Allegato A
Il presente allegato descrive le diverse modalita' di consegna
dei referti digitali o delle copie informatiche degli stessi, i
servizi aggiuntivi che l'azienda sanitaria puo' rendere disponibili,
i formati ammessi e raccomandati per il referto digitale o per la
copia informatica dello stesso e i requisiti di sicurezza per le
aziende sanitarie. In ogni caso, deve essere garantito il rispetto
delle misure, anche di sicurezza, previste dal Garante per la
protezione dei dati personali nel provvedimento del 19 novembre 2009,
recante «Linee guida in tema di referti on line», in particolare per
quanto riguarda i servizi aggiuntivi di notifica via sms e di
designazione del medico al ritiro del referto (punto 2).
1. SERVIZI DI REFERTAZIONE ONLINE
1.1 Consegna tramite web
Il servizio offre all'interessato la possibilita' di collegarsi
al sito Internet della azienda sanitaria al fine di visualizzare
online il referto digitale e effettuare la copia locale (download).
In questo caso devono essere adottate dall'azienda sanitaria le
seguenti cautele:
a) utilizzo di idonei sistemi di identificazione
dell'interessato, quali carta di identita' elettronica (CIE), carta
nazionale dei servizi (CNS), ovvero di altri strumenti che consentono
l'individuazione del soggetto che richiede il servizio, ai sensi
dell'art. 64 del CAD, fermo restando l'obbligo di garantire al
titolare di CIE o CNS di poterne fare uso;
b) utilizzo di protocolli di comunicazione sicuri, basati
sull'utilizzo di standard crittografici per la comunicazione
elettronica dei dati, con la certificazione digitale dell'identita'
dei sistemi che erogano il servizio in rete (protocolli https ssl -
Secure Socket Layer);
c) stabilire un limite temporale per la disponibilita' online
del referto digitale (non superiore a 45 giorni.), permettendo
comunque all'interessato, in tale intervallo di tempo, di richiedere
di oscurare dal sistema web il referto digitale.
1.2 Consegna tramite Posta elettronica
Il servizio offre all'interessato la possibilita' di ricevere il
referto digitale, o copia informatica dello stesso, alla casella di
posta elettronica da esso indicata. In questo caso devono essere
adottate dall'azienda sanitaria le seguenti cautele:
a) il referto digitale o la sua copia informatica dovranno
essere spediti in forma di allegato a un messaggio e non come testo
compreso nel corpo del messaggio;
b) il referto digitale o la sua copia informatica dovranno
essere protetti con tecniche di cifratura e accessibili tramite una
password per l'apertura del file consegnata separatamente
all'interessato.
1.3 Consegna tramite
Posta elettronica certificata o domicilio digitale del cittadino
Il servizio offre all'interessato la possibilita' di ricevere il
referto digitale o la sua copia informatica alla casella di posta
elettronica certificata da esso indicata ovvero al proprio domicilio
digitale. In questo caso devono essere adottate dall'azienda
sanitaria le seguenti cautele:
a) il referto digitale o la sua copia informatica dovranno
essere spediti in forma di allegato a un messaggio e non come testo
compreso nel corpo del messaggio.
1.4 Consegna tramite supporto elettronico
Il servizio offre all'interessato la possibilita' di ricevere il
referto digitale o la sua copia informatica tramite apposito supporto
elettronico. Possono essere utilizzati supporti elettronici quali
memorie USB, DVD, CD, etc. Nel caso in cui il supporto venga
utilizzato per consegnare all'interessato referti digitali in momenti
diversi, devono essere adottate dall'azienda sanitaria le seguenti
cautele:
a) il supporto deve essere protetto da opportune credenziali di
sicurezza (es. username e password) consegnate separatamente
all'interessato o in busta chiusa ad un suo delegato.
1.5 Consegna tramite fascicolo sanitario elettronico FSE
Il servizio offre all'interessato la possibilita' di ricevere il
referto digitale o la sua copia informatica tramite il proprio
fascicolo sanitario elettronico (FSE). In questo caso devono essere
adottate le seguenti cautele:
a) utilizzo di idonei sistemi di identificazione
dell'interessato, quali carta di identita' elettronica (CIE), carta
nazionale dei servizi (CNS), ovvero di altri strumenti che consentono
l'individuazione del soggetto che richiede il servizio, ai sensi
dell'art. 64 del CAD, fermo restando l'obbligo di garantire al
titolare di CIE o CNS di poterne fare uso;
b) utilizzo di protocolli di comunicazione sicuri, basati
sull'utilizzo di standard crittografici per la comunicazione
elettronica dei dati, con la certificazione digitale dell'identita'
dei sistemi che erogano il servizio in rete (protocolli https ssl -
Secure Socket Layer);
c) ulteriori specifiche cautele secondo quanto disposto nelle
"Linee guida in tema di Fascicolo sanitario elettronico e di
dossiersanitario" del 16 luglio 2009 del Garante per la protezione
dei dati personali e dalle disposizioni attuative dell'art. 12, comma
7, del decreto-legge 18 ottobre 2012, n. 179, convertito in legge,
con modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221.
2. SERVIZI AGGIUNTIVI
L'azienda sanitaria puo' rendere disponibile all'interessato
ulteriori servizi aggiuntivi per favorire o facilitare l'utilizzo dei
servizi di refertazione online, ovvero per migliorare, in generale,
la qualita' dei servizi offerti dalla medesima. Esempi di tali
servizi aggiuntivi sono i seguenti:
a) Servizi di notifica: permettono all'interessato di
richiedere di essere avvisato della messa a disposizione del referto
digitale attraverso l'invio di uno short message service (sms) sul
numero di telefono mobile ovvero attraverso l'invio di un messaggio
alla casella di posta elettronica indicati all'atto di adesione ai
servizi di refertazione online;
b) Servizio di inoltro dei referti digitali a un medico
designato dall'interessato: offre la possibilita' all'interessato di
richiedere la consegna del referto digitale al medico curante da esso
indicato.
3. REFERTO DIGITALE: FORMATI AMMESSI
Il referto digitale o la sua copia informatica sono consegnati
preferibilmente in formato ISO 32000. Si raccomanda, per la firma
digitale, l'utilizzo dello standard PAdES o di altro standard
equivalente che ne favorisca l'utilizzo uniforme su tutto il
territorio nazionale.
Analoghe specifiche si applicano, ove opportuno, anche al reperto
digitale.
4. REQUISITI DI SICUREZZA PER LE AZIENDE SANITARIE
Per il trattamento dei dati nell'ambito dei servizi di
refertazione online, l'azienda sanitaria prevede:
a) idonei accorgimenti per la protezione dei dati registrati e
archiviati rispetto ai rischi di accesso abusivo, furto o smarrimento
parziali o integrali dei supporti di memorizzazione o dei sistemi di
elaborazione portatili o fissi (ad esempio, attraverso l'applicazione
anche parziale di tecnologie crittografiche al file system o
database, oppure tramite l'adozione di altre misure di protezione che
rendano i dati inintelligibili ai soggetti non legittimati);
b) idonei sistemi di autenticazione e di autorizzazione per gli
incaricati in funzione dei ruoli e delle esigenze di accesso e
trattamento (ad es., in relazione alla possibilita' di consultazione,
modifica e integrazione dei dati);
c) separazione fisica o logica dei dati idonei a rivelare lo
stato di salute e la vita sessuale dagli altri dati personali
trattati per scopi amministrativo-contabili;
d) apposite procedure che rendano immediatamente non
disponibili i referti digitali tramite i servizi di refertazione
online qualora l'interessato abbia comunicato il furto o lo
smarrimento delle proprie credenziali di autenticazione all'accesso o
altre condizioni di possibile rischio per la riservatezza dei propri
dati personali;
e) ulteriori specifiche cautele secondo quanto disposto nelle
«Linee guida in tema di Fascicolo sanitario elettronico e di dossier
sanitario» del 16 luglio 2009 del Garante per la protezione dei dati
personali e dalle disposizioni attuative dell'art. 12, comma 7, del
decreto-legge 18 ottobre 2012, n. 179, convertito in legge, con
modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221.
In ogni caso devono essere adottate dalle aziende sanitarie tutte
le misure di sicurezza necessarie per rispettare la disciplina in
materia di protezione dei dati personali e, in particolare, il
divieto di diffusione dei dati sanitari prescritto dall'art. 22,
comma 8, del Codice in materia di protezione dei dati personali.