conservazione dei documenti informatici · 2017. 7. 29. · arnas palermo sede legale e operativa...

ArnasPalermoSedelegaleeoperativainPiazzaNicolaLeotta,4.PartitaIva05841770828

CONSERVAZIONEDEIDOCUMENTIINFORMATICI

ManualedelResponsabiledellaconservazionediARNASPALERMO

Versione Data

1 10.06.2016


Sommario1. OBIETTIVI.....................................................................................................................................3

2. NORMATIVAESTANDARDDÌRIFERIMENTO...............................................................................4

2.1 RIFERIMENTINORMATIVI......................................................................................................4

2.2 Standarddiriferimento.........................................................................................................6

2.3 Lineeguida............................................................................................................................6

3. TERMINIEDEFINIZIONI...............................................................................................................7

4. GENERALITÀ.................................................................................................................................7

4.1 Scopodeldocumento............................................................................................................7

4.2 Softwareutilizzatoneiprocessidiconservazione.................................................................7

4.3 Denominazionedell’ente......................................................................................................8

5. LEATTIVITA’DELRESPONSABILEDELLACONSERVAZIONE.........................................................8

5.1 Compitiorganizzativi.............................................................................................................9

5.2 Compitidiregistrazione.......................................................................................................10

5.3 Compitidimanutenzioneecontrollo..................................................................................11

5.4 Compitioperativi.................................................................................................................11

5.5 Compitiperlaprotezionedeidatiedelleprocedureinformatiche....................................12

5.6 Compitidiassistenza/ispezione..........................................................................................12

6. RESPONSABILEDELLACONSERVAZIONE...................................................................................13

7. SPECIFICHEDELLACERTIFICATIONAUTHORITY.........................................................................13

8. ATTIVITÀSUIDOCUMENTIDACONSERVARE............................................................................14

9. METADATIDÌCATALOGAZIONE.................................................................................................14

10. TEMPISTICHEDICONSERVAZIONE..........................................................................................15

11. ARCHITETTURALOGICA...........................................................................................................16

11.1 Proceduradiapposizionefirmadigitale............................................................................18

11.2 Marcatemporale...............................................................................................................18

11.3 ComponenteHardware.....................................................................................................18

11.4 Materialidiconsumo.........................................................................................................19

11.5 Armadiodiarchiviazioneeconservazione........................................................................19

11.6 TipologiaMedia.................................................................................................................19

11.7 Numerodicopiedisicurezzadeipacchettilegali..............................................................20

11.8 Principaliattivitàperlamessaineserciziodelsistemadiconservazione.........................20

12. OGGETTISOTTOPOSTIACONSERVAZIONE.............................................................................20

12.1 Pacchettidiarchiviazione-PdA.........................................................................................20


12.2 FasediricezionedelPacchettodiVersamento–PdV.......................................................20

12.3 Fasediconservazionedigitaleanorma.............................................................................21

13. PROCEDURADÌESIBIZIONE.....................................................................................................22

13.1 Esibizionedeidocumenticonservati.................................................................................22

13.2 Osservazionisullanormativavigente................................................................................23

13.3 ProceduradiEsibizione.....................................................................................................23

13.4 Proceduredìgestionedellaprivacy...................................................................................24

1. OBIETTIVI


Il presente documento ha l’obiettivo di fornire la descrizione generale del procedimento diconservazionedigitaleanormadelladocumentazioneinambienteclinico–sanitarioinmododaadempiereaquantoprescrittodalD.P.C.M.3Dicembre2013.

2. NORMATIVAESTANDARDDÌRIFERIMENTO

2.1 RIFERIMENTINORMATIVI� CodiceCivile[LibroQuintoDellavoro,TitoloIIDellavoronell'impresa,CapoIIIDelleimprese

commercialiedellealtreimpresesoggettearegistrazione,SezioneIIIDisposizioniparticolariper le imprese commerciali, Paragrafo 2 Delle scritture contabili], articolo 2215 bis -Documentazioneinformatica;

� CircolareMinistero della Sanità 19 Dicembre 1986, n. 61 - Circolare avente per oggetto ilperiodo di conservazione della documentazione sanitaria presso le istituzioni Sanitariepubblicheeprivatediricoveroecura;

� Legge7agosto1990,n.241 -Nuovenorme inmateriadiprocedimentoamministrativoedidirittodiaccessoaidocumentiamministrativi.(G.U.del18agosto1990,n.192);

� DPR 12 febbraio 1993, n. 39 - Norme in materia di sistemi informativi automatizzati delleamministrazioni pubbliche, a norma dell’art. 2, comma1, letteram), della legge 23 ottobre1992,n.421.(G.U.10febbraio1993,n.42);

� Direttiva1999/93/CEdelParlamentoeuropeoedelconsigliodel13dicembre2003;� Legge15marzo1997,n.59-DelegaalGovernoperilconferimentodifunzioniecompitialle

regioni ed enti locali, per la riformadella pubblica amministrazione e per la semplificazioneamministrativa;

� D.M. 14 Febbraio 1997 - Determinazione del tipo, modalità e periodicità del controllo diqualità da parte del fisico specialista o dell’esperto qualificato delle apparecchiatureradiologicheedimedicinanucleare,aisensidell’art.113,comma2,deldecretolegislativo17marzo1995,n.230;

� DPCM 28 ottobre 1999 - Gestione informatica dei flussi documentali nelle pubblicheamministrazioni.(G.U.11dicembre1999,n.290);

� DPR 28 dicembre 2000, n. 445 e s.m.i.- Testo unico delle disposizioni legislative eregolamentariinmateriadidocumentazioneamministrativa.(G.U.20febbraio2001,n.42);

� Decretolegislativo30giugno2003,n.196es.m.i.-Codice inmateriadiprotezionedeidatipersonali;

� Direttiva delMinistro per l’innovazione e le tecnologie 27 novembre 2003 - Impiego dellapostaelettronicanellepubblicheamministrazioni.(G.U.12gennaio2004,n.8);

� Decretolegislativo22gennaio2004,n.42es.m.i.-Codicedeibeniculturaliedelpaesaggio,aisensidell’art.10dellalegge6luglio2002,n.137.(G.U.24febbraio2004,n.28);


� DecretoLegislativodel7marzo2005n.82es.m.i.–Codicedell'amministrazionedigitale;� Circolare dell’Agenzia delle Entrate 45/E del 19 ottobre 2005 – Decreto legislativo 20

febbraio2004,n.52–attuazionedelladirettiva2001/115/CEchesemplificaedarmonizzalemodalitàdifatturazioneinmateriadiIVA;

� Circolare dell’Agenzia delle Entrate 36/E del 6 dicembre 2006 – Decreto del Ministerodell'EconomiaedelleFinanzedel23gennaio2004–Modalitàdiassolvimentodegliobblighifiscalirelativiaidocumentiinformaticiedallalororiproduzioneindiversitipidisupporto;

� DecretoLegislativodel9aprile2008,n.81–Attuazionedell'articolo1della legge3agosto2007,n.123,inmateriadituteladellasaluteedellasicurezzaneiluoghidilavoro;

� DecretoLegge185/2008(art.2215bisc.c.edocumentiunici);� D.Lgs30Dicembre2010n.235–ModifichealCodicedell'Amministrazionedigitale;� Direttiva europea 2010/45/UE -Sistema comune d'imposta sul valore aggiunto per quanto

riguardalenormeinmateriadifatturazioneelettronica;� DPCMdel22febbraio2013–Regoletecnicheinmateriadigenerazione,apposizioneeverifica

dellefirmeelettronicheavanzate,qualificateedigitaliaisensidegliarticoli20,comma3,24,comma4,28,comma3,32,comma3,letterab),35,comma2,36,comma2,e71;

� DPCM3dicembre2013-Regoletecnicheperilprotocolloinformaticoaisensidegliarticoli40-bis,41,47,57-bise71,delCodicedell’amministrazionedigitaledicuialdecretolegislativon.82del2005;

� DPCMdel3dicembre2013-Regoletecniche inmateriadisistemadiconservazioneaisensidegliarticoli20,commi3e5-bis,23-ter,comma4,43,commi1e3,44,44-bise71,comma1,delCodicedell'amministrazionedigitaledicuialdecretolegislativon.82del2005;

� Circolare AGID del 10 aprile 2014, n. 65 - Modalità per l’accreditamento e la vigilanza suisoggettipubblicieprivatichesvolgonoattivitàdiconservazionedeidocumenti informaticidicuiall'articolo44-bis,comma1,deldecretolegislativo7marzo2005,n.82;

� Decreto del Ministero dell'Economia e delle Finanze del 17 giugno 2014 - Modalità diassolvimentodegliobblighifiscalirelativiaidocumentiinformaticiedallalororiproduzionesudiversitipidisupporto-articolo21,comma5,deldecretolegislativon.82/2005;

� DPCM 13 novembre 2014 - Regole tecniche in materia di formazione, trasmissione, copia,duplicazione, riproduzione e validazione temporale dei documenti informatici nonché diformazioneeconservazionedeidocumentiinformaticidellepubblicheamministrazioniaisensidegli articoli 20, 22, 23 -bis , 23 -ter , 40, comma 1, 41, e 71, comma 1, del Codicedell’amministrazionedigitaledicuialdecretolegislativon.82del2005.


2.2 StandarddiriferimentoIlsistemadiconservazioneutilizzatoèstatorealizzatosecondoquantoprevistodaglistandarddiseguitorichiamati.� ISO 14721:2012 OAIS (Open Archival Information System), Sistema informativo aperto per

l’archiviazione;� ISO/IEC 27001:2013, Information technology - Security techniques - Information security

managementsystems–Requirements,RequisitidiunISMS(InformationSecurityManagementSystem);

� ETSI TS 101 533-1 V1.3.1 (2012-04) Technical Specification, Electronic Signatures andInfrastructures (ESI); Information Preservation Systems Security; Part 1: Requirements forImplementationandManagement,Requisitiper realizzareegestire sistemi sicuri eaffidabiliperlaconservazioneelettronicadelleinformazioni;

� ETSITR101533-2V1.3.1(2012-04)TechnicalReport,ElectronicSignaturesandInfrastructures(ESI);InformationPreservationSystemsSecurity;Part2:GuidelinesforAssessors,Lineeguidapervalutaresistemisicurieaffidabiliperlaconservazioneelettronicadelleinformazioni;

� ISO 16363:2012 - Space data and information transfer systems - Audit and certification oftrustworthydigitalrepositories(CCSDS652.0-M-1OAIS);

� UNI 11386:2010 Standard SInCRO - Supporto all'Interoperabilità̀ nella Conservazione e nelRecuperodegliOggettidigitali;

� ISO 15836:2009 Information and documentation - The Dublin Core metadata element set,SistemadimetadatadelDublinCore.

2.3 Lineeguida� Linee guida per la dematerializzazione vers. del aprile 2012: Linee guida per la

dematerializzazionedelladocumentazioneclinicainlaboratorioeindiagnosticaperimmagini–normativaeprassi;

� Linee guidadelGaranteper la protezionedei dati personali 16 luglio 2009: Linee guida intemadiFascicolosanitarioelettronicoedidossiersanitario;

� LineeguidadelGaranteperlaprotezionedeidatipersonali19novembre2009:Lineeguidaintemadirefertion–line


3. TERMINIEDEFINIZIONIRelativamente alla terminologia utilizzata all'interno del presentemanuale si fa riferimentoall'art. 1 del D.Lgs. 82/2005 e al Glossario contenuto nell'Allegato 1 alle regole tecniche inmateriadisistemidiconservazioneapprovateconDPCM3dicembre2013ealledefinizioniiviriportate.

4. GENERALITÀ

4.1 ScopodeldocumentoIl presenteManuale della Conservazione dei documenti della Struttura è adottato ai sensi delD.P.C.M.3Dicembre2013ehaloscopodi:

� descriverelecompetenze,icompitieleresponsabilitàdelResponsabiledelprocessodiconservazionecosìcomestabilitodall’art.7delD.P.C.M.stesso;

� descrivere le regole e le procedure utilizzate per implementare il processo diconservazionedeidocumenti,descrittineiprossimicapitoli,aventinaturainformaticanonchélalororiproduzionesudiversitipidisupporto;

� descrivereilprocessodiapposizionedellafirmadigitale,dellamarcatemporaleetuttigliaspettiproceduraliinerentiallacreazionedeisupportidimemorizzazione;

� descrivereleproceduredisicurezzaadottatepertaleprocesso.Tale documento viene utilizzato come riferimento per il mantenimento, l’aggiornamento e losviluppodelsistemadiconservazionedigitaleanormainusopressol’Ente.

4.2 SoftwareutilizzatoneiprocessidiconservazioneIlsoftwareutilizzatodallaStrutturaperlagestionedelprocessodiconservazionedigitaleanormaèSynapseTheca,diproprietàdiSyncro-MedSrl.IlsistemaThecahacomeoggettolarealizzazionediuninsiemedifunzionalitàatteaconsentirelaconservazioneanorma.

La Suite Synapse Theca è in grado di gestire l’intero processo di conservazione digitale inconformitàalDecretoLegislativo7Marzo2005,n.82ealD.P.C.M.3Dicembre2013.


4.3 Denominazionedell’ente

DenominazioneEnteCivicodiCristinaBenfratelliAziendadiRilievoNazionaleadAltaSpecializzazione

PEC [email protected]

Ragionesociale ArnasCivicodiPalermo

PartitaIva 05841770828

5. LEATTIVITA’DELRESPONSABILEDELLACONSERVAZIONEIlD.P.C.M.3Dicembre2013definisce,all’articolo7,icompitidelresponsabiledellaconservazione(RC).Articolo7-Responsabiledellaconservazione1. Ilresponsabiledellaconservazioneoperad'intesaconilresponsabiledeltrattamentodeidati

personali,conilresponsabiledellasicurezzaeconilresponsabiledeisistemi informativiche,nelcasodellepubblicheamministrazionicentrali,coincideconilresponsabiledell'ufficiodicuiall'art. 17delCodice,oltre che con il responsabiledella gestionedocumentaleovvero con ilcoordinatore della gestione documentale ove nominato, per quanto attiene alle pubblicheamministrazioni.Inparticolareilresponsabiledellaconservazione:a) definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della

tipologia dei documenti da conservare, della quale tiene evidenza, in conformità allanormativavigente;

b) gestisce il processo di conservazione e ne garantisce nel tempo la conformità allanormativavigente;

c) genera il rapporto di versamento, secondo le modalità previste dal manuale diconservazione;

d) genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronicaqualificata,neicasiprevistidalmanualediconservazione;

e) effettuailmonitoraggiodellacorrettafunzionalitàdelsistemadiconservazione;


f) assicuralaverificaperiodica,concadenzanonsuperioreaicinqueanni,dell'integritàdegliarchiviedellaleggibilitàdeglistessi;

g) alfinedigarantirelaconservazioneel'accessoaidocumentiinformatici,adottamisureperrilevare tempestivamente l'eventuale degrado dei sistemi di memorizzazione e delleregistrazioni e, ove necessario, per ripristinare la corretta funzionalità; adotta analoghemisureconriguardoall'obsolescenzadeiformati;

h) provvedealladuplicazioneocopiadeidocumenti informatici inrelazioneall'evolversidelcontestotecnologico,secondoquantoprevistodalmanualediconservazione;

i) adotta lemisurenecessarieper lasicurezzafisicae logicadelsistemadiconservazioneaisensidell'art.12;

j) assicura lapresenzadiunpubblicoufficiale,nei casi incui sia richiesto il suo intervento,garantendoallostessol'assistenzaelerisorsenecessarieperl'espletamentodelleattivitàalmedesimoattribuite;

k) assicura agli organismi competenti previsti dalle norme vigenti l'assistenza e le risorsenecessarieperl'espletamentodelleattivitàdiverificaedivigilanza;

l) predisponeilmanualediconservazionedicuiall'art.8enecural'aggiornamentoperiodicoinpresenzadicambiamentinormativi,organizzativi,proceduraliotecnologicirilevanti.

2. Aisensidell'art.44,comma1-ter,delCodice,ilresponsabiledellaconservazionepuòchiederedi certificare la conformità del processo di conservazione a soggetti, pubblici o privati cheoffrano idonee garanzie organizzative e tecnologiche, ovvero a soggetti a cui è statoriconosciuto il possesso dei requisiti di cui all'art. 44-bis, comma 1, del Codice, distinti daiconservatoriodaiconservatoriaccreditati.Lepubblicheamministrazionipossonochiederedicertificare la conformità del processo di conservazione a soggetti, pubblici o privati, a cui èstatoriconosciutoilpossessodeirequisitidicuiall'art.44-bis,comma1,delCodice,distintidaiconservatoriaccreditati.

3. Nellepubblicheamministrazioni, il ruolodel responsabiledellaconservazioneèsvoltodaundirigenteodaunfunzionarioformalmentedesignato.

4. Nellepubblicheamministrazioni,ilruolodiresponsabiledellaconservazionepuòesseresvoltodal responsabile della gestione documentale ovvero dal coordinatore della gestionedocumentale,ovenominato.

5.1 CompitiorganizzativiSulla base di quanto previsto dalle norme richiamate il responsabile della conservazione devepreoccuparsi della realizzazione di sistema complesso che permetta un'archiviazione sicura deidocumentiinformaticiversatiinconservazionedallapropriastrutturaegestirlosecondoprincipidisicurezza stabiliti e documentati; deve, inoltre, adottare procedure di tracciabilità inmodo dagarantirel'integrità,l'immodificabilità,laleggibilitàneltempo,l’accessibilitàalsingolodocumento


e lasuacorrettaesibizione. Il responsabiledellaconservazione,personalmentee/o attraverso ipropridelegati,sioccupadi:

� partecipare ad incontri e seminari formativi dedicati alle procedure di conservazionedigitaleanorma;

� definire, redigereemantenereaggiornato ilpresentemanualedellaconservazione incuisonodescrittituttiidettaglidell’organizzazione,delleprocedureinformatiche,dellemisuredisicurezzaadottate,etc.;

� definirelecaratteristicheeirequisitidelsistemadiconservazioneeorganizzarelostessoinmododagarantirelacorrettaconservazioneelasicurezzadeidocumenti,anchealfinedipoterprontamenteesibirequestiultimi,ovenecessario;

� definireleproceduredisicurezzaetracciabilitàcheconsentanodirisalireinognimomentoalleattivitàeffettuatedurantel’esecuzioneoperativadelleprocedurediconservazione;

� definire le procedure informatiche e organizzative per la corretta tenuta dei supportiidoneisucuivengonomemorizzatiidocumentioggettodiconservazione;

� definireleprocedurediesibizioneincasodirichiesteformulatedalleAutoritàcompetenti.

5.2 CompitidiregistrazioneIl responsabile della conservazione si deve occupare dell’archiviazione delle informazionicaratterizzanticiascunsupportodimemorizzazioneegarantirneladisponibilitàincasodirichiesta.Inparticolaredovràmettereinattoleprocedurecheconsentanodi:

� descrivere le modalità di identificazione, emissione, revisione ed approvazione delladocumentazione;

� descrivereilcontenutodell’insiemedeidocumentisottopostiaconservazione;� descrivereemantenereaggiornati gli estremidei responsabili della conservazione che si

sonosuccedutineltempo;� descriveregliestremideidelegati,indicandoancheicompitiadessiassegnati;� fornireleindicazionisulnumeroesulluogodiconservazionedellecopiedisicurezza;� descrivere le modalità di pianificazione e svolgimento delle verifiche ispettive interne,

compresalaregistrazioneeconservazionedellestesse;� descrivereilprocessodiverificadelleazionimesseinattopergarantirelasicurezzadelle

informazionierelativaregistrazionedeirisultati;� descriverelemodalitàperl’erogazionediformazionealpersonale.


5.3 CompitidimanutenzioneecontrolloRientranoinquestemansioni,chepossonoesseredelegateintuttooinparte:

� mantenere un archivio dei programmi utilizzati nel corso del tempo per il processo diconservazionedigitaleanorma,nellelorodiverserelease;

� implementarespecificicontrollidisistemaperindividuareeprevenirel’azionedisoftwarechepossanoalterareiprogrammieidati;

� verificarelacorrettafunzionalitàdelsistemaedeiprogrammiingestione;� definire e documentare le procedure di sicurezza da rispettare per l’apposizione del

riferimentotemporale;� mantenere il dispositivo di firma aggiornato ed allineato con le procedure gestite dal

certificatorequalificatocheharilasciatoilcertificato;� verificarelavaliditàdellamarcatemporaleeilnumerodimarchetemporalirimanenti;� verificare periodicamente, con cadenza non superiore ai 5 anni, l’effettiva leggibilità dei

documenti conservati, provvedendo, se si ritiene necessario, al riversamento diretto osostitutivodelcontenutodeisupporti.

5.4 CompitioperativiIl responsabile della conservazione deve supervisionare l’intero processo di archiviazione econservazionedigitale a norma, verificando accuratamente i processi di apposizionedelle firmedigitaliedellemarchetemporali,inmodochelaprocedurarispettilanormativa,assicurandosichetuttoilprocessosirealizzisecondoleproceduredescrittenelManualedellaconservazione.Èsuocompitoverificareecontrollare la sincronizzazionedegliorologidi sistemaper l’apposizionedelriferimentotemporale.Rientra in questi compiti anche il mantenimento di tutta la documentazione descrittiva delprocessodiconservazioneaggiornatanelcorsodeltempo.IlcoordinamentoelasupervisionedelResponsabilevienesvoltoancheattraversoildirettoutilizzodell’apporto consulenziale offerto dalle strutture legali e tecniche preposte all’erogazione esviluppodelprocesso.


5.5 CompitiperlaprotezionedeidatiedelleprocedureinformaticheIlresponsabiledellaconservazioneègarantedituttelemisurenecessarieperlasicurezzafisica,logica e ambientale dei dati e del sistema preposto alla loro conservazione, comprensivo dellacopiedisicurezzadeisupportidimemorizzazione,alfinediproteggereleinformazionidapossibiliviolazioniinterminidiriservatezza,integritàedisponibilitàdelleinformazioni.Dovrà quindi predisporre e verificare che gli strumenti informatici in dotazione siano protettisecondocriterichedovrannoesseresempreaggiornati,conlatecnologiaelanormativadituteladellaprivacy,pergarantirneilcorrettofunzionamentocontroicosiddettimaliciouscodeecontrogliaccessinonautorizzatisialogicichefisici.Il responsabiledellaconservazionedevestabilire,attraversoun’analisidel rischio,gliappropriaticontrollidisicurezzadelleinformazionidaadottare.

5.6 Compitidiassistenza/ispezioneIl responsabile della conservazione deve garantire l’adeguato supporto ai vari delegati chesvolgonoleattivitàdiconservazioneaffinchéilprocessopossaesseresvoltosenzainterruzioneapartiredalla fasedialimentazioneperconcludersicon la fasedi registrazionedeidati sulmediaidoneoelarelativacustodiadeldispositivodiregistrazioneinluogosicuro.Qualora non possa intervenire personalmente deve attivarsi affinché eventuali disfunzionipossanoessererisoltenelpiùbrevetempopossibile,ancheattraversoipropridelegati.Deveinoltreoccuparsi,attraversoisuoidelegati,diispezionareiluoghiincuivengonoeseguiteleattività di registrazione delle informazioni digitali e di conservazione a garanzia della validitàgiuridicadelprocesso,pernonincorrerenellesanzioniprevistepermancataosservanza.Perilresponsabiledellaconservazioneèutileeffettuare,inbaseadunoscadenzarioprestabilito,appropriateverificheispettiveinternealloscopodiverificaregliobiettivi,icontrolli,iprocessieleproceduremesseinattoall’internodelsistemadigestionedellasicurezza.Tutteleattivitàfinquisegnalatepossono,susceltaesottolaresponsabilitàdelresponsabiledellaconservazione,esseredelegateaterzicheoffranoidoneegaranzie.Il responsabile della conservazione manterrà comunque l'onere di vigilare e controllare i suoidelegati.


6. RESPONSABILEDELLACONSERVAZIONE

IlResponsabiledellaConservazione(RC)saràsupportatodaidelegatiaquestoscopoindividuati.Al responsabiledella conservazionevieneaffidata la supervisione, lagestioneed il controllodelsistemadiconservazione.IlResponsabiledellaconservazionepuòdelegare,intuttooinparte,losvolgimentodelleproprie attività adunaopiùpersone,dettedelegati, cheper competenzaedesperienza,garantiscanolacorrettaesecuzionedelleoperazioniadessedelegate.Unavoltanominatiidelegati,ilresponsabiledellaconservazionedefiniràneldettaglioleattivitàesiorganizzeràperlaverifica,nelrispettodellefunzionidelegate.AlManualedellaConservazioneèallegatol’attodinominadelresponsabiledellaconservazione.

7. SPECIFICHEDELLACERTIFICATIONAUTHORITYLe specifiche relative alle Certification Authority prescelte per le attività di certificazione (firmadigitale e relativa verifica,marcatura temporale e relativa verifica) su pacchetti di archiviazioneed,eventualmente,suidocumentiinquesticontenuti,sonoriassuntenellatabellaseguente.

Attività sui Documenti da conservare tramite servizimessiadisposizionedallaCA

CertificationAuthority

� Sottoscrizione digitale degli indici diconservazione da parte del responsabile dellaconservazione

� Verifica delle liste CRL relativamente alcertificato di firma digitale del Documento daconservare

� Verifica della firma digitale apposta suldocumentodaconservare

ACTALISSpa

Viadell’Aprica,1820158Milano-Italiahttp://[email protected]

� Marcatura temporale del Documento daconservare

� Verifica della marca temporale apposta sulDocumentodaconservare

ACTALISSpaViadell’Aprica,1820158Milano-Italiahttp://[email protected]


8. ATTIVITÀSUIDOCUMENTIDACONSERVAREImmaginiRadiologiche � Immagini radiologiche (archiviate presso PACS FUJIFILM

SYNAPSE);� Acquisizione:leimmaginisonoacquisiteinorarionotturno;

RefertiRadiologici � RefertiRadiologiciRISFujifilmSynapseWorkflow;� Acquisizione: i referti sono inviati immediatamente

(all’emissione) tramite HL7 da RIS Fujifilm SynapseWorkflow;versoilsistemadiconservazione;

� Turnidiconservazione:idelegatiinternieffettuanoilprocessodiconservazionedigitaleanormaunavoltaallasettimana;

� Formato: la documentazione è generata in formato digitalepermezzodeisistemiinformaticiclinici

9. METADATIDÌCATALOGAZIONEDiseguitodueesempideimetadatidicatalogazionedeiduecanaliinstallatiCanaleimmagini:<RADIOLOGIA> <PRESIDIO></PRESIDIO> <PAZIENTE> <IDPAZIENTE></IDPAZIENTE> <COGNOME></COGNOME> <NOME></NOME> <SESSO></SESSO> <DATANASCITA></DATANASCITA> <CODICEFISCALE/> </PAZIENTE> <ESAME> <ACCESSIONNUMBER></ACCESSIONNUMBER> <STUDYINSTANCEUID></STUDYINSTANCEUID> <STUDYDATE></STUDYDATE> <MODALITY></MODALITY> <NOMEPRIMARIO/> <COGNOMEPRIMARIO/> <CODICEFISCALEPRIMARIO/> </ESAME> <DOCUMENTO> <TIPODOCUMENTO></TIPODOCUMENTO>


<DESCRDOCUMENTO>Immagine</DESCRDOCUMENTO> <IDDOCUMENTO></IDDOCUMENTO> <CODICEDOCUMENTO/> <DATO></DATO> </DOCUMENTO> </RADIOLOGIA>

Canalereferti:</RADIOLOGIA> <PRESIDIO></PRESIDIO> <PAZIENTE>

<IDPAZIENTE></IDPAZIENTE> <COGNOME></COGNOME> <NOME></NOME> <SESSO></SESSO> <DATANASCITA></DATANASCITA> <CODICEFISCALE></CODICEFISCALE>

</PAZIENTE> <ESAME>

<ACCESSIONNUMBER></ACCESSIONNUMBER> <NOMEFIRMATARIO></NOMEFIRMATARIO> <COGNOMEFIRMATARIO></COGNOMEFIRMATARIO> <CODICEFISCALEFIRMATARIO></CODICEFISCALEFIRMATARIO> <CODICERICOVERO></CODICERICOVERO> <REPARTORICOVERO></REPARTORICOVERO> <REPARTOEROGANTE></REPARTOEROGANTE> <INIZIORICOVERO/> <FINERICOVERO/> <TIPOPAZIENTE></TIPOPAZIENTE> </ESAME> <DOCUMENTO>

<TIPODOCUMENTO></TIPODOCUMENTO> <IDDOCUMENTO></IDDCUMENTO> <DESCRDOCUMENTO>Referti</DESCRDOCUMENTO> <DATACREAZIONE></DATACREAZIONE>

</DOCUMENTO> </RADIOLOGIA>

10. TEMPISTICHEDICONSERVAZIONELe immagine radiologiche comedanormativa vigente vengono conservateper il tempodi diecianni.


11. ARCHITETTURALOGICALafigurasottorappresentaloschemadell’architetturainstallata:

Figura1-ArchitetturaLogicadiConservazionedirefertieimmagini

Theca è un sistema progettato per automatizzare completamente il processo di conservazionedigitaleanormadelladocumentazioneall’internodiunastrutturaospedaliera.IlsistemadiConservazionedigitaleanormariguardaidocumentidigitali.Si considera il caso della documentazione nata in formato digitale, anche se Theca può essereutilizzatopersinonelcasodidocumentazioneanalogicadigitalizzataequindidematerializzata.Theca consente la dematerializzazione di tutti i tipi di documenti prodotti dalle aziende siapubblichecheprivate.Lesorgentidocumentali(solitamentearchivierepository)siintegranocon


il sistemaattraversodeimoduli softwaresviluppatiadhoccheutilizzano iprincipali standarddicomunicazionepresentisulmercato(HL7,DICOM,Webservices).Il cuore della soluzione Theca consente la conservazione digitale a norma raggruppando idocumentiricevutiinpacchettidiarchiviazione.Ipacchettidiarchiviazione legalepresentisulsistemadiconservazionevengonopoiriversatisusupportiotticiesterniperconsentirecosìlacreazionedicopiedisicurezzaesterne.Ogni fase è svolta da una singola funzione con compiti specifici nell’assolvimento delle attività.La fase di alimentazione del sistema di conservazione è quella che dà vita al processo. Ladocumentazione soggetta a conservazione digitale a norma può pervenire sotto forma didocumento informatico o di documento analogico. Ciascuna tipologia di documento, all’internodelprocesso,puòavereuntrattamentodiverso,comedettatodallanormativavigente.La fasedielaborazionedelladocumentazione (le immaginesonorappresentazionimeccanicheequindinonsifirmanoall’attodellaloroformazione)richiedel’apposizionedellafirmadigitale(cheforniscevaloreprobatorioperquantoriguardal’identitàdellafunzionechehafirmato).L’evidenzadiconservazionecontienetutte le impronte(hash)deidocumentichecompongonoilpacchetto. Attraverso l’applicativo vengono apposte ad ogni evidenza di conservazione la firmadigitaledelresponsabiledellaconservazioneedunamarcatemporale.L’apposizionedellafirmaedellamarcasull’indicediconservazionecosìcreatorendeconservatianorma(secondoilD.P.C.M.3 Dicembre 2013) tutti i documenti informatici la cui impronta è contenuta nell’Indice delpacchettodiarchiviazione.Ènecessario,inoltre,apporreunamarcatemporalesulflussodeidocumentiinmododaaverelagaranzia di certificazione temporale di tale documentazione. Questa fase viene gestitaautonomamente,senzaalcuninterventomanuale,dalleprocedureinformatichechegestisconoilprocesso di conservazione nel rispetto degli standard di sicurezza fissati nelle politiche eproceduredell'Ente.Lemarche temporaliemessesono firmatedauncertificatoemessodaunaTSA accreditata presso AgID. Apporre una marca temporale a dei documenti informaticisottoscritti digitalmente permette di verificare la firma digitale oltre il periodo di validità delcertificatodisottoscrizione.Il responsabile della conservazione, o i suoi delegati, si assicurano, accedendo al sito delcertificatore, della validità del dispositivo di firma e della validità del certificato rilasciato allaStrutturaeneproduconoevidenza.Un’ulterioreverificaviene fattaper lamarca temporale, inmododacontrollare la scadenzae ilnumerodimarchetemporalirimanenti,producendorelativaevidenza.L’esibizione della documentazione conservata, a fronte di richieste da parte dell’autoritàcompetente, è un altro aspetto gestito dal sistema di conservazione adottata. I supporti dimemorizzazionesonoregistratiall’internodeldatabasegestitoeconsentonounarapidaricercaeselezione del singolo documento in base alla fornitura degli indici di ricerca previsti dallanormativa.Ogni fase viene eseguita sotto il controllo e la diretta responsabilità del Responsabile dellaConservazionedigitaleanormaodiunsuodelegato.


Il RC avrà inoltre cura di programmare le opportune attività diformazione/addestramento/divulgazione delle procedure inerenti la conservazione a tutte lepersonecoinvolte.

11.1 ProceduradiapposizionefirmadigitaleLa procedura di apposizione della firma digitale tramite smart card segue l’operatività definitadallanormativa,quindi,dopoaveropportunamenteinterfacciatoildispositivosicurodifirmaconil server, il software provvederà a calcolare l’hash dell’evidenza e a richiedere il pin tramiteappositafinestra.UnavoltainseritoilpinilsoftwareprovvederàagenerareilfilefirmatoinformatoPKCS#7.

11.2 MarcatemporaleNel processo di conservazione digitale a norma, la struttura Sanitaria, tramite Theca, applica lamarcatemporaleagliIndicidiconservazionedeipacchetti.LamarcatemporaleèrilasciatadaunenteCertificatoreaccreditatopressol’AgID.Affinché un pacchetto diventi legale, è necessario che il suo pacchetto di archiviazione vengafirmato digitalmente dal Responsabile della conservazione, o un suo delegato, e marcatotemporalmente.La marca temporale sull’evidenza del pacchetto di conservazione viene posta, dopo la firmadigitale,inmodalitàautomaticadalsistemadiconservazioneanorma.L’orarioriportatodallamarcatemporale(espressoinUTC)èmemorizzatoneldatabaseevisibiletramiteilsoftware.

11.3 ComponenteHardwareLecomponentihardwareprevistedalsistemadiconservazionesonoriportatenelseguito:

ServerThecacompresoilDBOracleClientThecainstallatosullapostazioneserverDispositivodiMemorizzazionereferti:NASDispositivodiMemorizzazioneimmagini:LTOlibrary

Tuttoilserverècollocatopresso:


U.O.SistemiInformaticieTelecomunicazioniSALASERVERC.E.DPrimo Piano PiazzaNicolaLeotta,4PalermoLaraccoltaditutteleversionidelsoftware,lelicenzeeimanualioperativièubicatapresso:U.O.SistemiInformaticieTelecomunicazioniSALA SERVER C.E.D Primo Piano PiazzaNicolaLeotta,4Palermo

11.4 MaterialidiconsumoImaterialidiconsumo,stoccatiinappositiarmadi,sonoiseguenti:

Codice Stoccaggio01 TAPELTO5NONWORM

11.5 ArmadiodiarchiviazioneeconservazioneÈ un armadiodi sicurezzadedicato alla conservazionedeimedia contenenti copiedei pacchettilegalidirefertiedimmagini.Gli armadi sono ubicati nell’unità operativa di Radiologia presso il P.O. Civico dell'ARNAS diPalermo

11.6 TipologiaMediaImediacheverrannoutilizzatiperlamasterizzazionedeipacchettilegalisaranno:

Canale TiposupportoReferti NASImmagini LTO


11.7 NumerodicopiedisicurezzadeipacchettilegaliIl RC stabilisce che per ogni pacchetto legale di documenti vengano generate due copie disicurezza

11.8 Principaliattivitàperlamessaineserciziodelsistemadiconservazione

Attività Data

InstallazioneTheca 16/02/2016TestTheca 02/03/2016Risoluzioneeventualicriticitàriscontrate 02/03/2016Collaudofinale 02/03/2016

12. OGGETTISOTTOPOSTIACONSERVAZIONE

12.1 Pacchettidiarchiviazione-PdALa creazione di pacchetti legali, ovvero la conservazione digitale a norma di tutti i documentiavvienenelseguentemodo:

Figura2

12.2 FasediricezionedelPacchettodiVersamento–PdVLafasediricezioneèquellafasecheconsentediacquisireiPacchettidiversamentocontenentiidocumentidaconservareattraversoilsistemadiconservazioneTheca.

� AcquisizioneimmaginiDicom


ThecapuòessereconfiguratoperriceverePdVoperacquisirePdVcontenentistudiDICOMdi Immagini direttamente da uno o più nodi in grado di supportare lo standard DICOMQuery-Retrieve(c-find,c-move).La procedura di acquisizione avviene attraverso la configurazione in Theca di attivitàautomatiche e programmate di Query & Retrieve (“Auto-Query&Retrieve”). È possibilestabilire che il processo di acquisizione venga attivato ad intervalli periodici (es. ognigiorno) e che venga attivato solo in precisimomenti (es.: solo durante le ore notturne).L’acquisizioneconsulta l’archivioDICOMselezionatoe importadaessogli studiDICOM ilcui “study date” appartiene all’intervallo di tempo configurato. Ad esempio: Theca puòacquisiredall’archivioPACS,tuttiigiornidalleore02,00alleore06,00,glistudieffettuatiilgiornoprecedente.

A seguito dell'acquisizione dei PdV da conservare il sistema Theca produce un rapporto diversamento (RdV) contenente l'impronta dei documenti acquisiti/ricevuti e il riferimentotemporalerelativoalmomentodell'avvenutaacquisizione/ricezione.

12.3 FasediconservazionedigitaleanormaLafasediconservazionedigitaleanormaè ilcuoredellasoluzione:puòesseresintetizzatanelleseguentimacrofasi:

� fascicolazione: ogni documento ricevuto da Theca viene raggruppato in fascicoliopportunamente configurati. Il criterio di fascicolazione viene scelto in fase progettualesullabasedellatipologiadidocumentodaconservare.

� lottizzazione:ifascicolicreativengonoraggruppatiinpacchettidiarchiviazione.� creazionefilemetadati:ogniPdAcontieneunfilecherappresentailcontenitoredituttii

metadatideidocumentipresentiall’internodelpacchettodiconservazione.� creazionedi IndicedelPda: il filedievidenza legalepresenteall’internodelpacchettodi

conservazionerealizzatosecondoquantoprevistodallastandardUNISinCRO11386.� firma digitale, marca temporale per legalizzare il pacchetto di archiviazione: la firma

digitaledelRCodiunsuodelegatoelamarcatemporalesulfiledievidenzagarantisconointegritàeimmodificabilitàalPdA.


13. PROCEDURADÌESIBIZIONESecondo la normativa vigente, la disponibilità dei dati prodotti dalla Struttura Sanitaria deveesseresempreeinqualsiasimomentogarantita.Idocumentiformati,raccolti,inognimodotrattatiearchiviatisidebbonotrovarenegliapplicativigeneratori dei documenti stessi, oppure nei repository adibiti a data base clinico. Ladocumentazionepertantoesisteedèresafruibile,aifiniterapeuticiediagnostici,siaaglioperatorisanitariinterniedesterniallaStruttura,siaaipazientirichiedentiattraversoidatabaseclinici.Questi ultimi invero rivestono il ruolo di storage delle informazioni da potersi reperirevelocementeefacilmente.La documentazione contenuta nei data base clinici possiede proprie dignità clinica, giuridica,medico-legale e probatoria; ma il sistema che la contiene non deve essere strutturato oimplementatosecondoprecisenorme.Il sistemadi conservazione invece, sia dal puntodi vista informatico chedaquello informativo,deverispondereastretteprevisioninormative.Inquestomodo,ancheladocumentazioneinviataallaconservazionee in fasedi trattamento inquelsistema legalevienetrattata inmodotaledanonesseresmarribile,némodificabileequindisemprefruibileconpienovalorelegale.Concludendo, la maggior parte della documentazione clinico – sanitaria digitale deve esseresottoposta a conservazione digitale a norma e lì mantenuta per i tempi previsti dalle normespecifiche.Qualora il richiedente (paziente o avente diritto) presentasse richiesta di copia del documentoprodottodalla StrutturaSanitarianonper specifici edichiaratiusi legali, la Struttura stessapuòconsegnarlo traendolo dal data base clinico (applicativo clinico, repository dipartimentale,repositoryaziendale,ecc)chelocontieneinquelmomento.Invece, se ildocumentoper ilqualeè statapresentata richiestadi copianonsi trovassepiùneldata base clinico perché trascorso il tempo, oppure se la richiesta di copia riguardasse finalitàlegalispecialiemotivate(assicurative,probatorie,giudiziarie,ecc.)andrebbecoinvoltoilflussodiesibizionedeldocumentogiàobbligatoriamenteconservato.

13.1 EsibizionedeidocumenticonservatiL’articolo10delD.P.C.M.3Dicembre2013recitacosì:“Fermirestandogliobblighiprevistiinmateriadiesibizionedeidocumentidallanormativavigente,ilsistemadiconservazionepermetteaisoggettiautorizzati l'accessodiretto,anchedaremoto,aldocumento informatico conservato, attraverso la produzione di un pacchetto di distribuzioneselettivasecondolemodalitàdescrittenelmanualediconservazione.”


Accanto a tali norme è necessario richiamare le regole successive e prevalenti previste per lacreazionediduplicatiecopieprevistedagliartt.23,23bise23terdelCodicedell'AmministrazionedigitalenonchéquantoprevistodalD.Lgs.196/2003 in temadi comunicazionedeidati idoneiarivelarelostatodisalute.

13.2 OsservazionisullanormativavigenteL’art.7delD.P.C.M.3Dicembre2013descriveilprocessodiconservazioneealcomma1letterag)prevede che il responsabile della conservazione, o uno dei suoi delegati all’uopo individuatieffettui“lapreparazioneelasottoscrizioneconfirmadigitaleofirmaelettronicaqualificata,oveprevistanelmanualediconservazione,delpacchettodidistribuzioneaifinidell'esibizionerichiestadall'utente”.L’art.84deldecreto legislativo2006nr.196“Comunicazionedidatiall’interessato”stabilisce:“idati personali idonei a rivelare lo stato di salute possono essere resi noti all’interessato o aisoggettidicuiall’articolo82,comma2,letteraa),dapartediesercentileprofessionisanitarieedorganismi sanitari, solo per il tramite di un medico designato dall’interessato o dal titolare. Ilpresentecommanonsiapplicainriferimentoaidatipersonalifornitiinprecedenzadalmedesimointeressato. Il titolare o il responsabile possono autorizzare per iscritto esercenti le professionisanitariediversidaimedici,chenell’eserciziodeipropricompitiintrattengonorapportidiretticonipazientie sono incaricatidi trattaredatipersonali idoneia rivelare lo statodi salute,a renderenotiimedesimidatiall’interessatooaisoggettidicuiall’articolo82,comma2,letteraa)”.

13.3 ProceduradiEsibizioneNella figura seguente si illustra come viene effettuata una ricerca per poi scegliere i file perl’esibizione.L’operatore eseguirà la ricerca all’interno di Theca accedendo alla funzione “Esibizione”: dovràcompilare i campi degli indici (nome file, IDP paziente, sesso, ecc.) e premere il tasto “cerca”.All’esitodellaricercasarannovisualizzatelecaratteristichedeifileedelsupportosulqualeilfileècontenuto(figura4).Individuato il codice identificativo univoco del supporto (DVD) contenente il file da esibire,l’operatoreacquisiràilsupportoeloinserirànelsistema.


Figura3

13.4 ProceduredìgestionedellaprivacyIlresponsabiledellaconservazioneconosceneldettagliotutteleproceduredisicurezzaadottatedallaStrutturaOspedalieraelediverseproceduredisicurezzaimplementate.A tal fine, e secondo quanto previsto dall'art. 44. comma 1-bis del CAD il responsabile dellaconservazioneoperad'intesaconilResponsabiledelcorrettotrattamentodeidatipersonali.Idelegatialprocessodiconservazionesonostatiadeguatamenteformatiinmeritoallanormativaattualmente in vigore in materia di protezione dei dati personali e sono stati previamenteincaricatialtrattamentodeidatipersonalidirefertieimmagini.Tutte le procedure di gestione della privacy, nel pieno rispetto della normative attualmente invigore,sonocompiutamentedescrittenelDPSadottatodallaStruttura,alqualesirimanda.


ALLEGATI1. AttodinominadelResponsabiledellaConservazione

conservazione dei documenti informatici · 2017. 7. 29. · arnas palermo sede legale e operativa...

Documents