Gazzetta n. 243 del 16 ottobre 2013 (vai al sommario)
PRESIDENZA DEL CONSIGLIO DEI MINISTRI
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 agosto 2013
Modalita' di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalita' digitali, nonche' di effettuazione del pagamento online delle prestazioni erogate, ai sensi dell'articolo 6, comma 2, lettera d), numeri 1) e 2) del decreto-legge 13 maggio 2011, n.70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, recante «Semestre europeo - prime disposizioni urgenti per l'economia».


IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI

Visto l'art. 6, comma 2, lettera d), numeri 1) e 2) del decreto-legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, recante «Semestre europeo - prime disposizioni urgenti per l'economia»;
Vista la legge 23 dicembre 1978, n. 833, recante «Istituzione del servizio sanitario nazionale»;
Visto il decreto legislativo 30 dicembre 1992, n. 502, e successive modificazioni, che all'art. 3-septies, comma 2, definisce le prestazioni sanitarie a rilevanza sociale e le prestazioni sociali a rilevanza sanitaria;
Visto il decreto legislativo 31 marzo 1998, n. 112, recante «Conferimento di funzioni e compiti amministrativi dello Stato alle Regioni e agli Enti locali, in attuazione del Capo I della legge 15 marzo 1997, n. 59»;
Visto il decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, recante il Codice per la protezione dei dati personali;
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, concernente il Codice dell'amministrazione digitale, e, in particolare, gli articoli 5, 63 e 64;
Visto l'art. 16-bis del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2;
Vista la legge 13 novembre 2009, n. 172, recante «istituzione del ministero della salute e incremento del numero complessivo dei Sottosegretari di Stato»;
Visto il decreto del Presidente del Consiglio dei ministri 6 maggio 2009 concernente disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini;
Visto il decreto del Ministro della salute 8 luglio 2011, recante «erogazione da parte delle farmacie, di attivita' di prenotazione delle prestazioni di assistenza specialistica ambulatoriale, pagamento delle relative quote di partecipazione alla spesa a carico del cittadino e ritiro dei referti relativi a prestazioni di assistenza specialistica ambulatoriale.»;
Visto il decreto 11 dicembre 2009 del Ministro dell'economia e delle finanze, di concerto con il Ministro della salute concernente la verifica delle esenzioni, in base al reddito, dalla compartecipazione alla spesa sanitaria, tramite il supporto del sistema tessera sanitaria;
Visto il decreto-legge 18 ottobre 2012 n. 179, recante «Ulteriori misure urgenti per la crescita del Paese», convertito in legge, con modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221;
Visto il decreto del Presidente della Repubblica in data 28 aprile 2013, con il quale l'onorevole avvocato Gianpiero D'Alia e' stato nominato Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei ministri del 28 aprile 2013, con il quale al predetto Ministro senza portafoglio e' stato conferito l'incarico per la pubblica amministrazione e la semplificazione;
Visto il decreto del Presidente del Consiglio dei ministri 27 maggio 2013 recante delega di funzioni del Presidente del Consiglio dei ministri al Ministro senza portafoglio, onorevole avvocato Gianpiero D'Alia, in materia di pubblica amministrazione e semplificazione;
Viste le linee guida del Ministro per la pubblica amministrazione e l'innovazione per la rilevazione sistematica della customer satisfaction tramite emoticons;
Visto il provvedimento del Garante per la protezione dei dati personali del 16 luglio 2009, recante «Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario»;
Visto il provvedimento del Garante per la protezione dei dati personali del 19 novembre 2009, recante «Linee guida in tema di referti online»;
Visto il provvedimento del Garante per la protezione dei dati personali del 5 maggio 2011, recante «Linee guida in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario»;
Vista l'Intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province di Trento e Bolzano acquisita in data 29 aprile 2010 sul documento recante «Sistema CUP - Linee guida nazionali»;
Vista l'Intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province di Trento e Bolzano acquisita in data 10 febbraio 2011 sul documento recante «il Fascicolo sanitario elettronico - Linee guida nazionali»;
Ritenuto di definire le disposizioni necessarie per l'adozione da parte delle aziende sanitarie del Servizio sanitario nazionale, di procedure telematiche per consentire il pagamento online delle prestazioni erogate, nonche' la consegna, tramite web, posta elettronica certificata o altre modalita' digitali, dei referti medici, senza ulteriori nuovi o maggiori oneri a carico della finanza pubblica;
Sentito il parere del Garante per la protezione dei dati personali;
Acquisita in data 7 febbraio 2013 l'intesa della Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e Bolzano;
Sulla proposta del Ministro per la pubblica amministrazione e la semplificazione e del Ministro della salute, di concerto con il Ministro dell'economia e delle finanze;

Decreta:

Art. 1
Finalita' e ambito di applicazione

1. Il presente decreto definisce le modalita' con cui le aziende sanitarie del Servizio sanitario nazionale adottano procedure telematiche per consentire il pagamento online delle prestazioni erogate, nonche' la consegna, tramite web, posta elettronica certificata e altre modalita' digitali, dei referti medici, ai sensi dell'art. 6, comma 2, lettera d), numeri 1) e 2), del decreto-legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106.
2. Il presente decreto non si applica alle analisi genetiche. Per gli accertamenti sull'HIV, resta fermo l'obbligo che l'art. 5 della legge 5 giugno 1990, n. 135 pone a carico dell'operatore sanitario e di ogni altro soggetto che venga a conoscenza di un caso di AIDS ovvero di infezione di HIV di adottare ogni misura o accorgimento per la tutela dei diritti della persona e della sua dignita'.
 
Allegato A

Il presente allegato descrive le diverse modalita' di consegna dei referti digitali o delle copie informatiche degli stessi, i servizi aggiuntivi che l'azienda sanitaria puo' rendere disponibili, i formati ammessi e raccomandati per il referto digitale o per la copia informatica dello stesso e i requisiti di sicurezza per le aziende sanitarie. In ogni caso, deve essere garantito il rispetto delle misure, anche di sicurezza, previste dal Garante per la protezione dei dati personali nel provvedimento del 19 novembre 2009, recante «Linee guida in tema di referti on line», in particolare per quanto riguarda i servizi aggiuntivi di notifica via sms e di designazione del medico al ritiro del referto (punto 2).
1. SERVIZI DI REFERTAZIONE ONLINE
1.1 Consegna tramite web
Il servizio offre all'interessato la possibilita' di collegarsi al sito Internet della azienda sanitaria al fine di visualizzare online il referto digitale e effettuare la copia locale (download). In questo caso devono essere adottate dall'azienda sanitaria le seguenti cautele:
a) utilizzo di idonei sistemi di identificazione dell'interessato, quali carta di identita' elettronica (CIE), carta nazionale dei servizi (CNS), ovvero di altri strumenti che consentono l'individuazione del soggetto che richiede il servizio, ai sensi dell'art. 64 del CAD, fermo restando l'obbligo di garantire al titolare di CIE o CNS di poterne fare uso;
b) utilizzo di protocolli di comunicazione sicuri, basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell'identita' dei sistemi che erogano il servizio in rete (protocolli https ssl - Secure Socket Layer);
c) stabilire un limite temporale per la disponibilita' online del referto digitale (non superiore a 45 giorni.), permettendo comunque all'interessato, in tale intervallo di tempo, di richiedere di oscurare dal sistema web il referto digitale.
1.2 Consegna tramite Posta elettronica
Il servizio offre all'interessato la possibilita' di ricevere il referto digitale, o copia informatica dello stesso, alla casella di posta elettronica da esso indicata. In questo caso devono essere adottate dall'azienda sanitaria le seguenti cautele:
a) il referto digitale o la sua copia informatica dovranno essere spediti in forma di allegato a un messaggio e non come testo compreso nel corpo del messaggio;
b) il referto digitale o la sua copia informatica dovranno essere protetti con tecniche di cifratura e accessibili tramite una password per l'apertura del file consegnata separatamente all'interessato.
1.3 Consegna tramite Posta elettronica certificata o domicilio digitale del cittadino
Il servizio offre all'interessato la possibilita' di ricevere il referto digitale o la sua copia informatica alla casella di posta elettronica certificata da esso indicata ovvero al proprio domicilio digitale. In questo caso devono essere adottate dall'azienda sanitaria le seguenti cautele:
a) il referto digitale o la sua copia informatica dovranno essere spediti in forma di allegato a un messaggio e non come testo compreso nel corpo del messaggio.
1.4 Consegna tramite supporto elettronico
Il servizio offre all'interessato la possibilita' di ricevere il referto digitale o la sua copia informatica tramite apposito supporto elettronico. Possono essere utilizzati supporti elettronici quali memorie USB, DVD, CD, etc. Nel caso in cui il supporto venga utilizzato per consegnare all'interessato referti digitali in momenti diversi, devono essere adottate dall'azienda sanitaria le seguenti cautele:
a) il supporto deve essere protetto da opportune credenziali di sicurezza (es. username e password) consegnate separatamente all'interessato o in busta chiusa ad un suo delegato.
1.5 Consegna tramite fascicolo sanitario elettronico FSE
Il servizio offre all'interessato la possibilita' di ricevere il referto digitale o la sua copia informatica tramite il proprio fascicolo sanitario elettronico (FSE). In questo caso devono essere adottate le seguenti cautele:
a) utilizzo di idonei sistemi di identificazione dell'interessato, quali carta di identita' elettronica (CIE), carta nazionale dei servizi (CNS), ovvero di altri strumenti che consentono l'individuazione del soggetto che richiede il servizio, ai sensi dell'art. 64 del CAD, fermo restando l'obbligo di garantire al titolare di CIE o CNS di poterne fare uso;
b) utilizzo di protocolli di comunicazione sicuri, basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell'identita' dei sistemi che erogano il servizio in rete (protocolli https ssl - Secure Socket Layer);
c) ulteriori specifiche cautele secondo quanto disposto nelle "Linee guida in tema di Fascicolo sanitario elettronico e di dossiersanitario" del 16 luglio 2009 del Garante per la protezione dei dati personali e dalle disposizioni attuative dell'art. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, convertito in legge, con modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221.
2. SERVIZI AGGIUNTIVI
L'azienda sanitaria puo' rendere disponibile all'interessato ulteriori servizi aggiuntivi per favorire o facilitare l'utilizzo dei servizi di refertazione online, ovvero per migliorare, in generale, la qualita' dei servizi offerti dalla medesima. Esempi di tali servizi aggiuntivi sono i seguenti:
a) Servizi di notifica: permettono all'interessato di richiedere di essere avvisato della messa a disposizione del referto digitale attraverso l'invio di uno short message service (sms) sul numero di telefono mobile ovvero attraverso l'invio di un messaggio alla casella di posta elettronica indicati all'atto di adesione ai servizi di refertazione online;
b) Servizio di inoltro dei referti digitali a un medico designato dall'interessato: offre la possibilita' all'interessato di richiedere la consegna del referto digitale al medico curante da esso indicato.
3. REFERTO DIGITALE: FORMATI AMMESSI
Il referto digitale o la sua copia informatica sono consegnati preferibilmente in formato ISO 32000. Si raccomanda, per la firma digitale, l'utilizzo dello standard PAdES o di altro standard equivalente che ne favorisca l'utilizzo uniforme su tutto il territorio nazionale.
Analoghe specifiche si applicano, ove opportuno, anche al reperto digitale.
4. REQUISITI DI SICUREZZA PER LE AZIENDE SANITARIE
Per il trattamento dei dati nell'ambito dei servizi di refertazione online, l'azienda sanitaria prevede:
a) idonei accorgimenti per la protezione dei dati registrati e archiviati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione anche parziale di tecnologie crittografiche al file system o database, oppure tramite l'adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati);
b) idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilita' di consultazione, modifica e integrazione dei dati);
c) separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi amministrativo-contabili;
d) apposite procedure che rendano immediatamente non disponibili i referti digitali tramite i servizi di refertazione online qualora l'interessato abbia comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione all'accesso o altre condizioni di possibile rischio per la riservatezza dei propri dati personali;
e) ulteriori specifiche cautele secondo quanto disposto nelle «Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario» del 16 luglio 2009 del Garante per la protezione dei dati personali e dalle disposizioni attuative dell'art. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, convertito in legge, con modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221.
In ogni caso devono essere adottate dalle aziende sanitarie tutte le misure di sicurezza necessarie per rispettare la disciplina in materia di protezione dei dati personali e, in particolare, il divieto di diffusione dei dati sanitari prescritto dall'art. 22, comma 8, del Codice in materia di protezione dei dati personali.
 
Art. 2
Definizioni

1. Ai fini di quanto previsto dal presente decreto si intende per:
a) Referto medico: relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale;
b) Reperto: risultato dell'esame clinico o strumentale effettuato;
c) Referto digitale: rappresentazione informatica del referto medico sottoscritta con firma elettronica qualificata o con firma digitale.
d) Reperto digitale: rappresentazione informatica del reperto, sottoscritta con firma elettronica avanzata, qualificata o digitale ove prevista firma autografa;
e) Copia informatica del referto digitale: documento informatico avente contenuto identico al referto digitale da cui e' tratto con diversa sequenza di valori binari, ai sensi dell'art. 23-bis, comma 2, del decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell'amministrazione digitale, d'ora innanzi C.A.D.;
f) Copia cartacea del referto digitale: copia su supporto analogico del referto digitale, ai sensi dell'art. 23 del Codice dell'amministrazione digitale;
g) Azienda sanitaria: l'azienda sanitaria del Servizio Sanitario Nazionale;
h) Interessato / assistito / paziente: soggetto a cui si riferisce il referto;
i) Titolare del trattamento dei dati: la persona fisica, la persona giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, ai sensi dell'art. 4, comma 1, lettera f) del decreto legislativo 30 giugno 2003, n. 196;
j) Firma digitale: la firma elettronica di cui all'art. 1, comma 1, lettera s) del CAD;
k) Firma elettronica qualificata: la firma elettronica di cui all'art. 1, comma 1, lettera r) del CAD;
l) Firma elettronica avanzata: a) la firma elettronica di cui all'art. 1, comma 1, lettera q-bis) del CAD;
m) Fascicolo Sanitario Elettronico (FSE): l'insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l'assistito, ai sensi dell'art. 12 del decreto legge 18 ottobre 2012, n. 179. Il FSE e' alimentato in maniera continuativa, senza ulteriori oneri per la finanza pubblica, dai soggetti che prendono in cura l'assistito nell'ambito del Servizio sanitario nazionale e dei servizi socio-sanitari regionali, nonche', su richiesta del cittadino, con i dati medici in possesso dello stesso;
n) Posta elettronica certificata (PEC): sistema di comunicazione in grado di attestare l'invio e l'avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi;
o) Domicilio digitale del cittadino: indirizzo di posta elettronica certificata comunicata dal cittadino ai sensi dell'art. 4 del decreto legge 18 ottobre 2012, n. 179;
p) Autenticazione forte: metodo di autenticazione che richiede l'utilizzo di almeno due modalita' di autenticazione tra le seguenti: "qualcosa di conosciuto", come una password o un PIN; "qualcosa di posseduto", come una smart card oppure un token crittografico; "qualcosa di unico riguardo l'aspetto o la persona" come un'impronta digitale oppure altre caratteristiche uniche della persona misurabili con appositi sensori (sistemi biometrici);
q) PAdES: formato di busta crittografica definito nella norma ETSI TS 102 778 basata sullo standard ISO/IEC 32000 e successive modificazioni (Deliberazione CNIPA n. 45 del 21 maggio 2009 e successive modificazioni);
r) Codice dell'amministrazione digitale (CAD): il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni.
 
Art. 3
Consegna del referto in modalita' digitale

1. L'azienda sanitaria rende disponibile all'interessato il referto digitale o copia informatica dello stesso mediante una o piu' modalita', di seguito indicate come "modalita' digitali di consegna" le cui caratteristiche tecniche sono descritte nell'allegato A:
a) consegna tramite Fascicolo sanitario elettronico (FSE);
b) consegna tramite Web;
c) consegna tramite posta elettronica;
d) consegna tramite posta elettronica certificata anche presso il domicilio digitale del cittadino;
e) consegna tramite supporto elettronico;
2. In fase di prima applicazione, di durata comunque non superiore a 24 mesi, l'azienda sanitaria rende disponibili in modalita' digitale i referti, o le copie informatiche degli stessi, relativi alle prestazioni di laboratorio, di microbiologia e di radiologia.
3. Le modalita' digitali di consegna sono attivate previo esplicito consenso informato dell'interessato, espresso secondo le modalita' di cui all'art. 5.
4. L'azienda sanitaria, ove possibile, rende disponibile anche il reperto digitale tramite le modalita' digitali di consegna.
5. L'azienda sanitaria puo' rendere disponibile all'interessato servizi aggiuntivi per favorire o facilitare l'utilizzo dei servizi di refertazione online, ovvero per migliorare, in generale, la qualita' del servizio offerto, come indicato nell'allegato A.
6. L'interessato puo' scegliere tra una o piu' modalita' digitali di consegna tra quelle rese disponibili dall'azienda sanitaria ai sensi del comma 1. L'interessato, in ogni momento puo' richiedere la messa a disposizione del referto digitale attraverso diversa modalita' digitali di consegna tra quelle offerte.
7. Il servizio di ritiro dei referti presso la farmacia resta disciplinato dal decreto del Ministro della salute 8 luglio 2011.
 
Art. 4
Copia cartacea del referto digitale

1. Resta in ogni caso salvo il diritto dell'interessato di ottenere, anche a domicilio, copia cartacea del referto digitale e, ove opportuno, del reperto digitale, senza nuovi o maggiori oneri a carico della finanza pubblica.
2. L'interessato puo' richiedere che la copia analogica del referto digitale e, ove opportuno, del reperto digitale, sia munita di contrassegno generato elettronicamente, che identifichi gli stessi in maniera univoca su tutto il territorio nazionale.
 
Art. 5
Consenso dell'interessato

1. Al fine di consentire all'interessato di esprimere scelte consapevoli in relazione al trattamento dei propri dati personali nell'utilizzo dei servizi di refertazione online, l'azienda sanitaria, in qualita' di titolare del trattamento:
a) fornisce all'interessato un'idonea informativa ai sensi dell'art. 13 del decreto legislativo 30 giugno 2003, n. 196, nonche' sulle caratteristiche delle modalita' digitali di consegna disponibili;
b) acquisisce un autonomo e specifico consenso dell'interessato a trattare i suoi dati personali, anche sanitari, relativamente alle modalita' digitali di consegna;
c) consente la revoca in qualunque momento di tale consenso.
2. All'atto di richiesta del consenso o in ogni altro momento, l'interessato puo' indicare una farmacia presso cui ritirare il referto ai sensi del decreto del Ministro della salute 8 luglio 2011. Tale richiesta puo' essere modificata o revocata in ogni momento dall'interessato.
 
Art. 6
Requisiti di sicurezza per le aziende sanitarie

1. Ferme restando le misure di sicurezza di cui al decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, per il trattamento dei dati personali nell'ambito delle modalita' digitali di consegna, l'azienda sanitaria, in qualita' di titolare del trattamento dei dati, ottempera ai requisiti di sicurezza di cui all'allegato A.
 
Art. 7
Pagamenti online

1. L'azienda sanitaria consente di effettuare il pagamento online delle prestazioni erogate, ai sensi e con le modalita' di cui all'art. 5 del CAD e successive modificazioni.
2. Al fine di favorire la fruizione del servizio di pagamento online delle prestazioni erogate, le aziende sanitarie adottano procedure telematiche per il controllo delle esenzioni per patologia o per reddito secondo le modalita' indicate all'art. 1 del decreto del Ministro dell'economia e delle finanze dell'11 dicembre 2009.
 
Art. 8
Rilevazione del giudizio dei cittadini

1. Le aziende sanitarie progettano e realizzano i servizi in rete di cui agli articoli 3 e 7 assicurando la migliore soddisfazione delle esigenze degli utenti, in particolare, garantendo la completezza del procedimento, la certificazione dell'esito e l'accertamento del grado di soddisfazione dell'utente. A tal fine, le aziende sanitarie adottano strumenti idonei alla rilevazione immediata, continua e sicura del giudizio degli utenti, ai sensi dell'art. 7 del CAD e secondo le modalita' indicate nel provvedimento del Garante per la protezione dei dati personali del 5 maggio 2011, recante «Linee guida in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario.».
 
Art. 9
Clausola d'invarianza finanziaria

1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti previsti dal presente decreto con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.
 
Art. 10
Entrata in vigore

1. Il presente decreto entra in vigore il quindicesimo giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Il presente decreto sara' trasmesso ai competenti organi di controllo e sara' pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 8 agosto 2013

p. Il Presidente del Consiglio dei ministri
Il Ministro per la pubblica
amministrazione e la semplificazione
D'Alia
Il Ministro della salute
Lorenzin
Il Ministro dell'economia e delle finanze
Saccomanni
Registrato alla Corte dei conti il 2 ottobre 2013 Presidenza del Consiglio dei ministri registro n. 8, foglio n. 107
 
Gazzetta Ufficiale Serie Generale per iPhone