Allegato A Il presente allegato descrive le diverse modalita' di consegna dei referti digitali o delle copie informatiche degli stessi, i servizi aggiuntivi che l'azienda sanitaria puo' rendere disponibili, i formati ammessi e raccomandati per il referto digitale o per la copia informatica dello stesso e i requisiti di sicurezza per le aziende sanitarie. In ogni caso, deve essere garantito il rispetto delle misure, anche di sicurezza, previste dal Garante per la protezione dei dati personali nel provvedimento del 19 novembre 2009, recante «Linee guida in tema di referti on line», in particolare per quanto riguarda i servizi aggiuntivi di notifica via sms e di designazione del medico al ritiro del referto (punto 2). 1. SERVIZI DI REFERTAZIONE ONLINE 1.1 Consegna tramite web Il servizio offre all'interessato la possibilita' di collegarsi al sito Internet della azienda sanitaria al fine di visualizzare online il referto digitale e effettuare la copia locale (download). In questo caso devono essere adottate dall'azienda sanitaria le seguenti cautele: a) utilizzo di idonei sistemi di identificazione dell'interessato, quali carta di identita' elettronica (CIE), carta nazionale dei servizi (CNS), ovvero di altri strumenti che consentono l'individuazione del soggetto che richiede il servizio, ai sensi dell'art. 64 del CAD, fermo restando l'obbligo di garantire al titolare di CIE o CNS di poterne fare uso; b) utilizzo di protocolli di comunicazione sicuri, basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell'identita' dei sistemi che erogano il servizio in rete (protocolli https ssl - Secure Socket Layer); c) stabilire un limite temporale per la disponibilita' online del referto digitale (non superiore a 45 giorni.), permettendo comunque all'interessato, in tale intervallo di tempo, di richiedere di oscurare dal sistema web il referto digitale. 1.2 Consegna tramite Posta elettronica Il servizio offre all'interessato la possibilita' di ricevere il referto digitale, o copia informatica dello stesso, alla casella di posta elettronica da esso indicata. In questo caso devono essere adottate dall'azienda sanitaria le seguenti cautele: a) il referto digitale o la sua copia informatica dovranno essere spediti in forma di allegato a un messaggio e non come testo compreso nel corpo del messaggio; b) il referto digitale o la sua copia informatica dovranno essere protetti con tecniche di cifratura e accessibili tramite una password per l'apertura del file consegnata separatamente all'interessato. 1.3 Consegna tramite Posta elettronica certificata o domicilio digitale del cittadino Il servizio offre all'interessato la possibilita' di ricevere il referto digitale o la sua copia informatica alla casella di posta elettronica certificata da esso indicata ovvero al proprio domicilio digitale. In questo caso devono essere adottate dall'azienda sanitaria le seguenti cautele: a) il referto digitale o la sua copia informatica dovranno essere spediti in forma di allegato a un messaggio e non come testo compreso nel corpo del messaggio. 1.4 Consegna tramite supporto elettronico Il servizio offre all'interessato la possibilita' di ricevere il referto digitale o la sua copia informatica tramite apposito supporto elettronico. Possono essere utilizzati supporti elettronici quali memorie USB, DVD, CD, etc. Nel caso in cui il supporto venga utilizzato per consegnare all'interessato referti digitali in momenti diversi, devono essere adottate dall'azienda sanitaria le seguenti cautele: a) il supporto deve essere protetto da opportune credenziali di sicurezza (es. username e password) consegnate separatamente all'interessato o in busta chiusa ad un suo delegato. 1.5 Consegna tramite fascicolo sanitario elettronico FSE Il servizio offre all'interessato la possibilita' di ricevere il referto digitale o la sua copia informatica tramite il proprio fascicolo sanitario elettronico (FSE). In questo caso devono essere adottate le seguenti cautele: a) utilizzo di idonei sistemi di identificazione dell'interessato, quali carta di identita' elettronica (CIE), carta nazionale dei servizi (CNS), ovvero di altri strumenti che consentono l'individuazione del soggetto che richiede il servizio, ai sensi dell'art. 64 del CAD, fermo restando l'obbligo di garantire al titolare di CIE o CNS di poterne fare uso; b) utilizzo di protocolli di comunicazione sicuri, basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell'identita' dei sistemi che erogano il servizio in rete (protocolli https ssl - Secure Socket Layer); c) ulteriori specifiche cautele secondo quanto disposto nelle "Linee guida in tema di Fascicolo sanitario elettronico e di dossiersanitario" del 16 luglio 2009 del Garante per la protezione dei dati personali e dalle disposizioni attuative dell'art. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, convertito in legge, con modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221. 2. SERVIZI AGGIUNTIVI L'azienda sanitaria puo' rendere disponibile all'interessato ulteriori servizi aggiuntivi per favorire o facilitare l'utilizzo dei servizi di refertazione online, ovvero per migliorare, in generale, la qualita' dei servizi offerti dalla medesima. Esempi di tali servizi aggiuntivi sono i seguenti: a) Servizi di notifica: permettono all'interessato di richiedere di essere avvisato della messa a disposizione del referto digitale attraverso l'invio di uno short message service (sms) sul numero di telefono mobile ovvero attraverso l'invio di un messaggio alla casella di posta elettronica indicati all'atto di adesione ai servizi di refertazione online; b) Servizio di inoltro dei referti digitali a un medico designato dall'interessato: offre la possibilita' all'interessato di richiedere la consegna del referto digitale al medico curante da esso indicato. 3. REFERTO DIGITALE: FORMATI AMMESSI Il referto digitale o la sua copia informatica sono consegnati preferibilmente in formato ISO 32000. Si raccomanda, per la firma digitale, l'utilizzo dello standard PAdES o di altro standard equivalente che ne favorisca l'utilizzo uniforme su tutto il territorio nazionale. Analoghe specifiche si applicano, ove opportuno, anche al reperto digitale. 4. REQUISITI DI SICUREZZA PER LE AZIENDE SANITARIE Per il trattamento dei dati nell'ambito dei servizi di refertazione online, l'azienda sanitaria prevede: a) idonei accorgimenti per la protezione dei dati registrati e archiviati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione anche parziale di tecnologie crittografiche al file system o database, oppure tramite l'adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati); b) idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilita' di consultazione, modifica e integrazione dei dati); c) separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi amministrativo-contabili; d) apposite procedure che rendano immediatamente non disponibili i referti digitali tramite i servizi di refertazione online qualora l'interessato abbia comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione all'accesso o altre condizioni di possibile rischio per la riservatezza dei propri dati personali; e) ulteriori specifiche cautele secondo quanto disposto nelle «Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario» del 16 luglio 2009 del Garante per la protezione dei dati personali e dalle disposizioni attuative dell'art. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, convertito in legge, con modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221. In ogni caso devono essere adottate dalle aziende sanitarie tutte le misure di sicurezza necessarie per rispettare la disciplina in materia di protezione dei dati personali e, in particolare, il divieto di diffusione dei dati sanitari prescritto dall'art. 22, comma 8, del Codice in materia di protezione dei dati personali.