Gazzetta n. 53 del 5 marzo 2025 (vai al sommario) MINISTERO DELLA SALUTE DECRETO 31 dicembre 2024 Istituzione dell'Ecosistema dati sanitari. IL MINISTRO DELLA SALUTE di concerto con IL MINISTRO DELL'ECONOMIA E DELLE FINANZE e con IL SOTTOSEGRETARIO DI STATO ALLA PRESIDENZA DEL CONSIGLIO DEI MINISTRI con delega all'innovazione tecnologica Vista la legge 23 dicembre 1978, n. 833, e successive modificazioni, recante: «Istituzione del Servizio sanitario nazionale»; Visto l'art. 117, secondo comma, lettera q) della Costituzione, che riserva alla competenza legislativa esclusiva dello Stato la profilassi internazionale; Visto il decreto legislativo 30 dicembre 1992, n. 502, e successive modificazioni, recante: «Riordino della disciplina in materia sanitaria, a norma dell'art. 1 della legge 23 ottobre 1992, n. 421»; Visto il decreto del Presidente del Consiglio dei ministri 12 gennaio 2017, recante «Definizione e aggiornamento dei livelli essenziali di assistenza, di cui all'art. 1, comma 7, del decreto legislativo 30 dicembre 1992, n. 502»; Visto l'art. 1, comma 34, della legge 23 dicembre 1996, n. 662, recante «Misure di razionalizzazione della finanza pubblica», che prevede la possibilita' da parte del Ministro della salute, d'intesa con la Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano, di vincolare quote del Fondo sanitario nazionale alla realizzazione di specifici obiettivi del Piano sanitario nazionale diretti al miglioramento dell'erogazione dei LEA; Visto l'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, come da ultimo modificato dal decreto-legge 27 gennaio 2022, n. 4, convertito, con modificazioni, dalla legge 28 marzo 2022, n. 25, concernente il Fascicolo sanitario elettronico (FSE), il quale prevede, in particolare: al comma 2, che il FSE e' istituito dalle regioni e province autonome «a fini di: a) diagnosi, cura e riabilitazione; a-bis) prevenzione; a-ter) profilassi internazionale; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione sanitaria, verifica delle qualita' delle cure e valutazione dell'assistenza sanitaria»; al comma 2-bis, che «Per favorire la qualita', il monitoraggio, l'appropriatezza nella dispensazione dei medicinali e l'aderenza alla terapia ai fini della sicurezza del paziente, e' istituito il dossier farmaceutico quale parte specifica del FSE, aggiornato a cura della farmacia che effettua la dispensazione»; al comma 7, che «con uno o piu' decreti del Ministro della salute e del Ministro delegato per l'innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sentita la Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano, acquisito il parere del Garante per la protezione dei dati personali, sono stabiliti: i contenuti del FSE e del dossier farmaceutico nonche' e i limiti di responsabilita' e i compiti dei soggetti che concorrono alla sua implementazione, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell'assistito, le modalita' e i livelli diversificati di accesso al FSE da parte dei soggetti di cui ai commi 4, 4-bis, 4-ter, 5 e 6, la definizione e le relative modalita' di attribuzione di un codice identificativo univoco dell'assistito che non consenta l'identificazione diretta dell'interessato.»; al comma 15-quater, che «al fine di garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalita' di cui al comma 2 il Ministero della salute, d'intesa con la struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale, assicurando l'adeguatezza delle infrastrutture tecnologiche e la sicurezza cibernetica in raccordo con l'Agenzia per la cybersicurezza nazionale, cura la realizzazione dell'Ecosistema dati sanitari (di seguito EDS), avvalendosi della societa' di cui all'art. 83, comma 15, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133, con cui stipula apposita convenzione. L'EDS e' alimentato dai dati trasmessi dalle strutture sanitarie e sociosanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera sanitaria. Il Ministero della salute e' titolare del trattamento dei dati raccolti e generati dall'EDS, la cui gestione operativa e' affidata all'Agenas, che la effettua in qualita' di responsabile del trattamento per conto del predetto Ministero e che all'uopo si avvale, mediante la stipula di apposita convenzione, della societa' di cui all'art. 83, comma 15, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133; Con decreto del Ministro della salute, adottato di concerto con il Ministro delegato per l'innovazione tecnologica e la transizione digitale e con il Ministero dell'economia e delle finanze, e acquisiti i pareri dell'Autorita' garante per la protezione dei dati personali e dell'Agenzia per la cybersicurezza nazionale, sono individuati i contenuti dell'EDS, le modalita' di alimentazione dell'EDS, nonche' i soggetti che hanno accesso all'EDS, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati. Al fine di assicurare, coordinare e semplificare la corretta e omogenea formazione dei documenti e dei dati che alimentano il FSE, l'Agenas, d'intesa con la struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale e avvalendosi della societa' di cui all'art. 83, comma 15, del decreto-legge n. 112 del 2008, convertito, con modificazioni, dalla legge n. 133 del 2008, rende disponibili alle strutture sanitarie e socio-sanitarie specifiche soluzioni da integrare nei sistemi informativi delle medesime strutture con le seguenti funzioni: a) di controllo formale e semantico dei documenti e dei corrispondenti dati correlati prodotti dalle strutture sanitarie per alimentare FSE; b) di conversione delle informazioni secondo i formati standard di cui al comma 15-octies; c) di invio dei dati da parte della struttura sanitaria verso l'EDS e, se previsto dal piano di attuazione del potenziamento del FSE di cui al comma 15-bis, verso il FSE della regione territorialmente competente per le finalita' di cui alla lettera a-bis) del comma 2; Visto il decreto del Ministro della salute 7 dicembre 2016, n. 262 «Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato» che consente l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato, ivi inclusi i dati del Fascicolo sanitario elettronico (FSE); Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, concernente il Codice dell'amministrazione digitale; Visto il decreto del Presidente del Consiglio dei ministri 1° giugno 2022, recante, ai sensi dell'art. 62-ter del predetto decreto legislativo 7 marzo 2005, n. 82, Anagrafe nazionale degli assistiti; Visto il decreto del Ministro per l'innovazione tecnologica e la transizione digitale di concerto con il Ministro dell'interno 30 marzo 2022, recante, ai sensi dell'art. 64-ter del predetto decreto legislativo 7 marzo 2005, n. 82, il Sistema di gestione deleghe; Visto il decreto del Ministro della salute e del Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega all'innovazione tecnologica di concerto con il Ministero dell'economia e delle finanze 7 settembre 2023, concernente il Fascicolo sanitario elettronico 2.0; Viste le «Linee guida sulla formazione, gestione e conservazione dei documenti informatici», ai sensi dell'art. 71 del decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni, emanate dall'AGID il 10 settembre 2020, cosi' come modificate ai sensi della determinazione AGID n. 371/2021; Viste le «Linee guida tecnologie e standard per la sicurezza dell'interoperabilita' tramite API dei sistemi informatici» ai sensi della lettera b), comma 3-bis, art. 73, e dell'art. 51 del decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni, adottate con determinazione AGID n. 547/2021; Viste le «Linee guida sull'interoperabilita' tecnica delle pubbliche amministrazioni» ai sensi della lettera b), comma 3-bis, art. 73, del decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni adottate con determinazione AGID n. 547/2021; Viste le Linee guida, attuative del comma 15-bis del citato art. 12, adottate con il decreto del Ministro della salute, di concerto con il Ministro per l'innovazione tecnologica e la transizione digitale e il Ministro dell'economia e delle finanze del 20 maggio 2022, pubblicato nella Gazzetta Ufficiale - Serie generale - 11 luglio 2022, n. 160; Visto lo standard Fast Healthcare Interoperability Resources (FHIR) per lo scambio elettronico dei dati relativi all'assistenza sanitaria; Visto il decreto 8 agosto 2022 della Presidenza del Consiglio dei ministri - Dipartimento per la trasformazione digitale, pubblicato nella Gazzetta Ufficiale - Serie generale - 4 ottobre 2022, n. 232 che, tra l'altro, definisce all'allegato 3 gli indicatori per il monitoraggio come da Linee guida FSE adottate; Visti il regolamento (UE) n. 2020/2094 del Consiglio del 14 dicembre 2020, che istituisce uno strumento dell'Unione europea per la ripresa a sostegno alla ripresa dell'economia dopo la crisi Covid-19, e il regolamento (UE) n. 2021/241 del Parlamento europeo e del Consiglio, del 12 febbraio 2021, che istituisce il dispositivo per la ripresa e resilienza (regolamento RRF) con l'obiettivo specifico di fornire agli Stati membri il sostegno finanziario al fine di conseguire le tappe intermedie e gli obiettivi delle riforme e degli investimenti stabiliti nei loro piani di ripresa e resilienza; Visto il Piano nazionale di ripresa e resilienza (P.n.r.r.) approvato con decisione del Consiglio Ecofin del 13 luglio 2021 e notificato all'Italia dal Segretariato generale del Consiglio con nota LT161/21 del 14 luglio 2021; Visto sub-investimento 1.3.1 «Rafforzamento dell'infrastruttura tecnologica e degli strumenti per la raccolta, l'elaborazione, l'analisi dei dati e la simulazione (FSE)», ricompreso nella componente 2 della missione 6 del P.n.r.r.; Visto il decreto del Ministro dell'economia e delle finanze del 6 agosto 2021, recante «Assegnazione delle risorse finanziarie previste per l'attuazione degli interventi del P.n.r.r. e ripartizione di traguardi e obiettivi per scadenze semestrali di rendicontazione e per la trasformazione digitale», quale modificato, quanto alla tabella A, dal decreto del Ministro dell'economia e delle finanze del 21 novembre 2021; Tenuto conto che la citata tabella A «P.n.r.r. - Italia quadro finanziario per amministrazioni titolari» di cui al decreto del Ministro dell'economia e delle finanze del 6 agosto 2021, come modificata con il decreto del Ministro dell'economia e delle finanze del 21 novembre 2021, finanzia il citato sub-investimento 1.3.1., con l'importo complessivo di euro 200.000.000 per la realizzazione del «Repository centrale, digitalizzazione documentale, servizi e interfaccia user-friendly»; Visto il regolamento (UE) n. 2016/679 del Palamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati); Visto il Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE; Considerato di dover disciplinare con il presente decreto i contenuti dell'EDS, le modalita' di alimentazione dell'EDS, nonche' i soggetti che hanno accesso all'EDS, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati; Considerato che nel citato decreto del 7 settembre 2023, concernente il FSE 2.0., si e' ritenuto di disciplinare, nel presente decreto, il dossier farmaceutico, in quanto servizio reso disponibile dall'Ecosistema dati sanitari sui dati estratti dai documenti del Fascicolo sanitario elettronico; Vista altresi' la proposta di regolamento del Parlamento europeo e del Consiglio COM/2022/197, sullo spazio europeo dei dati sanitari, approvata il 24 aprile 2024, al fine di: aiutare le persone ad assumere il controllo dei propri dati sanitari; sostenere l'uso dei dati sanitari per migliorare l'erogazione dell'assistenza sanitaria, la ricerca, l'innovazione e l'elaborazione delle politiche sanitarie; consentire all'UE di sfruttare appieno le potenzialita' offerte da uno scambio, utilizzo e riutilizzo sicuri dei dati sanitari; Ritenuto, in considerazione del fatto che EDS e' funzionale al Sistema FSE, poiche' risponde alle finalita' di cui all'art. 12, comma 15-quater, il quale richiama l'art. 12, comma 2, del medesimo decreto, si rende necessario dover coordinare e implementare le disposizioni del presente decreto con il decreto ministeriale 7 settembre 2023 attuativo delle disposizioni di cui all'art. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, come convertito in legge e successive modificazioni ed integrazioni; Ritenuto di disciplinare nel presente decreto la finalita' di cui all'art. 12, comma 2, lettera a-bis), a-ter) e c), del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni, in quanto perseguibili esclusivamente attraverso appositi servizi di elaborazione dei dati offerti dall'EDS; Ritenuto di stabilire il periodo di conservazione dei dati dell'EDS in coerenza con quanto previsto dal decreto del Ministero della salute del 7 settembre 2023, concernente il Fascicolo sanitario elettronico 2.0; Considerato che l'EDS garantisce il coordinamento informatico e assicura la costruzione di servizi omogenei sul territorio nazionale e, nel perseguire le finalita' di cui all'art. 12, comma 2, del richiamato decreto-legge n. 179 del 2012, implementa in modo omogeno sull'intero territorio nazionale l'offerta di servizi per le regioni e per i professionisti sanitari; Ritenuto, pertanto, di dover destinare, a decorre dal 2027, all'Agenzia nazionale per i servizi sanitari regionali (AGENAS), in qualita' di Agenzia nazionale per la sanita' digitale ai sensi del decreto-legge 27 gennaio 2022, n. 4 convertito con modificazioni dalla legge 28 marzo 2022, n. 25, quota parte delle risorse di cui all'art. 1, commi 34 e 34-bis, della legge 23 dicembre 1996, n. 662, al fine di garantire la gestione operativa dell'Ecosistema dei dati sanitari (EDS); Visto il regolamento per le infrastrutture digitali e per i servizi cloud per la pubblica amministrazione, adottato con decreto del direttore generale della Agenzia per la cybersicurezza nazionale in data 27 giugno 2024, prot. n. 21007; Viste le Linee guida sulla crittografia, adottate con decreto del direttore generale dell'Agenzia per la cybersicurezza nazionale, in data 13 dicembre 2023, prot. n. 31593, in materia di «Codici di autenticazione dei messaggi (MAC)», «funzioni di hash» e «conservazione delle password»; Eseguita la valutazione d'impatto sulla protezione dei dati personali ai sensi degli articoli 35 e seguenti, regolamento (UE) n. 2016/679; Acquisito il parere del Garante per la protezione dei dati personali, reso con provvedimento n. 605 del 26 settembre 2024; Acquisito il parere dell'Agenzia per la cybersicurezza nazionale, reso con provvedimento n. 33964 del 18 ottobre 2024; Considerata l'informativa resa dalla Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e Bolzano nella seduta del 18 dicembre 2024 (rep. atti n. 247/CSR); Decreta: Art. 1 Definizioni 1. Ai fini del presente decreto si intende per: a) «SSN», il Servizio sanitario nazionale, istituito con la legge 23 dicembre 1978, n. 833, che comprende anche i Servizi di assistenza sanitaria al personale navigante, in carico al Ministero della salute; b) «SASN», i Servizi di assistenza sanitaria al personale navigante, di cui al decreto del Presidente della Repubblica 31 luglio 1980, n. 620; c) «assistito», il soggetto «assistibile», «assistito SSN» o «assistito SASN» di cui al decreto del Presidente del Consiglio dei ministri 1° giugno 2022; d) «servizi socio-sanitari regionali», gli enti e gli organismi accreditati del Servizio sanitario regionale; e) «struttura sanitaria autorizzata», struttura che ha ricevuto l'autorizzazione all'esercizio delle attivita' sanitarie e sociosanitarie, di cui all'art. 8-ter del decreto legislativo 30 dicembre 1992, n. 502, e successive modificazioni; f) «struttura sanitaria accreditata», struttura autorizzata (pubblica o privata), professionista o organizzazione (pubblica o privata) autorizzata per l'erogazione di cure domiciliari, cui e' stato rilasciato l'accreditamento istituzionale di cui all'art. 8-quater del decreto legislativo 30 dicembre 1992, n. 502, e successive modificazioni; g) «Strutture sanitarie e socio-sanitarie», le strutture sanitarie e socio-sanitarie pubbliche, private accreditate e private autorizzate; h) «Medici convenzionati», i medici del ruolo unico di assistenza primaria svolgono attivita' professionale a ciclo di scelta e/o su base oraria e i pediatri di libera scelta e specialisti ambulatoriali interni, di cui all'art. 8 del decreto legislativo 30 dicembre 1992, n. 502, e successive modificazioni; i) «Regione», regione o Provincia autonoma di Trento o Bolzano; j) «RdA», la regione o provincia autonoma ovvero SASN di assistenza dell'assistito, ovvero, per gli assistiti per i quali non risulta associata una RdA, il titolare del Portale nazionale FSE; k) «RdE», la regione o provincia autonoma ovvero SASN di erogazione di una prestazione sanitaria; l) «CAD», il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante «Codice dell'amministrazione digitale»; m) «Tessera sanitaria» o «Sistema TS», il sistema informativo del Ministero dell'economia e delle finanze, istituito ai sensi delle disposizioni dell'art. 50, del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326; n) «ANA», l'Anagrafe nazionale degli assistiti, istituita dall'art. 62-ter del decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale); o) «FSE», il fascicolo sanitario elettronico, parte del Sistema FSE, di cui al comma 1 dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni, istituito dalle regioni e province autonome ai sensi delle disposizioni di cui al comma 2 del medesimo articolo; p) «decreto FSE 2.0», il decreto del Ministro della salute e del Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega all'innovazione tecnologica di concerto con il Ministero dell'economia e delle finanze 7 settembre 2023 concernente il Fascicolo sanitario elettronico 2.0; q) «AGENAS», Agenzia nazionale per i servizi sanitari regionali cui e' assegnato il ruolo di Agenzia nazionale per la sanita' digitale; r) «Soluzioni tecnologiche» le soluzioni tecnologiche di cui al comma 15-quater dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, come convertito in legge e successive modificazioni ed integrazioni», rese disponibili da parte di Agenas alle regioni, alle strutture sanitarie e sociosanitarie a livello nazionale o regionale, ai sensi dell'art. 69 del CAD al fine di assicurare, coordinare e semplificare la corretta e omogenea formazione dei documenti e dei dati che alimentano il FSE, tra l'altro per le seguenti funzioni: a) di controllo formale e semantico dei documenti e dei corrispondenti dati correlati prodotti dalle strutture sanitarie e sociosanitarie per alimentare il FSE; b) di conversione delle informazioni secondo i formati standard di cui all'art. 12, comma 15-octies, del decreto-legge 18 ottobre 2012, n. 179, come convertito in legge, e successive modificazioni ed integrazioni; c) di invio dei dati da parte della struttura sanitaria e sociosanitaria verso l'EDS. s) «EDS», l'Ecosistema dati sanitari, parte del Sistema FSE, istituito ai sensi del comma 15-quater dell'art. 12, comma 15-quater del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni; t) «INI», l'Infrastruttura nazionale per l'interoperabilita' fra i FSE, parte del Sistema FSE, istituita ai sensi del comma 15-ter dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni, realizzata dal Ministero dell'economia e delle finanze attraverso l'infrastruttura del Sistema tessera sanitaria realizzato in attuazione dell'art. 50, del decreto-legge 30 settembre 2003, n. 269, convertito con modificazioni, dalla legge 24 novembre 2003, n. 326; u) «FSE-INI», infrastruttura e servizi telematici dell'INI, parte del Sistema FSE, per le regioni e province autonome, nonche' per il Ministero della salute, che, ai sensi del comma 15-ter, punto 3) dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni, si avvalgono dell'infrastruttura nazionale ai sensi del comma 15 del citato art. 12; v) «Anagrafe consensi e revoche», l'Anagrafe nazionale dei consensi e relative revoche, parte di INI e del Sistema FSE, istituita ai sensi del comma 15-ter, punto 4-bis) dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni e integrazioni; w) «Indice nazionale FSE», l'indice nazionale dei documenti dei FSE, al fine di assicurare in interoperabilita' le funzioni del FSE, parte di INI e del Sistema FSE, istituito ai sensi del comma 15-ter, punto 4-ter) dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni e integrazioni; x) «Portale nazionale FSE», lo strumento che consente l'accesso on-line al FSE da parte dell'assistito e degli operatori sanitari, parte di INI e del Sistema FSE, istituito ai sensi del comma 15-ter, punto 4-quater) dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni e integrazioni; y) «Sistema di gestione deleghe», il Sistema istituito ai sensi delle disposizioni dell'art. 64-ter del CAD, affidato alla responsabilita' della struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale; z) «credenziali di autenticazione», i dati e i dispositivi in possesso di una persona, da questa conosciuti o a essa univocamente correlati, utilizzati per l'autenticazione informatica; aa) «Codice in materia di protezione dei dati personali», il decreto legislativo 30 giugno 2003, n. 196 recante «Codice in materia di protezione dei dati personali», e successive modificazioni; bb) «Regolamento», il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016; cc) «Linee guida FSE», le Linee guida, di cui all'art. 12, comma 15-bis, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni; dd) «Linee guida sui documenti informatici», le Linee guida sulla formazione, gestione e conservazione dei documenti informatici, emanate dall'AGID, ai sensi dell'art. 71 del CAD; ee) «Linee guida interoperabilita'», le Linee guida sull'interoperabilita' tecnica delle pubbliche amministrazioni e le Linee guida Tecnologie e standard per la sicurezza dell'interoperabilita' tramite API dei sistemi informatici, ai sensi dell'art. 71 del CAD e della direttiva (UE) 2015/1535; ff) «finalita' di cura», le finalita' di cui alla lettera a) del comma 2 dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni; gg) «finalita' di prevenzione», la finalita' di cui alla lettera a-bis) del comma 2 dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni; hh) «finalita' di profilassi internazionale», la finalita' di cui alla lettera a-ter) del comma 2 dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni; ii) «finalita' di studio e ricerca scientifica», le finalita' di cui alla lettera b) del comma 2 dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni; jj) «finalita' di governo», le finalita' di cui alla lettera c) del comma 2 dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni; kk) «Dipartimento per la trasformazione digitale», il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri; ll) «Pseudonimizzazione», definita dall'art. 4, par. 5 del regolamento UE n. 679/2016 come «il trattamento dei dati personali in modo tale che i dati personali non possano piu' essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».   Allegato A CONTENUTI, SERVIZI E TIPI DI DATI TRATTATI DALL'EDS Parte di provvedimento in formato grafico   Allegato B MISURE DI SICUREZZA Parte di provvedimento in formato grafico   Allegato C ARCHITETTURA E MODULI DELL'EDS Parte di provvedimento in formato grafico   Art. 2 Finalita' e ambito di applicazione del decreto 1. Il presente decreto, attuativo delle disposizioni di cui all'art. 12, comma 15-quater, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni, individua i contenuti dell'EDS, le modalita' di alimentazione dell'EDS, nonche' i soggetti che hanno accesso all'EDS, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati.   Appendice - Allegato B Parte di provvedimento in formato grafico   Art. 3 Contenuti e alimentazione dell'EDS 1. L'EDS contiene i dati di cui all'art. 3, comma 1, del decreto 7 settembre 2023, conferiti al sistema FSE dalle strutture sanitarie e socio-sanitarie e dagli enti del Servizio sanitario nazionale, validati ed estratti dalle soluzioni tecnologiche secondo le modalita' di cui all'art. 6 del presente decreto, nonche' quelli resi disponibili tramite il Sistema tessera sanitaria, con le medesime garanzie offerte dalle citate soluzioni tecnologiche. 2. I dati oggetto di oscuramento ai sensi degli articoli 6 e 9 del decreto del 7 settembre 2023 non alimentano l'EDS. 3. I dati di cui al comma 1 sono elaborati dall'EDS al fine assicurare, su richiesta, appositi servizi mediante la ricerca, consultazione, estrazione e analisi dei dati, nonche' specifici servizi di supporto alla compilazione del Profilo sanitario sintetico, al processo di cura e per la realizzazione del dossier farmaceutico specificatamente individuati nell'allegato A.   Art. 4 Soluzione architetturale dell'EDS 1. L'EDS adotta una soluzione architetturale basata su un sistema di unita' di archiviazione distinte e indipendenti, adatto a garantire: a) completa separazione dei dati in base alla tipologia (in chiaro, pseudonimizzati e anonimizzati) e al relativo livello di rischio individuato nella valutazione di impatto, di cui all'art. 36 del regolamento UE n. 679/2016, al fine di garantire massimi livelli di protezione dei dati e la sicurezza complessiva del sistema. I dati contenuti nell'EDS sono gestiti in unita' di archiviazione separate, di cui ventuno unita' di archiviazione dedicate alla gestione dei dati in chiaro associati a ciascuna regione e provincia autonoma, una unita' di archiviazione dedicata ai SASN, una unita' di archiviazione dedicata esclusivamente ai dati pseudonimizzati e una unita' di archiviazione dedicata esclusivamente ai dati anonimi. Ogni unita' di archiviazione consente l'accesso solo ai profili abilitati al livello di dati gestito. b) pieno allineamento tra i documenti sanitari pubblicati nei FSE regionali e i dati resi disponibili nell'EDS, garantendo l'aggiornamento continuo in caso di oscuramento (anche temporaneo), ovvero in caso di cancellazione o di rettifica di un documento sanitario; c) che nell'ambito dell'EDS i dati estratti dai documenti sanitari non siano replicati, in accordo con il principio di minimizzazione; d) piena interoperabilita' delle unita' di archiviazione contenenti i dati in chiaro, secondo le modalita' indicate nell'allegato C; e) la facolta' per le regioni e le province autonome interessate di gestire in proprio l'unita' di archiviazione dei dati in chiaro della medesima regione o provincia autonoma, secondo le modalita' e le garanzie di cui all'art. 23; 2. Nell'allegato C sono elencate le caratteristiche infrastrutturali determinanti per assicurare il rispetto dei requisiti di cui al comma 1, tra cui, in particolare, le misure di protezione dei dati e i meccanismi di gestione degli accessi, le misure di sicurezza, gli algoritmi e le procedure di anonimizzazione, di pseudonimizzazione e di protezione associata.   Art. 5 Dossier farmaceutico 1. Al fine di favorire la qualita', il monitoraggio, l'appropriatezza nella dispensazione dei medicinali e l'aderenza alla terapia ai fini della sicurezza del paziente l'EDS rende disponibile, tra i servizi offerti, anche il dossier farmaceutico. 2. L'EDS estrae i dati relativi a prescrizioni farmaceutiche, erogazioni di farmaci, come indicati nell'allegato A, dai documenti del FSE e dai dati resi disponili dal Sistema TS e da ANA. 3. In nessun caso l'accesso al dossier farmaceutico potra' consentire, da parte di soggetti diversi dall'assistito, la consultazione di documenti oscurati ai sensi dell'art. 9 del decreto FSE 2.0. 4. Il Ministero della salute e' titolare del trattamento di elaborazione dei dati del dossier farmaceutico al fine di fornire servizi ai soggetti individuati negli articoli 13, 14, 15, 16 e 17 del presente decreto, secondo le pertinenti finalita' perseguite e nel rispetto delle modalita' di accesso ivi previste e in conformita' all'allegato A.   Art. 6 Modalita' di alimentazione dell'EDS 1. Le regioni e province autonome sono titolari dei trattamenti di estrazione dei dati di cui all'art. 3, comma 1, del presente decreto, nonche' di trasmissione degli stessi all'EDS, attraverso le soluzioni tecnologiche di cui all'art. 1, lettera r), del presente decreto, garantendo la riconducibilita' del dato estratto al documento medesimo, ove presente; dette soluzioni tecnologiche non prevedono meccanismi di persistenza ne' di duplicazione dei dati trattati. 2. AGENAS e' nominato dalle regioni e province autonome quale responsabile dei trattamenti effettuati tramite le soluzioni tecnologiche ai sensi del comma 1 del presente articolo, che assicurano la corretta e omogenea trasmissione dei dati da parte della struttura sanitaria e sociosanitaria verso l'EDS.   Art. 7 Informativa all'assistito 1. In attuazione degli articoli 13 e 14 del regolamento UE n. 2016/679 relativo alla protezione dei dati personali, quale presupposto di liceita' del trattamento, deve essere fornita all'assistito, da parte del Ministero della salute, delle regioni e province autonome, idonea informativa che espliciti i trattamenti dei dati effettuati attraverso l'EDS. 2. Al fine di assicurare una piena comprensione degli elementi indicati nell'informativa, il titolare deve formare adeguatamente il personale coinvolto nel trattamento dei dati sugli aspetti rilevanti della disciplina relativa alla protezione dei dati, anche al fine di un piu' efficace rapporto con gli assistiti. 3. Al fine di garantire all'interessato informazioni omogenee e uniformi nel territorio nazionale, il Ministero della salute, in collaborazione con le regioni e province autonome, integra il modello di informativa relativa al FSE, di cui all'art. 7, comma 4 del decreto ministeriale 7 settembre 2023, con i trattamenti dei dati effettuati attraverso l'EDS, acquisendo il relativo parere dell'Autorita' garante per la protezione dei dati personali.   Art. 8 Consenso dell'assistito alla elaborazione dei dati dell'EDS 1. Per le finalita' di cui alle lettere ff), gg) e hh) dell'art. 1 del presente decreto, l'accesso ai servizi dell'EDS da parte dei soggetti rispettivamente individuati agli articoli 13, 14 e 15 del presente decreto, puo' avvenire solo dopo che l'assistito ha preso visione dell'informativa di cui all'art. 7 e ha espresso libero, specifico, informato, inequivocabile, esplicito consenso, disgiuntamente per le predette finalita' nonche' con riferimento alla finalita' di cui alla lettera gg) dell'art. 1, altresi' in modo disgiunto nei confronti dei soggetti di cui all'art. 14, commi 1 e 2. 2. Per i minori di eta', i consensi di cui al comma 1 sono espressi da coloro che esercitano la responsabilita' genitoriale. Al raggiungimento della maggiore eta', i consensi devono essere confermati da un'espressa manifestazione di volonta' del neo-maggiorenne, dopo aver preso visione dell'informativa. 3. Per i soggetti sottoposti alle forme di tutela previste dal codice civile nei casi di incapacita' totale o parziale a provvedere ai propri interessi, i consensi di cui al comma 1 sono espressi dal tutore, dal curatore o dall'amministratore di sostegno ove cio' rientri tra i poteri loro conferiti in base ai provvedimenti emessi dall'autorita' giudiziaria. 4. I consensi di cui ai commi 1, 2 e 3 possono essere espressi anche per via telematica, previo accesso al FSE secondo le modalita' di cui all'art. 11 del decreto 7 settembre 2023. La regione o provincia autonoma assicura e rende note all'assistito, secondo le proprie modalita' organizzative, ulteriori modalita' di espressione dei consensi. Le aziende sanitarie locali, le strutture sanitarie pubbliche del SSN e dei servizi socio-sanitari regionali e i SASN, attraverso le diverse articolazioni organizzative, le strutture sanitarie accreditate con il SSN e autorizzate, nonche' gli esercenti le professioni sanitarie, anche convenzionati con il SSN, quando operano in autonomia, al primo contatto utile con l'assistito che non abbia gia' espresso i consensi in via telematica successivamente all'entrata in vigore del presente decreto, forniscono all'assistito specifica informativa e richiedono i consensi ai sensi del presente articolo. 5. I consensi di cui ai commi 1, 2 e 3 possono essere espressi anche da un delegato, nelle more della realizzazione del Sistema gestione deleghe di cui all'art. 64-ter del CAD, secondo le modalita' indicate nell'art. 11 del decreto FSE 2.0. 6. L'Anagrafe consensi e revoche, di cui all'art. 1, lettera v) del presente decreto e' implementata con i consensi e le revoche all'elaborazione dei dati attraverso l'EDS da parte dei soggetti individuati agli articoli 13, 14 e 15. 7. La revoca dei consensi all'elaborazione dei dati attraverso l'EDS, esprimibile con le modalita' descritte nel presente articolo, determina quanto segue: a) nel caso di revoca del consenso espresso per le finalita' di cui alla lettera ff) dell'art. 1, del presente decreto, sara' disabilitato l'accesso ai servizi dell'EDS per finalita' di cura ai soggetti di cui all'art. 13; b) nel caso di revoca del consenso espresso per le finalita' di cui alla lettera gg) dell'art. 1 del presente decreto sara' disabilitato l'accesso ai servizi dell'EDS per finalita' di prevenzione ai soggetti di cui all'art. 14 per i quali e' stato revocato il consenso; c) nel caso di revoca del consenso espresso per le finalita' di cui alla lettera hh) dell'art. 1 del presente decreto, sara' disabilitato l'accesso ai servizi dell'EDS al Ministero della salute per finalita' di profilassi internazionale. 8. La disabilitazione all'elaborazione dei dati attraverso l'EDS da parte di terzi per le specifiche finalita' per le quali sono stati revocati i consensi, cosi' come il mancato consenso, non pregiudicano il diritto all'erogazione della prestazione sanitaria. 9. L'assistito puo', successivamente, esprimere nuovi consensi all'elaborazione dei dati attraverso l'EDS di cui al comma 1, rendendo nuovamente disponibile l'elaborazione dei propri dati all'EDS per le specifiche finalita' per le quali sono stati espressi nuovi consensi. 10. Al momento della espressione dei consensi o delle revoche da parte dell'assistito, viene alimentata telematicamente l'anagrafe consensi e revoche, attraverso la specifica funzione resa disponibile da INI ai sensi del decreto attuativo delle disposizioni di cui al comma 15-ter dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, come da ultimo modificato dal decreto-legge 27 gennaio 2022, n. 4, convertito, con modificazioni, dalla legge 28 marzo 2022, n. 25. 11. La verifica del consenso viene effettuata dall'EDS ad ogni richiesta di consultazione per le finalita' di cui al comma 1, avvalendosi delle informazioni presenti in detta anagrafe, assicurando il pieno allineamento di cui all'art. 4, comma 1, lettera b) del presente decreto. 12. La regione di assistenza e il Ministero della salute, limitatamente agli assistiti SASN, sono titolari dei trattamenti di raccolta e registrazione dei consensi di cui al comma 1.   Art. 9 Diritti dell'assistito 1. L'assistito puo' accedere ai servizi dell'EDS, incluse le informazioni relative alle operazioni di cui all'art. 20 del presente decreto, secondo le modalita' individuate dall'art. 11. 2. I diritti di accesso, integrazione, rettifica, oscuramento e aggiornamento dei propri dati sono esercitati sui documenti e dati del FSE ai sensi dell'art. 9 del decreto 7 settembre 2023 e la soluzione architetturale dell'EDS garantisce il pieno allineamento di cui all'art. 4, comma 1, lettera b) del presente decreto.   Art. 10 Periodo di conservazione dei dati trattati 1. I dati dell'EDS sono cancellati trascorsi trent'anni dal decesso dell'assistito. Il Ministero della salute provvede a tale cancellazione con periodicita' annuale.   Art. 11 Accesso all'EDS da parte dell'assistito 1. L'assistito accede al proprio FSE ai sensi dell'art. 11 del decreto ministeriale 7 settembre 2023, il quale espone i servizi dell'EDS dedicati all'assistito e individuati nell'allegato A. 2. Su richiesta dell'assistito stesso l'EDS rende disponibili i servizi di elaborazione dei propri dati, descritti nell'allegato A. 3. L'EDS, su richiesta dell'assistito, produce un documento informatico, contenente le informazioni restituite da un servizio, firmato dal Ministero della salute.   Art. 12 Titolarita' dei trattamenti dell'EDS 1. Il presente decreto non modifica i ruoli del trattamento dei dati personali indicati nel decreto ministeriale 7 settembre 2023, ne' gli oneri e le connesse responsabilita' in ordine al rispetto dei requisiti di qualita' dei dati ivi previsti. 2. Il Ministero della salute e' titolare dei trattamenti effettuati dall'EDS, la cui gestione operativa e' affidata ad Agenas, che la effettua, in qualita' di responsabile del trattamento per conto del predetto Ministero, mediante apposito atto di designazione.   Art. 13 Accesso ai servizi dell'EDS per la finalita' di cura 1. Per la finalita' di cura di cui all'art. 1, lettera ff), previo consenso dell'assistito, l'EDS rende disponibili alle strutture sanitarie e socio-sanitarie e ai medici convenzionati, nonche' agli esercenti le professioni sanitarie che prendono in cura l'assistito, anche al di fuori del SSN, l'insieme di servizi descritti nell'allegato A pertinenti alla finalita' di cura, cui gli stessi accedono su propria iniziativa, nel rispetto dei principi di minimizzazione, necessita' e pertinenza. 2. I soggetti di cui al comma 1 che hanno in cura l'assistito possono accedere ai servizi dell'EDS per la finalita' di cura, secondo i ruoli e i profili di autorizzazione di cui all'allegato A, previa dichiarazione che tale processo di cura e' in atto al momento dell'accesso e assunzione della relativa responsabilita' ai sensi dell'art. 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. 3. Possono altresi' accedere ai servizi dell'EDS per la finalita' di cura, secondo i ruoli e i profili di autorizzazione di cui all'allegato A i medici di medicina generale e pediatri di libera scelta, per la durata dell'assistenza, o il medico sostituto, per la durata della sostituzione. 4. L'accesso ai servizi dell'EDS ai sensi del presente articolo e' sempre escluso ai soggetti operanti in ambito sanitario che non perseguono finalita' di cura quali periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, personale medico nell'esercizio di attivita' medico legale quale quella per l'accertamento dell'idoneita' lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni.   Art. 14 Accesso ai servizi dell'EDS per la finalita' di prevenzione 1. Per la finalita' di prevenzione di cui all'art. 1, lettera gg), previo consenso dell'assistito, l'EDS rende disponibili ai soggetti del SSN e dei servizi sociosanitari regionali della RdA, agli esercenti le professioni sanitarie che hanno in cura l'assistito, o comunque gli prestano assistenza, un insieme di servizi descritti nell'allegato A pertinenti alla finalita' di prevenzione, cui gli stessi accedono su propria iniziativa, nel rispetto dei principi di minimizzazione, necessita' e pertinenza, secondo livelli diversificati di accesso di cui all'allegato A. 2. La finalita' di cui al comma 1, e' perseguita esclusivamente attraverso l'EDS, che rende disponibili alle regioni e province autonome, attraverso gli uffici competenti in materia di prevenzione sanitaria e limitatamente ai propri assistiti, nonche' alla direzione generale competente in materia di prevenzione sanitaria del Ministero della salute un insieme di servizi, descritti nell'allegato A, al fine di pianificare le attivita' di prevenzione in ambito regionale, attuate dalle competenti ASL, e in ambito nazionale, attraverso i quali accedono ai dati privati degli elementi identificativi diretti e pseudonimizzati, nel rispetto dei principi di minimizzazione, necessita' e pertinenza, secondo i livelli diversificati di accesso di cui all'allegato A. 3. I soggetti del SSN e dei servizi sociosanitari regionali della RdA, gli esercenti le professioni sanitarie che hanno in cura l'assistito o comunque gli prestano assistenza sanitaria, sono titolari del trattamento per finalita' di prevenzione. 4. Sono altresi' titolari del trattamento per finalita' di prevenzione le regioni attraverso gli uffici competenti in materia di prevenzione sanitaria nonche' il Ministero della salute attraverso la Direzione generale competente in materia di prevenzione sanitaria. I soggetti di cui ai commi 1 e 2 assicurano che sia autorizzato al trattamento, ai sensi dell'art. 29 del regolamento UE n. 2016/679, esclusivamente il personale sanitario soggetto alle regole del segreto professionale. 5. Il personale del Ministero della salute e delle regioni e province autonome che, per altre finalita', accede a flussi di dati pseudonimizzati non accede ai dati dell'EDS per finalita' di prevenzione.   Art. 15 Accesso ai servizi dell'EDS per la finalita' di profilassi internazionale 1. La finalita' di profilassi internazionale di cui l'art. 1, lettera hh), e' perseguita esclusivamente attraverso l'EDS, che, previo consenso dell'assistito, rende disponibili alla direzione generale competente in materia di profilassi internazionale del Ministero della salute, designata quale Centro nazionale italiano per il regolamento sanitario internazionale, ivi compresi gli uffici di sanita' marittima e aerea e di frontiera, in conformita' all'art. 45, paragrafo 2) del regolamento sanitario internazionale, un insieme di servizi omogenei sul territorio nazionale, descritti nell'allegato A e pertinenti alla finalita' di profilassi internazionale, al fine di individuare: a. la circolazione di nuovi patogeni o l'emergere di sintomatologie sconosciute o di fattori di rischio ambientale e/o alimentare; b. nuovi fattori di rischio legati a patologie correlate come co-infezioni; c. lo sviluppo di nuovi casi di farmacoresistenza verso specifici gruppi di patogeni; d. possibili nuove complicanze non conosciute di alcune malattie infettive che possono portare al decesso del caso. 2. I soggetti di cui al comma 1 accedono ai servizi dell'EDS nel rispetto dei principi di minimizzazione, necessita' e pertinenza, secondo i livelli diversificati di accesso sulla base delle relative attivita' di competenza individuate nell'allegato A, e sono titolari dei trattamenti per finalita' di profilassi internazionale, assicurando che sia autorizzato al trattamento, ai sensi dell'art. 29 del regolamento UE n. 2016/679, esclusivamente personale medico soggetto alle regole del segreto professionale. 3. Il Ministero della salute, attraverso i medici dei competenti uffici della direzione di cui al comma 1, ivi compresi gli uffici di sanita' marittima e aerea e di frontiera, in conformita' all'art. 45, paragrafo 2) del RSI, accede ai servizi dell'EDS se necessario per la valutazione della situazione sanitaria dei soggetti destinatari delle seguenti azioni di competenza del Ministero: a) somministrare vaccinazioni o profilassi obbligatorie o raccomandate per soggetti diretti all'estero, su richiesta degli interessati; b) somministrare vaccinazioni o profilassi obbligatorie o raccomandate per soggetti provenienti dall'estero; c) sottoporre a misure di quarantena o isolamento; d) effettuare attivita' di contact tracing internazionale; e) disporre misure di profilassi conseguenti a esposizioni ad agenti patogeni relative a soggetti che abbiano utilizzato mezzi di trasporto collettivi o soggiornato in comunita' chiuse. 4. Il personale del Ministero della salute che accede, per altre finalita', a flussi di dati pseudonimizzati, non accede ai dati e documenti dell'EDS per finalita' di profilassi internazionale. 5. Nei casi di cui al comma 4, dell'art. 19, decreto ministeriale 7 settembre 2023, i servizi dell'EDS assicurano il rispetto dei criteri e delle modalita' preventivamente stabiliti ai sensi del predetto comma.   Art. 16 Accesso ai servizi dell'EDS per la finalita' di governo 1. La finalita' di governo di cui all'art. 1, lettera jj), del presente decreto, e' perseguita esclusivamente attraverso l'EDS che rende disponibili al personale dei competenti uffici del Ministero della salute, di Agenas e delle regioni e province autonome competenti in materia di governo, un insieme di servizi omogenei sul territorio nazionale, descritti nell'allegato A e pertinenti alla finalita' di governo, cui gli stessi accedono, nel rispetto dei principi di minimizzazione, necessita' e pertinenza, secondo i livelli diversificati di accesso ivi indicati. 2. Per le finalita' di cui al presente articolo, i soggetti di cui al comma 1 accedono esclusivamente ai dati, messi a disposizione dai servizi dell'EDS descritti nell'allegato A, privati degli elementi identificativi diretti, pseudonimizzati irreversibili, nonche' dati aggregati e sono titolari dei trattamenti per finalita' di governo. 3. Il personale del Ministero della salute e delle regioni e province autonome che, per altre finalita', accede a flussi di dati pseudonimizzati, non accede ai dati messi a disposizione dai servizi dell'EDS per finalita' di governo. 4. Il Capo IV del decreto del Presidente del Consiglio dei ministri 29 settembre 2015, n. 178, pubblicato nella Gazzetta Ufficiale della Repubblica italiana 11 novembre 2015, n. 263, cessa di avere efficacia dal 31 marzo 2026.   Art. 17 Accesso ai servizi dell'EDS per la finalita' di studio e ricerca scientifica 1. Per la finalita' di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, di cui all'art. 1, lettera ii), l'EDS rende disponibili al personale dei competenti uffici del Ministero della salute, di Agenas e delle regioni e province autonome appositi servizi di estrazione dei dati anonimizzati secondo le tecniche indicate nell'allegato B. 2. I soggetti pubblici e privati che istituzionalmente perseguono finalita' di studio e di ricerca scientifica in campo medico, biomedico ed epidemiologico presentano ad Agenas una richiesta di estrazione di dati anonimizzati, corredata da un relativo progetto di ricerca redatto conformemente alle regole metodologiche e etiche, e se del caso alle regole deontologiche per trattamenti a fini statistici e di ricerca scientifica, di cui all'allegato A5 del decreto legislativo n. 196 del 2003, nonche' al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 del decreto legislativo 10 agosto 2018, n. 101, pubblicato nella Gazzetta Ufficiale - Serie generale - n. 176 del 29 luglio 2019. L'Agenas, in qualita' di responsabile del trattamento ai sensi dell'art. 28 del regolamento, valuta le richieste di cui al periodo precedente, le finalita' perseguite dal soggetto richiedente, e accede al servizio di estrazione dei dati, offerto dall'EDS e descritto nell'allegato A parte integrante del presente decreto, al fine di evadere le richieste e fornire i dati anonimizzati. 3. I dati anonimizzati resi disponibili attraverso i servizi di estrazione di cui al presente articolo non sono conservati nell'EDS. 4. Con successivo decreto sono adottate specifiche disposizioni per l'attivazione di appositi servizi dell'EDS che consentono trattamenti dei dati personali per le finalita' di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, nel rispetto delle garanzie di cui all'art. 89 del regolamento. 5. Il Capo III del decreto del Presidente del Consiglio dei ministri 29 settembre 2015, n. 178, pubblicato nella Gazzetta Ufficiale della Repubblica italiana 11 novembre 2015, n. 263, cessa di avere efficacia dal 31 marzo 2026.   Art. 18 Accesso ai servizi dell'EDS in emergenza 1. In caso di impossibilita' fisica, incapacita' di agire o incapacita' di intendere o di volere e di rischio grave, imminente e irreparabile per la salute o l'incolumita' fisica dell'assistito, che non abbia espresso il consenso all'accesso alla consultazione ai servizi dell'EDS, gli operatori del SSN e dei servizi socio-sanitari regionali, nonche' gli esercenti le professioni sanitarie possono accedere, prioritariamente al profilo sanitario sintetico ed eventualmente al FSE, secondo quanto previsto nell'art. 20 del decreto FSE 2.0 e, ove necessario, ai servizi resi disponibili dall'EDS per finalita' di cura, di cui all'art. 13 del presente decreto, solo dopo averne verificato l'incapacita' fisica o giuridica di esprimere il consenso, per il tempo strettamente necessario ad assicurare allo stesso le indispensabili cure e, in ogni caso, fino a quando l'assistito non sia nuovamente in grado di esprimere la propria volonta' al riguardo.   Art. 19 Servizi di monitoraggio e controllo 1. L'EDS rileva le informazioni necessarie, senza l'utilizzo di dati personali, per il calcolo degli indicatori del FSE, definiti dalle Linee guida FSE, e le rende disponibili, tramite appositi servizi, ai fini del monitoraggio dei medesimi indicatori, come dettagliato nell'allegato A del presente decreto. 2. La consultazione degli indicatori di monitoraggio e controllo e' messa a disposizione sull'area pubblica del Portale nazionale FSE. 3. I soggetti che alimentano il FSE, ai sensi dell'art. 12 del decreto ministeriale 7 settembre 2023, il Ministero della salute, le regioni e province autonome e Agenas accedono ai servizi di monitoraggio e controllo di competenza, resi disponibili dai servizi esposti dall'EDS e dal FSE.   Art. 20 Registrazione delle operazioni sui file di log dell'EDS 1. Il Ministero della salute registra le seguenti operazioni relative a ogni servizio dell'EDS: a) consultazione da parte dell'assistito o di un suo delegato; b) consultazione da parte di altro soggetto; c) consultazione in emergenza. 2. Le operazioni di cui al comma 1 sono registrate con indicazione di: a) servizio cui si e' acceduto; b) identificativo univoco del soggetto (assistito, delegato dell'assistito, medici convenzionati, struttura sanitaria, unita' organizzativa regionale o provinciale competente in materia di prevenzione sanitaria, unita' organizzativa del Ministero della salute); c) data e ora dell'utilizzo del servizio; d) finalita' dell'utilizzo del servizio. 3. L'assistito puo' prendere visione delle registrazioni di cui al comma 1 accedendo all'apposita funzionalita' presente nel portale FSE della RdA e nel portale nazionale FSE.   Art. 21 Servizio di notifica delle operazioni sull'EDS 1. L'assistito e' informato dell'accesso ai servizi dell'EDS che rilasciano dati in chiaro per tramite del servizio disciplinato all'art. 22 del decreto ministeriale 7 settembre 2023. 2. Il Ministero della salute comunica le informazioni necessarie per la notifica di cui al comma 1 ai soggetti di cui all'art. 22 del decreto ministeriale 7 settembre 2023.   Art. 22 Misure di sicurezza nel trattamento dei dati personali 1. Per i trattamenti svolti ai sensi delle disposizioni di cui al presente decreto, i titolari del trattamento adottano misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in coerenza con le disposizioni di cui agli articoli 25 e 32 del regolamento UE n. 2016/679. 2. Ferme restando le misure di sicurezza di cui al comma 1, l'accesso dell'assistito e dei professionisti sanitari ai servizi dell'EDS e' consentito, per tutte le finalita' di cui all'art. 12, comma 2 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, esclusivamente per il tramite del FSE, anche attraverso i portali regionali. 3. Per il trattamento dei dati dell'EDS sono assicurati: a) il rispetto delle disposizioni di cui all'art. 51 del CAD in materia di sicurezza e disponibilita' dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni, nonche' delle linee guida rese disponibili da AGID e ACN in materia di sviluppo e gestione dei sistemi informativi; b) idonei sistemi di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento; c) procedure per la verifica periodica dei profili di autorizzazione assegnati agli incaricati; d) protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati; e) la cifratura o la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali; f) tracciabilita' degli accessi e delle operazioni effettuate; g) sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie; h) procedure di pseudonimizzazione; i) idonee misure tecniche e organizzative per la protezione dei dati registrati rispetto a potenziali rischi di accesso abusivo, furto o smarrimento, parziali o integrali, dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi. 4. La struttura e l'organizzazione dei dati dell'EDS garantisce, secondo quanto previsto nell'allegato A, oltre alla corretta e differenziata articolazione dei profili per quanto concerne la classificazione delle tipologie di informazioni sanitarie indispensabili in relazione alle finalita' per cui vengono trattate, anche quella relativa ai diversi livelli autorizzativi dei soggetti abilitati all'accesso. 5. Le disposizioni di cui al presente articolo vengono attuate ai sensi delle specificazioni contenute nell'allegato B. 6. Al fine di garantire il corretto impiego dell'EDS da parte degli utilizzatori e per rendere gli stessi edotti dei rischi che incombono sui dati, nonche' delle misure di sicurezza adottate, vengono organizzate apposite sessioni di formazione, anche con riferimento agli aspetti di protezione dei dati personali, con particolare riferimento all'accessibilita' delle informazioni, alle operazioni di trattamento eseguibili e alla sicurezza dei dati. 7. In caso di incidenti di sicurezza che possono comportare rischi per i diritti e le liberta' degli interessati, anche in relazione a trattamenti effettuati da altri soggetti, ciascun titolare del trattamento fornisce tempestivamente a quest'ultimi ogni informazione utile ad agevolare l'adempimento degli obblighi in materia di violazioni dei dati personali di cui agli articoli 33 e 34 del regolamento (UE) n. 2016/679.   Art. 23 Attivazione unita' di archiviazione regionali 1. La componente dell'EDS dedicata ai dati in chiaro, come da art. 4 e allegato C, si compone di ventidue distinte Unita' di archiviazione, di cui ventuno Unita' di archiviazione per le regioni e province autonome e una unita' di archiviazione dedicata ai SASN. E' fatta salva la facolta' per la regione o la provincia autonoma di sviluppare e gestire direttamente l'Unita' di archiviazione contenente i dati della medesima regione o provincia autonoma. L'accoglimento della richiesta e' condizionato alla verifica che tale Unita' di archiviazione sia coerente con il preminente interesse del coordinamento informatico dei dati e dell'omogeneita' dei servizi, nonche' con i requisiti previsti nell'allegato C e nelle Linee guida di cui al successivo comma 3 del presente articolo, assicurandone pari qualita' e sicurezza. Alla messa in funzione dell'Unita' di archiviazione della regione o provincia autonoma consegue la disattivazione della corrispondente Unita' di archiviazione a livello centrale. 2. Le regioni e province autonome, che si avvalgono della facolta', di cui al comma 1 del presente decreto, di realizzare e gestire in proprio una soluzione di Unita' di archiviazione per la propria regione (UA-R), devono: a) garantire almeno le medesime funzionalita' della corrispondente UA-R, resa disponibile dalla componente «dati in chiaro» del modulo dati dell'EDS; b) assicurare, in linea con le caratteristiche architetturali delle UA-R dell'EDS di cui all'art. 4 del presente decreto, il pieno rispetto dei requisiti tecnologici, di protezione dei dati e di sicurezza che saranno pubblicati sul sito di progetto www.fascicolosanitario.gov.it - e dettagliati negli allegati B, C e nella valutazione di impatto; c) garantire, cosi' come per la corrispondente UA-R del modulo dati dell'EDS, la coerenza con le linee guida e gli indirizzi definiti da AgID e ACN in materia di sviluppo, gestione e sicurezza dei sistemi informativi che saranno resi disponibili sui rispettivi siti web istituzionali; d) garantire al Ministero della salute e ad Agenas, nella sua qualita' di responsabile del trattamento, le medesime funzionalita' indipendentemente dall'architettura proposta. 3. Ai fini della richiesta di cui al comma 1, le regioni e province autonome sottoscrivono un accordo di collaborazione - ai sensi dell'art. 15 della legge 7 agosto 1990, n. 241 - con Ministero della salute, Agenas, Dipartimento per la trasformazione digitale e MEF - per disciplinare le modalita' di progettazione, realizzazione e gestione della suddetta UA-R.   Art. 24 Allegati 1. Sono parte integrante del presente decreto gli allegati A, B e C. 2. Gli aggiornamenti degli allegati e delle specifiche tecniche relative alle funzioni e ai servizi di cui al presente decreto, che non incidano sui tipi di dati trattati e sulle operazioni eseguibili, sono pubblicati in apposite sezioni dei siti web del Ministero della salute e di Agenas. 3. Ove necessario e fuori dei casi previsti dal comma 2, le specifiche tecniche e gli allegati al presente decreto sono aggiornati con decreto del Ministro della salute, di concerto con il Ministro con delega per l'innovazione tecnologica e la transizione digitale e il Ministro dell'economia e delle finanze, previo parere del Garante per la protezione dei dati personali.   Art. 25 Disposizioni transitorie 1. I servizi dell'EDS saranno attivi entro il 31 marzo 2026 e comunque non prima della completa attuazione della disciplina sul FSE 2.0. 2. Al momento della attivazione dei servizi di cui al comma 1, o comunque entro il suddetto termine, l'informativa del FSE e' integrata ai sensi dell'art. 7, comma 3 del presente decreto.   Art. 26 Oneri 1. Fino al 31 dicembre 2026 dall'attuazione del presente decreto non derivano maggior oneri ne minori entrate a carico della finanza pubblica e le attivita' previste dal presente decreto sono realizzate con risorse umane, strumentali e finanziarie previste a legislazione vigente. 2. A decorrere dall'anno 2027 sono destinate all'Agenzia nazionale per i servizi sanitari regionali (AGENAS), le risorse necessarie per garantire la gestione operativa dell'Ecosistema dei dati sanitari (EDS) a valere sulle risorse delle rispettive annualita' di cui all'art. 1, commi 34 e 34-bis, della legge 23 dicembre 1996, n. 662, e comunque senza nuovi o maggiori oneri per la finanza pubblica.   Art. 27 Entrata in vigore 1. Il presente decreto entra in vigore dalla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Il presente decreto sara' trasmesso agli organi di controllo per la registrazione. Roma, 31 dicembre 2024 Il Ministro della salute Schillaci Il Ministro dell'economia e delle finanze Giorgetti Il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega all'innovazione tecnologica Butti Registrato alla Corte dei conti il 17 febbraio 2025 Ufficio di controllo sugli atti del Ministero della salute e del Ministero del lavoro e delle politiche sociali, reg. n. 148