IL RAGIONIERE GENERALE DELLO STATO
del Ministero dell'economia e delle finanze
di concerto con
IL SEGRETARIO GENERALE
del Ministero della salute
Visto l'art. 50 del decreto-legge 30 settembre 2003, n. 269,
convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326,
e successive modificazioni ed integrazioni (Sistema tessera
sanitaria);
Visto il decreto del Presidente del Consiglio dei ministri 26 marzo
2008, pubblicato nella Gazzetta Ufficiale n. 124 del 28 maggio 2008,
attuativo del citato art. 50, comma 5-bis, concernente le modalita'
tecniche per il collegamento telematico in rete dei medici del
Servizio sanitario nazionale;
Visto l'art. 6 del decreto-legge 30 aprile 2020, n. 28, concernente
il Sistema di allerta Covid-19, il quale, tra l'altro, prevede:
al comma 1, che al solo fine di allertare le persone che siano
entrate in contatto stretto con soggetti risultati positivi e
tutelarne la salute attraverso le previste misure di prevenzione
nell'ambito delle misure di sanita' pubblica legate all'emergenza
COVID-19, e' istituita una piattaforma unica nazionale per la
gestione del sistema di allerta dei soggetti che, a tal fine, hanno
installato, su base volontaria, un'apposita applicazione sui
dispositivi di telefonia mobile. Il Ministero della salute, in
qualita' di titolare del trattamento, si coordina, anche per il
tramite del Sistema tessera sanitaria, con le strutture pubbliche e
private accreditate che operano nell'ambito del Servizio sanitario
nazionale, nel rispetto delle relative competenze istituzionali in
materia sanitaria connessa all'emergenza epidemiologica da COVID 19,
per gli ulteriori adempimenti necessari alla gestione del sistema di
allerta e per l'adozione di correlate misure di sanita' pubblica e di
cura;
al comma 2, che il Ministero della salute, all'esito di una
valutazione di impatto, costantemente aggiornata, effettuata ai sensi
dell'art. 35 del regolamento (UE) 2016/679, adotta misure tecniche e
organizzative idonee a garantire un livello di sicurezza adeguato ai
rischi elevati per i diritti e le liberta' degli interessati, sentito
il Garante per la protezione dei dati personali ai sensi dell'art.
36, paragrafo 5, del medesimo regolamento (UE) 2016/679 e dell'art.
2-quinquiesdecies del Codice in materia di protezione dei dati
personali di cui al decreto legislativo 30 giugno 2003, n. 196;
al comma 6, che l'utilizzo dell'applicazione e della piattaforma,
nonche' ogni trattamento di dati personali effettuato ai sensi al
presente articolo sono interrotti alla data di cessazione dello stato
di emergenza disposto con delibera del Consiglio dei ministri del 31
gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la
medesima data tutti i dati personali trattati devono essere
cancellati o resi definitivamente anonimi.
Considerato che il Ministero della salute, in qualita' di titolare
del trattamento ai sensi del predetto art. 6, comma 1 del
decreto-legge 30 aprile 2020, n. 28, designa il Ministero
dell'economia e delle finanze quale responsabile esterno del
trattamento dei dati di cui al presente decreto;
Visto il documento di valutazione di impatto di cui al citato art.
6, comma 2 del decreto-legge 30 aprile 2020, n. 28, il quale, tra
l'altro, prevede:
i dati che l'operatore sanitario comunica tramite il Sistema
tessera sanitaria alla piattaforma di cui al citato art. 6, comma 1
del medesimo decreto-legge 30 aprile 2020, n. 28;
la valutazione di impatto dei trattamenti effettuati nell'ambito
del Sistema tessera sanitaria di cui al presente decreto;
Visto il decreto legislativo 7 marzo 2005 n. 82 e successive
modificazioni, concernente il Codice dell'amministrazione digitale;
Visto il regolamento n. 2016/679/UE del Parlamento europeo e del
Consiglio del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(Regolamento generale sulla protezione dei dati);
Visto il decreto legislativo 30 giugno 2003, n. 196 e successive
modificazioni, concernente il Codice in materia di protezione dei
dati personali, come modificato dal decreto legislativo 10 agosto
2018 n. 101, concernente «Disposizioni per l'adeguamento della
normativa nazionale alle disposizioni del regolamento (UE) 2016/679
del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo
alla protezione delle persone fisiche con riguardo al trattamento dei
dati personali, nonche' alla libera circolazione di tali dati e che
abroga la direttiva 95/46/CE (Regolamento generale sulla protezione
dei dati)»;
Acquisito il parere favorevole del Garante per la protezione dei
dati personali n. 94 del 1° giugno 2020 espresso ai sensi dell'art.
36, paragrafo 4, del regolamento (UE) 2016/679;
Decreta:
Art. 1
Definizioni
1. Ai fini del presente decreto si intende per:
a) «Sistema TS», il sistema informativo di cui e' titolare il
Ministero dell'economia e delle finanze in attuazione di quanto
disposto dall'art. 50 del decreto-legge 30 settembre 2003, n. 269,
convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326;
b) «Sistema di allerta Covid-19», il Sistema previsto dall'art. 6
del decreto-legge 30 aprile 2020, n. 28 costituito dalla applicazione
mobile (App) e dalla componente di backend, la cui titolarita' e' del
Ministero della salute;
c) «Codice OTP», il codice One time password di durata temporale
limitata e in nessun modo riconducibile all'interessato;
d) «SAR», il Sistema di accoglienza regionale attraverso il quale
gli operatori sanitari trasmettono i dati verso il Sistema TS;
e) «SSN», Sistema sanitario nazionale;
f) «operatore sanitario», l'operatore del Dipartimento di
prevenzione della ASL autorizzato ad accedere al Sistema TS per la
trasmissione al Sistema di allerta Covid-19 dei dati di cui al
presente decreto;
g) «TEK», il Temporary exposure key, una chiave crittografica
casuale generata da un telefono cellulare o altro dispositivo
«mobile» dotato dell'App.