti amministrativi, hanno facolta' di:
stipulare accordi con le associazioni sindacali delle farmacie convenzionate, pubbliche e private, per consentire agli assistiti di rifornirsi delle categorie di medicinali, che richiedono un controllo ricorrente del paziente, anche presso le farmacie predette con le medesime modalita' previste per la distribuzione attraverso le strutture aziendali del Servizio Sanitario Nazionale, da definirsi in sede di convenzione;
assicurare l'erogazione diretta da parte delle aziende sanitarie locali dei medicinali necessari al trattamento dei pazienti in assistenza domiciliare, residenziale e semiresidenziale;
disporre, al fine di garantire la continuita' assistenziale, che la struttura pubblica fornisca direttamente i farmaci, limitatamente al primo ciclo terapeutico completo, sulla base di direttive regionali, per il periodo immediatamente successivo alla dimissione dal ricovero ospedaliero o alla visita specialistica ambulatoriale;
Visto l'Accordo-quadro tra il Ministro della sanita', le regioni e le province autonome, sancito dalla Conferenza permanente tra lo Stato, le Regioni e le Province Autonome di Trento e di Bolzano nella seduta del 22 febbraio 2001 (Rep. atti n. 1158) relativo al piano di azione coordinato per lo sviluppo del Nuovo Sistema Informativo Sanitario Nazionale (NSIS), che all'art. 6 stabilisce che le funzioni di indirizzo, coordinamento e controllo delle fasi di attuazione del Nuovo Sistema Informativo Sanitario (NSIS), debbano essere esercitate congiuntamente attraverso un organismo denominato «Cabina di Regia»;
Visto il decreto del Ministro della salute del 14 giugno 2002, con il quale e' stata istituita la Cabina di Regia per lo sviluppo del Nuovo Sistema Informativo Sanitario Nazionale (NSIS);
Vista l'Intesa sancita dalla Conferenza permanente tra lo Stato, le Regioni e le Province Autonome di Trento e di Bolzano nella seduta del 23 marzo 2005 (Rep. Atti n. 2271), in attuazione dell'art. 1, commi 173 e 180, della legge 30 dicembre 2004, n. 311, la quale dispone all'art. 3 che:
la definizione ed il continuo adeguamento nel tempo dei contenuti informativi e delle modalita' di alimentazione del Nuovo Sistema Informativo Sanitario (NSIS), come indicato al comma 5, sono affidati alla Cabina di Regia e vengono recepiti dal Ministero della Salute con propri decreti attuativi, compresi i flussi informativi finalizzati alla verifica degli standard qualitativi e quantitativi dei Livelli Essenziali di Assistenza;
il conferimento dei dati al Sistema Informativo Sanitario, come indicato al comma 6, e' ricompreso tra gli adempimenti cui sono tenute le regioni per l'accesso al finanziamento integrativo a carico dello Stato di cui all'art. 1, comma 164, della legge 30 dicembre 2004, n. 311;
con riferimento all'esigenza di verificare che l'onere a carico del Servizio Sanitario Nazionale per l'assistenza farmaceutica sia contenuto entro i tetti fissati dalla legislazione vigente, e' istituito nell'ambito del NSIS, come indicato al comma 10, il flusso informativo dei dati relativi alla distribuzione diretta o per conto dei farmaci;
Vista l'Intesa sancita dalla Conferenza permanente tra lo Stato, le Regioni e le Province Autonome di Trento e di Bolzano nella seduta del 3 dicembre 2009 (Rep. Atti n. 243) sul Nuovo Patto per la salute 2010-2012 che :
all'art. 4, ai fini dell'accesso al finanziamento integrativo del Servizio sanitario nazionale, stabilisce che costituiscono adempimento regionale gli adempimenti derivanti dalla legislazione vigente e quelli derivanti dagli Accordi e dalle Intese intervenute tra lo Stato, le Regioni e le Province Autonome di Trento e di Bolzano;
all'art. 17 sul Nuovo Sistema Informativo Sanitario dispone una proroga dei compiti e della composizione della Cabina di regia del NSIS fino alla stipula del nuovo Accordo di riadeguamento della composizione e delle modalita' di funzionamento della stessa;
Considerato che il Nuovo Sistema Informativo Sanitario (NSIS) ha la finalita' di supportare il monitoraggio dei Livelli Essenziali di Assistenza, attraverso gli obiettivi strategici approvati dalla Cabina di Regia nella seduta dell'11 settembre 2002;
Considerato che, tra gli obiettivi strategici del Nuovo Sistema Informativo Sanitario (NSIS) una delle componenti fondamentali e' rappresentata dal «Sistema di integrazione delle informazioni sanitarie individuali», nell'ambito del quale e' ricompreso il monitoraggio delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto;
Visto il decreto del Ministro della salute 31 luglio 2007, pubblicato nella Gazzetta Ufficiale n. 229 del 2 ottobre 2007, adottato ai sensi dell'art. 3, comma 10, della citata Intesa Stato-Regioni del 23 marzo 2005, recante «Istituzione del flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto»;
Visto l'art. 5, comma 1, del decreto-legge 1° ottobre 2007, convertito, con modificazioni, dalla legge 29 novembre 2007, n. 222, che prevede la trasmissione mensile dei dati relativi alla distribuzione diretta di medicinali, entro quindici giorni dalla fine di ciascun mese, da parte delle regioni all'Agenzia italiana del farmaco (AIFA), al Ministero della salute e al Ministero dell'economia e delle finanze, secondo le specifiche tecniche definite dal citato decreto del Ministero della salute 31 luglio 2007 e che il rispetto da parte delle Regioni di quanto previsto dal suddetto comma costituisce adempimento ai fini dell'accesso al finanziamento integrativo a carico dello Stato;
Visto il decreto del Ministro del lavoro, della salute e delle politiche sociali 13 novembre 2008, pubblicato nella Gazzetta Ufficiale n. 46 del 25 febbraio 2009, recante «Modifica al decreto 31 luglio 2007 recante "Istituzione del flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto" », che ha recepito le disposizioni contenute nella citata legge 29 novembre 2007, n. 222 anche al fine di consentire alle Regioni e alle Province Autonome la reciproca confrontabilita' dei dati;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante "Codice in materia di protezione dei dati personali", e successive modificazioni;
Visto il decreto del Ministro della salute 12 dicembre 2007, n. 277, recante «Regolamento di attuazione dell'art. 20, commi 2 e 3, dell'art. 21 e dell'art. 181, comma 1, lettera a), del decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali» con il quale si individuano i trattamenti dei dati sensibili e giudiziari effettuati dal Ministero della salute;
Visto, in particolare, l'allegato C-01 del citato decreto del Ministro della salute n. 277 del 2007 che prevede il trattamento di dati sensibili per finalita' di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, ai sensi dell'art. 85, comma 1, lettera b), del citato Codice in materia di protezione dei dati personali, senza elementi identificativi diretti;
Visti i regolamenti per il trattamento dei dati sensibili e giudiziari adottati dalle Regioni e Province Autonome in conformita' allo schema tipo di Regolamento volto a disciplinare i trattamenti dei dati sensibili e giudiziari effettuati dalle Regioni e Province Autonome, ai sensi degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196, approvato dall'Autorita' Garante per la protezione dei dati personali in data 13 aprile 2006;
Rilevato, in particolare, che la scheda 12 del suddetto schema tipo di Regolamento per il trattamento dei dati sensibili e giudiziari effettuati dalle Regioni e Province Autonome, prevede che i dati provenienti dalle aziende sanitarie siano privati degli elementi identificativi diretti subito dopo la loro acquisizione da parte della Regione; che ai fini della verifica della non duplicazione delle informazioni e della eventuale interconnessione con altre banche dati sanitarie della Regione, la specifica struttura tecnica individuata dalla Regione, alla quale viene esplicitamente affidata la funzione infrastrutturale, provvede ad assegnare ad ogni soggetto un codice univoco che non consente la identificazione dell'interessato durante il trattamento dei dati; che, qualora le Regioni e le Province autonome non dispongano di sistemi di codifica, coerenti con quanto stabilito nello schema tipo di Regolamento, i dati saranno inviati in forma anonima;
Vista la relazione annuale 2009 dell'Autorita' Garante per la protezione dei dati personali, ai sensi dell'art. 154, comma 1, lettera m), del citato decreto legislativo n. 196 del 2003, nella quale e' stata evidenziata la necessita' che i decreti del Ministro della salute istitutivi di flussi informativi nell'ambito del NSIS, adottati senza il preventivo parere dell'Autorita', fossero sottoposti al parere dell'Autorita' medesima;
Considerato che, a seguito di quanto evidenziato nella citata relazione annuale 2009 dell'Autorita' Garante per la protezione dei dati personali, il Ministero della salute ha ritenuto opportuno svolgere una serie di incontri con l'Ufficio del Garante, nel corso dei quali sono state formulate osservazioni da parte del predetto Ufficio sul richiamato decreto del Ministro della salute 31 luglio 2007, recante «Istituzione del flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto», come modificato dal decreto del Ministro del lavoro, della salute e delle politiche sociali 13 novembre 2008" e sul relativo Disciplinare Tecnico Allegato 1 parte integrante del medesimo decreto;
Tenuto conto che le osservazioni formulate nel corso dei predetti incontri da parte dell'Ufficio del Garante hanno reso necessario procedere alla modifica del citato decreto del Ministro della salute 31 luglio 2007, concernente «Istituzione del flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto», come modificato dal decreto del Ministro del lavoro, della salute e delle politiche sociali 13 novembre 2008 e sul Disciplinare Tecnico Allegato 1 parte integrante del medesimo decreto;
Considerato che in data 28 marzo 2012 il Ministero della salute ha trasmesso all'Autorita' Garante per la protezione dei dati personali, ai fini dell'acquisizione del parere formale, il presente decreto ed il relativo Disciplinare Tecnico Allegato A parte integrante del medesimo decreto;
Acquisito il parere del Garante per la protezione dei dati personali, reso in data 11 maggio 2012, ai sensi dell'art. 154, comma 4, del decreto legislativo 30 giugno 2003, n. 196, con il quale sono state formulate ulteriori osservazioni e raccomandazioni, che sono state integralmente recepite;
Acquisito il parere della Cabina di Regia del Nuovo Sistema Informativo Sanitario in data 12 aprile 2012;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice dell'amministrazione digitale», come modificato dal decreto legislativo 30 dicembre 2010, n. 235;
Visto il parere favorevole della Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province Autonome di Trento e di Bolzano, ai sensi dell'art. 2, comma 4, del decreto legislativo 28 agosto 1997, n. 281, nella seduta del 25 luglio 2012 (Rep. atti n.163/CSR);

Decreta:

Art. 1
Modifiche al decreto del Ministro della salute 31 luglio 2007,
recante «Istituzione del flusso informativo delle prestazioni
farmaceutiche effettuate in distribuzione diretta o per conto»,
come modificato dal decreto del Ministro del lavoro, della salute e
delle politiche sociali 13 novembre 2008, e al relativo
Disciplinare Tecnico Allegato 1 parte integrante del medesimo
decreto.
1. Al Decreto del Ministro della salute 31 luglio 2007 recante «Istituzione del flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto», come modificato dal decreto del Ministro del lavoro, della salute e delle politiche sociali 13 novembre 2008, e al relativo Disciplinare Tecnico Allegato 1 parte integrante del medesimo decreto, sono apportate le seguenti modificazioni:
a) all'art. 2 dopo il comma 2 e' aggiunto il seguente:
«2-bis. Al fine di consentire il monitoraggio delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto, nonche' consentire il monitoraggio dei livelli essenziali e uniformi di assistenza nel rispetto dei principi della dignita' della persona umana, del bisogno di salute, dell'equita' nell'accesso all'assistenza, della qualita' delle cure e della loro appropriatezza riguardo alle specifiche esigenze, nonche' dell'economicita' nell'impiego delle risorse, ai sensi del decreto legislativo 30 dicembre 1992 , n. 502, e successive modificazioni, la banca dati di cui al presente decreto e' volta a consentire le analisi aggregate utili per il calcolo di indicatori, anche ai fini della verifica di cui all'art. 3 dell'Intesa sancita dalla Conferenza permanente tra lo Stato, le Regioni e le Province Autonome di Trento e di Bolzano nella seduta del 23 marzo 2005. Per le predette finalita' e' consentita l'interconnessione dei contenuti informativi presenti nel Nuovo Sistema informativo sanitario attraverso il codice univoco dell'assistito previsto dalla scheda 12 dello schema tipo di Regolamento per il trattamento dei dati sensibili e giudiziari effettuati dalle regioni e province autonome, approvato dall'Autorita' Garante per la protezione di dati personali in data 13 aprile 2006, con le modalita' di cui all'art. 5-bis.";
b) all'art. 3, comma 2, la lettera f) e' sostituita dalla seguente: «f) dati personali, riferiti all'assistito, non direttamente identificativi ai sensi del decreto legislativo 30 giugno 2003 n.196;» ;
c) all'art. 3, comma 5, le parole «allegato al» sono sostituite dalle seguenti: «allegato 1 parte integrante del» e le parole «www.ministerosalute.it» sono sostituite dalle seguenti: «www.salute.gov.it»;
d) all'art. 4, comma 1, le parole «allegato al» sono sostituite dalle seguenti: «allegato 1 parte integrante del» e le parole «www.ministerosalute.it» sono sostituite dalle seguenti: «www.salute.gov.it»;
e) all'art. 4, dopo il comma 1, sono inseriti i seguenti:
«1-bis. La trasmissione telematica dei dati, secondo le procedure descritte nel disciplinare tecnico allegato avviene in conformita' alle relative regole tecniche del Sistema Pubblico di Connettivita' (SPC) previsto e disciplinato dagli articoli 72 e seguenti del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, concernente il codice dell'amministrazione digitale. In particolare si utilizzera' un protocollo sicuro e si fara' ricorso all'autenticazione bilaterale fra sistemi basata su certificati digitali emessi da un'autorita' di certificazione ufficiale.
1-ter. Ai fini della cooperazione applicativa, le regioni e le province autonome e il Ministero della salute garantiscono la conformita' delle infrastrutture alle regole dettate dal Sistema Pubblico di Connettivita' (SPC).»;
f) l'art. 5 e' sostituito dal seguente:
«Art. 5 (Accesso ai dati). - 1. Al fine di consentire il monitoraggio delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto, la banca dati e' predisposta per permettere:
a) alle unita' organizzative delle regioni e province autonome competenti, come individuate da provvedimenti regionali e provinciali, di consultare le informazioni rese disponibili dalla banca dati in forma aggregata al fine di effettuare analisi comparative in materia di assistenza farmaceutica, sulla base degli indicatori calcolati ai sensi dell'art. 2, comma 2-bis, primo periodo;
b) alle unita' organizzative della Direzione Generale della programmazione sanitaria, della Direzione Generale del sistema informativo e statistico sanitario nonche' della Direzione Generale dei dispositivi medici, del servizio farmaceutico e della sicurezza delle cure del Ministero della salute competenti, come individuate dal decreto ministeriale di organizzazione, di consultare le informazioni rese disponibili dal Sistema in forma aggregata;
c) alle unita' organizzative dell'Agenzia italiana del farmaco e del Ministero dell'economia e delle finanze, come individuate da specifici provvedimenti, di consultare le informazioni rese disponibili dal Sistema in forma aggregata.»;
g) dopo l'art. 5 e' inserito il seguente:
«Art. 5-bis (Trattamento dei dati) - 1. La riservatezza dei dati trattati nell'ambito del sistema, ai sensi del decreto legislativo 30 giugno 2003, n. 196 ed, in particolare, dell'art. 34, comma 1, lettera h), verra' garantita dalle procedure di sicurezza relative al software e ai servizi telematici, in conformita' alle regole tecniche di cui all'art. 71, comma 1-bis, del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni.
2. Nella banca dati sono raccolti e trattati solo i dati indispensabili per il perseguimento delle finalita' del presente decreto, con modalita' e logiche di organizzazione ed elaborazione delle informazioni dirette esclusivamente a fornire una rappresentazione aggregata dei dati. L'accesso degli incaricati del trattamento ai dati registrati nel Sistema avviene attraverso chiavi di ricerca che non consentono, anche mediante operazioni di interconnessione e raffronto, la consultazione, la selezione o l'estrazione di informazioni riferite a singoli individui o di elenchi di codici identificativi. Le funzioni applicative del Sistema non consentono la consultazione e l'analisi di informazioni che rendano identificabile l'interessato, ai sensi dei codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici o scientifici di cui agli allegati A3 e A4 del decreto legislativo 30 giugno 2003, n. 196.
3. Il codice univoco e' assegnato a ciascun soggetto, in applicazione di quanto previsto dalla scheda 12 dello schema di Regolamento per il trattamento dei dati sensibili e giudiziari effettuati dalle regioni e province autonome. Qualora le regioni e le province autonome non dispongano di sistemi di codifica, coerenti con quanto stabilito con lo schema tipo di regolamento, i dati saranno inviati in forma anonima.
4. I dati inviati dalle regioni e province autonome, gia' privi degli elementi identificativi diretti, sono archiviati previa separazione dei dati sanitari dagli altri dati. I dati sanitari sono trattati con tecniche crittografiche.
5. Al fine di rendere le informazioni sulla patologia temporaneamente inintelligibili anche a chi e' autorizzato ad accedervi, le stesse sono trattate con tecniche crittografiche.";
h) al Disciplinare Tecnico, allegato 1, sono apportate le modificazioni contenute nell'Allegato A parte integrante del presente decreto.

Art. 2
Entrata in vigore

1. Il presente decreto entra in vigore dalla data della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Il presente decreto sara' inviato ai competenti organi di controllo e pubblicato nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 6 agosto 2012

Il Ministro: Balduzzi
Registrato alla Corte dei conti il 21 settembre 2012 Ufficio di controllo sugli atti del MIUR, MIBAC, Min. salute e Min. lavoro, registro n. 13, foglio n. 123

Allegato A

Modifiche all'Allegato 1 del decreto del Ministro della salute 31
luglio 2007 recante "Istituzione del flusso informativo delle
prestazioni farmaceutiche effettuate in distribuzione diretta o per
conto", come modificato dal decreto del Ministro del lavoro, della
salute e delle politiche sociali 13 novembre 2008.
1. Al Disciplinare Tecnico, Allegato 1, del decreto del Ministro della salute 31 luglio 2007 recante «Istituzione del flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto», come modificato dal decreto del Ministro del lavoro, della salute e delle politiche sociali 13 novembre 2008, sono apportate le seguenti modificazioni:
a) al paragrafo "2. Le informazioni", con riferimento ai dati relativi all'assistito, le parole "codice anonimo del cittadino, data di nascita" sono sostituite con "codice univoco dell'assistito, anno di nascita";
b) dopo il paragrafo "2. Le informazioni" e' inserito il seguente:
"2-bis. Descrizione del sistema informativo realizzato per la gestione dei contenuti informativi della banca dati per il monitoraggio delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto
2-bis.1 - Caratteristiche infrastrutturali.
Date le caratteristiche organizzative, le necessita' di scambio di informazioni tra sistemi eterogenei e le caratteristiche dei dati trattati, il sistema informativo realizzato per la gestione dei contenuti informativi della banca dati per il monitoraggio delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto, di seguito indicato come sistema informativo, e' basato su un'architettura standard del mondo Internet:
Utilizza lo standard XML per definire in modo unificato il formato e l'organizzazione dei dati scambiati nelle interazioni tra le applicazioni;
Attua forme di cooperazione applicativa tra sistemi;
Prevede una architettura di sicurezza specifica per la gestione dei dati personali trattati.
E' costituita, a livello nazionale, da:
un sistema che ospita il front-end web dell'applicazione (avente la funzione di web server);
un sistema che ospita l'applicazione (avente la funzione di application server);
un sistema dedicato alla memorizzazione dei dati (data server);
un sistema dedicato alla autenticazione degli utenti e dei messaggi;
un sistema dedicato a funzioni di Business Intelligence.
Tutti i sistemi sono collegati in rete locale e connessi alle infrastrutture comunicative attraverso firewall opportunamente configurati. Inoltre, la sicurezza degli stessi e' incrementata mediante:
strumenti IDS (Intrusion Detection System) collocati nei punti di accesso alla rete al fine di consentire l'identificazione di attivita' ostili, ostacolando l'accesso da parte di soggetti non identificati e permettendo una reazione automatica alle intrusioni;
il software e' aggiornato secondo la tempistica prevista dalle case produttrici ovvero, periodicamente, a seguito di interventi di manutenzione;
il database e' configurato per consentire un ripristino completo delle informazioni senza causarne la perdita di integrita' e disponibilita';
gruppi di continuita' che, in caso di mancanza di alimentazione elettrica di rete, garantiscono la continuita' operativa.
Le operazioni di accesso al sistema informativo, tramite funzioni applicative o tramite accesso diretto, sono tracciate al fine di poter individuare eventuali anomalie.
2-bis.1.1 - Gestione dei supporti di memorizzazione.
I supporti di memorizzazione, includono nastri magnetici, dischi ottici e cartucce, possono essere fissi o rimovibili. E' identificato un ruolo di custode dei supporti di memorizzazione, al quale e' attribuita la responsabilita' della gestione dei supporti di memorizzazione rimovibili.
Per la gestione dei supporti di memorizzazione sono state adottate, in particolare, le seguenti misure:
tutti i supporti sono etichettati a seconda della classificazione dei dati contenuti;
viene tenuto un inventario dei supporti di memorizzazione secondo controlli predefiniti;
sono state definite ed adottate misure di protezione fisica dei supporti di memorizzazione.
I supporti di memorizzazione non piu' utilizzati saranno distrutti e resi inutilizzabili.
2-bis.1.2 - Misure idonee a garantire la continuita' del servizio.
A garanzia della corretta operativita' del servizio sono state attivate procedure idonee a definire tempi e modi per salvaguardare l'integrita' e la disponibilita' dei dati e consentire il ripristino del sistema informativo in caso di eventi che lo rendano temporaneamente inutilizzabile. In particolare, per quel che riguarda i dati custoditi presso il CED, sono previste:
procedure per il salvataggio periodico dei dati (backup sia incrementale che storico);
procedure che regolamentano la sostituzione, il riutilizzo e la rotazione dei supporti ad ogni ciclo di backup;
procedure per il data recovery;
procedure per la verifica dell'efficacia sia del backup che del possibile, successivo, ripristino.
La struttura organizzativa del CED e le procedure adottate consentono, in caso di necessita', di operare ripristino dei dati in un arco di tempo inferiore ai sette giorni.
2-bis.2 - Abilitazione degli utenti.
Sara' consentito agli utenti l'accesso al sistema informativo attraverso i dispositivi standard (Carta nazionale dei servizi, Carta di identita' elettronica), definiti dalle vigenti normative, come strumenti per l'autenticazione telematica ai servizi erogati in rete dalle pubbliche amministrazioni.
In fase di prima attuazione, gli utenti possono accedere al sistema informativo tramite credenziali di autenticazione generate secondo le modalita' riportate sul sito del Ministero, in conformita' all'art. 64 del Codice dell'Amministrazione Digitale.
Per l'accesso al sistema informativo, l'architettura prevede un'abilitazione in due fasi.
La prima fase consente la registrazione da parte dell'utente mediante l'inserimento delle generalita' e del proprio indirizzo di posta elettronica ove ricevere le credenziali di autenticazione nonche' dei dettagli inerenti la struttura organizzativa di appartenenza. Successivamente, il sistema di registrazione invia una email contenente l'identificativo e la password che l'utente e' obbligato a cambiare al primo accesso e, periodicamente, con cadenza trimestrale.
La parola chiave dovra' avere le seguenti caratteristiche:
sara' composta da almeno otto caratteri,
non conterra' riferimenti facilmente riconducibili all'incaricato.
Le credenziali di autorizzazione non utilizzate da almeno sei mesi sono disattivate.
Nella seconda fase, l'utente (che viene definito utente NSIS) puo' chiedere l'abilitazione ad un profilo di un'applicazione censita nel NSIS (in questo caso l'applicazione "Medicinali - Distribuzione diretta"). Il sistema informativo permette di formulare richieste solo per le applicazioni associate alla struttura organizzativa di appartenenza.
L'amministratore del sistema effettua un riscontro della presenza del nominativo nella lista di coloro che sono stati designati dal referente della Regione o Provincia Autonoma di appartenenza. Qualora questa verifica abbia esito negativo la procedura di registrazione si interrompe; nel caso in cui questa verifica abbia esito positivo l'utente e' abilitato all'utilizzo del sistema.
Per garantire l'effettiva necessita', da parte del singolo utente NSIS, di accedere alle informazioni per le quali ha ottenuto un profilo di accesso, le utenze vengono, periodicamente, sottoposte a revisione e l'amministratore verifica con i referenti delle Regioni e delle Province Autonome il permanere degli utenti abilitati, nelle liste delle persone autorizzate ad accedere all'NSIS e ai sistemi ad esso riconducibili (allegato b, decreto legislativo 30 giugno 2003, n. 196).
2-bis.3 - Modalita' di trasmissione.
La Regione o Provincia Autonoma fornisce al sistema informativo le informazioni nei formati stabiliti nelle successive sezioni, scegliendo fra tre modalita' alternative:
a) utilizzando le regole tecniche di cooperazione applicativa del SPC;
b) utilizzando i servizi applicativi che il sistema informativo mette a disposizione tramite il protocollo sicuro https e secondo le regole per l'autenticazione di cui a punto 3.2;
c) ricorrendo alla autenticazione bilaterale fra sistemi basata su certificati digitali emessi da un'autorita' di certificazione ufficiale.
A supporto degli utenti, il sistema informativo rende disponibile un servizio di assistenza raggiungibile mediante un unico numero telefonico da tutto il territorio nazionale, ogni ulteriore dettaglio e' reperibile sul sito istituzionale del Ministero all'indirizzo www.salute.gov.it.
Le tempistiche di trasmissione ed i servizi di cooperazione applicativa sono pubblicati a cura del Ministero all'indirizzo www.salute.gov.it.
2-bis.3.1. - Sistema Pubblico di Connettivita'.
Il Sistema Pubblico di Connettivita' e' definito e disciplinato all'art. 73 del decreto legislativo 7 marzo 2005, n. 82.
Le trasmissioni telematiche devono avvenire nel rispetto delle regole tecniche del SPC, cosi' come definito agli artt. 51 e 71 del decreto legislativo 7 marzo 2005, n. 82.
Per l'accesso ai servizi gli utenti dovranno avvalersi di un collegamento da realizzare secondo una delle seguenti modalita':
connessione mediante le Community network istituite dalle regioni per garantire il rispetto dei requisiti previsti dalle regole tecniche approvate dalla Commissione di Coordinamento SPC di cui all'art. 80 del Codice;
connessione attraverso i fornitori qualificati SPC previsti dall'art. 82 del Codice.
2-bis.3.2. - Garanzie per la sicurezza della trasmissione dei flussi informativi.
Nel caso in cui la Regione o la Provincia Autonoma disponga di un sistema informativo in grado di interagire secondo le logiche di cooperazione applicativa, l'erogazione e la fruizione del servizio richiedono come condizione preliminare che siano effettuate operazioni di identificazione univoca delle entita' (sistemi, componenti software, utenti) che partecipano, in modo diretto e indiretto (attraverso sistemi intermedi) ed impersonando ruoli diversi, allo scambio di messaggi e alla erogazione e fruizione dei servizi.
In particolare occorrera' fare riferimento alle regole tecniche individuate ex art. 71, comma 2, del decreto legislativo 7 marzo 2005, n. 82.
Nel caso in cui il sistema informativo della Regione o Provincia Autonoma non risponda alle specifiche di cui sopra, l'utente che debba procedere all'inserimento delle informazioni potra' accedere al sistema informativo e inviare le informazioni attraverso una connessione sicura.".
c) Al paragrafo "4. Adeguamento alle trasmissioni." nella tabella "Fase 3", le parole "Identificativo assistito", riportate nella colonna "Dato da rilevare", sono sostituite con "Codice univoco" e le parole "Codice anonimo dell'assistito", riportate nella colonna "Descrizione", sono sostituite con le seguenti: "Ai sensi delle disposizioni del regolamento del Ministero della Salute, approvato dall'Autorita' Garante per la protezione dei dati personali nella seduta del Collegio del 28 febbraio 2007 e delle disposizioni dello schema tipo di regolamento delle Regioni approvato dall'Autorita' Garante per la protezione dei dati personali nella seduta del Collegio del 13 aprile 2006. Il campo deve essere valorizzato riportando il codice univoco derivante dal processo di codifica coerente con quanto indicato nello schema tipo di Regolamento regionale (applicabile sia ai cittadini italiani che stranieri)".
d) Al paragrafo "4. Adeguamento alle trasmissioni." nella tabella "Fase 3", le parole "Data di Nascita", riportate nella colonna "Dato da rilevare", sono sostituite con "Anno di nascita" e le parole "Data di nascita dell'assistito a cui e' stata erogata la prestazione", riportate nella colonna "Descrizione", sono sostituite con le seguenti: "Anno di nascita dell'assistito a cui e' stata erogata la prestazione ".
e) Al paragrafo "4. Adeguamento alle trasmissioni." nella tabella "Fase 3", le parole "Codice indicante il tipo di esenzione dell'assistito", riportate nella colonna "Descrizione", sono sostituite con le seguenti: "Indica il tipo di esenzione dell'assistito, escludendo la rilevazione di informazioni cui la legge assicura una particolare protezione (es. HIV, dipendenze)".
f) Al paragrafo "4. Adeguamento alle trasmissioni." nella tabella "Fase 3", le parole "Per alcune tipologie di esenzione, codice di esenzione delle condizioni di esenzione dalla partecipazione alla spesa - decreto del Ministero dell'economia e delle finanze del 22 luglio 2005", riportate nella colonna "Descrizione", sono sostituite con le seguenti: "Indica il codice di esenzione dal pagamento del ticket del cittadino, escludendo la rilevazione di informazioni cui la legge assicura una particolare protezione (es. HIV, dipendenze).
g) Al paragrafo "4. Adeguamento alle trasmissioni." dopo le parole "Per la fase 3 e' prevista la possibilita' di omettere i dati relativi a prescrittore, contatto e assistito per le seguenti tipologie di strutture: Residenze Sanitarie Assistenziali e altre strutture residenziali e semiresidenziali, SERT e Istituti penitenziari" sono aggiunte le seguenti "e per le prestazioni erogate in Assistenza Domiciliare Integrata".