Art. 7
Trattamento dei dati
1. La riservatezza dei dati trattati nell'ambito del SISM, ai sensi
del decreto legislativo 30 giugno 2003, n. 196 ed, in particolare,
dell'art. 34, comma 1, lettera h), viene garantita dalle procedure di
sicurezza relative al software e ai servizi telematici, in
conformita' alle regole tecniche di cui all'art. 71, comma 1-bis, del
Codice dell'amministrazione digitale.
2. Nel SISM sono raccolti e trattati solo i dati indispensabili per
il perseguimento delle finalita' del presente decreto, con modalita'
e logiche di organizzazione ed elaborazione delle informazioni
dirette esclusivamente a fornire una rappresentazione aggregata dei
dati. L'accesso degli incaricati del trattamento ai dati registrati
nel SISM avviene attraverso chiavi di ricerca che non consentono,
anche mediante operazioni di interconnessione e raffronto, la
consultazione, la selezione o l'estrazione di informazioni riferite a
singoli individui o di elenchi di codici identificativi. Le funzioni
applicative del sistema non consentono la consultazione e l'analisi
di informazioni che rendano identificabile l'interessato ai sensi dei
codici di deontologia e di buona condotta per i trattamenti di dati
personali per scopi statistici o scientifici di cui agli allegati A3
e A4 del decreto legislativo 30 giugno 2003, n. 196.
3. Il codice univoco assegnato a ciascun soggetto, in applicazione
di quanto previsto dalla scheda 12 dello schema di regolamento per il
trattamento dei dati sensibili e giudiziari delle regioni e province
autonome, ai fini di evitare duplicazioni di informazioni riferite
allo stesso soggetto, e' diverso da analogo codice utilizzato nella
trasmissione dei dati di altri sistemi informativi. Qualora le
regioni e le province autonome non dispongano di sistemi di codifica,
coerenti con quanto stabilito nello schema tipo di regolamento, i
dati saranno inviati in forma anonima.
4. I dati inviati dalle regioni e province autonome, gia' privi
degli elementi identificativi diretti, sono archiviati previa
separazione dei dati sanitari dagli altri dati. I dati sanitari sono
trattati con tecniche crittografiche.
5. La trasmissione telematica dei dati, secondo le procedure
descritte nel disciplinare tecnico allegato, avviene in conformita'
alle relative regole tecniche del Sistema pubblico di connettivita'
(«SPC») previsto e disciplinato dagli articoli 72 e seguenti del
Codice dell'amministrazione digitale. In particolare si utilizzera'
un protocollo sicuro e si fara' ricorso alla autenticazione
bilaterale fra sistemi basata su certificati digitali emessi da
un'autorita' di certificazione ufficiale.
6. Il processo di autenticazione in rete degli utenti avviene
tramite Carta nazionale dei servizi, Carta di identita' elettronica
e, in fase di prima attuazione, tramite credenziali di
autenticazione, in conformita' all'art. 64 del Codice
dell'amministrazione digitale e all'art. 34 del decreto legislativo
30 giugno 2003, n. 196, secondo le modalita' descritte nel
disciplinare tecnico allegato.
7. Ai fini della cooperazione applicativa le regioni e province
autonome di Trento e di Bolzano e il Ministero della salute
garantiscono la conformita' delle infrastrutture alle regole dettate
dal Sistema pubblico di connettivita'.
8. Con riferimento al comma 5, le regioni e province autonome di
Trento e di Bolzano che non dispongono di servizi di cooperazione
applicativa predispongono un piano di adeguamento dei propri sistemi.
Nelle more dell'adeguamento dei sistemi regionali il conferimento dei
dati e' reso possibile secondo le previste procedure descritte nel
disciplinare tecnico allegato.
9. L'approvazione delle modifiche e l'aggiornamento degli standard
tecnologici saranno effettuati secondo le modalita' previste
dall'art. 71 del Codice dell'amministrazione digitale.
Il presente decreto sara' pubblicato nella Gazzetta Ufficiale della
Repubblica italiana.
Roma, 15 ottobre 2010
Il Ministro: Fazio