g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 29 dicembre 2023 [9981601]

Provvedimento del 29 dicembre 2023 [9981601]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9981601]

Provvedimento del 29 dicembre 2023

Registro dei provvedimenti
n. 639 del 29 dicembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTO il provvedimento del 24 novembre 2022, n. 400 con il quale il Garante, ai sensi degli artt. 36, par. 5 e 58, par. 3, lett. c), del Regolamento, ha espresso parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze da adottare di concerto con il Ministero della salute, concernente le modifiche al decreto del Ministero dell’economia e delle finanze del 30 dicembre 2020 per l’estensione dell’erogazione di farmaci senza obbligo di prescrizione alle parafarmacie a condizione che il termine entro il quale assicurare l’adozione delle procedure di autenticazione informatica a due o più fattori con riferimento ai servizi offerti attraverso il Sistema TS sia fissato in 6 (sei) mesi dall’entrata in vigore dello stesso schema di decreto;

CONSIDERATO che il predetto schema di parere su cui l’Autorità ha espresso il richiamato parere del 24 novembre è stato adottato il 1° dicembre 2022 e pubblicato in G.U. il 9 dicembre 2022 e che quindi i 6 mesi indicati nel predetto dispositivo sono terminati il 9 giugno 2023;

VISTO il provvedimento del Garante il 22 giugno 2023 (n. 277) che ha disposto il differimento del termine indicato nel parere del 24 novembre 2022, n. 400, sulla base delle motivazioni addotte dal Ministero dell’economia e delle finanze con la nota del 19 giugno 2023 legate alla complessità degli adeguamenti necessari per ottemperare al citato provvedimento del 24 novembre 2022, con le seguenti indicazioni:

a) 5 luglio 2023:

autenticazione per l’accesso all’area riservata dell’applicazione web della ricetta bianca dematerializzata del Sistema TS (tramite SPID/SPID professionale/CIE/TS/CNS) per medici prescrittori, farmacie e parafarmacie: disponibilità in ambiente di produzione;

autenticazione con certificato e asserzione per SAR regionali: disponibilità in ambiente di produzione;

b) 30 settembre 2023: autenticazione tramite servizi per software gestionale di medici prescrittori, farmacie e parafarmacie (web services): disponibilità in ambiente di produzione;

c) periodo transitorio pari a tre mesi (a partire dalle date di disponibilità in ambiente di produzione di cui alle lettere a) e b), nel quale gli utenti potranno accedere sia con l’autenticazione a due o più fattori che con le credenziali del Sistema TS;

VISTE le note del 17 luglio 2023, prot. n. 200361 e del 12 ottobre 2023, prot. n. 242231 con cui il Ministero dell’economia e delle finanze ha comunicato “lo stato di attuazione delle attività” poste in essere per ottemperare a quanto indicato dal Garante nei provvedimenti del 24 novembre 2022, n. 400 e del 22 giugno 2023, n. 277, evidenziando, in particolare, che:

“dal 5 luglio 2023 è stata messa a disposizione l’autenticazione a 2 fattori in ambiente di produzione del Sistema TS” e che in pari data “è iniziato il periodo transitorio di tre mesi che si concluderà il 5 ottobre 2023, al termine del quale l'accesso è previsto esclusivamente con le modalità a 2 o più fattori di cui al citato Decreto dell’8 giugno 2023”;

risulta, dalla data del 30 settembre 2023, in ambiente di produzione del Sistema TS per la ricetta bianca dematerializzata, l’autenticazione a 2 fattori per gli utenti che utilizzano i software gestionali (medici prescrittori, farmacie e parafarmacie), secondo le specifiche tecniche disponibili sul portale del Sistema TS, Sistema Tessera Sanitaria - Documenti e specifiche tecniche (finanze.it), concordate con il Ministero della salute e i competenti Dipartimento della Trasformazione Digitale della Presidenza del Consiglio dei Ministri e Agid”;

“è iniziato il periodo transitorio di tre mesi che si concluderà il 30 dicembre 2023, al termine del quale l'accesso è previsto esclusivamente con le modalità a 2 o più fattori di cui al Decreto dell’8 giugno 2023”.

VISTA la nota del Garante del 20 ottobre 2023, prot. n. 143213 con cui si è preso atto di quanto comunicato dal predetto Ministero in ordine allo stato degli adempimenti previsti rimanendo in attesa di ricevere conferma in merito alla conclusione della fase transitoria prevista per il 31 dicembre 2023;

VISTA la nota del 27 dicembre 2023 con la quale il Ministero dell’economia e delle finanze, nel richiamare gli adempimenti già rispettati, ha evidenziato che:

“Ai fini della prossima scadenza 30 dicembre 2023, resta in capo a questo Dipartimento rendere disponibile in produzione nella medesima data del 30 dicembre il controllo automatico bloccante delle procedure in oggetto del Sistema TS per garantire l’autenticazione esclusivamente a 2 o più fattori per i Sistemi regionali SAR e gli utenti che utilizzano i web-services”;

Sogei “ha confermato il completamento delle attività tecniche per l’operatività dal 31 dicembre 2023 del predetto controllo automatico bloccante, comunicando altresì di aver informato in merito tutti i soggetti interessati (referenti di tutte le regioni e, in particolare, le regioni/PA SAR, i farmacisti e i medici)”;

“Al fine di verificare lo stato di avanzamento delle attività di adeguamento dei propri sistemi da parte dei soggetti interessati (regioni SAR e utenti che utilizzano i web services) ai fini del rispetto della predetta scadenza del 30 dicembre 2023, questo Dipartimento, con il Ministero della salute, DTD e Agid, ha effettuato periodiche riunioni, nel corso delle quali. In particolare:

- sono state recepite le osservazioni tecniche formulate, ritenute conformi al Codice dell’Amministrazione Digitale;

- rispetto alla esplicita richiesta di Federfarma di verificare presso le regioni SAR la possibilità di adozione delle soluzioni tecniche conformi a quelle individuate per il Sistema TS a livello nazionale, minimizzando in tal modo per le software house dei farmacisti i tempi di implementazione per il rispetto della scadenza prevista, questo Dipartimento, con il Ministero della salute, DTD e Agid ha verificato tale possibilità con le regioni SAR, le quali hanno recepito tale proposta”;

“Circa il rispetto della scadenza del 30 dicembre 2023:

- l’ordine dei farmacisti (FOFI) nella specifica riunione del 30 novembre 2023 non ha segnalato criticità;

- le regioni SAR hanno confermato il rispetto di tale data, ad eccezione della Provincia Autonoma di Bolzano la quale con l’allegata nota del 20 dicembre 2023 ha comunicato che, pur avendo concluso le attività tecniche, la relativa adozione è subordinata alla verifica, in ambito provinciale, dei relativi aspetti di privacy, stimandone l’adozione entro il 31 gennaio 2024;

- il Presidente di Federfarma con l’allegata email prot. n. 18982 del 21 dicembre 2023 chiede “un indifferibile ed urgente prolungamento del periodo transitorio stabilito dalle disposizioni in parola, almeno fino al 30 gennaio 2024, e la fissazione di un urgente incontro per definire gli occorrenti rilievi tecnici e amministrativi connessi all’entrata in vigore della disciplina”, in quanto risulterebbe “..l’evidente preoccupazione circa i termini, le modalità e le tempistiche di adeguamento alla disciplina in oggetto, sempre trasferite ai soggetti competenti per materia, e riguardanti, in particolar modo, alcune Regioni SAR che non sarebbero in grado di garantire per tempo l’occorrente implementazione dei sistemi. Ci si riferisce, in particolare, alla Provincia Autonoma di Bolzano che risulta abbia chiesto un differimento temporale di applicazione della disciplina, e alla Regione Veneto che risulta aver intenzione di avviare una procedura transitoria, che sarà poi sostituita dopo alcune settimane e per la quale le Software House dichiarano di non aver ricevuto specifiche tecniche definitive. A livello nazionale, poi, si segnala l’insuperabile criticità riferita alla data e all’orario stabiliti per il passaggio al nuovo sistema di autenticazione, fissati per le ore 11:00 del 30 dicembre 2023: tale scadenza non tiene in alcun conto della circostanza che la maggior parte dei gestionali di mercato in uso alle farmacie non sono in grado di attivare nuove funzionalità nel corso della giornata, peraltro coincidente con il periodo delle festività natalizie e di fine anno.”;

CONSIDERATO che nella predetta nota del 27 dicembre 2023 il Ministero dell’economia e delle finanze ha chiesto la proroga al 31 gennaio 2024 della scadenza fissata con provvedimento del Garante del 22 giugno 2023 (n. 277) al 30 dicembre 2023, evidenziando di aver “completato le proprie attività” e che “l’effettiva operatività dal 30 dicembre 2023 del blocco automatico per l’esclusiva autenticazione a 2 o più fattori, prescritta dal parere in oggetto di codesto Garante per la protezione dei dati personali, a causa dei ritardi segnalati dalla Provincia Autonoma di Bolzano e da Federfarma, rischierebbe di comportare disservizi per gli assistiti interessati dalle funzionalità della ricetta bianca dematerializzata”:

CONSIDERATO che la quasi totalità degli adempimenti indicati nei provvedimenti di questa Autorità sono stati rispettati;

VISTE le motivazioni addotte dal Ministero dell’economia e delle finanze in ordine al rischio che “a causa dei ritardi segnalati dalla Provincia Autonoma di Bolzano e da Federfarma”, si potrebbero determinare disservizi per gli assistiti interessati dalle funzionalità della ricetta bianca dematerializzata e il breve tempo di proroga richiesto (30 giorni);

RITENUTO, alla luce delle motivazioni fondanti la richiesta di proroga avanzata dal Ministero dell’economia e delle finanze e del termine previsto nel provvedimento del 24 novembre 2022, n. 400, ragionevole concedere una proroga del predetto termine secondo quanto indicato dal citato Dicastero;

RITENUTO, altresì, di dover conseguentemente fissare il termine entro il quale il Ministero dell’economia e delle finanze deve fornire riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice in 15 giorni dallo scadere del nuovo termine assegnato per adempiere alla suddetta prescrizione;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;

Relatore il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, in relazione alla richiesta di proroga formulata dal Ministero dell’economia e delle finanze, dispone la proroga del termine, indicato nel provvedimento del 22 giugno 2023, n. 277, al 31 gennaio 2024 entro il quale assicurare l’adozione delle procedure di autenticazione informatica a due o più fattori con riferimento ai servizi offerti attraverso il Sistema TS e quindi entro il quale assicurare la cessazione del periodo transitorio durante il quale gli utenti potranno accedere sia con l’autenticazione a due o più fattori che con le credenziali del Sistema TS;

b) richiede al Ministero dell’economia e delle finanze di fornire riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 15 giorni dalla decorrenza del nuovo termine assegnato per adempiere alla suddetta prescrizione; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

Ai sensi dell’art. 78 del Regolamento e degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 dicembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9981601
Data
29/12/23

Argomenti

Sanità e ricerca scientifica Dati sanitari Ricette mediche Tessera sanitaria

Tipologie

Prescrizioni del Garante

Documenti citati

Vedi anche (2)