vedi anche


[provv. Amministratori di sistema e modifiche]

[Linee guida in tema di FSE e di dossier sanitario]

Assorbimento della tessera sanitaria (TS) nella carta nazionale dei servizi (CNS)

PROVVEDIMENTO DEL 21 GENNAIO 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele de Paoli, segretario generale reggente;

Vista la richiesta di parere del Ministro per la pubblica amministrazione e l’innovazione;

Visto l’art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

Con nota dell’Ufficio legislativo del Ministro per la pubblica amministrazione e l’innovazione è stato richiesto il parere del Garante in ordine a uno schema di decreto recante modalità di assorbimento della tessera sanitaria (TS) nella carta nazionale dei servizi (CNS), ai sensi dell’articolo 50, comma 13, del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326.

Come può evincersi dalla relazione illustrativa, la finalità del decreto consiste nel "consentire ad ogni Regione la possibilità di diffondere sul territorio di competenza uno strumento sicuro" - quale appunto la TS dotata di funzionalità di CNS - "per l’accesso ai servizi in rete".

In virtù delle prescrizioni contenute nel decreto, le Regioni e le Province autonome di Trento e Bolzano potranno decidere di avviare la diffusione della TS-CNS senza dovere predisporre uno specifico progetto, ma limitandosi ad aderire a quanto sancito dal provvedimento in esame. Infatti, ai sensi dell’articolo 3, comma 1, dello schema di decreto, le Regioni e le Province autonome hanno facoltà di richiedere al Ministero dell’economia e  delle finanze la generazione e la consegna delle TS-CNS - ovvero, tessere sanitarie con funzioni di carte nazionali dei servizi, mediante incorporazione nella TS di un microprocessore (art. 1, comma 1, lett. e) -  per i propri assistiti, nell’ambito del processo di riemissione massiva delle TS in scadenza.

Previo apposito accordo con il Ministero dell’economia e  delle finanze, le  Regioni e le Province autonome sono tenute ai seguenti adempimenti:

a) sottoscrivere con l’Agenzia delle entrate un’apposita convenzione per garantire la validità della TS-CNS;

b) predisporre un sistema di gestione delle tessere conforme ai requisiti stabiliti dal decreto e, in particolare, dall’allegato 2 allo schema;

c) garantire, nell’ambito dei processi di erogazione dei servizi regionali accessibili tramite la componente CNS, il rispetto dei requisiti tecnologici richiesti dalla normativa vigente e segnatamente dall’allegato 1 allo schema.

L’articolo 3, comma 4, dello schema di decreto precisa, peraltro, che le  Regioni e le Province autonome, quali enti emettitori della componente CNS, curano le attività necessarie all’attivazione e alla gestione della componente CNS delle TS-CNS secondo modalità organizzative stabilite autonomamente.

Infine, lo schema di decreto precisa che le tessere sanitarie regionali adottate dalle Regioni Lombardia, Sicilia e Friuli Venezia Giulia sono riconosciute valide come TS-CNS ai sensi del presente decreto (art. 9). Come si legge nella relazione, infatti, il decreto recepisce le modalità operative già sperimentate in quelle Regioni e definisce uno schema di attuazione generale che consente a tutte le Regioni di procedere in modo analogo.

RILEVATO

1. Il presente schema di decreto intende disciplinare le "modalità di assorbimento della tessera sanitaria nella carta nazionale dei servizi", sulla base della previsione di cui all’articolo 50, comma 13, del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, che appunto demanda ad appositi decreti del Ministro per l'innovazione e le tecnologie la definizione delle "modalità per il successivo e progressivo assorbimento, senza oneri aggiuntivi a carico del bilancio dello Stato, della TS nella carta di identità elettronica o nella carta nazionale dei servizi", inducendo così a ritenere che debbano essere la CNS (o la carta di identità elettronica) ad incorporare al loro interno le funzionalità della TS e non viceversa.

L’articolo 1, comma 1, lettera e) dello schema definisce la TS-CNS quale "TS con incorporato un microprocessore ai sensi della normativa sulle CNS". In ragione di tale (almeno apparente) asimmetria tra le due disposizioni, appare opportuno richiamare l’attenzione dell’Amministrazione in ordine alla compatibilità con il suddetto articolo 50, comma 13, della definizione di cui all’articolo 1, comma 1, lettera e) dello schema di decreto, che sembrerebbe presupporre l’incorporazione della CNS nella TS e non viceversa, come invece prescrive la norma di rango primario.

2. Ai sensi dell’articolo 3, comma 3, dello schema le Regioni e le Province autonome ricevono dall’Agenzia delle entrate, nell’ambito della convenzione appositamente stipulata, i "flussi di informazioni utili alla gestione della componente CNS della TS-CNS, così come prodotte nel processo di emanazione delle carte e ricevute dai certificatori coinvolti, secondo i formati di trasferimento dei dati pubblicati sul sito del sistema TS".

Il requisito della mera "utilità" alla gestione della componente CNS della TS-CNS, quale parametro di selezione dei dati (anche personali) suscettibili di comunicazione alle Regioni e alle Province autonome da parte dell’Agenzia delle entrate, appare poco selettivo e rischia quindi di legittimare un flusso di informazioni non del tutto conforme ai principi di proporzionalità e pertinenza sanciti dall’articolo 11 del Codice in materia di protezione dei dati personali.

Al fine di assicurare maggiori garanzie al diritto individuale alla protezione dei dati personali, appare pertanto necessario sostituire, all’articolo 3, comma 3, le parole: "flussi di informazioni utili" con: "flussi di informazioni necessarie".

3. L’articolo 6, comma 2, dello schema, nel richiamare espressamente il disposto dell’articolo 64, commi 1 e 2, del decreto legislativo 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale), sancisce che "le pubbliche Amministrazioni che offrono servizi in rete garantiscono l’accesso ai servizi tramite la componente CNS". L’articolo 64, comma 1, cit., qualifica la carta d'identità elettronica e la carta nazionale dei servizi alla stregua di strumenti per l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni "per i quali sia necessaria l'autenticazione informatica".
Al fine di rendere il testo in esame maggiormente conforme al dettato della norma primaria, appare opportuno inserire, all’articolo 6, comma 2, dello schema di decreto, dopo le parole: "che offrono servizi in rete", le seguenti: "per i quali sia necessaria l'autenticazione informatica".

4. L’articolo 7 dello schema demanda la definizione delle modalità operative finalizzate alla realizzazione di un servizio infrastrutturale a livello nazionale per la validazione dei certificati di autenticazione della componente CNS, in conformità ai requisiti tecnici e organizzativi relativi al Sistema pubblico di connettività, ad uno o più decreti del Ministro per la pubblica amministrazione e l’innovazione, da emanarsi di concerto con il Ministro dell’economia e delle finanze, sentita la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano.

Al riguardo si ritiene opportuno prevedere espressamente che i decreti siano adottati sentito anche il Garante, per gli aspetti inerenti alla protezione dei dati personali.

5. Nella sezione "Piano operativo" dell’allegato 2 allo schema, allo scopo di assicurare l’esattezza dei dati anagrafici e del codice fiscale dei soggetti cui è rilasciata la tessera, si prevede: a) l’"allineamento di codici fiscali e relativi dati anagrafici fra anagrafe dei comuni e Archivio anagrafico dell’Anagrafe Tributaria" mediante i servizi INA/SAIA del Ministero dell’Interno (punto 1); b) l’"allineamento di codici fiscali e relativi dati anagrafici tra Archivio Anagrafico dell’Anagrafe Tributaria, detenuto dal Ministero dell’economia e delle finanze, ed Anagrafi Sanitarie, detenute dalle ASL" (punto 2); l’"acquisizione da parte delle ASL, per il tramite dei servizi posti a disposizione dell’articolo 50, delle variazioni anagrafiche sopravvenute nell’Archivio Anagrafico dell’Anagrafe Tributaria successivamente all’attività di allineamento" (punto 3).

Al riguardo si osserva come, in base alla normativa vigente e al reale assetto dei flussi informativi, l’allineamento con i dati, fiscali e anagrafici, registrati nell’Anagrafe tributaria (a loro volta aggiornati mediante i servizi INA/SAIA) è effettuato non dalle singole ASL, ma dalle Regioni, che detengono i dati aggiornati delle persone assistibili a beneficio di tutte le ASL operanti nell’ambito regionale. Si ritiene, perciò, necessario adeguare le previsioni dei punti 2 e 3 dell’allegato 2 a tali procedure di allineamento dei dati (Archivio anagrafico dell’Anagrafe tributaria/Archivi delle Regioni), fermo restando, ovviamente, che le singole ASL potranno utilmente aggiornare le proprie anagrafi mediante consultazione dell’Archivio regionale, per lo svolgimento delle proprie finalità istituzionali.

6. Nella sezione "Card Management System – CMS" dell’allegato 2, è stabilito che il sistema di gestione della tessera (CMS), da approntarsi a cura della Regione, debba prevedere, fra l’altro, la stampa del "modulo di consenso al trattamento dei dati sanitari per finalità di prevenzione, diagnosi e cura" e la "sua registrazione qualora il cittadino intenda fornire il consenso".
Al riguardo si ritiene opportuno perfezionare la disposizione:

a) chiarendo se, come sembra, si intenda fare riferimento, in questo caso, all’acquisizione del solo consenso al trattamento "ordinario" dei dati idonei a rivelare lo stato di salute dell’assistito, nell’ambito della prevenzione, diagnosi e cura della persona, ovvero anche al consenso ad altri specifici trattamenti dei medesimi dati, sempre per le predette finalità, come, ad esempio, quello relativo alla formazione e all’utilizzo del fascicolo sanitario elettronico (FSE), in linea con quanto previsto nel provvedimento adottato dal Garante il 16 luglio 2009 ("Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario"); 

b) sostituendo le parole: "sanitari" con le parole: "idonei a rivelare lo stato di salute" e le parole: "sua registrazione qualora il cittadino intenda fornire il consenso" con le parole: "annotazione del consenso";

c) definendo le modalità di tale annotazione, tenendo conto che ai sensi dell’articolo 81, comma 2, del Codice il consenso al trattamento di tali dati è reso conoscibile "con  adeguate modalità, anche attraverso menzione, annotazione o apposizione di un bollino o tagliando su una carta elettronica o sulla tessera sanitaria".

7. Sempre nella sezione "Card Management System – CMS", ai  punti a), b) e c) sono individuate modalità di attivazione della tessera - per quanto riguarda l’identificazione degli interessati, la richiesta di attivazione della carta e la comunicazione ai rispettivi titolari dei codici PIN e PUK - rispetto alle quali, però, le Regioni possono anche organizzarsi in maniera differente.

Al riguardo si ritiene, invece, preferibile prevedere procedure uniformi su scala nazionale, quanto meno per quanto riguarda il rilascio e la comunicazione dei codici di sicurezza, al fine di assicurarne una gestione e una consegna sicura, evitando il ricorso a differenti modalità da parte delle regioni e degli altri enti emittenti.

8. In merito ai profili inerenti alla sicurezza delle informazioni e, in particolare, alla gestione delle credenziali di accesso degli "operatori abilitati al processo di attivazione delle CNS" e al tracciamento delle operazioni effettuate nel sistema, la medesima sezione Card Management System (CMS) deve essere implementata mediante un espresso rinvio all’applicazione delle misure di sicurezza previste dal Codice e dal Disciplinare tecnico di cui all’Allegato B del medesimo Codice, nonché del provvedimento del Garante del 27 novembre 2008, come modificato dal provvedimento del 25 giugno 2009, recante "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema".

IL GARANTE

Esprime parere favorevole sullo schema di decreto del Ministro per la pubblica amministrazione e l’innovazione recante modalità di assorbimento della tessera sanitaria (TS) nella carta nazionale dei servizi (CNS), con le seguenti osservazioni:

a) all’articolo 3, comma 3, le parole: "flussi di informazioni utili" siano sostituite con le seguenti: "flussi di informazioni necessarie" (punto 2);

b) all’articolo 6, comma 2, si valuti l’opportunità di inserire, dopo le parole: "che offrono servizi in rete", le seguenti: "per i quali sia necessaria l'autenticazione informatica" (punto 3);

c) l’articolo 7 sia integrato prevedendo espressamente la previa acquisizione del parere del Garante per la protezione dei dati personali (punto 4);

d) i punti 2 e 3 della sezione "Piano operativo" dell’allegato 2 siano perfezionati prevedendo che l’aggiornamento dei dati fiscali e anagrafici delle persone cui è rilasciata la tessera sia effettuato dalle ASL mediante consultazione, non già dell’Archivio anagrafico dell’Anagrafe tributaria, ma degli archivi delle Regioni (punto 5);

e) la sezione "Card Management System – CMS" dell’allegato 2, sia perfezionata: chiarendo se, come sembra, si intenda acquisire il solo consenso al trattamento "ordinario" dei dati idonei a rivelare lo stato di salute dell’assistito ovvero anche il consenso ad altri specifici trattamenti degli stessi dati, sempre nell’ambito della prevenzione, diagnosi e cura della persona; sostituendo le parole: "sanitari" con le parole: "idonei a rivelare lo stato di salute" e le parole: "sua registrazione qualora il cittadino intenda fornire il consenso" con le parole: "annotazione del consenso"; definendo le modalità di tale annotazione; prevedendo modalità di attivazione della tessera uniformi su scala nazionale, quanto meno per quanto riguarda il rilascio e la comunicazione dei codici di sicurezza; prevedendo un espresso rinvio all’applicazione delle misure di sicurezza previste dal Codice e del provvedimento del 27 novembre 2008 del Garante recante "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema".

e con la seguente raccomandazione:

f) si richiama l’attenzione dell’Amministrazione in ordine alla compatibilità con l’articolo 50, comma 13, del decreto-legge 30 settembre 2003, n. 269, della definizione di cui all’articolo 1, comma 1, lettera e) dello schema di decreto, nella parte in cui dispone l’incorporazione della componente CNS nella TS (punto 1).

Roma, 21 gennaio 2010

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale reggente
De Paoli