manuale breve per la digitalizzazione dei documenti sanitari · siderazione nel sistema di...

1

Manuale Breve per la Digitalizzazione dei documenti sanitari: i principi fondamentali da tenere in con-siderazione nel sistema di conservazione digitale dei documenti sanitaridi Andrea Lisi

Avvocato specializzato in Diritto dell’Informatica e Presidente dell’Associazione Nazionale Operatori e Responsabili della Conservazione digitale dei documenti (ANORC)

Una pubblicazionewww.ehealthforum.it

Con il patrocinio ANORC

edisef.it

© 2011 - EdisefVia G.B. Falda, 3 - 00152 Roma Tel. [email protected]

Tutti i diritti di traduzione, di riproduzione, di adattamento, totale o parziale, con qualsiasi mezzo (compresi i microfilm e le copie fotostatiche) sono riservati. Ogni permesso deve essere dato per iscritto dall’editore.

Pubblicazione del:aprile 2010

2

Manuale Breve per la Digitalizzazionedei documenti sanitari

Prefazione ....................................................................................................31 Premesse. Privacy e digitalizzazione dei documenti sanitari ..............42 Il documento informatico..........................................................................8

2.1 Il documento analogico e il documento informatico..............................82.2 Il documento informatico nel codice dell’amministrazione digitale ....102.3 Il documento informatico con firma elettronica

c.d. “semplice” ....................................................................................112.4 Il documento informatico con firma digitale o altro tipo

di firma elettronica qualificata ............................................................122.4.1 Il documento informatico con firma digitale autenticata ..............13

2.5 I sistemi di validazione: le firme elettronichee la firma digitale ................................................................................13

2.5.1 La Firma Digitale ........................................................................162.5.2 Il Fattore tempo nel documento informatico:

la Marca temporale e il Riferimento temporale............................203. I documenti sanitari................................................................................25

3.1 Il documento sanitario nella PA ..........................................................253.2 Tipologie documenti sanitari nei procedimenti

di archiviazione e conservazione........................................................293.2.1 Conservazione nel tempo dei documenti sanitari........................313.2.2. Sottoscrizione dei documenti informatici sanitari........................32

4. La conservazione digitale dei documenti ............................................334.1 La conservazione digitale dei documenti informatici e analogici ........334.2 Uno schema del processo di conservazione digitale

dei documenti ....................................................................................364.3 Il Responsabile della conservazione sostitutiva ................................384.4 L’esibizione alle autorità di controllo e la consegna

al paziente dei documenti conservati ................................................42Note..............................................................................................................49

3

PrefazioneNell’ultimo decennio la cosiddetta sanità elettronica ha rappresentato uno dei miglioriesempi di dematerializzazione.Spesso la normativa di settore e quella specifica della dematerializzazione si sono co-ordinate reciprocamente per garantire una sempre maggiore efficacia e efficienza, in uncontesto dove questi elementi sono basilari per ottenere risparmi. E sappiamo che ilcontesto impiega così elevate cifre che anche piccoli risparmi percentuali possono por-tare a cifre significative.Il 2010 è l’anno di un ulteriore passo in avanti. La nuova normativa sulla firma digitaleè entrata in vigore il 3 dicembre 2009 e contiene numerosi elementi innovativi introdottispecificamente per le esigenze della sanità elettronica.Tra essi si possono evidenziare le nuove regole per la firma in linguaggio XML, checontengono degli espliciti vincoli per consentire un uso concreto e interoperabile delleregole dell’ HL7 CDA2.Altre regole tutelano l’utente che ha bisogno di firmare strutture dati complesse man-tenendo pieno controllo di cosa sta firmando secondo il fondamentale principio del“what you see is what you sign”.Altre modifiche favoriscono la sottoscrizione con procedura automatica per quegli sce-nari dove l’utilizzo della smart card è complesso o inefficiente, altre ancora la gestionedelle applicazioni e dei dispositivi di firma.Nel 2010 avremo anche la riforma del CAD, attualmente in corso di elaborazione, conle nuove previsioni normative per la gestione documentale e in generale per l’efficienzadella pubblica amministrazione.Quindi può aumentare l’offerta di sanità elettronica che dopo il CUP e il ritiro dei refertion-line e altro, potrà disporre di un fascicolo sanitario elettronico condivisibile tra me-dico di base e strutture ospedaliere composite. Il documento potrà essere fruibile viawi-fi e la telemedicina ampliata in modo significativo. Il tutto con l’aggiornata cono-scenza delle norme e delle tecnologie di base in continua evoluzione.Questo e-book rappresenta in modo sintetico e chiaro quanto è indispensabile per di-stricarsi in questi nuovi settori fondamentali per la pubblica amministrazione ma ancheper il mercato che deve supportarla e fornire gli adeguati strumenti. Il tutto per un si-stema sanitario più economico, più di qualità, più sicuro e più sostenibile.

Buona letturaGiovanni Manca

4


(▪) Il presente e-book costituisce una rielaborazione aggiornata e sintetica del contributo“Digitalizzazione dei dati sanitari: la linea di confine tra norma e processi di demateria-lizzazione”, AA. VV., a firma dell’avv. Andrea Lisi e dell’avv. Simonetta Zingarelli pub-blicato sul volume “Sanità e Innovazione”, 2009, Edisef.

I PRINCIPI FONDAMENTALI DA TENERE IN CONSIDERAZIONE NEL SISTEMA DI

CONSERVAZIONE DIGITALE DEI DOCUMENTI SANITARI ( )

di Andrea Lisi (*)

1 Premesse. Privacy e digitalizzazione deidocumenti sanitariLo sviluppo della Società dell’Informazione e le ultime novità legislativedel Governo in materia di digitalizzazione dei documenti spingono sem-pre di più le strutture sanitarie italiane, pubbliche e private, verso l’im-plementazione di nuove infrastrutture informatiche per ottenere la pienaintegrazione e condivisione di tutte le informazioni cliniche e ammini-strative dei pazienti.Il 2009 è stato un anno importante in tale materia; anzi, si può affer-mare che si è trattato di un anno di preparazione dove gli ultimi pezzidi un puzzle molto complesso sono stati ricomposti e tale puzzle do-vrebbe vedere finalmente la luce nel 2010: quest’anno dobbiamo at-tenderci, quindi, una vera e propria rivoluzione1.I principi fondamentali della dematerializzazione dei documenti sanitarisono contenuti nelle norme generali in materia di conservazione digitaledei documenti: Codice dell’amministrazione digitale (D. Lgs. 82/2005,qui di seguito più brevemente CAD) e Deliberazione Cnipa 19 febbraio2004 n. 11 (di seguito, più brevemente, deliberazione CNIPA2).La particolare natura della documentazione sanitaria prevede, però,l’adozione di particolari e indispensabili regole e accorgimenti sia sottoil profilo della autenticità e della loro immodificabilità nel tempo, sia sotto

5

il profilo della protezione dei dati personali sanitari contenuti in tali do-cumenti.Alla maggior parte di queste esigenze si è cercato di rispondere attra-verso le Linee Guida predisposte dal Ministero della Salute, ma nonancora ufficialmente approvate3. Le Linee Guida (occupandosi princi-palmente di Documentazione clinica di laboratorio e diagnostica per im-magini) hanno individuato tre tipologie di documenti sottoponibili aldelicato processo di “dematerializzazione”: il referto, le immagini e ilc.d. “referto strutturato”, individuando per ogni tipologia documentaletempi di conservazione e soggetti responsabili di tale attività. Le stesseLinee Guida si sono occupate, inoltre, di fascicolazione e scarto delladocumentazione e di come autenticare e consolidare la documenta-zione prima di sottoporla al processo di conservazione sostitutiva.La conservazione in formato elettronico dei dati sanitari fa emergereanche un’ulteriore problematica relativa alla privacy e alla sicurezzadei dati archiviati, soprattutto per quanto riguarda il profilo connessoalla protezione del dato da eventuali furti o intrusioni sia da parte di sog-getti terzi non autorizzati, sia da parte degli stessi soggetti autorizzatiche, tuttavia, non possono agire in maniera libera e inconsapevolesenza alcuna forma di controllo4.Il “Codice Privacy” (D. Lgs. 196/2003) al riguardo prevede una serie diprincipi e comportamenti da rispettare quali l’obbligo per il titolare deltrattamento dei dati personali di fornire una completa informativa al pa-ziente sulle modalità e finalità del trattamento medesimo, garantire allostesso il potere di controllo dei suoi dati, assicurare un trattamento informa anonima laddove ciò sia possibile, anche mediante forme di ano-nimizzazione che rendano tali dati temporaneamente inintellegibilianche a chi è autorizzato. I dati sanitari di un soggetto, oltretutto, sonospesso collegati con dati relativi ad altri soggetti, terzi rispetto all’inte-ressato (come lo stato di salute o le malattie pregresse dei suoi fami-liari) e per questo l’attenzione alla sicurezza informatica deve essere

6


massima.Coscienti delle problematiche sollevate dal trattamento dei dati perso-nali sanitari, già i Garanti europei per la protezione dei dati avevanoadottato il 15 febbraio 2007 un documento di lavoro (00323/07/EN WP131, “Working Document on the processing of personal data relating tohealth in electronic health records (EHR)”), che spiega quali parametriapplicativi dovrebbero essere rispettati nell’implementazione e nella ge-stione dei dati sanitari. Nelle Linee Guida dei Garanti UE sono state ri-chieste elevate tutele per i dati sanitari, accessi sicuri eautodeterminazione dei pazienti. Infatti, è stato osservato che la crea-zione di un sistema nazionale di sanità elettronica è un obiettivo di rile-vante interesse pubblico e il relativo trattamento dei dati personali deveavvenire nel pieno rispetto dei principi di protezione a tutela dei datistessi.Partendo dalle tematiche affrontate in sede europea, la nostra AutoritàGarante per la protezione dei dati personali ha a sua volta adottato duedocumenti di grande attualità: le “Linee Guida in tema di Fascicoloelettronico e di dossier sanitario” con delibera del 16 luglio 2009 e lerecentissime “Linee guida in tema di referti on-line” del 19 novembre2009.In relazione al trattamento di dati sanitari che, come è noto, vengono de-finiti dalla dottrina “ultrasensibili”, l’autorità Garante, nel suo documentodel luglio 2009, ha voluto individuare un quadro unitario di misure e ac-corgimenti necessari e opportuni da porre a garanzia di tutti i cittadini.Le linee guida adottate si dividono in due parti principali: nella prima,viene affrontato lo specifico argomento in materia di “Fascicolo sanita-rio elettronico” e di “dossier sanitario”, strumenti questi che consentonola condivisione informatica (da parte di distinti organismi o professioni-sti) di dati e documenti sanitari che vengono formati, integrati e aggior-nati nel tempo da più soggetti, al fine di documentare tutti gli eventisanitari ovvero l’intera storia clinica del paziente; mentre nella seconda

7

parte vengono elencate tutte le garanzie a tutela dell’interessato, qualiil diritto alla costituzione di un fascicolo sanitario elettronico o di un dos-sier sanitario, l’individuazione dei soggetti che possono trattare tali datie l’accesso agli stessi, le modalità attraverso cui esercitare i diritti del-l’interessato sui propri dati personali (art. 7 del Codice Privacy), i limitialla diffusione e al trasferimento all’estero dei dati, l’informativa e il con-senso. Vista la particolare tipologia di dato trattato, inoltre, sono statiprevisti specifici accorgimenti tecnici per assicurare idonei livelli di si-curezza (ai sensi dell’art. 31 del Codice).Particolare attenzione meritano le politiche di digitalizzazione dei re-ferti, laddove i tempi di conservazioni di referti e immagini ex lege noncoincidono, ma le esigenze proprie della società dell’informazione po-trebbero richiedere una conservazione illimitata del referto digitale strut-turato.Digitalizzare i dati sanitari è, quindi, possibile, anzi possiamo dire cheè un percorso necessario e ineluttabile, ma solo una gestione attentaalla sicurezza informatica di tali dati potrà garantire un corretto tratta-mento ai cittadini.La seguente analisi mira pertanto a illustrare le modalità di archivia-zione e conservazione digitale secondo la normativa sopra esposta,evidenziando le peculiari caratteristiche dei documenti a cui tali normeandranno applicate.Ciò premesso, per poter analizzare compiutamente le problematichedel processo di archiviazione e conservazione digitale della documen-tazione sanitaria, è necessario descrivere brevemente le tematiche intema di documento informatico (come regolamentate nel CAD), maanche di archiviazione e costituzione del fascicolo informatico (D.P.R.445/2000 e CAD), quindi, di conservazione sostitutiva (deliberazioneCnipa) e analizzare così le citate Linee guida mai adottate formalmentedal Ministero della salute.

8


2 Il documento informatico2.1 Il documento analogico e il documento informaticoCon l’avvento dell’informatica e del computer, ci siamo trovati, infatti,di fronte ad un nuovo tipo di scrittura, quella elettronica, dove “il flussodegli elettroni nel computer è il nuovo inchiostro, i bits il nuovo alfabetoe la memoria della macchina la nuova carta…5”. Ma la scrittura elettro-nica, non è, come da alcuni sostenuto, un tertium genus rispetto allealtre forme d’espressione tradizionali (scritta e verbale): l’importante èche il documento, comunque scritto, lasci consapevolmente una trac-cia duratura e, quindi, risulti leggibile la dichiarazione ivi contenuta, tantoal momento in cui la si scrive, quanto a distanza di tempo: il tipo di al-fabeto e il supporto usato non contano.La scrittura si è, quindi, evoluta e con essa si è evoluto anche il “docu-mento”, ossia l’elemento dalla “lettura” del quale è possibile recepireun dato significativo6.Possiamo, quindi, oggi parlare di documento analogico7 (quelloemesso secondo i metodi tradizionali su carta, pellicole fotografiche,cassette o nastri magnetici) e di documento digitale (composto da uninsieme di cifre - bit - utilizzate in una precisa sequenza così da assu-mere un determinato significato e memorizzate su di un supporto elet-tronico, magnetico o ottico).Dopo un excursus normativo partito nei primi anni ’90, nel 2000 venivaemanato il “Testo Unico in materia di Documentazione Amministrativa”(nel seguito anche T.U. 445/2000 o, più semplicemente, T.U.D.A.), nelquale si enunciava la definizione di documento informatico che è rima-sta inalterata in questi anni ed è ora accolta nel CAD: secondo tale de-finizione il documento informatico è “la rappresentazione informaticadi atti, dati, fatti giuridicamente rilevanti”.Si ribadisce, così, la non essenzialità del supporto quanto al contenutodel documento informatico su cui è registrato, anche se la qualità del

9

supporto rimane, comunque, rilevante ai fini del giudizio sull’affidabilitàdel documento stesso dal punto di vista della cancellabilità e dell’alte-rabilità di quanto in esso registrato, come è implicito nelle disposizionidel predetto Codice che esamineremo nei successivi paragrafi.

2.2 Il documento informatico nel codice dell’amministrazionedigitaleIl Codice dell’Amministrazione Digitale (come “corretto” dal decreto le-gislativo 159/20068), che raccoglie la normativa in merito, riconosce larilevanza di quattro tipologie di documento informatico:• il documento informatico sprovvisto di firma• il documento informatico con firma elettronica semplice• il documento informatico con firma elettronica qualificata/firmadigitale

• il documento informatico con firma digitale autenticata.La prima e più semplice tipologia documentale che si incontra nel Co-dice è il documento informatico non sottoscritto. Come detto in prece-denza, nel nuovo corpus normativo è stata confermata la definizione didocumento informatico quale “rappresentazione di atti, fatti o dati giu-ridicamente rilevanti” (art. 1, lett. p).Per quel che qui maggiormente interessa ai nostri fini, occorre riportaresubito il dettato del comma 1-bis dell’articolo 20 del Codice che così re-cita: “l’idoneità del documento informatico a soddisfare il requisito dellaforma scritta è liberamente valutabile in giudizio, tenuto conto delle suecaratteristiche oggettive di qualità, sicurezza, integrità ed immodifica-bilità, fermo restando quanto disposto dal comma 2”. Dalla semplicelettura di questa disposizione normativa appare evidente come l’intentodel legislatore sia stato quello di ampliare il più possibile il novero deidocumenti informatici in grado di soddisfare il requisito della formascritta, un intento ampiamente condivisibile, anche al fine di salva-guardare le prassi riscontrabili nella contrattazione online dettate da

10


esigenze di rapidità e celerità non incentrate sull’utilizzo della firma di-gitale.I documenti informatici privi di firma digitale vanno ricondotti tra le ri-produzioni fotografiche o cinematografiche, le registrazioni fonografi-che e, in genere, ogni altra rappresentazione meccanica di fatti o cose,la cui efficacia probatoria è disciplinata dall’articolo 2712 c.c. (CASS.CIV., 6.12.2001, n. 11445, in Rep. Foro It., 2001- si tenga conto che altempo dei fatti di causa non esisteva altro tipo di sottoscrizione elettro-nica validamente riconosciuta nel nostro ordinamento n.d.a). In caso didisconoscimento, concernendo fatti e non regole, questo non precludeal giudice di utilizzare liberamente il documento, apprezzandone l’at-tendibilità, per formare il proprio convincimento.

2.3 Il documento informatico con firma elettronica c.d.“semplice”Quella della firma elettronica c.d. semplice all’interno del nostro ordi-namento è una storia travagliata che ha la sua genesi nella la direttiva1999/93/CE, laddove era definita come “l’insieme dei dati in forma elet-tronica, allegati oppure connessi tramite associazione logica ad altridati elettronici, utilizzati come metodo di autenticazione”. La direttivaveniva poi recepita nell’ordinamento italiano con il D.lgs. 10/2002, cuiseguiva il D.P.R. 137/2003 che ne segnava formalmente l’ingresso nelpanorama giuridico nazionale interrompendo il “monopolio” della firmadigitale nell’ambito delle sottoscrizioni elettroniche legalmente ricono-sciute.Successivamente, con il D.lgs. 159/2006, recante modificazioni ed in-tegrazioni al Codice dell’Amministrazione Digitale, è stata apportatauna variazione alla definizione di “firma elettronica”, sostituendol’espressione “autenticazione informatica” con quella di “identificazioneinformatica9”. La nuova definizione chiarisce che la firma elettronica“semplice” non ha solo lo scopo di validare gli atti su cui è apposta, ma

11

ha anche e soprattutto compiti di “authentication”, quindi, identificatividel soggetto che l’ha emessa.Per quanto attiene agli effetti probatori, il primo comma dell’articolo 21del CAD, sempre sulla scorta della previsione comunitaria (direttiva1999/93/CE, art. 5, comma 2) che imponeva agli Stati membri di nonconsiderare inefficace e irrilevante il documento informatico con firmaelettronica semplice, ha statuito che lo stesso è liberamente valutabilein giudizio, tenuto conto delle sue caratteristiche oggettive di qualità esicurezza, integrità ed immodificabilità.

2.4 Il documento informatico con firma digitale o altro tipo difirma elettronica qualificataIl documento informatico cui è apposta una firma digitale o altro tipo difirma elettronica qualificata soddisfa il requisito della forma scritta, exart. 20, comma 2, CAD, anche nei casi previsti, sotto pena di nullità,dall’articolo 1350, primo comma, numeri da 1 a 12, c.c.. Per quanto at-tiene all’efficacia probatoria, prevede, all’art. 21, comma 2, che “Il do-cumento informatico, sottoscritto con firma digitale o con altro tipo difirma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 delcodice civile. L’utilizzo del dispositivo di firma si presume riconducibileal titolare, salvo che questi dia la prova contraria”.

2.4.1 Il documento informatico con firma digitale autenticataL’articolo 25 del Codice dell’Amministrazione Digitale prevede che siabbia per riconosciuta, ex articolo 2703 c.c., la firma digitale o altro tipodi firma elettronica qualificata autenticata dal notaio o altro pubblico uf-ficiale a ciò autorizzato.L’autenticazione consiste nell’attestazione, da parte del pubblico uffi-ciale, che la firma sia stata apposta in sua presenza dal titolare, previoaccertamento della sua identità personale, della validità del certificatoelettronico utilizzato e del fatto che il documento sottoscritto non sia in

12


contrasto con l’ordinamento giuridico.Come si può notare, a differenza del documento cartaceo, la portatadell’autenticazione non è limitata all’attestazione da parte del pubblicoufficiale che la firma è stata apposta in sua presenza dal titolare previoaccertamento dell’identità, ma è estesa alla validità del certificato rila-sciato al titolare della firma e, soprattutto, al fatto che il documento nonè in contrasto con l’ordinamento giuridico.

2.5 I sistemi di validazione: le firme elettroniche e la firmadigitaleIl riconoscimento del documento come atto scritto implica che essorechi la sottoscrizione autografa del suo autore, unico e sicuro segnosecondo il nostro ordinamento della attribuibilità dell’atto a un determi-nato soggetto e della volontà di questi di rendersi responsabile del suocontenuto. Ma se nel documento cartaceo la riferibilità della firma alsuo autore è resa certa dalla stessa fisicità del foglio, contenente, soprail testo e, sotto, la firma; invece, a mezzo del computer sarebbe estre-mamente agevole per chi volesse falsificare un documento, riportare inautomatico, in calce a un determinato testo stampato, la firma auto-grafa della persona cui lo si intendesse attribuire, prelevando la firmada un documento originale, realizzando così una sorta di “fotomontag-gio elettronico” (SCIALDONE).La scienza informatica ha dunque dovuto creare nuove modalità di sot-toscrizione del documento (informatico) che fossero in grado di ovviareagli inconvenienti sopra indicati: nasce così la c.d. firma elettronica. Ilconcetto di firma elettronica è tuttavia molto ampio e include tutte letecniche utilizzate per identificare una persona in ambiente elettronicoe può essere espresso nei seguenti termini: la firma elettronica consi-ste in qualsiasi marcatura elettronica che indichi l’identità di un soggettoda considerarsi firmatario del documento. A titolo meramente esempli-ficativo possono essere definite come firme elettroniche l’abbinamento

13

(*) Il formato Adobe PDF permette, in realtà, di inserire la firma elettronica all’interno del file e non come alle-gato. Tale formato è stato riconosciuto pienamente valido per la firma digitale ai sensi dell’Art. 12, comma 9, delladeliberazione CNIPA n. 4/2005 mediante la stipula di un Protocollo d’Intesa sottoscritto il 16 Febbraio 2006 dalCNIPA (confermato nella deliberazione CNIPA 21 maggio 2009) e da Adobe Systems Inc. Le specifiche del for-mato PDF sono disponibili pubblicamente e gratuitamente sul sito web di Adobe Systems (in lingua inglese). Ov-viamente il formato P7M ha ancora piena validità legale.

14


“user id - password”, tecnologie biometriche, quali la scannerizzazionedella retina, tecnologie crittografiche e qualunque altro strumento ingrado di adempiere alla funzione sopra descritta.La differenza fondamentale che intercorre tra le diverse tipologie difirma elettronica è rappresentata, oltre che dalla tecnologia utilizzata,anche dalla loro maggiore o minore capacità di assicurare la presenzadi tutti gli elementi richiesti per garantire la manifestazione di volontà daparte del soggetto firmatario, nonché l’integrità e l’ immodificabilità deldocumento così firmato.La soluzione tecnica in grado di garantire maggiormente la presenzadegli elementi da ultimo richiamati è rappresentata, allo stato attuale,dalla firma digitale.10

2.5.1 La Firma DigitaleE’ essenziale conoscere nel dettaglio e in modo concreto il funziona-mento della firma digitale, perché tale processo risulta essere il pre-supposto indispensabile per comprendere le ragioni che sono alla basedel sistema di conservazione digitale dei documenti informatici previstodal nostro legislatore.La firma digitale è un particolare tipo di sottoscrizione elettronica ba-sata su un sistema di chiavi asimmetriche a coppia, pubblica e privata,che consente al titolare tramite la chiave privata e al destinatario tramitela chiave pubblica, rispettivamente di rendere manifesta e di verificarela provenienza e l’integrità di un documento informatico o di un insiemedi documenti informatici.Sulla base della definizione sopra riportata proviamo, ora, a compren-dere come funziona la firma digitale, cioè come si può dare ad un do-cumento informatico la certezza sull’identità del firmatario e sull’integritàdel contenuto.Innanzitutto il cifrario asimmetrico: esso è fondato sull’uso di duechiavi diverse, generate insieme nel corso di un unico procedimento.

15

Una delle due chiavi serve per cifrare (chiave diretta), l’altra per deci-frare (chiave inversa).Le proprietà fondamentali di un tale sistema sono:• non si può decifrare il testo con la stessa chiave usata per cifrarlo;• le due chiavi sono generate con la stessa procedura e correlate uni-vocamente;

• conoscendo una delle due chiavi non c’è nessun modo di ricostruirel’altra.

In tal modo una delle due chiavi può essere resa pubblica, mentre l’al-tra deve essere mantenuta segreta.A questo punto il sistema più elementare per garantire al terzo la pro-venienza e l’integrità del documento sarebbe quello di inviargli un testochiaro insieme ad una versione dello stesso cifrata con la chiave privatadel mittente. Il destinatario sarebbe chiamato a decifrare il testo con lachiave pubblica del mittente e, se i due testi risultassero uguali, otter-rebbe entrambe le certezze sull’identità del mittente e sull’integrità delcontenuto.Tuttavia un sistema del genere è lento, perché bisognerebbe cifrare edecifrare tutto il documento, operazione che può richiedere molto tempoanche perché è strettamente connessa alle capacità dell’elaboratoreutilizzato.Per ovviare ad un simile inconveniente si ricorre allora a una semplifi-cazione che consiste nel cifrare solo un brevissimo riassunto del testostesso, ottenuto con una procedura detta funzione di hash: tale fun-zione restituisce pochi caratteri che costituiscono l’impronta del testo(digest).

16


Se alla fine della procedura l’impronta che risulta dalla decifratura conla chiave pubblica del mittente è uguale a quella che si ottiene appli-cando la funzione di hash al testo chiaro, vuol dire che esso provieneda chi appare come il titolare della chiave pubblica e che non è stato al-terato dopo la generazione della firma digitale.Quanto delineato ruota attorno a un perno centrale che è quello dellaconoscibilità della chiave pubblica, con il corollario della sua atten-dibilità.Se la comunicazione deve svolgersi tra due soggetti che si conoscono,essi possono direttamente scambiarsi le rispettive chiavi pubbliche. Mail grande vantaggio dei sistemi di crittografia a chiave asimmetrica èproprio la possibilità di rendere pubblica una delle due chiavi, consen-tendo a chiunque di controllare che un messaggio provenga proprio dal

Tizio invia a Caio un file .p7m contenente l’originale insieme al-l’impronta di quest’ultimo crittografata con la propria chiave pri-vata.

17

titolare dell’altra chiave - quella privata - e che non sia stato alterato ocontraffatto.Naturalmente la pubblicazione e il controllo delle chiavi si svolgono pervia telematica, accedendo ad appositi registri, che costituiscono il puntocritico del sistema. Infatti, è indispensabile che i gestori di questi regi-stri siano soggetti assolutamente scrupolosi e fidati e che siano, in qual-che modo, a loro volta, certificati. Altrimenti sarebbe assai agevole perun malintenzionato pubblicare una chiave facendosi passare per unaltro o contraffare chiavi altrui, con o senza la complicità del gestoredel registro, con il risultato che dalla massima sicurezza consentita dallacrittografia a chiave asimmetrica si passi alla massima insicurezza chederiva dalla malafede, o più semplicemente dalla negligenza, aggra-vate dall’impossibilità di distinguere i bit veri da quelli falsi.Dunque in tutto il processo della firma digitale è necessario l’interventodi una “terza parte fidata” (trusted third part), generalmente notacome Certification Authority (nel nostro ordinamento “il certificatore”)che ha il compito di gestire il database delle chiavi pubbliche e dei re-lativi certificati delle chiavi ed ha la responsabilità di procedere al-l’identificazione del soggetto che richiede la certificazione.L’insieme costituito dai soggetti indicati (utente, certificatore, destinata-rio ecc.), il modo con il quale ciascuno di essi assolve al proprio ruoloe le modalità di utilizzazione delle tecnologie disponibili, costituisce laPKI (Public Key Infrastructure), l’infrastruttura di chiave pubblica.

2.5.2 Il Fattore tempo nel documento informatico: la Marca tem-porale e il Riferimento temporaleCon la diffusione delle tecniche di firma elettronica la corretta registra-zione temporale del momento in cui è apposta la firma ad un docu-mento è fondamentale per completare il processo di firma.Per i documenti cartacei l’articolo 2704 del codice civile prevede che ladata della scrittura privata non autenticata non è certa e computabile ri-

18


guardo ai terzi se non dal giorno in cui si sia verificato un fatto da cuipossa presumersi, in modo inequivocabile, l’anteriorità della formazionedel documento cartaceo rispetto alla data che le parti vi hanno apposto.Per i documenti informatici il CAD definisce un nuovo strumento, quellodella validazione temporale definendola come il “risultato della pro-cedura informatica con cui si attribuiscono, ad uno o più documenti in-formatici, una data ed un orario opponibili ai terzi” (articolo 1, comma I,lett. b): tale validazione temporale assume, nei riguardi del documentoinformatico, la funzione di disciplinare le modalità di computazione delladata rispetto ai terzi, in modo analogo a quanto previsto per il docu-mento cartaceo: con la validazione viene apposto sul documento infor-matico un “segno” digitale che ha lo scopo di rendere certa edopponibile ai terzi la data (e l’ora) di formazione del documento.Le Regole tecniche in materia di generazione, apposizione e verificadelle firme digitali e validazione temporale dei documenti informaticioggi contenute nel D.P.C.M. 30 marzo 2009 definiscono siffatto “segno”quale marca temporale (time stamping): in sostanza, la marca tem-porale è una firma digitale di un certificatore che viene apposta ad undocumento informatico e contiene una serie di indicazioni, le più im-portanti delle quali sono la data e l’ora di generazione della marcastessa e il valore dell’impronta del documento.Quando firmiamo un documento cartaceo indichiamo sempre un riferi-mento temporale, sotto forma di data. Con la Firma Digitale il riferimentotemporale viene apposto al documento firmato sotto forma di una MarcaTemporale rilasciata da una entità che garantisce una data e ora certe(TSA - Time StampAuthority), secondo lo standard internazionale RFC-316111.Va, infine, sottolineato che il “time stamping” certifica solo se stessoin relazione al documento e non dà alcuna indicazione del momento incui il documento stesso è stato formato o inviato. In pratica, l’opera-zione per apporre una marca temporale ed ottenere così la validazione

19

temporale di un documento informatico si svolge normalmente in viatelematica, attraverso l’utilizzo di apposito software (solitamente lostesso software di firma digitale) con il quale si seleziona il documentod’interesse, si genera la richiesta di validazione temporale e la si tra-smette al servizio di marcatura temporale. Quest’ultimo in automaticoappone la marca temporale, la sottoscrive con firma digitale e restitui-sce il relativo file all’utente.La successiva verifica della data di un documento informatico oggettodi validazione temporale può essere compiuta velocemente e facil-mente da chiunque disponga del documento e della relativa marca tem-porale, attraverso l’interrogazione telematica dei registri dei certificatoriallo scopo di evidenziare eventuali revoche o sospensioni che possanoinficiare la persistente efficacia della validazione temporale.La datazione del documento informatico, e in particolare della sotto-scrizione informatica rileva, altresì, sotto un altro e complementareaspetto: quello del mantenimento della sua efficacia probatoria. Mentreuna sottoscrizione su carta mantiene lo stesso valore probatorio nono-stante il trascorrere del tempo, una firma digitale è destinata fin dal-l’inizio a perdere sicurezza ed efficacia probatoria a seguito dellanecessaria scadenza del certificato elettronico su cui è fondata o per uneventuale revoca o sospensione dello stesso. Si tratta di un elementodrammaticamente nuovo che, dunque, pone problematiche finora ine-splorate per il giurista.Una firma digitale, infatti, di per sé non contiene alcuna connotazionedi carattere temporale opponibile e, pertanto, una firma apposta dopola scadenza (o revoca, o sospensione) del relativo certificato non sa-rebbe tecnicamente riconoscibile e distinguibile da una firma appostavalidamente in un momento anteriore (ZAGAMI).A seguito di cessazione di validità del certificato, per tutte le relativefirme trova applicazione quanto disposto dall’art. 21, comma 3, del CADin forza del quale: “L’apposizione ad un documento informatico di una

20


firma digitale o di un altro tipo di firma elettronica qualificata basata suun certificato elettronico revocato, scaduto o sospeso equivale a man-cata sottoscrizione”.Per evitare quanto sopra è necessario che il documento cui è stata ap-posta la firma digitale sia stato oggetto di validazione temporale, natu-ralmente in un momento anteriore alla scadenza (o alla revoca osospensione) del certificato su cui la firma in questione si basa. Tantosi desume dal disposto dell’art. 51, d.p.c.m. 30 marzo 2009, che cosìrecita: “La firma digitale, ancorchè sia scaduto, revocato o sospeso il re-lativo certificato qualificato del sottoscrittore, è valida se alla stessa èassociabile un riferimento temporale opponibile ai terzi che colloca lagenerazione di detta firma digitale in un momento precedente alla so-spensione, scadenza o revoca del suddetto certificato”.La validazione temporale dei documenti informatici rappresenta, dun-que, uno strumento essenziale per la conservazione e gestione degli ar-chivi di documenti informatici sottoscritti, al fine di mantenere la loroefficacia probatoria e consentirne la verifica anche a distanza di anni.Se perde validità la firma digitale, a causa della perdita di validità del re-lativo certificato, viene meno l’efficacia probatoria per essa prevista dal-l’art. 21 CAD e il documento degrada all’efficacia ex art. 2712 c.c.. Laperdita di efficacia della firma non inficia però la forma dell’atto, qualeattività storicamente compiuta (ZAGAMI): per certi versi è come se, giu-ridicamente, si fosse in presenza di un’accidentale distruzione del do-cumento. Questa non fa venire meno la dichiarazione che neldocumento era stata rappresentata. Ciò che viene meno è, infatti, sol-tanto la rappresentazione materiale della dichiarazione (PATTI). Pertanto,nel caso in cui la forma fosse originariamente richiesta ad substantiam,ciò non toglie che tale forma sia stata a suo tempo rispettata.Per concludere si è detto che la validazione temporale non è nient’al-tro che un’attestazione garantita dalla firma digitale del soggetto emit-tente, il certificatore. Ne consegue che le stesse marche temporali sono

21

soggette a scadenza e, dunque, a cessazione di validità, in modo deltutto analogo ai certificati di firma dei quali sarebbero chiamate adestendere l’efficacia nel tempo.Per mantenere l’efficacia di una validazione temporale e delle firme di-gitali da questa garantite, occorre procedere ad una periodica rinnova-zione, da operare prima dell’ultima scadenza della relativa marcatemporale.Per completezza è doveroso ricordare che il nostro ordinamento ha in-dividuato anche un altro sistema di validazione temporale, il cd. “riferi-mento temporale“.Quest’ultimo è stato introdotto dalla deliberazione AIPA 42/01 (ribaditodalla deliberazione CNIPA 11/04, così come dal DMEF 23 gennaio2004, dalla successiva Circolare dell’Agenzia delle Entrate 36/E del 6dicembre 2006 e dalla Circolare n. 20/2008 del Ministero del Lavoro) eviene definito come “informazione, contenente la data e l’ora, che vieneassociata ad uno o più documenti informatici”. La deliberazione CNIPAprecisa che “l’operazione di associazione deve rispettare le proceduredi sicurezza definite e documentate, a seconda della tipologia dei do-cumenti da conservare, dal soggetto pubblico o privato che intende o ètenuto ad effettuare la conservazione digitale ovvero dal responsabiledella conservazione nominato dal soggetto stesso“.In sostanza, e allo stato attuale della normativa, il riferimento temporale,per il nostro ordinamento giuridico, è una semplice annotazione, effet-tuata secondo le regole stabilite nel Manuale della conservazione, cheattesta il momento in cui viene chiuso o il processo di emissione/for-mazione del documento informatico o il processo di conservazione di-gitale (anche se per la chiusura del processo di conservazione rimaneassolutamente consigliabile l’utilizzo di una marca temporale).

22


3. I documenti sanitari3.1 Il documento sanitario nella PAAnalizzando i processi di digitalizzazione dei documenti sanitari, non si puònon accennare alle modalità di protocollazione e archiviazione degli stessicome previste dal D.P.R 445/2000 e dal CAD.La corretta archiviazione dei dati, oltre a consentire la semplificazionedi tutti i procedimenti amministrativi, consente anche di garantire l’inte-grità e l’identificazione univoca e certa dei documenti e, quindi, l’inte-roperabilità tra di essi, in modo da assicurare la reperibilità deldocumento ricercato e la certezza della sua validità giuridica e rispon-denza al criterio di ricerca. Inoltre, con specifico riferimento ai docu-menti sanitari è indubbio che l’attività di cura comporta una complessagestione amministrativa dei procedimenti alla base della documenta-zione prodotta che investono un settore di estrema importanza, qualeè quello della salute del cittadino.La gestione di tale documentazione sia essa di carattere sanitario oamministrativo, va affrontata, dunque, con strumenti omogenei. La cor-retta classificazione dei documenti sanitari garantisce,infatti, la certezzasull’autenticità del documento stesso.Ogni Ente o struttura sanitaria dovrà, quindi, avviare la procedura di ar-chiviazione attraverso le modalità del protocollo informatico, laddoveprevisto, secondo le norme contenute nel D.P.R. 445/200012, eliminandoi problemi di certificazione e conformità degli originali cartacei attra-verso l’utilizzo delle regole di formazione del documento informatico, dicorretta archiviazione e di trasmissione telematica di tali documenti.13Occorre, quindi, avviare un procedimento di gestione degli archivi conl’assunzione del protocollo operando una ridefinizione e una riorganiz-zazione del ciclo di vita del documento amministrativo, dalla sua archi-viazione fino alla fase della sua conservazione e una conseguenteriqualificazione dei modelli organizzativi e professionali14. È necessario,

23

quindi, individuare le Aree Organizzative Omogenee, istituire un Proto-collo generale, istituire il Servizio archivistico, individuare i responsabilidei processi di gestione documentale, monitorare e valutare la qualitàdegli strumenti archivistici nei progetti di gestione informatica dei do-cumenti, redigere un manuale di gestione etc..15 In un corretto sistemadi archiviazione e conservazione digitale, anche i documenti non sog-getti a protocollazione dovranno comunque essere identificati attra-verso una procedura di classificazione dell’ente di appartenenza16.I documenti sanitari dovranno essere individuati attraverso alcuni spe-cifici elementi:• i dati di provenienza (organizzazione responsabile/autore);• le componenti logiche interne;• la registrazione univoca e con data certa che testimoni in modo in-

controvertibile l’avvenutaacquisizione all’archivio;• le relazioni documentarie che identificano le modalità di accumula-

zione, formazione e organizzazione stabile dell’archivio (classifica-zione e fascicolazione, accessibilità, tempi di conservazione,procedure di riversamento e di validazione e relative responsabilità).17

Per quanto riguarda la “dematerializzazione” del cartaceo, i processidella PA necessitano anche di un raccordo con il Ministero dei beni cul-turali. Infatti, i processi di dematerializzazione degli archivi amministra-tivi cartacei vengono elaborati in modo da stabilire le procedure di scartoda attivare periodicamente sui vari archivi e, quindi, ridurre dove pos-sibile la quantità di documenti da conservare.Non si può non tenere presente quanto stabilito dall’art. 10 del D.Lgs.22 gennaio 2004, n.42, secondo il quale sono definiti beni culturali gliarchivi dei singoli documenti di tutte le amministrazioni e gli enti pubblici,di cui l’amministrazione archivistica ha funzioni di vigilanza e tutela. Oc-corre, dunque, in questi procedimenti prestare molta attenzione alle at-tività di selezione e scarto della documentazione amministrativa.

24


Impostare una corretta operazione di scarto significa, infatti, ridurre ilmateriale cartaceo da conservare e, quindi, minimizzare i tanti problemirelativi alla sua corretta archiviazione cartacea.Di conseguenza la vera digitalizzazione dei documenti amministrativi,con successiva conservazione sostitutiva (intesa appunto come distru-zione del cartaceo in seguito ad una politica di sostituzione del cartaceocon la sua esatta immagine digitale) dovrebbe riguardare i soli docu-menti che residuano allo scarto.I documenti da proporre per lo scarto sono individuati dalle Commissionidi sorveglianza sugli archivi istituite in ogni amministrazione, ex DPR 8gennaio 2001, n. 37, le cui competenze risultano essenziali nel definiree governare i criteri e le pratiche di selezione della documentazione.18Lo scarto di documenti d’archivio può essere proposto quando si veri-ficano due condizioni: l’esaurimento dell’utilità giuridico - amministra-tiva dei documenti e la mancanza di interesse storico del documento.È chiaro che questa problematica riguarda solo i documenti nativa-mente cartacei da conservare in maniera digitale e sostitutiva in mododa liberare gli archivi fisici; mentre se un documento nasce informatico(con o senza firma digitale) dovrebbe essere conservato in formato na-tivo digitale (inteso come originale informatico), senza che ci sia maiun obbligo di materializzazione cartacea19.

3.2 Tipologie documenti sanitari nei procedimenti diarchiviazione e conservazionePer analizzare le modalità di conservazione sostitutiva dei documentisanitari non può che tenersi conto delle già più volte citate Linee Guidasviluppate in seno al Ministero della Salute, ma mai adottate e pubbli-cate ufficialmente. Tale documento seppur non ancora emanato, al mo-mento può sicuramente essere preso come riferimento pratico per leregole da applicare nello sviluppo dei processi di conservazione dei do-cumenti sanitari, in attesa di norme di legge che probabilmente non tar-

25

deranno ad arrivare in considerazione anche degli ultimi provvedimentidel legislatore in materia di conservazione sostitutiva.Per comprendere al meglio le problematiche della conservazione so-stitutiva della documentazione sanitaria è utile partire dalla distinzionedelle varie tipologie dei documenti.Come descritto nelle linee guida del Ministero della Salute è, infatti, op-portuno distinguere tra documentazione diagnostica per immagini(referto, referto strutturato e immagini) e documentazione di labora-torio di analisi (referto di medicina di laboratorio).Per referto si intende secondo l’art. 3 del D.M. 14.2.97, (quale norma diattuazione prevista dall’art. 111, comma 10 del D.Lgs. n. 230 del17.3.95), la documentazione radiologica. In base a tale decreto il reso-conto radiologico è l’atto scritto con cui il medico formula l’interpreta-zione dell’immagine ottenuta dagli esami diagnostici; i documentiradiologici sono invece le immagini che rappresentano un dato.Secondo le linee guida del ministero questa diversificazione anche nor-mativa tra le due tipologie di referti non avrà più ragione di esistere inconsiderazione delle nuove tecnologie di gestione elettronica dei dati.Si dovrà, piuttosto parlare di referto strutturato, che dovrà essere in-teso come l’insieme del referto e delle immagini.Il referto strutturato consente quindi di formare un ipertesto in cui sianopresenti• dati anagrafici del paziente;• specifiche note anamnestiche;• quesito clinico;• descrizione della tecnica dell’indagine radiologica;• descrizione dei reperti radiologici;• diagnosi conclusiva;• immagini direttamente prodotte dalla modalità e ritenute di partico-

lare interesse da parte dello specialista radiologo o medico nucleare,in base alle quali lo specialista ha formulato la sua diagnosi;

26


• ogni tipo di elaborazione, ricostruzione, riformattazione operato dallospecialista radiologo o medico nucleare al fine di ottenere la diagnosi,ivi comprese le varie modificazioni di valori di finestra e livello abi-tualmente utilizzate per la definizione di strutture anatomiche diffe-renti; di queste modifiche si deve tenere traccia nell’archivio digitalecon rappresentazione dei differenti “stati di presentazione”.20

Il referto strutturato dovrà seguire la stessa normativa cui sono sotto-posti gli attuali referti testuali.Le immagini sono regolamentate dall’art. 4 del D.M. 14.02.97, il qualestabilisce che la documentazione iconografica in ragione dell’evoluzionetecnologica potrà essere acquisita anche con modalità digitali e, quindi,sia su supporti cartacei, su pellicole radiografiche e sia su supporti elet-tronici. Le immagini elettroniche dovranno seguire un protocollo in cuivengono associate ad altre informazioni, dati del paziente, modalità diacquisizione modalità di visualizzazione, e dunque conservate secondola normativa vigente. Per quanto riguarda la documentazione di labo-ratorio di analisi, il referto di medicina è il risultato della richiesta speci-fica di esami clinici.

3.2.1 Conservazione nel tempo dei documenti sanitariAquesta classificazione dei documenti consegue la loro conservazionenel tempo.La normativa prevede delle profonde differenze di durata nel tempodelle tipologie di documenti su esposti: mentre i referti devono esseretenuti e conservati per un tempo illimitato; le immagini per un minimodi dieci anni21.Risulta responsabile per il documento analogico la direzione sanitaria;per il documento elettronico portato in conservazione digitale tale atti-vità potrà/dovrà essere delegata al responsabile della conservazioneex art. 5 Deliberazione Cnipa.Per quanto concerne i tempi di conservazione dei referti di diagnostica

27

di laboratorio, non essendovi previsione normative specifiche, si appli-cheranno per analogia le norme in ambito radiologico.

3.2.2. Sottoscrizione dei documenti informatici sanitariPreliminarmente è necessario sottolineare come, in realtà, la concretaredazione del referto sia una fase preliminare al ciclo di vita del docu-mento informatico: qualsiasi documento sanitario elettronico dovrà es-sere sottoscritto con firma digitale di chi lo ha formato ed è da talemomento che comincia a “nascere” quale documento informatico cheappartiene a qualcuno che lo ha correttamente formato.La firma digitale dei referti di laboratorio identifica la responsabilità deldirettore del servizio, ma anche l’autenticità del documento e concorrea formare la stessa cartella clinica del paziente.Anche il referto di diagnostica comporta l’apposizione della firma digi-tale. Da tale momento il documento informatico dovrà essere imme-diatamente archiviato con l’apposizione di un identificativo univoco esuccessivamente sottoposto al procedimento di conservazione sostitu-tiva.Sarà compito del Responsabile della Conservazione definire sia i tempiche intercorreranno fra l’archiviazione e la conservazione sostitutiva siale misure minime e idonee a garantire l’integrità e la sicurezza del do-cumento informatico al momento della sottoscrizione.E’ necessario rilevare che ai fini del valore probatorio del documento in-formatico, al momento della sua sottoscrizione deve essere utilizzato uncertificato qualificato in corso di validità, quindi, non revocato o sospeso.Giunti a questo punto è opportuno analizzare più dettagliatamente lemodalità di conservazione digitale dei documenti informatici sanitari.Le norme applicabili sono, come già premesso, le norme del Codicedell’amministrazione digitale e della deliberazione Cnipa del 19 febbraio2004 n. 11.

28


4. La conservazione digitale dei documenti4.1 La conservazione digitale dei documenti informatici eanalogiciLa conservazione sostitutiva (o meglio digitale) di documenti in-formatici o analogici può essere definita come quel procedimento chepermette di assicurare la validità legale nel tempo a un documento in-formatico o a un documento analogico digitalizzato. Essa consente diconferire la stessa efficacia giuridica dei documenti cartacei a quelli in-formatici. Conservare digitalmente il documento analogico vuol dire,dunque, sostituire quest’ultimo con il medesimo documento in formatodigitale, impedendo attraverso particolari accorgimenti tecnico/giuridici,quali la firma digitale e la marca temporale, che il suo contenuto o laforma vengano in qualche modo modificati o alterati. La firma digitaledel Responsabile della conservazione serve a validare il processo diconservazione, rendendo immodificabile il documento o l’insieme deidocumenti affidati in custodia al responsabile, mentre la marca tempo-rale determina con certezza temporale quell’affidamento in custodia.Nel Codice dell’Amministrazione Digitale le pubbliche amministrazionie i privati possono conservare le proprie scritture contabili, la corri-spondenza e tutti gli altri documenti di cui sia obbligatoria la conserva-zione su supporti ottici o su altri supporti idonei che garantiscano laconformità di tali documenti a quelli originali, sostituendo così i propri ar-chivi cartacei con archivi informatizzati. Ovviamente, ai fini di una cor-retta conservazione digitale, occorre sviluppare un processo chepermetta di assecondare gli attuali parametri tecnici fissati dal CNIPA(cfr. la già più volte citata Deliberazione CNIPA 11/2004 per la conser-vazione dei documenti).Inoltre, l’art. 44 del CAD fissa i principi generali a cui si deve attenere ilResponsabile della conservazione:1. Il sistema di conservazione dei documenti informatici garantisce:

29

a) l’identificazione certa del soggetto che ha formato il documento edell’amministrazione o dell’area organizzativa omogenea di riferi-mento di cui all’articolo 50, comma 4, del decreto del Presidente dellaRepubblica 28 dicembre 2000, n. 445;

b) l’integrità del documento;c) la leggibilità e l’agevole reperibilità dei documenti e delle informa-zioni identificative, inclusi i’ dati di registrazione e di classificazioneoriginari;

d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinaretecnico pubblicato in allegato B a tale decreto.

La conservazione digitale dei documenti informatici, anche sotto-scritti, avviene mediante la memorizzazione su supporti ottici (o co-munque idonei) e si conclude con l’apposizione, sull’insieme deidocumenti o su una evidenza informatica22 contenente una o più im-pronte dei documenti o di insiemi di essi, della firma digitale e dellamarca temporale23 ad opera del responsabile della conservazione checertifica, in tal modo, l’esatto svolgimento del processo.La conservazione digitale sostitutiva dei documenti analogici avvienememorizzando la relativa immagine su un idoneo supporto. Il processoparte, quindi, con la scansione del documento analogico e l’acquisi-zione della relativa immagine. Il processo di conservazione si concludecorrettamente solo dopo aver apposto sull’insieme dei documenti o sul-l’evidenza informatica che contiene una o più impronte degli stessi, lafirma digitale e la marca temporale del responsabile della conserva-zione, la cui funzione, in tale circostanza specifica, è proprio quella diconvalidare il processo di conservazione e, quindi, la conformità del do-cumento digitalizzato e conservato al suo originale analogico24.Secondo l’art. 4 comma 4 della Deliberazione del CNIPA la distruzionedi documenti analogici, di cui è obbligatoria la conservazione, è con-sentita soltanto dopo il completamento della procedura di conserva-

30


zione sostitutiva. Secondo la stessa delibera, limitatamente ai docu-menti analogici originali unici25, la distruzione poteva avvenire solo dopol’intervento di un pubblico ufficiale, che avrebbe apposto su tali docu-menti il riferimento temporale e la sua sottoscrizione elettronica.

4.2 Uno schema del processo di conservazione digitale deidocumentiE’ opportuno ricordare che, come già in precedenza riferito, se il docu-mento è nato informatico, è valido e rilevante a tutti gli effetti di legge enon richiede normalmente alcuna attestazione da parte del pubblico uf-ficiale (cfr. artt. 20- 21 D. Lgs. 7 marzo 2005 n. 82 CAD). E’ chiarito, in-fatti, nel Codice dell’Amministrazione Digitale all’art. 20 che “Ildocumento informatico da chiunque formato, la registrazione su sup-porto informatico e la trasmissione con strumenti telematici conformialle regole tecniche di cui all’art. 71, sono validi e rilevanti a tutti gli ef-fetti di legge. Lo stesso art. 20 al comma 1bis riferisce che l’idoneità deldocumento informatico a soddisfare il requisito della forma scritta è li-beramente valutabile in giudizio, tenuto conto delle sue caratteristicheoggettive, qualità, sicurezza integrità ed immodificabilità. Quando in-vece sullo stesso documento informatico è apposta la firma digitale oaltro tipo di firma elettronica qualificata, esso acquisisce l’efficacia pre-vista dall’art. 2702 c.c.Le varie fasi del processo di conservazione previsto dalle regole tecni-che attualmente in vigore (Deliberazione CNIPA n. 11/2004 possonoessere così suddivise:

1. CREAZIONE DEL DOCUMENTO INFORMATICOIl documento informatico viene reso statico e non modificabile, ov-vero, non deve contenere MACROISTRUZIONI o CODICI ESEGUI-BILI (esempi di formato non modificabile PDF/A, TXT o formatistrutturati XML);

31

2. MEMORIZZAZIONE DEL DOCUMENTO STATICIZZATO;3. APPOSIZIONE DELLA FIRMA DIGITALE E RIFERIMENTO TEM-PORALE (data e ora in formato digitale, regolando l’orologio del si-stema con i NTP server Web)26;

4. RILEVAZIONE DELL’IMPRONTA: un programma collega a ciascundocumento informatico una sequenza di simboli binari, bit, mediantel’applicazione della funzione matematica “hash“. L’impronta può es-sere associata ad un unico documento e partendo dalla stessa nonsi può ricreare il documento;

5. CREAZIONE DEL LOTTO DI CONSERVAZIONE: le impronte sonomemorizzate in un file, mediante la creazione di uno “schema sinte-tico” che le riassume, specificando il riferimento di ogni impronta aldocumento appartenente; l’evidenza informatica dell’insieme delleimpronte viene sottoscritta dal responsabile della conservazione cheassocia anche il riferimento temporale27;

6. CONSERVAZIONE DEI DOCUMENTI: il lotto di documenti marcatotemporalmente e sottoscritto deve essere memorizzato su appositi eidonei supporti (DVD; dischi ottici o magneto-ottici; ecc).28

(Schema nella pagina seguente)

4.3 Il Responsabile della conservazione sostitutivaTutte le operazioni, sia propriamente tecniche sia di natura giuridica eamministrativa, relative ai processi di “dematerializzazione” dei docu-menti, stanno via via contribuendo, tanto nel campo pubblico che inquello privato, alla creazione di un nuovo profilo professionale, quellodel Responsabile della Conservazione Sostitutiva.La delibera CNIPA del 2004 n. 11 definisce le funzioni del responsabiledella conservazione sostitutiva, attribuendogli scrupolosi compiti e re-sponsabilità. In particolare, tale figura ha l’obbligo di creare un data-base relativo ai documenti informatici nel rispetto di documentati principi

32


di sicurezza e nel rispetto di chiare procedure di tracciabilità; quindi, digarantire: la corretta conservazione, la leggibilità del documento con-servato nel tempo, l’accessibilità al singolo documento e, quindi, la suaesibizione29.

Nello specifico, l’art. 5 della sopracitata Deliberazione, al comma 1, sta-bilisce che il Responsabile della Conservazione Sostitutivaa) definisce le caratteristiche e i requisiti del sistema di conservazione

in funzione della tipologia dei documenti (analogici o informatici) daconservare, della quale tiene evidenza.Organizza conseguentemente il contenuto dei supporti ottici e gesti-sce le procedure di sicurezza e di tracciabilità che ne garantisconola corretta conservazione, anche per consentire l’esibizione di cia-scun documento conservato;

Quadro riassuntivo sui processi di conservazione digitale dei do-cumenti analogici e informatici

33

b) archivia e rende disponibili, con l’impiego di procedure elaborative,relativamente ad ogni supporto di memorizzazione utilizzato, le se-guenti informazioni:1) descrizione del contenuto dell’insieme dei documenti;2) estremi identificativi del responsabile della conservazione;3) estremi identificativi delle persone eventualmente delegate dal re-

sponsabile della conservazione, con l’indicazione dei compiti allestesse assegnati;

4) indicazione delle copie di sicurezza;c) mantiene e rende accessibile un archivio del software dei programmi

in gestione nelle eventuali diverse versioni;d) verifica la corretta funzionalità del sistema e dei programmi in ge-

stione;e) adotta le misure necessarie per la sicurezza fisica e logica del si-

stema preposto al processo di conservazione sostitutiva e delle copiedi sicurezza dei supporti di memorizzazione;

f) richiede la presenza di un pubblico ufficiale nei casi in cui sia previ-sto il suo intervento, assicurando allo stesso l’assistenza e le risorsenecessarie per l’espletamento delle attività al medesimo attribuite;

g) definisce e documenta le procedure di sicurezza da rispettare perl’apposizione del riferimento temporale;

h) verifica periodicamente, con cadenza non superiore a cinque anni,l’effettiva leggibilità dei documenti conservati provvedendo, se ne-cessario, al riversamento diretto o sostitutivo del contenuto dei sup-porti.

Attraverso uno specifico atto di delega, il responsabile del procedi-mento di conservazione sostitutiva può demandare, in tutto o in parte,lo svolgimento delle proprie attività ad una o più persone che, per com-petenza ed esperienza, garantiscano la corretta esecuzione delle ope-razioni.Il CNIPA ammette, inoltre, che l’intero procedimento di conservazione


34

sostitutiva possa essere affidato, in tutto o in parte, ad altri soggetti,pubblici o privati, i quali si impegnano contrattualmente ad osservarequanto previsto dalle disposizioni normative e tecniche (contratto dioutsourcing).Nell’ambito sanitario si vuole evidenziare come la scelta di responsabileper la gestione dei processi di conservazione potrebbe non ricaderenelle figure del direttore sanitario o del responsabile dell’U.O. (Unitàospedaliera) di diagnostica per immagini e del responsabile dell’U.O. dilaboratorio, i quali potrebbero non avere le competenze ed esperienzetecniche necessarie. Pertanto, in base alla individuazione delle neces-sarie competenze in capo al responsabile della conservazione ed allaeterogeneità delle realtà sanitarie più o meno complesse, si potrà va-lutare l’opportunità di rivolgersi a strutture esterne per sviluppare taliprocessi di conservazione digitale.Secondo le già più volte citate Linee Guida30 nel caso di un’AziendaSanitaria al proprio interno fortemente articolata sul piano tecnico-or-ganizzativo una volta nominato il Responsabile della conservazione,sarà opportuno e raccomandabile che questi deleghi, in tutto o in parte,l’esecuzione delle attività di sua competenza, delegando con nominaformale quei soggetti interni all’Azienda che dimostrino adeguate espe-rienza e competenza, in base a quanto previsto dall’art. 5, comma 2della Deliberazione CNIPA n. 11/0425. Nel caso invece di un Aziendasanitaria poco strutturata e organizzata che ritenga di non voler investireper diventarlo, si potrà legittimamente ed opportunamente decidere diaffidare il procedimento di conservazione, in tutto o in parte, ad altrisoggetti, pubblici o privati, così come prevede l’art. 5, comma 3 dellaDeliberazione, senza per questo essere manlevati da responsabilità.In relazione a tale ultima previsione normativa, si ritiene che, essen-dovi statuita la possibilità di affidare in outsourcing l’intero processo,non venga esclusa l’ipotesi che anche la nomina del RCSpossa ricadere su Enti esterni alla struttura.

35

4.4 L’esibizione alle autorità di controllo e la consegna alpaziente dei documenti conservatiAi sensi dell’art. 6 della delibera CNIPA n. 11 del 2004, qualora si rendanecessario un controllo o un’ispezione ad opera dell’Amministrazione dicompetenza, sia il documento informatico sia quello originariamenteanalogico, conservati su supporto informatico, devono essere resi leg-gibili presso il sistema di conservazione sostitutiva e, a seguito di even-tuale richiesta, resi disponibili su carta. Considerata la possibilità dicedere il servizio di conservazione in outsourcing, si ritiene che, in talcaso, l’esibizione in via generale possa avvenire presso la sede ope-rativa della società outsourcer, alla quale è stato conferito il compito digestire il servizio di conservazione.Il Cnipa, nella deliberazione n. 11, precisa, inoltre, che l’esibizione deldocumento può avvenire anche per via telematica. Come appro-fondiremo meglio in seguito, la norma dell’art. 6 della DeliberazioneCnipa n.11/2004 va applicata anche nel caso in cui il paziente richiedaalla struttura sanitaria l’esibizione dei documenti e lo stesso ha il dirittodi ottenere che tale documentazione gli venga consegnata su un sup-porto diverso da quello su cui gli è stata esibita.Sul tema del referto informatico è stato recentemente emanato dall’‘Au-torità Garante per il corretto trattamento dei dati personali il già citatoprovvedimento datato 19 novembre 2009, il quale si è occupato di ap-profondire le problematiche del trattamento dei dati personali effettuatoall’interno di servizi telematici, attraverso i quali il paziente può ricevevia posta elettronica o consultare on line il referto relativo ad un singoloevento sanitario (es. analisi cliniche) non appena lo stesso sia reso di-sponibile da parte dell’organismo sanitario presso il quale si è rivoltol’interessato. Il provvedimento riconosce il diritto dell’interessato di poterscegliere “in piena libertà” se accedere o meno a tali servizi e specificache dovrà esser sempre garantita all’interessato la possibilità di rice-vere il referto cartaceo, anche ove abbia espresso preventivamente la

36


volontà di aderire ai servizi online. Inoltre, viene specificato che da partedel paziente/interessato al trattamento deve essere manifestata voltaper volta la volontà di acconsentire alla comunicazione dei risultati dia-gnostici direttamente al medico dallo stesso indicato sia che l’interes-sato autorizzi la comunicazione del referto presso la casella di postaelettronica del medico curante sia che autorizzi la stessa struttura sa-nitaria a fornire le credenziali di autenticazione direttamente al propriomedico, affinché quest’ultimo effettui il download del suo referto31.Un’autonoma informativa e l’acquisizione di uno specifico consensosono richiesti anche nei casi in cui venga offerto al paziente il serviziodi archiviazione presso la stessa struttura sanitaria che ha prodotto il re-ferto e tali archivi, da considerare quali dossier sanitari, dovranno es-sere dotati delle garanzie –anche di sicurezza- individuate per essi dalgià citato Provvedimento del Garante del 16 luglio 2009, recante “Lineeguida in tema di Fascicolo sanitario elettronico (FSE)”.Il Garante affronta anche la questione relativa alla comunicazione ditali dati sanitari. Secondo quanto previsto dall’art. 84 del Codice, i datipersonali inerenti allo stato di salute devono essere resi noti all’inte-ressato solo per il tramite di un medico designato dallo stesso o dal ti-tolare . Il secondo comma di tale disposizione prevede che il titolare oil responsabile possano autorizzare per iscritto esercenti le professionisanitarie diversi dai medici, che nell’esercizio dei propri compiti intrat-tengano rapporti diretti con i pazienti e siano incaricati di trattare datipersonali idonei a rivelare lo stato di salute, a rendere noti i medesimidati all’interessato.L’abilitazione all’accesso dei suddetti sistemi di refertazione deve, per-tanto, essere consentita all’interessato nel rispetto delle cautele previ-ste dalla disciplina di settore già applicabili anche per il cartaceo erichiamate dal Garante nel provvedimento generale del 200532.Il Garante individua anche nuove specifiche misure di sicurezza daadottare a seconda della scelta effettuata per fornire il servizio di refer-

37

tazione on-line e, sotto il profilo strettamente relativo al corretto tratta-mento dei dati personali dei pazienti/cittadini, permette, a certe condi-zioni, varie modalità di consegna del referto.Per avere un quadro completo sul referto informatico disponibile on lineè necessario considerare anche le problematiche relative al ciclo di vitadel referto e ai relativi obblighi di conservazione.Occorre, quindi, verificare e definire come il referto “originale informa-tico” può circolare in modo da garantire anche i terzi che si troverannonella disponibilità dello stesso (ad es. medico di base), quindi accer-tare a quale soggetto sia ascrivibile la responsabilità di conservarlo eper quanto tempo.Ciò premesso, relativamente alla circolazione del referto consegnato, èfondamentale individuare una modalità che garantisca al paziente/cit-tadino e a eventuali terzi la possibilità di verificarne con certezza e inqualsiasi momento la provenienza e l’originalità o, quantomeno, la con-formità all’originale. Si possono prospettare almeno tre soluzioni la cuifattibilità e convenienza andrebbe valutata relativamente al caso con-creto da sviluppare in seno all’ente di riferimento:• Consegna e circolazione del referto esclusivamente in formatoelettronico (firmato digitalmente e provvisto di marca temporale).

Questa appare la soluzione ottimale, ma presuppone che sia al pa-ziente/cittadino, sia al soggetto terzo, siano forniti o siano resi disponi-bili gli strumenti necessari a “comprendere” il referto elettronico e averificarne la sua effettiva validità. Ove tali condizioni non siano soddi-sfatte occorre individuare altre modalità di consegna e comunque ren-dere sempre possibile la consegna di una copia cartacea conforme inmano al paziente che ne faccia esplicita richiesta33.• Consegna di una copia semplice cartacea con la possibilità per ilpaziente cittadino (e/o per il suo medico curante) di consultare e sca-ricare il referto elettronico originale ad un determinato URL, a seguitodi identificazione sicura (quantomeno mediante User e Pwd, in attesa

38


che la Carta d’identità elettronica o la Carta Nazionale de Servizi di-ventino realmente operative).

Il paziente/cittadino avrà così una copia cartacea del referto la cui con-formità all’originale potrà essere verificata in ogni momento mediantecollegamento ai server della struttura sanitaria. Resterà, però, neces-sario per il paziente/cittadino (e del medico) dotarsi, in proprio, di unostrumento di verifica della firma digitale e della marca temporale appo-sta sul documento elettronico.• Altra possibilità potrebbe essere quella relativa all’utilizzo del co-siddetto timbro digitale. Come precisato in un interessante studiodel CNIPA34, il timbro digitale consente di mantenere inalterato il va-lore legale di un documento informatico sottoscritto con firma digitalein quanto lo stesso documento, in tutto il suo contenuto (firma digitalecompresa), viene “trasformato” in un solo ed unico codice bidimen-sionale ad alta densità e stampato sulla carta, che diviene pertantosupporto di trasporto dell’intero documento firmato digitalmente (interopacchetto PKCS#7). Il referto conservato su supporto elettronicodovrà pertanto contenere, al proprio interno, il timbro digitale; il de-stinatario del documento potrà ricevere il documento o già stampatoo, nei casi in cui lo riceva in formato elettronico (o ne effettui comun-que il download) potrà sia verificarlo con software di verifica dellafirma digitale oppure stamparlo con l’attestazione fornita dal timbrodigitale. In quest’ultimo caso, egli dovrà essere dotato di un softwaredi lettura del timbro digitale (senza la necessità di acquistare softwareapposito). Nel caso in cui sia necessario utilizzare un plug-in o un mo-dulo ad hoc, questo dovrà essere, quindi, fornito gratuitamente. Laverifica del referto informatico stampato potrà essere effettuata me-diante scansione (con un normale scanner o mediante l’uso di mo-derni telefoni cellulari) del documento e l’utilizzo del relativo modulosoftware di verifica.

Questa soluzione, a prima vista ottimale, presenta però una problema-

39

tica relativa all’interoperabilità dei vari sistemi di timbro digitale presentisul mercato. La messa a disposizione in forma gratuita dei moduli soft-ware per la verifica non risolve completamente il problema. Si pensialla necessità di disporre sui PC di un’organizzazione, di tutti i modulisoftware per la verifica esistenti sul mercato, magari incompatibili traloro, e senza chiare indicazioni su quale modulo adoperare di volta involta. Inoltre, la validità giuridica della copia cartacea di documento in-formatico con timbro digitale non è stata ancora regolamentata dallanostra normativa.35

A seconda della scelta operata restano comunque aperte due proble-matiche:• qualora il referto elettronico sia consegnato in formato digitale al pa-ziente esterno alla struttura sanitaria, quest’ultimo dovrà dotarsi di unidoneo sistema di conservazione.

• qualora, invece, il referto “originale” resti nella disponibilità della strut-tura sanitaria, quest’ultima dovrà essere specificamente nominataquale “responsabile della conservazione” (quanto meno in tutti queicasi in cui la legge ritenga che sia il paziente il responsabile della con-servazione del referto).

E’ utile richiamare, a tal proposito, le già più volte citate Linee guida perla dematerializzazione della documentazione clinica in laboratorio e indiagnostica per immagini, mai definitivamente approvate, ma comunquerichiamate in vari documenti “vincolanti” in materia, le quali in un sinte-tico schema sotto riportato chiariscono sia i tempi di conservazione e siaquali sono i soggetti responsabili della conservazione della documen-tazione sanitaria:

40


Nella consapevolezza che è impossibile immaginare attualmente si-stemi di conservazione “casalinghi” a disposizione di ogni paziente/cit-tadino si dovrà risolvere la problematica della conservazione dei refertida consegnare ai pazienti esterni attraverso una specifica nomina dellastruttura sanitaria quale responsabile della conservazione del referto,con la massima disponibilità di accesso in remoto in favore del pazientetitolare del documento (o di altro soggetto da lui indicato).

Note(*)L’avv. Andrea Lisi è coordinatore del Digital&Law Department dello Studio LegaleLisi (www.studiolegalelisi.it) e Presidente della Associazione Nazionale per Operatori eResponsabili della Conservazione digitale dei documenti (ANORC). Inoltre, è Docentedi Informatica Giuridica nella Scuola di Professioni Legali, Facoltà di Giurisprudenza del-

41

l’Università del Salento, nella Document Management Academy, SDA Bocconi, Milanoe di UniDOC- Progetto di formazione continua in materia di documentazione ammini-strativa, amministrazione digitale, delibere degli organi e documenti informatici -COINFO - Consorzio interuniversitario sulla formazione - Università degli Studi di To-rino. Ha fondato il Centro Studi&Ricerche Scint www.scint.it e la prima banca dati suldiritto dell’informatica www.scintlex.it. È stato Direttore della “RIVISTADI DIRITTO ECO-NOMIA E GESTIONE DELLE NUOVE TECNOLOGIE”, Nyberg Editore, Milano e at-tualmente dirige la Collana “DIRITTO, ECONOMIA E SOCIETÀDELL’INFORMAZIONE”, Cierre Edizioni, Roma. Già componente del Comitato Scien-tifico nel Master in “DIRITTO DEL’INFORMAZIONE E DELL’INFORMATICA” pressol’Università di Messina (Direttore Prof. Trimarchi), oggi è nel Comitato Scientifico del-l’Istituto Italiano per la Privacy (IIP) - http://www.istitutoitalianoprivacy.it, della DocumentManagement Academy, SDA Bocconi, Milano, del DOCUBUSINESS (http://www.do-cubusiness.it), del Progetto e-HealthCare Forum (www.forumhealthcare.it), della Rivi-sta Digital Document Magazine (edita da 4itGroup) e di varie riviste giuridichetelematiche ed è autore di diversi volumi e numerose pubblicazioni in materia di dirittodelle nuove tecnologie. È stato, infine, docente in master dedicati al diritto dell’infor-matica presso l’Università di Lecce, Taranto, Trento, Padova e Messina ed è iscritto al-l’Albo Docenti della Scuola Superiore dell’Amministrazione dell’Interno. Attualmente èarbitro di numerosi enti di risoluzione stragiudiziale delle dispute relative ai domini In-ternet ccTLD.it ed è Conciliatore Specializzato DM 23/07/2004 n. 222, è Esperto Valu-tatore IMQ per il servizio di attestazione Q&S_CS (Qualità e Sicurezza nellaConservazione Sostitutiva) e collabora in tutta Italia con università, enti camerali, cen-tri di ricerca, primarie società fornendo progettazione, formazione, assistenza e con-sulenza legale nell’e-business internazionale, nella privacy, nei servizi di conservazionedigitale/fatturazione elettronica, nella realizzazione dei modelli organizzativi D. Lgs.231/2001 e nel diritto delle nuove tecnologie, in genere.1 Il Disegno di Legge Brunetta Calderoli, approvato nel recente Consiglio dei Ministrin. 69 del 12 novembre 2009, prevede che dal prossimo 1° luglio le le cartelle clini-che dovranno essere conservate esclusivamente in forma digitale (il testo com-pleto del Ddl è acquisibile a quest’indirizzo:http://www.ilsole24ore.com/fc?cmd=document&file=/art/SoleOnLine4/Norme%20e%20Tributi/2009/11/DS0CD500.pdf?uuid=d77e8acc-d051-11de-82e7-5bccff4d3984).2 Si ricorda che oggi il CNIPA (Centro Nazionale per Informatica nella Pubblica Ammi-nistrazione) ha cambiato denominazione. Infatti, Il 29 dicembre 2009 è entrato in vi-gore il Decreto Legislativo 1° dicembre 2009, n. 177, recante “Riorganizzazione delCentro nazionale per l’informatica nella pubblica amministrazione, a norma dell’art. 24

42


della legge 18 giugno 2009, n. 69”. Ai sensi e per gli effetti dell’art. 2, comma 1, il Cen-tro nazionale per l’informatica nella pubblica amministrazione (CNIPA) assume la de-nominazione: “DigitPA”. Ai sensi e per gli effetti dell’art. 22, comma 4, le funzioni delCNIPA sono trasferite a DigitPA, secondo quanto disposto dallo stesso d. lgs. n.177/2009.3 Linee guida per la dematerializzazione della documentazione clinica in laboratorio ein diagnostica per immagini normativa e prassi , V19, marzo 2007 disponibili su SCIN-TLex alla pagina http://www.scintlex.it/notizia/305/67.html.4 L’aspetto, forse, più importante non è tanto quello che riguarda la valutazione del li-vello di sicurezza della propria infrastruttura aziendale da possibili attacchi esterni, mapiuttosto la consapevole valutazione relativa alla propria organizzazione privacy internae, quindi, al reale controllo degli incaricati, anche attraverso idonee privacy policy.5 Renato Borruso, La scrittura elettronica ovverosia: Nascita ed evoluzione del docu-mento informatico, Rivista di Diritto, Economia e Gestione delle Nuove Tecnologien.2/2007, Nyberg Editore;6 Carnelutti definiva il documento come “una cosa che fa conoscere un fatto”.7 Il documento analogico utilizza grandezze fisiche che assumono valori continui ed im-modificabili.8 E’ utile sottolineare che il CAD è oggetto in questi mesi di una profonda azione di mo-difica: il Consiglio dei Ministri, riunitosi il 28 gennaio 2010 a Reggio Calabria, ha avviatol’esame della riforma del CAD proposta dal Ministro per la Pubblica Amministrazione el’Innovazione Renato Brunetta. A cinque anni dalla sua emanazione, il Parlamento -con la delega contenuta nell’articolo 33 della legge 18 giugno 2009 n. 69 - ha infattidettato i principi e i criteri direttivi per adeguarne il testo al veloce sviluppo delle ICT eassicurare maggiore effettività alle molte norme, a carattere programmatico o recantiindicazioni di principio, la cui attuazione ha finora segnato il passo.9 Allo stato attuale la lettera q) dell’articolo 1, comma I del CAD così recita: “firma elet-tronica: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite asso-ciazione logica ad altri dati elettronici, utilizzati come metodo di identificazioneinformatica”.10 Lisi-Scialdone, in diritto dell’internet, a cura di Cassano-Cimino, Cedam 2009.11 Il processo è abbastanza semplice: l’apposizione di una Firma Digitale a un docu-mento viene effettuata creando un file di tipo ‘.p7m’ in un formato definito dallo standardinternazionale PKCS7. Successivamente viene calcolata l’impronta del file firmato(‘.p7m’ - PKCS7) con un metodo di randomizzazione ‘sha1’ o ‘md5’. Questa impronta(una stringa di 20 caratteri binari) viene inviata a una TSA n un messaggio definito dal-

43

l’RFC-3161 (Time Stamp Request). La TSAprovvede a completare la richiesta con l’oraesatta di marcatura, e a firmarla digitalmente con un proprio certificato, generando unmessaggio di risposta definito dall’RFC-3161 (Time Stamp Response, ovvero la MarcaTemporale), che di fatto è un file PKCS7. La marca temporale viene aggiunta al file fir-mato originale, generando un file di tipo ‘.m7m’ in formato S/MIME. Questo formatotestè descritto deve ritenersi valido sino all’entrata in vigore della nuova DeliberazioneCNIPA 21 maggio 2009 (G.U. 3.12.2009 n. 282), secondo la quale all’art. 17 comma4 Le estensioni dei file da utilizzare per i formati detached sono:a) TimeStampedData: .tsd;b) TimeStampResponse: .tsr;c) TimeStampToken : .tst.12 Si vedano in proposito gli artt. 52 e segg. del TUDA.13 Linee guida per la dematerializzazione della documentazione clinica in laboratorio ein diagnostica per immagini normativa e prassi, cit..14 L’art. Art. 41 (Procedimento e fascicolo informatico) del CAD così recita:1. Le pubbliche amministrazioni gestiscono i procedimenti amministrativi utilizzando le

tecnologie dell’informazione e della comunicazione, nei casi e nei modi previsti dallanormativa vigente.

2. La pubblica amministrazione titolare del procedimento può raccogliere in un fascicoloinformatico gli atti, i documenti e i dati del procedimento medesimo da chiunque for-mati; all’atto della comunicazione dell’avvio del procedimento ai sensi dell’articolo 8della legge 7 agosto 1990, n. 241, comunica agli interessati le modalità per eserci-tare in via telematica i diritti di cui all’articolo 10 della citata legge 7 agosto 1990, n.241.

2-bis. Il fascicolo informatico è realizzato garantendo la possibilità di essere diretta-mente consultato ed alimentato da tutte le amministrazioni coinvolte nel proce-dimento. Le regole per la costituzione e l’utilizzo del fascicolo sono conformi aiprincipi di una corretta gestione documentale ed alla disciplina della formazione,gestione, conservazione e trasmissione del documento informatico, ivi compresele regole concernenti il protocollo informatico ed il sistema pubblico di connetti-vità, e comunque rispettano i criteri dell’interoperabilità e della cooperazione ap-plicativa; regole tecniche specifiche possono essere dettate ai sensi dell’articolo71, di concerto con il Ministro della funzione pubblica.

2-ter. Il fascicolo informatico reca l’indicazione:a) dell’amministrazione titolare del procedimento, che cura la costituzione e la

gestione del fascicolo medesimo;b) delle altre amministrazioni partecipanti;

44


c) del responsabile del procedimento;d) dell’oggetto del procedimento;e) dell’elenco dei documenti contenuti, salvo quanto disposto dal comma 2-qua-

ter.2-quater. Il fascicolo informatico puo’ contenere aree a cui hanno accesso solo l’am-

ministrazione titolare e gli altri soggetti da essa individuati; esso e’ formato inmodo da garantire la corretta collocazione, la facile reperibilità e la collega-bilità, in relazione al contenuto ed alle finalità, dei singoli documenti; è inoltrecostituito in modo da garantire l’esercizio in via telematica dei diritti previstidalla citata legge n. 241 del 1990.

3. Ai sensi degli articoli da 14 a 14-quinquies della legge 7 agosto 1990, n. 241, previoaccordo tra le amministrazioni coinvolte, la conferenza dei servizi è convocata esvolta avvalendosi degli strumenti informatici disponibili, secondo i tempi e le mo-dalità stabiliti dalle amministrazioni medesime.

15 Pubblicazione a cura del CNIPA, la dematerializzazione della documentazione am-ministrativa, marzo 2006.16 Secondo l’art. 22, del CAD nelle operazioni riguardanti le attività di produzione, im-missione, conservazione, riproduzione e trasmissione di dati, documenti e atti ammi-nistrativi con sistemi informatici e telematici devono essere indicati e resi facilmenteindividuabili sia i dati relativi alle amministrazioni interessate, sia il soggetto che ha ef-fettuato l’operazione. Particolare rilievo per i profili di sicurezza informatica da garan-tire nell’implementazione di un sistema di conservazione digitale dei documenti sanitariassume l’art. 51, comma 2 del CAD, secondo il quale i documenti informatici delle pub-bliche amministrazioni devono esser custoditi e controllati con modalità tali da ridurreal minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o nonconforme alle finalità della raccolta.17 Linee guida per la dematerializzazione della documentazione clinica in laboratorio ein diagnostica per immagini normativa e prassi, cit.18 Pubblicazione a cura del CNIPA, la dematerializzazione della documentazione am-ministrativa, marzo 2006.19 L’art. Art. 43 (Riproduzione e conservazione dei documenti) del CAD recita testual-mente:1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, datoo documento di cui è prescritta la conservazione per legge o regolamento, ove ri-prodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la ri-produzione sia effettuata in modo da garantire la conformita’ dei documenti aglioriginali e la loro conservazione nel tempo, nel rispetto delle regole tecniche stabi-

45

lite ai sensi dell’articolo 71.2. Restano validi i documenti degli archivi, le scritture contabili, la corrispondenza edogni atto, dato o documento già conservati mediante riproduzione su supporto foto-grafico, su supporto ottico o con altro processo idoneo a garantire la conformità deidocumenti agli originali.

3. I documenti informatici, di cui è prescritta la conservazione per legge o regolamento,possono essere archiviati per le esigenze correnti anche con modalità cartacee esono conservati in modo permanente con modalità digitali.

4. Sono fatti salvi i poteri di controllo del Ministero per i beni e le attività culturali sugliarchivi delle pubbliche amministrazioni e sugli archivi privati dichiarati di notevole in-teresse storico ai sensi delle disposizioni del decreto legislativo 22 gennaio 2004, n.42.

20 Linee guida per la dematerializzazione della documentazione clinica in laboratorio ein diagnostica per immagini normativa e prassi, cit.21 Tale limite temporale è da attribuirsi al particolare supporto che contiene le immaginianalogiche e che ne comporta un deterioramento in tempi brevi. Oggi, per i particolariformati utilizzati per le immagini digitali (non adatti alla conservazione di lunga durata)si potrebbe sviluppare un analogo ragionamento, limitandone per queste ragioni gli ob-blighi di conservazione; eppure, a ben vedere, il discorso del referto dovrebbe spin-gerci a considerare referto e immagine come un unico documento digitale e, quindi,conservabile secondo identiche tecniche che ne garantiscano una conservazione per-manente. E ciò non è certo cosa semplice!Per quanto concerne il periodo di conservazione in ambito sanitario, occorre ricordarela Circolare del Ministero della Sanità n. 61 del 19/12/1986. La citata Circolare precisache “le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamentepoiché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto,oltre a costituire preziosa fonte documentaria per le ricerche di carattere storico sani-tario”. Inoltre, “in merito alla conservazione, presso l’archivio delle istituzioni sanitarie,delle radiografie, non rivestendo esse il carattere di atti ufficiali, si ritiene che sotto il pro-filo medico, medico-legale, amministrativo e scientifico possa essere sufficiente un pe-riodo di venti anni”.22 Sequenza di simboli binari – bit- che può essere elaborata da una procedura infor-matica.23 È opportuno riferire che la delibera CNIPA n. 11/2004 non prevede espressamentel’apposizione di una marca temporale a chiusura del processo di conservazione, es-sendo sufficiente un riferimento temporale. Ma nelle stesse note esplicative della deli-berazione n. 11 il CNIPA consiglia (giustamente) l’utilizzo di una marca temporale.

46


24 Il Responsabile, affinché il processo di conservazione sostitutiva sia veramente cor-retto, deve garantire, eventualmente anche verbalizzandola, la tracciabilità delle ope-razioni effettuate durante tutto il processo. La tracciabilità permette, infatti, di facilitarele operazioni di controllo e verifica effettuate dagli organi preposti e di mappare più fa-cilmente l’iter che il documento ha percorso , permettendo, altresì, di risalire ai vari sog-getti che si sono interfacciati al sistema informatico dell’azienda.25 Documenti analogici originali non unici: i documenti per i quali sia possibile risa-lire al loro contenuto attraverso altre scritture o documenti di cui sia obbligatoria la con-servazione, anche se in possesso di terzi.26 Tale operazione di apposizione di firma e riferimento temporale sul singolo docu-mento da conservare per la corretta stabilizzazione (e archiviazione) dello stesso è al-tamente consigliabile e opportuna nel momento in cui si portano in conservazionedocumenti informatici originariamente non sottoscritti con firma digitale e/o documentinativi analogici successivamente digitalizzati.27 La deliberazione CNIPA, come già in precedenza riferito, non prevede obbligatoria-mente l’utilizzo della marca temporale a chiusura del lotto di conservazione, anche sene viene consigliata l’adozione nelle note esplicative della deliberazione CNIPA n.11/2004.28 Dalla carta al digitale, inserto n.7 dell’11 febbraio 2009 di Italia oggi, a cura di AndreaLisi.29 Ad esempio, nella fase di scansione dei documenti analogici, il responsabile dovràfarsi carico della scelta di un formato tale da consentire l’effettiva leggibilità dei docu-menti conservati che andrà verificata con cadenza quinquennale (art.5, comma 1, lett.h Delibera CNIPA n.11/2004). Egli dovrà, altresì, con l’ausilio di hardware e softwareadeguati, uniformare il proprio sistema di conservazione agli standard di sicurezza ri-chiesti, monitorare l’intero sistema, predisponendo i necessari aggiornamenti e verifi-cando la leggibilità della documentazione archiviata.30 Linee guida per la dematerializzazione della documentazione clinica in laboratorio ein diagnostica per immagini normativa e prassi, cit.31 Nel caso di utilizzazione del servizio di avviso tramite sms nel messaggio inviato deveessere data solo notizia della disponibilità del referto e non anche del dettaglio della ti-pologia di accertamenti effettuati, del loro esito o delle credenziali di autenticazione as-segnate all’interessato.32 Prescrizioni del Garante art. 154, 1 c) del Codice - Strutture sanitarie: rispetto delladignità - 9 novembre 2005.33 Si ricorda che la copia cartacea conforme di documento informatico va sviluppata

47

secondo quanto richiesto dal CAD e, cioè, con l’attestazione di un pubblico ufficiale. Siriporta qui di seguito il contenuto dell’art. 23 comma 2-bis: Le copie su supporto carta-ceo di documento informatico, anche sottoscritto con firma elettronica qualificata o confirma digitale, sostituiscono ad ogni effetto di legge l’originale da cui sono tratte se laloro conformita’ all’originale in tutte le sue componenti e’ attestata da un pubblico uffi-ciale a ciò autorizzato.34 Il timbro digitale: una soluzione tecnologica per l’autenticazione di documenti stam-pati versione 2.0 - 18 dicembre 2006 – a cura di Francesco Grasso e Gaetano Santucci.35 Anche se è giusto sottolineare che nelle modifiche al Codice della amministrazionedigitale, che verranno a breve approvate dal Consiglio dei Ministri, è già previsto l’in-serimento di una specifica norma che regolamenti proprio gli aspetti del “timbro digitale”.In proposito, si ricorda che ci sono dei progetti sperimentali di utilizzo del timbro digi-tale nei rapporti PA-cittadini sviluppati dalla regione Emilia Romagna e dal Comune diMilano.

Una iniziativa

Edisef srlVia G. B. Falda, 3

00152 RomaT. 06.5895104

F. 06.58179316

[email protected]

manuale breve per la digitalizzazione dei documenti sanitari · siderazione nel sistema di...

Documents