MINISTERO DELL'ECONOMIA E DELLE FINANZE
DECRETO 3 giugno 2020
G.U.R.I. 8 giugno 2020, n. 144
Modalità tecniche per il coinvolgimento del Sistema tessera sanitaria ai fini dell'attuazione delle misure di prevenzione nell'ambito delle misure di sanità pubblica legate all'emergenza COVID-19.
TESTO COORDINATO (al D.M. Economia e Finanze 18 marzo 2021)
IL RAGIONIERE GENERALE DELLO STATO DEL MINISTERO DELL'ECONOMIA E DELLE FINANZE DI CONCERTO CON IL SEGRETARIO GENERALE DEL MINISTERO DELLA SALUTE
Visto l'art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, e successive modificazioni ed integrazioni (Sistema tessera sanitaria);
Visto il decreto del Presidente del Consiglio dei ministri 26 marzo 2008, pubblicato nella Gazzetta Ufficiale n. 124 del 28 maggio 2008, attuativo del citato art. 50, comma 5-bis, concernente le modalità tecniche per il collegamento telematico in rete dei medici del Servizio sanitario nazionale;
Visto l'art. 6 del decreto-legge 30 aprile 2020, n. 28, concernente il Sistema di allerta Covid-19, il quale, tra l'altro, prevede:
al comma 1, che al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell'ambito delle misure di sanità pubblica legate all'emergenza COVID-19, è istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un'apposita applicazione sui dispositivi di telefonia mobile. Il Ministero della salute, in qualità di titolare del trattamento, si coordina, anche per il tramite del Sistema tessera sanitaria, con le strutture pubbliche e private accreditate che operano nell'ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all'emergenza epidemiologica da COVID 19, per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l'adozione di correlate misure di sanità pubblica e di cura;
al comma 2, che il Ministero della salute, all'esito di una valutazione di impatto, costantemente aggiornata, effettuata ai sensi dell'art. 35 del regolamento (UE) 2016/679, adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali ai sensi dell'art. 36, paragrafo 5, del medesimo regolamento (UE) 2016/679 e dell'art. 2-quinquiesdecies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196;
al comma 6, che l'utilizzo dell'applicazione e della piattaforma, nonchè ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.
Considerato che il Ministero della salute, in qualità di titolare del trattamento ai sensi del predetto art. 6, comma 1 del decreto-legge 30 aprile 2020, n. 28, designa il Ministero dell'economia e delle finanze quale responsabile esterno del trattamento dei dati di cui al presente decreto;
Visto il documento di valutazione di impatto di cui al citato art. 6, comma 2 del decreto-legge 30 aprile 2020, n. 28, il quale, tra l'altro, prevede:
i dati che l'operatore sanitario comunica tramite il Sistema tessera sanitaria alla piattaforma di cui al citato art. 6, comma 1 del medesimo decreto-legge 30 aprile 2020, n. 28;
la valutazione di impatto dei trattamenti effettuati nell'ambito del Sistema tessera sanitaria di cui al presente decreto;
Visto il decreto legislativo 7 marzo 2005 n. 82 e successive modificazioni, concernente il Codice dell'amministrazione digitale;
Visto il regolamento n. 2016/679/UE del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);
Visto il decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, concernente il Codice in materia di protezione dei dati personali, come modificato dal decreto legislativo 10 agosto 2018 n. 101, concernente «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)»;
Acquisito il parere favorevole del Garante per la protezione dei dati personali n. 94 del 1° giugno 2020 espresso ai sensi dell'art. 36, paragrafo 4, del regolamento (UE) 2016/679;
Decreta:
Definizioni
(integrato dall'art. 1, comma 1, lett. a), del D.M. Economia e Finanze 18 marzo 2021)
1. Ai fini del presente decreto si intende per:
a) «Sistema TS», il sistema informativo di cui è titolare il Ministero dell'economia e delle finanze in attuazione di quanto disposto dall'art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326;
b) «Sistema di allerta Covid-19», il Sistema previsto dall'art. 6 del decreto-legge 30 aprile 2020, n. 28 costituito dalla applicazione mobile (App) e dalla componente di backend, la cui titolarità è del Ministero della salute;
c) «Codice OTP», il codice One time password di durata temporale limitata e in nessun modo riconducibile all'interessato;
d) «SAR», il Sistema di accoglienza regionale attraverso il quale gli operatori sanitari trasmettono i dati verso il Sistema TS;
e) «SSN», Sistema sanitario nazionale;
f) «operatore sanitario», l'operatore del Dipartimento di prevenzione della ASL autorizzato ad accedere al Sistema TS per la trasmissione al Sistema di allerta Covid-19 dei dati di cui al presente decreto;
g) «TEK», il Temporary exposure key, una chiave crittografica casuale generata da un telefono cellulare o altro dispositivo «mobile» dotato dell'App;
h) «CUN», Codice univoco nazionale, generato dal Sistema TS, che identifica univocamente a livello nazionale gli esiti dei test, ai sensi dell'ordinanza n. 34 del 19 dicembre 2020 della Presidenza del Consiglio dei ministri - Commissario straordinario per l'attuazione e il coordinamento delle misure di contenimento e contrasto dell'emergenza epidemiologica Covid-19;
i) «app Immuni», componente mobile (app) del Sistema di allerta Covid-19;
l) «sblocco dell'app Immuni», insieme di operazioni che consentono all'utente dell'app Immuni di procedere al caricamento delle proprie TEK.
Trasmissione dei dati dagli operatori sanitari per il tramite del Sistema TS
(integrato dall'art. 1, comma 1, lett. b), del D.M. Economia e Finanze 18 marzo 2021)
1. Il Sistema TS rende disponibili all'operatore sanitario, anche tramite SAR, le funzionalità per la trasmissione dei dati per il Sistema di allerta Covid-19, secondo le modalità di cui al presente articolo.
2. In caso di esito positivo di un tampone, l'operatore sanitario contatta il paziente per effettuare l'indagine epidemiologica, che prevede anche la verifica dell'installazione dell'App del Sistema di allerta Covid-19. Se il paziente ha installato l'App, gli sarà richiesto di aprirla e di utilizzare la funzione di generazione del codice OTP. Il paziente comunica i 10 caratteri del codice OTP all'operatore sanitario e attende l'autorizzazione a procedere con l'upload delle proprie TEK.
3. L'operatore sanitario, secondo le modalità descritte nell'Allegato A che costituisce parte integrante del presente decreto, accede al Sistema TS, anche tramite SAR, con le credenziali in suo possesso e, in virtù del particolare profilo attribuito, inserisce i dati forniti dal paziente concernenti:
a) il codice OTP comunicato dal paziente;
b) la data di inizio dei sintomi;
c) il codice fiscale del paziente.
4. Il Sistema TS invia i dati di cui al precedente comma 3 al server di backend del Sistema di allerta Covid-19.
5. Gli errori di dettatura sono mitigati dalla presenza del check digit come ultimo carattere del codice OTP. Inoltre tale codice è generato su un alfabeto di 25 caratteri che esclude le ambiguità (il numero 0 e la lettera O ad esempio), ed in ogni caso è sempre possibile procedere alla generazione di un nuovo codice.
6. Il Sistema TS rende disponibile il proprio portale www.sistemats.it per eventuali segnalazioni inerenti le sole funzionalità del Sistema TS cui ai comma 3 e 4 del presente articolo.
7. Il Ministero della salute, in qualità di titolare del trattamento ai sensi dell'art. 6, comma 1 del decreto-legge 30 aprile 2020, n. 28, designa il Ministero dell'economia e delle finanze quale responsabile esterno del trattamento dei dati di cui al presente decreto.
8. La valutazione di impatto dei trattamenti effettuati nell'ambito del Sistema tessera sanitaria di cui al presente decreto è riportata nel documento di valutazione di impatto di cui all'art. 6, comma 2 del decreto-legge 30 aprile 2020, n. 28.
9. Le specifiche tecniche di cui al presente decreto saranno rese disponibili sul portale www.sistemats.it
Il presente decreto sarà pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 3 giugno 2020
Il Ragioniere generale dello Stato
MAZZOTTA
Il Segretario generale
RUOCCO
Utilizzo del CUN per lo sblocco dell'app Immuni tramite il Sistema TS
(introdotto dall'art. 1, comma 1, lett. c), del D.M. Economia e Finanze 18 marzo 2021)
1. Oltre alle modalità previste dall'Ordinanza n. 34 del 19 dicembre 2020 della Presidenza del Consiglio dei Ministri - Commissario straordinario per l'attuazione e il coordinamento delle misure di contenimento e contrasto dell'emergenza epidemiologica Covid-19, per le finalità di sblocco dell'app Immuni in autonomia da parte del paziente, il Sistema TS, secondo le modalità descritte nell'Allegato A, rende disponibili al backend del Sistema di allerta Covid-19 le funzionalità per:
a) la verifica dell'esistenza del CUN con esito positivo associato al paziente per il quale risulti assegnata la tessera sanitaria che termini con le 8 cifre comunicate dal paziente in fase di sblocco dell'app Immuni;
b) a fronte del completamento del caricamento delle TEK da parte del paziente, invalidare il codice CUN, così da impedirne utilizzi successivi per lo sblocco dell'app Immuni dallo stesso paziente;
c) in caso di assistiti asintomatici, rendere disponibile la data del prelievo del tampone abbinato al CUN.
2. Ai sensi dell'art. 7 dell'Ordinanza n. 34 del 19 dicembre 2020 della Presidenza del Consiglio dei Ministri - Commissario straordinario per l'attuazione e il coordinamento delle misure di contenimento e contrasto dell'emergenza epidemiologica Covid-19, il Sistema Tessera Sanitaria associa ad ogni CUN l'eventuale sblocco dell'app Immuni effettuato, qualsiasi stata la modalità di sblocco effettuato.
Il presente allegato è sostituito dall'art. 1, comma 1, lett. d), del D.M. Economia e Finanze 18 marzo 2021.