Sei sulla pagina 1di 49

Manuale Breve per la Digitalizzazione

dei documenti sanitari:


i principi fondamentali da tenere in con-
siderazione nel sistema di conservazione
digitale dei documenti sanitari
di Andrea Lisi
Avvocato specializzato in Diritto dellInformatica e Presidente
dellAssociazione Nazionale Operatori e Responsabili della Con il patrocinio
Conservazione digitale dei documenti (ANORC) ANORC

Una pubblicazione 1
www.ehealthforum.it edisef.it
Pubblicazione del:
aprile 2010

2011 - Edisef
Via G.B. Falda, 3 - 00152 Roma Tel. 06.58.95.104
redazione@edisef.it

Tutti i diritti di traduzione, di riproduzione, di adattamento, totale o parziale,


con qualsiasi mezzo (compresi i microfilm e le copie fotostatiche) sono
riservati. Ogni permesso deve essere dato per iscritto dalleditore.
Manuale Breve per la Digitalizzazione
dei documenti sanitari

Prefazione ....................................................................................................3
1 Premesse. Privacy e digitalizzazione dei documenti sanitari ..............4
2 Il documento informatico..........................................................................8
2.1 Il documento analogico e il documento informatico..............................8
2.2 Il documento informatico nel codice dellamministrazione digitale ....10
2.3 Il documento informatico con firma elettronica
c.d. semplice ....................................................................................11
2.4 Il documento informatico con firma digitale o altro tipo
di firma elettronica qualificata ............................................................12
2.4.1 Il documento informatico con firma digitale autenticata ..............13
2.5 I sistemi di validazione: le firme elettroniche
e la firma digitale ................................................................................13
2.5.1 La Firma Digitale ........................................................................16
2.5.2 Il Fattore tempo nel documento informatico:
la Marca temporale e il Riferimento temporale............................20
3. I documenti sanitari................................................................................25
3.1 Il documento sanitario nella PA ..........................................................25
3.2 Tipologie documenti sanitari nei procedimenti
di archiviazione e conservazione........................................................29
3.2.1 Conservazione nel tempo dei documenti sanitari........................31
3.2.2. Sottoscrizione dei documenti informatici sanitari........................32
4. La conservazione digitale dei documenti ............................................33
4.1 La conservazione digitale dei documenti informatici e analogici ........33
4.2 Uno schema del processo di conservazione digitale
dei documenti ....................................................................................36
4.3 Il Responsabile della conservazione sostitutiva ................................38
4.4 Lesibizione alle autorit di controllo e la consegna
al paziente dei documenti conservati ................................................42
Note..............................................................................................................49

2
Prefazione
Nellultimo decennio la cosiddetta sanit elettronica ha rappresentato uno dei migliori
esempi di dematerializzazione.
Spesso la normativa di settore e quella specifica della dematerializzazione si sono co-
ordinate reciprocamente per garantire una sempre maggiore efficacia e efficienza, in un
contesto dove questi elementi sono basilari per ottenere risparmi. E sappiamo che il
contesto impiega cos elevate cifre che anche piccoli risparmi percentuali possono por-
tare a cifre significative.
Il 2010 lanno di un ulteriore passo in avanti. La nuova normativa sulla firma digitale
entrata in vigore il 3 dicembre 2009 e contiene numerosi elementi innovativi introdotti
specificamente per le esigenze della sanit elettronica.
Tra essi si possono evidenziare le nuove regole per la firma in linguaggio XML, che
contengono degli espliciti vincoli per consentire un uso concreto e interoperabile delle
regole dell HL7 CDA2.
Altre regole tutelano lutente che ha bisogno di firmare strutture dati complesse man-
tenendo pieno controllo di cosa sta firmando secondo il fondamentale principio del
what you see is what you sign.
Altre modifiche favoriscono la sottoscrizione con procedura automatica per quegli sce-
nari dove lutilizzo della smart card complesso o inefficiente, altre ancora la gestione
delle applicazioni e dei dispositivi di firma.
Nel 2010 avremo anche la riforma del CAD, attualmente in corso di elaborazione, con
le nuove previsioni normative per la gestione documentale e in generale per lefficienza
della pubblica amministrazione.
Quindi pu aumentare lofferta di sanit elettronica che dopo il CUP e il ritiro dei referti
on-line e altro, potr disporre di un fascicolo sanitario elettronico condivisibile tra me-
dico di base e strutture ospedaliere composite. Il documento potr essere fruibile via
wi-fi e la telemedicina ampliata in modo significativo. Il tutto con laggiornata cono-
scenza delle norme e delle tecnologie di base in continua evoluzione.
Questo e-book rappresenta in modo sintetico e chiaro quanto indispensabile per di-
stricarsi in questi nuovi settori fondamentali per la pubblica amministrazione ma anche
per il mercato che deve supportarla e fornire gli adeguati strumenti. Il tutto per un si-
stema sanitario pi economico, pi di qualit, pi sicuro e pi sostenibile.

Buona lettura
Giovanni Manca

3
Manuale Breve per la Digitalizzazione
dei documenti sanitari

I PRINCIPI FONDAMENTALI DA TENERE IN CONSIDERAZIONE NEL SISTEMA DI


CONSERVAZIONE DIGITALE DEI DOCUMENTI SANITARI ()
di Andrea Lisi (*)

1 Premesse. Privacy e digitalizzazione dei


documenti sanitari
Lo sviluppo della Societ dellInformazione e le ultime novit legislative
del Governo in materia di digitalizzazione dei documenti spingono sem-
pre di pi le strutture sanitarie italiane, pubbliche e private, verso lim-
plementazione di nuove infrastrutture informatiche per ottenere la piena
integrazione e condivisione di tutte le informazioni cliniche e ammini-
strative dei pazienti.
Il 2009 stato un anno importante in tale materia; anzi, si pu affer-
mare che si trattato di un anno di preparazione dove gli ultimi pezzi
di un puzzle molto complesso sono stati ricomposti e tale puzzle do-
vrebbe vedere finalmente la luce nel 2010: questanno dobbiamo at-
tenderci, quindi, una vera e propria rivoluzione1.
I principi fondamentali della dematerializzazione dei documenti sanitari
sono contenuti nelle norme generali in materia di conservazione digitale
dei documenti: Codice dellamministrazione digitale (D. Lgs. 82/2005,
qui di seguito pi brevemente CAD) e Deliberazione Cnipa 19 febbraio
2004 n. 11 (di seguito, pi brevemente, deliberazione CNIPA2).
La particolare natura della documentazione sanitaria prevede, per,
ladozione di particolari e indispensabili regole e accorgimenti sia sotto
il profilo della autenticit e della loro immodificabilit nel tempo, sia sotto

() Il presente e-book costituisce una rielaborazione aggiornata e sintetica del contributo


Digitalizzazione dei dati sanitari: la linea di confine tra norma e processi di demateria-
lizzazione, AA. VV., a firma dellavv. Andrea Lisi e dellavv. Simonetta Zingarelli pub-
blicato sul volume Sanit e Innovazione, 2009, Edisef.

4
il profilo della protezione dei dati personali sanitari contenuti in tali do-
cumenti.
Alla maggior parte di queste esigenze si cercato di rispondere attra-
verso le Linee Guida predisposte dal Ministero della Salute, ma non
ancora ufficialmente approvate3. Le Linee Guida (occupandosi princi-
palmente di Documentazione clinica di laboratorio e diagnostica per im-
magini) hanno individuato tre tipologie di documenti sottoponibili al
delicato processo di dematerializzazione: il referto, le immagini e il
c.d. referto strutturato, individuando per ogni tipologia documentale
tempi di conservazione e soggetti responsabili di tale attivit. Le stesse
Linee Guida si sono occupate, inoltre, di fascicolazione e scarto della
documentazione e di come autenticare e consolidare la documenta-
zione prima di sottoporla al processo di conservazione sostitutiva.
La conservazione in formato elettronico dei dati sanitari fa emergere
anche unulteriore problematica relativa alla privacy e alla sicurezza
dei dati archiviati, soprattutto per quanto riguarda il profilo connesso
alla protezione del dato da eventuali furti o intrusioni sia da parte di sog-
getti terzi non autorizzati, sia da parte degli stessi soggetti autorizzati
che, tuttavia, non possono agire in maniera libera e inconsapevole
senza alcuna forma di controllo4.
Il Codice Privacy (D. Lgs. 196/2003) al riguardo prevede una serie di
principi e comportamenti da rispettare quali lobbligo per il titolare del
trattamento dei dati personali di fornire una completa informativa al pa-
ziente sulle modalit e finalit del trattamento medesimo, garantire allo
stesso il potere di controllo dei suoi dati, assicurare un trattamento in
forma anonima laddove ci sia possibile, anche mediante forme di ano-
nimizzazione che rendano tali dati temporaneamente inintellegibili
anche a chi autorizzato. I dati sanitari di un soggetto, oltretutto, sono
spesso collegati con dati relativi ad altri soggetti, terzi rispetto allinte-
ressato (come lo stato di salute o le malattie pregresse dei suoi fami-
liari) e per questo lattenzione alla sicurezza informatica deve essere

5
Manuale Breve per la Digitalizzazione
dei documenti sanitari

massima.
Coscienti delle problematiche sollevate dal trattamento dei dati perso-
nali sanitari, gi i Garanti europei per la protezione dei dati avevano
adottato il 15 febbraio 2007 un documento di lavoro (00323/07/EN WP
131, Working Document on the processing of personal data relating to
health in electronic health records (EHR)), che spiega quali parametri
applicativi dovrebbero essere rispettati nellimplementazione e nella ge-
stione dei dati sanitari. Nelle Linee Guida dei Garanti UE sono state ri-
chieste elevate tutele per i dati sanitari, accessi sicuri e
autodeterminazione dei pazienti. Infatti, stato osservato che la crea-
zione di un sistema nazionale di sanit elettronica un obiettivo di rile-
vante interesse pubblico e il relativo trattamento dei dati personali deve
avvenire nel pieno rispetto dei principi di protezione a tutela dei dati
stessi.
Partendo dalle tematiche affrontate in sede europea, la nostra Autorit
Garante per la protezione dei dati personali ha a sua volta adottato due
documenti di grande attualit: le Linee Guida in tema di Fascicolo
elettronico e di dossier sanitario con delibera del 16 luglio 2009 e le
recentissime Linee guida in tema di referti on-line del 19 novembre
2009.
In relazione al trattamento di dati sanitari che, come noto, vengono de-
finiti dalla dottrina ultrasensibili, lautorit Garante, nel suo documento
del luglio 2009, ha voluto individuare un quadro unitario di misure e ac-
corgimenti necessari e opportuni da porre a garanzia di tutti i cittadini.
Le linee guida adottate si dividono in due parti principali: nella prima,
viene affrontato lo specifico argomento in materia di Fascicolo sanita-
rio elettronico e di dossier sanitario, strumenti questi che consentono
la condivisione informatica (da parte di distinti organismi o professioni-
sti) di dati e documenti sanitari che vengono formati, integrati e aggior-
nati nel tempo da pi soggetti, al fine di documentare tutti gli eventi
sanitari ovvero lintera storia clinica del paziente; mentre nella seconda

6
parte vengono elencate tutte le garanzie a tutela dellinteressato, quali
il diritto alla costituzione di un fascicolo sanitario elettronico o di un dos-
sier sanitario, lindividuazione dei soggetti che possono trattare tali dati
e laccesso agli stessi, le modalit attraverso cui esercitare i diritti del-
linteressato sui propri dati personali (art. 7 del Codice Privacy), i limiti
alla diffusione e al trasferimento allestero dei dati, linformativa e il con-
senso. Vista la particolare tipologia di dato trattato, inoltre, sono stati
previsti specifici accorgimenti tecnici per assicurare idonei livelli di si-
curezza (ai sensi dellart. 31 del Codice).
Particolare attenzione meritano le politiche di digitalizzazione dei re-
ferti, laddove i tempi di conservazioni di referti e immagini ex lege non
coincidono, ma le esigenze proprie della societ dellinformazione po-
trebbero richiedere una conservazione illimitata del referto digitale strut-
turato.
Digitalizzare i dati sanitari , quindi, possibile, anzi possiamo dire che
un percorso necessario e ineluttabile, ma solo una gestione attenta
alla sicurezza informatica di tali dati potr garantire un corretto tratta-
mento ai cittadini.
La seguente analisi mira pertanto a illustrare le modalit di archivia-
zione e conservazione digitale secondo la normativa sopra esposta,
evidenziando le peculiari caratteristiche dei documenti a cui tali norme
andranno applicate.
Ci premesso, per poter analizzare compiutamente le problematiche
del processo di archiviazione e conservazione digitale della documen-
tazione sanitaria, necessario descrivere brevemente le tematiche in
tema di documento informatico (come regolamentate nel CAD), ma
anche di archiviazione e costituzione del fascicolo informatico (D.P.R.
445/2000 e CAD), quindi, di conservazione sostitutiva (deliberazione
Cnipa) e analizzare cos le citate Linee guida mai adottate formalmente
dal Ministero della salute.

7
Manuale Breve per la Digitalizzazione
dei documenti sanitari

2 Il documento informatico
2.1 Il documento analogico e il documento informatico
Con lavvento dellinformatica e del computer, ci siamo trovati, infatti,
di fronte ad un nuovo tipo di scrittura, quella elettronica, dove il flusso
degli elettroni nel computer il nuovo inchiostro, i bits il nuovo alfabeto
e la memoria della macchina la nuova carta5. Ma la scrittura elettro-
nica, non , come da alcuni sostenuto, un tertium genus rispetto alle
altre forme despressione tradizionali (scritta e verbale): limportante
che il documento, comunque scritto, lasci consapevolmente una trac-
cia duratura e, quindi, risulti leggibile la dichiarazione ivi contenuta, tanto
al momento in cui la si scrive, quanto a distanza di tempo: il tipo di al-
fabeto e il supporto usato non contano.
La scrittura si , quindi, evoluta e con essa si evoluto anche il docu-
mento, ossia lelemento dalla lettura del quale possibile recepire
un dato significativo6.
Possiamo, quindi, oggi parlare di documento analogico7 (quello
emesso secondo i metodi tradizionali su carta, pellicole fotografiche,
cassette o nastri magnetici) e di documento digitale (composto da un
insieme di cifre - bit - utilizzate in una precisa sequenza cos da assu-
mere un determinato significato e memorizzate su di un supporto elet-
tronico, magnetico o ottico).
Dopo un excursus normativo partito nei primi anni 90, nel 2000 veniva
emanato il Testo Unico in materia di Documentazione Amministrativa
(nel seguito anche T.U. 445/2000 o, pi semplicemente, T.U.D.A.), nel
quale si enunciava la definizione di documento informatico che rima-
sta inalterata in questi anni ed ora accolta nel CAD: secondo tale de-
finizione il documento informatico la rappresentazione informatica
di atti, dati, fatti giuridicamente rilevanti.
Si ribadisce, cos, la non essenzialit del supporto quanto al contenuto
del documento informatico su cui registrato, anche se la qualit del

8
supporto rimane, comunque, rilevante ai fini del giudizio sullaffidabilit
del documento stesso dal punto di vista della cancellabilit e dellalte-
rabilit di quanto in esso registrato, come implicito nelle disposizioni
del predetto Codice che esamineremo nei successivi paragrafi.

2.2 Il documento informatico nel codice dellamministrazione


digitale
Il Codice dellAmministrazione Digitale (come corretto dal decreto le-
gislativo 159/20068), che raccoglie la normativa in merito, riconosce la
rilevanza di quattro tipologie di documento informatico:
il documento informatico sprovvisto di firma
il documento informatico con firma elettronica semplice
il documento informatico con firma elettronica qualificata/firma
digitale
il documento informatico con firma digitale autenticata.
La prima e pi semplice tipologia documentale che si incontra nel Co-
dice il documento informatico non sottoscritto. Come detto in prece-
denza, nel nuovo corpus normativo stata confermata la definizione di
documento informatico quale rappresentazione di atti, fatti o dati giu-
ridicamente rilevanti (art. 1, lett. p).
Per quel che qui maggiormente interessa ai nostri fini, occorre riportare
subito il dettato del comma 1-bis dellarticolo 20 del Codice che cos re-
cita: lidoneit del documento informatico a soddisfare il requisito della
forma scritta liberamente valutabile in giudizio, tenuto conto delle sue
caratteristiche oggettive di qualit, sicurezza, integrit ed immodifica-
bilit, fermo restando quanto disposto dal comma 2. Dalla semplice
lettura di questa disposizione normativa appare evidente come lintento
del legislatore sia stato quello di ampliare il pi possibile il novero dei
documenti informatici in grado di soddisfare il requisito della forma
scritta, un intento ampiamente condivisibile, anche al fine di salva-
guardare le prassi riscontrabili nella contrattazione online dettate da

9
Manuale Breve per la Digitalizzazione
dei documenti sanitari

esigenze di rapidit e celerit non incentrate sullutilizzo della firma di-


gitale.
I documenti informatici privi di firma digitale vanno ricondotti tra le ri-
produzioni fotografiche o cinematografiche, le registrazioni fonografi-
che e, in genere, ogni altra rappresentazione meccanica di fatti o cose,
la cui efficacia probatoria disciplinata dallarticolo 2712 c.c. (CASS.
CIV., 6.12.2001, n. 11445, in Rep. Foro It., 2001- si tenga conto che al
tempo dei fatti di causa non esisteva altro tipo di sottoscrizione elettro-
nica validamente riconosciuta nel nostro ordinamento n.d.a). In caso di
disconoscimento, concernendo fatti e non regole, questo non preclude
al giudice di utilizzare liberamente il documento, apprezzandone lat-
tendibilit, per formare il proprio convincimento.

2.3 Il documento informatico con firma elettronica c.d.


semplice
Quella della firma elettronica c.d. semplice allinterno del nostro ordi-
namento una storia travagliata che ha la sua genesi nella la direttiva
1999/93/CE, laddove era definita come linsieme dei dati in forma elet-
tronica, allegati oppure connessi tramite associazione logica ad altri
dati elettronici, utilizzati come metodo di autenticazione. La direttiva
veniva poi recepita nellordinamento italiano con il D.lgs. 10/2002, cui
seguiva il D.P.R. 137/2003 che ne segnava formalmente lingresso nel
panorama giuridico nazionale interrompendo il monopolio della firma
digitale nellambito delle sottoscrizioni elettroniche legalmente ricono-
sciute.
Successivamente, con il D.lgs. 159/2006, recante modificazioni ed in-
tegrazioni al Codice dellAmministrazione Digitale, stata apportata
una variazione alla definizione di firma elettronica, sostituendo
lespressione autenticazione informatica con quella di identificazione
informatica9. La nuova definizione chiarisce che la firma elettronica
semplice non ha solo lo scopo di validare gli atti su cui apposta, ma

10
ha anche e soprattutto compiti di authentication, quindi, identificativi
del soggetto che lha emessa.
Per quanto attiene agli effetti probatori, il primo comma dellarticolo 21
del CAD, sempre sulla scorta della previsione comunitaria (direttiva
1999/93/CE, art. 5, comma 2) che imponeva agli Stati membri di non
considerare inefficace e irrilevante il documento informatico con firma
elettronica semplice, ha statuito che lo stesso liberamente valutabile
in giudizio, tenuto conto delle sue caratteristiche oggettive di qualit e
sicurezza, integrit ed immodificabilit.

2.4 Il documento informatico con firma digitale o altro tipo di


firma elettronica qualificata
Il documento informatico cui apposta una firma digitale o altro tipo di
firma elettronica qualificata soddisfa il requisito della forma scritta, ex
art. 20, comma 2, CAD, anche nei casi previsti, sotto pena di nullit,
dallarticolo 1350, primo comma, numeri da 1 a 12, c.c.. Per quanto at-
tiene allefficacia probatoria, prevede, allart. 21, comma 2, che Il do-
cumento informatico, sottoscritto con firma digitale o con altro tipo di
firma elettronica qualificata, ha lefficacia prevista dallarticolo 2702 del
codice civile. Lutilizzo del dispositivo di firma si presume riconducibile
al titolare, salvo che questi dia la prova contraria.

2.4.1 Il documento informatico con firma digitale autenticata


Larticolo 25 del Codice dellAmministrazione Digitale prevede che si
abbia per riconosciuta, ex articolo 2703 c.c., la firma digitale o altro tipo
di firma elettronica qualificata autenticata dal notaio o altro pubblico uf-
ficiale a ci autorizzato.
Lautenticazione consiste nellattestazione, da parte del pubblico uffi-
ciale, che la firma sia stata apposta in sua presenza dal titolare, previo
accertamento della sua identit personale, della validit del certificato
elettronico utilizzato e del fatto che il documento sottoscritto non sia in

11
Manuale Breve per la Digitalizzazione
dei documenti sanitari

contrasto con lordinamento giuridico.


Come si pu notare, a differenza del documento cartaceo, la portata
dellautenticazione non limitata allattestazione da parte del pubblico
ufficiale che la firma stata apposta in sua presenza dal titolare previo
accertamento dellidentit, ma estesa alla validit del certificato rila-
sciato al titolare della firma e, soprattutto, al fatto che il documento non
in contrasto con lordinamento giuridico.

2.5 I sistemi di validazione: le firme elettroniche e la firma


digitale
Il riconoscimento del documento come atto scritto implica che esso
rechi la sottoscrizione autografa del suo autore, unico e sicuro segno
secondo il nostro ordinamento della attribuibilit dellatto a un determi-
nato soggetto e della volont di questi di rendersi responsabile del suo
contenuto. Ma se nel documento cartaceo la riferibilit della firma al
suo autore resa certa dalla stessa fisicit del foglio, contenente, sopra
il testo e, sotto, la firma; invece, a mezzo del computer sarebbe estre-
mamente agevole per chi volesse falsificare un documento, riportare in
automatico, in calce a un determinato testo stampato, la firma auto-
grafa della persona cui lo si intendesse attribuire, prelevando la firma
da un documento originale, realizzando cos una sorta di fotomontag-
gio elettronico (SCIALDONE).
La scienza informatica ha dunque dovuto creare nuove modalit di sot-
toscrizione del documento (informatico) che fossero in grado di ovviare
agli inconvenienti sopra indicati: nasce cos la c.d. firma elettronica. Il
concetto di firma elettronica tuttavia molto ampio e include tutte le
tecniche utilizzate per identificare una persona in ambiente elettronico
e pu essere espresso nei seguenti termini: la firma elettronica consi-
ste in qualsiasi marcatura elettronica che indichi lidentit di un soggetto
da considerarsi firmatario del documento. A titolo meramente esempli-
ficativo possono essere definite come firme elettroniche labbinamento

12
(*) Il formato Adobe PDF permette, in realt, di inserire la firma elettronica allinterno del file e non come alle-
gato. Tale formato stato riconosciuto pienamente valido per la firma digitale ai sensi dellArt. 12, comma 9, della
deliberazione CNIPA n. 4/2005 mediante la stipula di un Protocollo dIntesa sottoscritto il 16 Febbraio 2006 dal
CNIPA (confermato nella deliberazione CNIPA 21 maggio 2009) e da Adobe Systems Inc. Le specifiche del for-
mato PDF sono disponibili pubblicamente e gratuitamente sul sito web di Adobe Systems (in lingua inglese). Ov-
viamente il formato P7M ha ancora piena validit legale.

13
Manuale Breve per la Digitalizzazione
dei documenti sanitari

user id - password, tecnologie biometriche, quali la scannerizzazione


della retina, tecnologie crittografiche e qualunque altro strumento in
grado di adempiere alla funzione sopra descritta.
La differenza fondamentale che intercorre tra le diverse tipologie di
firma elettronica rappresentata, oltre che dalla tecnologia utilizzata,
anche dalla loro maggiore o minore capacit di assicurare la presenza
di tutti gli elementi richiesti per garantire la manifestazione di volont da
parte del soggetto firmatario, nonch lintegrit e l immodificabilit del
documento cos firmato.
La soluzione tecnica in grado di garantire maggiormente la presenza
degli elementi da ultimo richiamati rappresentata, allo stato attuale,
dalla firma digitale.10

2.5.1 La Firma Digitale


E essenziale conoscere nel dettaglio e in modo concreto il funziona-
mento della firma digitale, perch tale processo risulta essere il pre-
supposto indispensabile per comprendere le ragioni che sono alla base
del sistema di conservazione digitale dei documenti informatici previsto
dal nostro legislatore.
La firma digitale un particolare tipo di sottoscrizione elettronica ba-
sata su un sistema di chiavi asimmetriche a coppia, pubblica e privata,
che consente al titolare tramite la chiave privata e al destinatario tramite
la chiave pubblica, rispettivamente di rendere manifesta e di verificare
la provenienza e lintegrit di un documento informatico o di un insieme
di documenti informatici.
Sulla base della definizione sopra riportata proviamo, ora, a compren-
dere come funziona la firma digitale, cio come si pu dare ad un do-
cumento informatico la certezza sullidentit del firmatario e sullintegrit
del contenuto.
Innanzitutto il cifrario asimmetrico: esso fondato sulluso di due
chiavi diverse, generate insieme nel corso di un unico procedimento.

14
Una delle due chiavi serve per cifrare (chiave diretta), laltra per deci-
frare (chiave inversa).
Le propriet fondamentali di un tale sistema sono:
non si pu decifrare il testo con la stessa chiave usata per cifrarlo;
le due chiavi sono generate con la stessa procedura e correlate uni-
vocamente;
conoscendo una delle due chiavi non c nessun modo di ricostruire
laltra.
In tal modo una delle due chiavi pu essere resa pubblica, mentre lal-
tra deve essere mantenuta segreta.
A questo punto il sistema pi elementare per garantire al terzo la pro-
venienza e lintegrit del documento sarebbe quello di inviargli un testo
chiaro insieme ad una versione dello stesso cifrata con la chiave privata
del mittente. Il destinatario sarebbe chiamato a decifrare il testo con la
chiave pubblica del mittente e, se i due testi risultassero uguali, otter-
rebbe entrambe le certezze sullidentit del mittente e sullintegrit del
contenuto.
Tuttavia un sistema del genere lento, perch bisognerebbe cifrare e
decifrare tutto il documento, operazione che pu richiedere molto tempo
anche perch strettamente connessa alle capacit dellelaboratore
utilizzato.
Per ovviare ad un simile inconveniente si ricorre allora a una semplifi-
cazione che consiste nel cifrare solo un brevissimo riassunto del testo
stesso, ottenuto con una procedura detta funzione di hash: tale fun-
zione restituisce pochi caratteri che costituiscono limpronta del testo
(digest).

15
Manuale Breve per la Digitalizzazione
dei documenti sanitari

Se alla fine della procedura limpronta che risulta dalla decifratura con
la chiave pubblica del mittente uguale a quella che si ottiene appli-
cando la funzione di hash al testo chiaro, vuol dire che esso proviene
da chi appare come il titolare della chiave pubblica e che non stato al-
terato dopo la generazione della firma digitale.
Quanto delineato ruota attorno a un perno centrale che quello della
conoscibilit della chiave pubblica, con il corollario della sua atten-
dibilit.
Se la comunicazione deve svolgersi tra due soggetti che si conoscono,
essi possono direttamente scambiarsi le rispettive chiavi pubbliche. Ma
il grande vantaggio dei sistemi di crittografia a chiave asimmetrica
proprio la possibilit di rendere pubblica una delle due chiavi, consen-
tendo a chiunque di controllare che un messaggio provenga proprio dal

Tizio invia a Caio un file .p7m contenente loriginale insieme al-


limpronta di questultimo crittografata con la propria chiave pri-
vata.

16
titolare dellaltra chiave - quella privata - e che non sia stato alterato o
contraffatto.
Naturalmente la pubblicazione e il controllo delle chiavi si svolgono per
via telematica, accedendo ad appositi registri, che costituiscono il punto
critico del sistema. Infatti, indispensabile che i gestori di questi regi-
stri siano soggetti assolutamente scrupolosi e fidati e che siano, in qual-
che modo, a loro volta, certificati. Altrimenti sarebbe assai agevole per
un malintenzionato pubblicare una chiave facendosi passare per un
altro o contraffare chiavi altrui, con o senza la complicit del gestore
del registro, con il risultato che dalla massima sicurezza consentita dalla
crittografia a chiave asimmetrica si passi alla massima insicurezza che
deriva dalla malafede, o pi semplicemente dalla negligenza, aggra-
vate dallimpossibilit di distinguere i bit veri da quelli falsi.
Dunque in tutto il processo della firma digitale necessario lintervento
di una terza parte fidata (trusted third part), generalmente nota
come Certification Authority (nel nostro ordinamento il certificatore)
che ha il compito di gestire il database delle chiavi pubbliche e dei re-
lativi certificati delle chiavi ed ha la responsabilit di procedere al-
lidentificazione del soggetto che richiede la certificazione.
Linsieme costituito dai soggetti indicati (utente, certificatore, destinata-
rio ecc.), il modo con il quale ciascuno di essi assolve al proprio ruolo
e le modalit di utilizzazione delle tecnologie disponibili, costituisce la
PKI (Public Key Infrastructure), linfrastruttura di chiave pubblica.

2.5.2 Il Fattore tempo nel documento informatico: la Marca tem-


porale e il Riferimento temporale
Con la diffusione delle tecniche di firma elettronica la corretta registra-
zione temporale del momento in cui apposta la firma ad un docu-
mento fondamentale per completare il processo di firma.
Per i documenti cartacei larticolo 2704 del codice civile prevede che la
data della scrittura privata non autenticata non certa e computabile ri-

17
Manuale Breve per la Digitalizzazione
dei documenti sanitari

guardo ai terzi se non dal giorno in cui si sia verificato un fatto da cui
possa presumersi, in modo inequivocabile, lanteriorit della formazione
del documento cartaceo rispetto alla data che le parti vi hanno apposto.
Per i documenti informatici il CAD definisce un nuovo strumento, quello
della validazione temporale definendola come il risultato della pro-
cedura informatica con cui si attribuiscono, ad uno o pi documenti in-
formatici, una data ed un orario opponibili ai terzi (articolo 1, comma I,
lett. b): tale validazione temporale assume, nei riguardi del documento
informatico, la funzione di disciplinare le modalit di computazione della
data rispetto ai terzi, in modo analogo a quanto previsto per il docu-
mento cartaceo: con la validazione viene apposto sul documento infor-
matico un segno digitale che ha lo scopo di rendere certa ed
opponibile ai terzi la data (e lora) di formazione del documento.
Le Regole tecniche in materia di generazione, apposizione e verifica
delle firme digitali e validazione temporale dei documenti informatici
oggi contenute nel D.P.C.M. 30 marzo 2009 definiscono siffatto segno
quale marca temporale (time stamping): in sostanza, la marca tem-
porale una firma digitale di un certificatore che viene apposta ad un
documento informatico e contiene una serie di indicazioni, le pi im-
portanti delle quali sono la data e lora di generazione della marca
stessa e il valore dellimpronta del documento.
Quando firmiamo un documento cartaceo indichiamo sempre un riferi-
mento temporale, sotto forma di data. Con la Firma Digitale il riferimento
temporale viene apposto al documento firmato sotto forma di una Marca
Temporale rilasciata da una entit che garantisce una data e ora certe
(TSA - Time Stamp Authority), secondo lo standard internazionale RFC-
316111.
Va, infine, sottolineato che il time stamping certifica solo se stesso
in relazione al documento e non d alcuna indicazione del momento in
cui il documento stesso stato formato o inviato. In pratica, lopera-
zione per apporre una marca temporale ed ottenere cos la validazione

18
temporale di un documento informatico si svolge normalmente in via
telematica, attraverso lutilizzo di apposito software (solitamente lo
stesso software di firma digitale) con il quale si seleziona il documento
dinteresse, si genera la richiesta di validazione temporale e la si tra-
smette al servizio di marcatura temporale. Questultimo in automatico
appone la marca temporale, la sottoscrive con firma digitale e restitui-
sce il relativo file allutente.
La successiva verifica della data di un documento informatico oggetto
di validazione temporale pu essere compiuta velocemente e facil-
mente da chiunque disponga del documento e della relativa marca tem-
porale, attraverso linterrogazione telematica dei registri dei certificatori
allo scopo di evidenziare eventuali revoche o sospensioni che possano
inficiare la persistente efficacia della validazione temporale.
La datazione del documento informatico, e in particolare della sotto-
scrizione informatica rileva, altres, sotto un altro e complementare
aspetto: quello del mantenimento della sua efficacia probatoria. Mentre
una sottoscrizione su carta mantiene lo stesso valore probatorio nono-
stante il trascorrere del tempo, una firma digitale destinata fin dal-
linizio a perdere sicurezza ed efficacia probatoria a seguito della
necessaria scadenza del certificato elettronico su cui fondata o per un
eventuale revoca o sospensione dello stesso. Si tratta di un elemento
drammaticamente nuovo che, dunque, pone problematiche finora ine-
splorate per il giurista.
Una firma digitale, infatti, di per s non contiene alcuna connotazione
di carattere temporale opponibile e, pertanto, una firma apposta dopo
la scadenza (o revoca, o sospensione) del relativo certificato non sa-
rebbe tecnicamente riconoscibile e distinguibile da una firma apposta
validamente in un momento anteriore (ZAGAMI).
A seguito di cessazione di validit del certificato, per tutte le relative
firme trova applicazione quanto disposto dallart. 21, comma 3, del CAD
in forza del quale: Lapposizione ad un documento informatico di una

19
Manuale Breve per la Digitalizzazione
dei documenti sanitari

firma digitale o di un altro tipo di firma elettronica qualificata basata su


un certificato elettronico revocato, scaduto o sospeso equivale a man-
cata sottoscrizione.
Per evitare quanto sopra necessario che il documento cui stata ap-
posta la firma digitale sia stato oggetto di validazione temporale, natu-
ralmente in un momento anteriore alla scadenza (o alla revoca o
sospensione) del certificato su cui la firma in questione si basa. Tanto
si desume dal disposto dellart. 51, d.p.c.m. 30 marzo 2009, che cos
recita: La firma digitale, ancorch sia scaduto, revocato o sospeso il re-
lativo certificato qualificato del sottoscrittore, valida se alla stessa
associabile un riferimento temporale opponibile ai terzi che colloca la
generazione di detta firma digitale in un momento precedente alla so-
spensione, scadenza o revoca del suddetto certificato.
La validazione temporale dei documenti informatici rappresenta, dun-
que, uno strumento essenziale per la conservazione e gestione degli ar-
chivi di documenti informatici sottoscritti, al fine di mantenere la loro
efficacia probatoria e consentirne la verifica anche a distanza di anni.
Se perde validit la firma digitale, a causa della perdita di validit del re-
lativo certificato, viene meno lefficacia probatoria per essa prevista dal-
lart. 21 CAD e il documento degrada allefficacia ex art. 2712 c.c.. La
perdita di efficacia della firma non inficia per la forma dellatto, quale
attivit storicamente compiuta (ZAGAMI): per certi versi come se, giu-
ridicamente, si fosse in presenza di unaccidentale distruzione del do-
cumento. Questa non fa venire meno la dichiarazione che nel
documento era stata rappresentata. Ci che viene meno , infatti, sol-
tanto la rappresentazione materiale della dichiarazione (PATTI). Pertanto,
nel caso in cui la forma fosse originariamente richiesta ad substantiam,
ci non toglie che tale forma sia stata a suo tempo rispettata.
Per concludere si detto che la validazione temporale non niental-
tro che unattestazione garantita dalla firma digitale del soggetto emit-
tente, il certificatore. Ne consegue che le stesse marche temporali sono

20
soggette a scadenza e, dunque, a cessazione di validit, in modo del
tutto analogo ai certificati di firma dei quali sarebbero chiamate ad
estendere lefficacia nel tempo.
Per mantenere lefficacia di una validazione temporale e delle firme di-
gitali da questa garantite, occorre procedere ad una periodica rinnova-
zione, da operare prima dellultima scadenza della relativa marca
temporale.
Per completezza doveroso ricordare che il nostro ordinamento ha in-
dividuato anche un altro sistema di validazione temporale, il cd. riferi-
mento temporale.
Questultimo stato introdotto dalla deliberazione AIPA 42/01 (ribadito
dalla deliberazione CNIPA 11/04, cos come dal DMEF 23 gennaio
2004, dalla successiva Circolare dellAgenzia delle Entrate 36/E del 6
dicembre 2006 e dalla Circolare n. 20/2008 del Ministero del Lavoro) e
viene definito come informazione, contenente la data e lora, che viene
associata ad uno o pi documenti informatici. La deliberazione CNIPA
precisa che loperazione di associazione deve rispettare le procedure
di sicurezza definite e documentate, a seconda della tipologia dei do-
cumenti da conservare, dal soggetto pubblico o privato che intende o
tenuto ad effettuare la conservazione digitale ovvero dal responsabile
della conservazione nominato dal soggetto stesso.
In sostanza, e allo stato attuale della normativa, il riferimento temporale,
per il nostro ordinamento giuridico, una semplice annotazione, effet-
tuata secondo le regole stabilite nel Manuale della conservazione, che
attesta il momento in cui viene chiuso o il processo di emissione/for-
mazione del documento informatico o il processo di conservazione di-
gitale (anche se per la chiusura del processo di conservazione rimane
assolutamente consigliabile lutilizzo di una marca temporale).

21
Manuale Breve per la Digitalizzazione
dei documenti sanitari

3. I documenti sanitari
3.1 Il documento sanitario nella PA
Analizzando i processi di digitalizzazione dei documenti sanitari, non si pu
non accennare alle modalit di protocollazione e archiviazione degli stessi
come previste dal D.P.R 445/2000 e dal CAD.
La corretta archiviazione dei dati, oltre a consentire la semplificazione
di tutti i procedimenti amministrativi, consente anche di garantire linte-
grit e lidentificazione univoca e certa dei documenti e, quindi, linte-
roperabilit tra di essi, in modo da assicurare la reperibilit del
documento ricercato e la certezza della sua validit giuridica e rispon-
denza al criterio di ricerca. Inoltre, con specifico riferimento ai docu-
menti sanitari indubbio che lattivit di cura comporta una complessa
gestione amministrativa dei procedimenti alla base della documenta-
zione prodotta che investono un settore di estrema importanza, quale
quello della salute del cittadino.
La gestione di tale documentazione sia essa di carattere sanitario o
amministrativo, va affrontata, dunque, con strumenti omogenei. La cor-
retta classificazione dei documenti sanitari garantisce,infatti, la certezza
sullautenticit del documento stesso.
Ogni Ente o struttura sanitaria dovr, quindi, avviare la procedura di ar-
chiviazione attraverso le modalit del protocollo informatico, laddove
previsto, secondo le norme contenute nel D.P.R. 445/200012, eliminando
i problemi di certificazione e conformit degli originali cartacei attra-
verso lutilizzo delle regole di formazione del documento informatico, di
corretta archiviazione e di trasmissione telematica di tali documenti.13
Occorre, quindi, avviare un procedimento di gestione degli archivi con
lassunzione del protocollo operando una ridefinizione e una riorganiz-
zazione del ciclo di vita del documento amministrativo, dalla sua archi-
viazione fino alla fase della sua conservazione e una conseguente
riqualificazione dei modelli organizzativi e professionali14. necessario,

22
quindi, individuare le Aree Organizzative Omogenee, istituire un Proto-
collo generale, istituire il Servizio archivistico, individuare i responsabili
dei processi di gestione documentale, monitorare e valutare la qualit
degli strumenti archivistici nei progetti di gestione informatica dei do-
cumenti, redigere un manuale di gestione etc..15 In un corretto sistema
di archiviazione e conservazione digitale, anche i documenti non sog-
getti a protocollazione dovranno comunque essere identificati attra-
verso una procedura di classificazione dellente di appartenenza16.
I documenti sanitari dovranno essere individuati attraverso alcuni spe-
cifici elementi:
i dati di provenienza (organizzazione responsabile/autore);
le componenti logiche interne;
la registrazione univoca e con data certa che testimoni in modo in-
controvertibile lavvenuta
acquisizione allarchivio;
le relazioni documentarie che identificano le modalit di accumula-
zione, formazione e organizzazione stabile dellarchivio (classifica-
zione e fascicolazione, accessibilit, tempi di conservazione,
procedure di riversamento e di validazione e relative responsabilit).17
Per quanto riguarda la dematerializzazione del cartaceo, i processi
della PA necessitano anche di un raccordo con il Ministero dei beni cul-
turali. Infatti, i processi di dematerializzazione degli archivi amministra-
tivi cartacei vengono elaborati in modo da stabilire le procedure di scarto
da attivare periodicamente sui vari archivi e, quindi, ridurre dove pos-
sibile la quantit di documenti da conservare.
Non si pu non tenere presente quanto stabilito dallart. 10 del D.Lgs.
22 gennaio 2004, n.42, secondo il quale sono definiti beni culturali gli
archivi dei singoli documenti di tutte le amministrazioni e gli enti pubblici,
di cui lamministrazione archivistica ha funzioni di vigilanza e tutela. Oc-
corre, dunque, in questi procedimenti prestare molta attenzione alle at-
tivit di selezione e scarto della documentazione amministrativa.

23
Manuale Breve per la Digitalizzazione
dei documenti sanitari

Impostare una corretta operazione di scarto significa, infatti, ridurre il


materiale cartaceo da conservare e, quindi, minimizzare i tanti problemi
relativi alla sua corretta archiviazione cartacea.
Di conseguenza la vera digitalizzazione dei documenti amministrativi,
con successiva conservazione sostitutiva (intesa appunto come distru-
zione del cartaceo in seguito ad una politica di sostituzione del cartaceo
con la sua esatta immagine digitale) dovrebbe riguardare i soli docu-
menti che residuano allo scarto.
I documenti da proporre per lo scarto sono individuati dalle Commissioni
di sorveglianza sugli archivi istituite in ogni amministrazione, ex DPR 8
gennaio 2001, n. 37, le cui competenze risultano essenziali nel definire
e governare i criteri e le pratiche di selezione della documentazione.18
Lo scarto di documenti darchivio pu essere proposto quando si veri-
ficano due condizioni: lesaurimento dellutilit giuridico - amministra-
tiva dei documenti e la mancanza di interesse storico del documento.
chiaro che questa problematica riguarda solo i documenti nativa-
mente cartacei da conservare in maniera digitale e sostitutiva in modo
da liberare gli archivi fisici; mentre se un documento nasce informatico
(con o senza firma digitale) dovrebbe essere conservato in formato na-
tivo digitale (inteso come originale informatico), senza che ci sia mai
un obbligo di materializzazione cartacea19.

3.2 Tipologie documenti sanitari nei procedimenti di


archiviazione e conservazione
Per analizzare le modalit di conservazione sostitutiva dei documenti
sanitari non pu che tenersi conto delle gi pi volte citate Linee Guida
sviluppate in seno al Ministero della Salute, ma mai adottate e pubbli-
cate ufficialmente. Tale documento seppur non ancora emanato, al mo-
mento pu sicuramente essere preso come riferimento pratico per le
regole da applicare nello sviluppo dei processi di conservazione dei do-
cumenti sanitari, in attesa di norme di legge che probabilmente non tar-

24
deranno ad arrivare in considerazione anche degli ultimi provvedimenti
del legislatore in materia di conservazione sostitutiva.
Per comprendere al meglio le problematiche della conservazione so-
stitutiva della documentazione sanitaria utile partire dalla distinzione
delle varie tipologie dei documenti.
Come descritto nelle linee guida del Ministero della Salute , infatti, op-
portuno distinguere tra documentazione diagnostica per immagini
(referto, referto strutturato e immagini) e documentazione di labora-
torio di analisi (referto di medicina di laboratorio).
Per referto si intende secondo lart. 3 del D.M. 14.2.97, (quale norma di
attuazione prevista dallart. 111, comma 10 del D.Lgs. n. 230 del
17.3.95), la documentazione radiologica. In base a tale decreto il reso-
conto radiologico latto scritto con cui il medico formula linterpreta-
zione dellimmagine ottenuta dagli esami diagnostici; i documenti
radiologici sono invece le immagini che rappresentano un dato.
Secondo le linee guida del ministero questa diversificazione anche nor-
mativa tra le due tipologie di referti non avr pi ragione di esistere in
considerazione delle nuove tecnologie di gestione elettronica dei dati.
Si dovr, piuttosto parlare di referto strutturato, che dovr essere in-
teso come linsieme del referto e delle immagini.
Il referto strutturato consente quindi di formare un ipertesto in cui siano
presenti
dati anagrafici del paziente;
specifiche note anamnestiche;
quesito clinico;
descrizione della tecnica dellindagine radiologica;
descrizione dei reperti radiologici;
diagnosi conclusiva;
immagini direttamente prodotte dalla modalit e ritenute di partico-
lare interesse da parte dello specialista radiologo o medico nucleare,
in base alle quali lo specialista ha formulato la sua diagnosi;

25
Manuale Breve per la Digitalizzazione
dei documenti sanitari

ogni tipo di elaborazione, ricostruzione, riformattazione operato dallo


specialista radiologo o medico nucleare al fine di ottenere la diagnosi,
ivi comprese le varie modificazioni di valori di finestra e livello abi-
tualmente utilizzate per la definizione di strutture anatomiche diffe-
renti; di queste modifiche si deve tenere traccia nellarchivio digitale
con rappresentazione dei differenti stati di presentazione.20
Il referto strutturato dovr seguire la stessa normativa cui sono sotto-
posti gli attuali referti testuali.
Le immagini sono regolamentate dallart. 4 del D.M. 14.02.97, il quale
stabilisce che la documentazione iconografica in ragione dellevoluzione
tecnologica potr essere acquisita anche con modalit digitali e, quindi,
sia su supporti cartacei, su pellicole radiografiche e sia su supporti elet-
tronici. Le immagini elettroniche dovranno seguire un protocollo in cui
vengono associate ad altre informazioni, dati del paziente, modalit di
acquisizione modalit di visualizzazione, e dunque conservate secondo
la normativa vigente. Per quanto riguarda la documentazione di labo-
ratorio di analisi, il referto di medicina il risultato della richiesta speci-
fica di esami clinici.

3.2.1 Conservazione nel tempo dei documenti sanitari


A questa classificazione dei documenti consegue la loro conservazione
nel tempo.
La normativa prevede delle profonde differenze di durata nel tempo
delle tipologie di documenti su esposti: mentre i referti devono essere
tenuti e conservati per un tempo illimitato; le immagini per un minimo
di dieci anni21.
Risulta responsabile per il documento analogico la direzione sanitaria;
per il documento elettronico portato in conservazione digitale tale atti-
vit potr/dovr essere delegata al responsabile della conservazione
ex art. 5 Deliberazione Cnipa.
Per quanto concerne i tempi di conservazione dei referti di diagnostica

26
di laboratorio, non essendovi previsione normative specifiche, si appli-
cheranno per analogia le norme in ambito radiologico.

3.2.2. Sottoscrizione dei documenti informatici sanitari


Preliminarmente necessario sottolineare come, in realt, la concreta
redazione del referto sia una fase preliminare al ciclo di vita del docu-
mento informatico: qualsiasi documento sanitario elettronico dovr es-
sere sottoscritto con firma digitale di chi lo ha formato ed da tale
momento che comincia a nascere quale documento informatico che
appartiene a qualcuno che lo ha correttamente formato.
La firma digitale dei referti di laboratorio identifica la responsabilit del
direttore del servizio, ma anche lautenticit del documento e concorre
a formare la stessa cartella clinica del paziente.
Anche il referto di diagnostica comporta lapposizione della firma digi-
tale. Da tale momento il documento informatico dovr essere imme-
diatamente archiviato con lapposizione di un identificativo univoco e
successivamente sottoposto al procedimento di conservazione sostitu-
tiva.
Sar compito del Responsabile della Conservazione definire sia i tempi
che intercorreranno fra larchiviazione e la conservazione sostitutiva sia
le misure minime e idonee a garantire lintegrit e la sicurezza del do-
cumento informatico al momento della sottoscrizione.
E necessario rilevare che ai fini del valore probatorio del documento in-
formatico, al momento della sua sottoscrizione deve essere utilizzato un
certificato qualificato in corso di validit, quindi, non revocato o sospeso.
Giunti a questo punto opportuno analizzare pi dettagliatamente le
modalit di conservazione digitale dei documenti informatici sanitari.
Le norme applicabili sono, come gi premesso, le norme del Codice
dellamministrazione digitale e della deliberazione Cnipa del 19 febbraio
2004 n. 11.

27
Manuale Breve per la Digitalizzazione
dei documenti sanitari

4. La conservazione digitale dei documenti


4.1 La conservazione digitale dei documenti informatici e
analogici
La conservazione sostitutiva (o meglio digitale) di documenti in-
formatici o analogici pu essere definita come quel procedimento che
permette di assicurare la validit legale nel tempo a un documento in-
formatico o a un documento analogico digitalizzato. Essa consente di
conferire la stessa efficacia giuridica dei documenti cartacei a quelli in-
formatici. Conservare digitalmente il documento analogico vuol dire,
dunque, sostituire questultimo con il medesimo documento in formato
digitale, impedendo attraverso particolari accorgimenti tecnico/giuridici,
quali la firma digitale e la marca temporale, che il suo contenuto o la
forma vengano in qualche modo modificati o alterati. La firma digitale
del Responsabile della conservazione serve a validare il processo di
conservazione, rendendo immodificabile il documento o linsieme dei
documenti affidati in custodia al responsabile, mentre la marca tempo-
rale determina con certezza temporale quellaffidamento in custodia.
Nel Codice dellAmministrazione Digitale le pubbliche amministrazioni
e i privati possono conservare le proprie scritture contabili, la corri-
spondenza e tutti gli altri documenti di cui sia obbligatoria la conserva-
zione su supporti ottici o su altri supporti idonei che garantiscano la
conformit di tali documenti a quelli originali, sostituendo cos i propri ar-
chivi cartacei con archivi informatizzati. Ovviamente, ai fini di una cor-
retta conservazione digitale, occorre sviluppare un processo che
permetta di assecondare gli attuali parametri tecnici fissati dal CNIPA
(cfr. la gi pi volte citata Deliberazione CNIPA 11/2004 per la conser-
vazione dei documenti).
Inoltre, lart. 44 del CAD fissa i principi generali a cui si deve attenere il
Responsabile della conservazione:
1. Il sistema di conservazione dei documenti informatici garantisce:

28
a) lidentificazione certa del soggetto che ha formato il documento e
dellamministrazione o dellarea organizzativa omogenea di riferi-
mento di cui allarticolo 50, comma 4, del decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445;
b) lintegrit del documento;
c) la leggibilit e lagevole reperibilit dei documenti e delle informa-
zioni identificative, inclusi i dati di registrazione e di classificazione
originari;
d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a
36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare
tecnico pubblicato in allegato B a tale decreto.
La conservazione digitale dei documenti informatici, anche sotto-
scritti, avviene mediante la memorizzazione su supporti ottici (o co-
munque idonei) e si conclude con lapposizione, sullinsieme dei
documenti o su una evidenza informatica22 contenente una o pi im-
pronte dei documenti o di insiemi di essi, della firma digitale e della
marca temporale23 ad opera del responsabile della conservazione che
certifica, in tal modo, lesatto svolgimento del processo.
La conservazione digitale sostitutiva dei documenti analogici avviene
memorizzando la relativa immagine su un idoneo supporto. Il processo
parte, quindi, con la scansione del documento analogico e lacquisi-
zione della relativa immagine. Il processo di conservazione si conclude
correttamente solo dopo aver apposto sullinsieme dei documenti o sul-
levidenza informatica che contiene una o pi impronte degli stessi, la
firma digitale e la marca temporale del responsabile della conserva-
zione, la cui funzione, in tale circostanza specifica, proprio quella di
convalidare il processo di conservazione e, quindi, la conformit del do-
cumento digitalizzato e conservato al suo originale analogico24.
Secondo lart. 4 comma 4 della Deliberazione del CNIPA la distruzione
di documenti analogici, di cui obbligatoria la conservazione, con-
sentita soltanto dopo il completamento della procedura di conserva-

29
Manuale Breve per la Digitalizzazione
dei documenti sanitari

zione sostitutiva. Secondo la stessa delibera, limitatamente ai docu-


menti analogici originali unici25, la distruzione poteva avvenire solo dopo
lintervento di un pubblico ufficiale, che avrebbe apposto su tali docu-
menti il riferimento temporale e la sua sottoscrizione elettronica.

4.2 Uno schema del processo di conservazione digitale dei


documenti
E opportuno ricordare che, come gi in precedenza riferito, se il docu-
mento nato informatico, valido e rilevante a tutti gli effetti di legge e
non richiede normalmente alcuna attestazione da parte del pubblico uf-
ficiale (cfr. artt. 20- 21 D. Lgs. 7 marzo 2005 n. 82 CAD). E chiarito, in-
fatti, nel Codice dellAmministrazione Digitale allart. 20 che Il
documento informatico da chiunque formato, la registrazione su sup-
porto informatico e la trasmissione con strumenti telematici conformi
alle regole tecniche di cui allart. 71, sono validi e rilevanti a tutti gli ef-
fetti di legge. Lo stesso art. 20 al comma 1bis riferisce che lidoneit del
documento informatico a soddisfare il requisito della forma scritta li-
beramente valutabile in giudizio, tenuto conto delle sue caratteristiche
oggettive, qualit, sicurezza integrit ed immodificabilit. Quando in-
vece sullo stesso documento informatico apposta la firma digitale o
altro tipo di firma elettronica qualificata, esso acquisisce lefficacia pre-
vista dallart. 2702 c.c.
Le varie fasi del processo di conservazione previsto dalle regole tecni-
che attualmente in vigore (Deliberazione CNIPA n. 11/2004 possono
essere cos suddivise:

1. CREAZIONE DEL DOCUMENTO INFORMATICO


Il documento informatico viene reso statico e non modificabile, ov-
vero, non deve contenere MACROISTRUZIONI o CODICI ESEGUI-
BILI (esempi di formato non modificabile PDF/A, TXT o formati
strutturati XML);

30
2. MEMORIZZAZIONE DEL DOCUMENTO STATICIZZATO;
3. APPOSIZIONE DELLA FIRMA DIGITALE E RIFERIMENTO TEM-
PORALE (data e ora in formato digitale, regolando lorologio del si-
stema con i NTP server Web)26;
4. RILEVAZIONE DELLIMPRONTA: un programma collega a ciascun
documento informatico una sequenza di simboli binari, bit, mediante
lapplicazione della funzione matematica hash. Limpronta pu es-
sere associata ad un unico documento e partendo dalla stessa non
si pu ricreare il documento;
5. CREAZIONE DEL LOTTO DI CONSERVAZIONE: le impronte sono
memorizzate in un file, mediante la creazione di uno schema sinte-
tico che le riassume, specificando il riferimento di ogni impronta al
documento appartenente; levidenza informatica dellinsieme delle
impronte viene sottoscritta dal responsabile della conservazione che
associa anche il riferimento temporale27;
6. CONSERVAZIONE DEI DOCUMENTI: il lotto di documenti marcato
temporalmente e sottoscritto deve essere memorizzato su appositi e
idonei supporti (DVD; dischi ottici o magneto-ottici; ecc).28

(Schema nella pagina seguente)

4.3 Il Responsabile della conservazione sostitutiva


Tutte le operazioni, sia propriamente tecniche sia di natura giuridica e
amministrativa, relative ai processi di dematerializzazione dei docu-
menti, stanno via via contribuendo, tanto nel campo pubblico che in
quello privato, alla creazione di un nuovo profilo professionale, quello
del Responsabile della Conservazione Sostitutiva.
La delibera CNIPA del 2004 n. 11 definisce le funzioni del responsabile
della conservazione sostitutiva, attribuendogli scrupolosi compiti e re-
sponsabilit. In particolare, tale figura ha lobbligo di creare un data-
base relativo ai documenti informatici nel rispetto di documentati principi

31
Manuale Breve per la Digitalizzazione
dei documenti sanitari

Quadro riassuntivo sui processi di conservazione digitale dei do-


cumenti analogici e informatici

di sicurezza e nel rispetto di chiare procedure di tracciabilit; quindi, di


garantire: la corretta conservazione, la leggibilit del documento con-
servato nel tempo, laccessibilit al singolo documento e, quindi, la sua
esibizione29.

Nello specifico, lart. 5 della sopracitata Deliberazione, al comma 1, sta-


bilisce che il Responsabile della Conservazione Sostitutiva
a) definisce le caratteristiche e i requisiti del sistema di conservazione
in funzione della tipologia dei documenti (analogici o informatici) da
conservare, della quale tiene evidenza.
Organizza conseguentemente il contenuto dei supporti ottici e gesti-
sce le procedure di sicurezza e di tracciabilit che ne garantiscono
la corretta conservazione, anche per consentire lesibizione di cia-
scun documento conservato;

32
b) archivia e rende disponibili, con limpiego di procedure elaborative,
relativamente ad ogni supporto di memorizzazione utilizzato, le se-
guenti informazioni:
1) descrizione del contenuto dellinsieme dei documenti;
2) estremi identificativi del responsabile della conservazione;
3) estremi identificativi delle persone eventualmente delegate dal re-
sponsabile della conservazione, con lindicazione dei compiti alle
stesse assegnati;
4) indicazione delle copie di sicurezza;
c) mantiene e rende accessibile un archivio del software dei programmi
in gestione nelle eventuali diverse versioni;
d) verifica la corretta funzionalit del sistema e dei programmi in ge-
stione;
e) adotta le misure necessarie per la sicurezza fisica e logica del si-
stema preposto al processo di conservazione sostitutiva e delle copie
di sicurezza dei supporti di memorizzazione;
f) richiede la presenza di un pubblico ufficiale nei casi in cui sia previ-
sto il suo intervento, assicurando allo stesso lassistenza e le risorse
necessarie per lespletamento delle attivit al medesimo attribuite;
g) definisce e documenta le procedure di sicurezza da rispettare per
lapposizione del riferimento temporale;
h) verifica periodicamente, con cadenza non superiore a cinque anni,
leffettiva leggibilit dei documenti conservati provvedendo, se ne-
cessario, al riversamento diretto o sostitutivo del contenuto dei sup-
porti.
Attraverso uno specifico atto di delega, il responsabile del procedi-
mento di conservazione sostitutiva pu demandare, in tutto o in parte,
lo svolgimento delle proprie attivit ad una o pi persone che, per com-
petenza ed esperienza, garantiscano la corretta esecuzione delle ope-
razioni.
Il CNIPA ammette, inoltre, che lintero procedimento di conservazione

33
Manuale Breve per la Digitalizzazione
dei documenti sanitari
sostitutiva possa essere affidato, in tutto o in parte, ad altri soggetti,
pubblici o privati, i quali si impegnano contrattualmente ad osservare
quanto previsto dalle disposizioni normative e tecniche (contratto di
outsourcing).
Nellambito sanitario si vuole evidenziare come la scelta di responsabile
per la gestione dei processi di conservazione potrebbe non ricadere
nelle figure del direttore sanitario o del responsabile dellU.O. (Unit
ospedaliera) di diagnostica per immagini e del responsabile dellU.O. di
laboratorio, i quali potrebbero non avere le competenze ed esperienze
tecniche necessarie. Pertanto, in base alla individuazione delle neces-
sarie competenze in capo al responsabile della conservazione ed alla
eterogeneit delle realt sanitarie pi o meno complesse, si potr va-
lutare lopportunit di rivolgersi a strutture esterne per sviluppare tali
processi di conservazione digitale.
Secondo le gi pi volte citate Linee Guida30 nel caso di unAzienda
Sanitaria al proprio interno fortemente articolata sul piano tecnico-or-
ganizzativo una volta nominato il Responsabile della conservazione,
sar opportuno e raccomandabile che questi deleghi, in tutto o in parte,
lesecuzione delle attivit di sua competenza, delegando con nomina
formale quei soggetti interni allAzienda che dimostrino adeguate espe-
rienza e competenza, in base a quanto previsto dallart. 5, comma 2
della Deliberazione CNIPA n. 11/0425. Nel caso invece di un Azienda
sanitaria poco strutturata e organizzata che ritenga di non voler investire
per diventarlo, si potr legittimamente ed opportunamente decidere di
affidare il procedimento di conservazione, in tutto o in parte, ad altri
soggetti, pubblici o privati, cos come prevede lart. 5, comma 3 della
Deliberazione, senza per questo essere manlevati da responsabilit.
In relazione a tale ultima previsione normativa, si ritiene che, essen-
dovi statuita la possibilit di affidare in outsourcing lintero processo,
non venga esclusa lipotesi che anche la nomina del RCS
possa ricadere su Enti esterni alla struttura.

34
4.4 Lesibizione alle autorit di controllo e la consegna al
paziente dei documenti conservati
Ai sensi dellart. 6 della delibera CNIPA n. 11 del 2004, qualora si renda
necessario un controllo o unispezione ad opera dellAmministrazione di
competenza, sia il documento informatico sia quello originariamente
analogico, conservati su supporto informatico, devono essere resi leg-
gibili presso il sistema di conservazione sostitutiva e, a seguito di even-
tuale richiesta, resi disponibili su carta. Considerata la possibilit di
cedere il servizio di conservazione in outsourcing, si ritiene che, in tal
caso, lesibizione in via generale possa avvenire presso la sede ope-
rativa della societ outsourcer, alla quale stato conferito il compito di
gestire il servizio di conservazione.
Il Cnipa, nella deliberazione n. 11, precisa, inoltre, che lesibizione del
documento pu avvenire anche per via telematica. Come appro-
fondiremo meglio in seguito, la norma dellart. 6 della Deliberazione
Cnipa n.11/2004 va applicata anche nel caso in cui il paziente richieda
alla struttura sanitaria lesibizione dei documenti e lo stesso ha il diritto
di ottenere che tale documentazione gli venga consegnata su un sup-
porto diverso da quello su cui gli stata esibita.
Sul tema del referto informatico stato recentemente emanato dallAu-
torit Garante per il corretto trattamento dei dati personali il gi citato
provvedimento datato 19 novembre 2009, il quale si occupato di ap-
profondire le problematiche del trattamento dei dati personali effettuato
allinterno di servizi telematici, attraverso i quali il paziente pu riceve
via posta elettronica o consultare on line il referto relativo ad un singolo
evento sanitario (es. analisi cliniche) non appena lo stesso sia reso di-
sponibile da parte dellorganismo sanitario presso il quale si rivolto
linteressato. Il provvedimento riconosce il diritto dellinteressato di poter
scegliere in piena libert se accedere o meno a tali servizi e specifica
che dovr esser sempre garantita allinteressato la possibilit di rice-
vere il referto cartaceo, anche ove abbia espresso preventivamente la

35
Manuale Breve per la Digitalizzazione
dei documenti sanitari

volont di aderire ai servizi online. Inoltre, viene specificato che da parte


del paziente/interessato al trattamento deve essere manifestata volta
per volta la volont di acconsentire alla comunicazione dei risultati dia-
gnostici direttamente al medico dallo stesso indicato sia che linteres-
sato autorizzi la comunicazione del referto presso la casella di posta
elettronica del medico curante sia che autorizzi la stessa struttura sa-
nitaria a fornire le credenziali di autenticazione direttamente al proprio
medico, affinch questultimo effettui il download del suo referto31.
Unautonoma informativa e lacquisizione di uno specifico consenso
sono richiesti anche nei casi in cui venga offerto al paziente il servizio
di archiviazione presso la stessa struttura sanitaria che ha prodotto il re-
ferto e tali archivi, da considerare quali dossier sanitari, dovranno es-
sere dotati delle garanzie anche di sicurezza- individuate per essi dal
gi citato Provvedimento del Garante del 16 luglio 2009, recante Linee
guida in tema di Fascicolo sanitario elettronico (FSE).
Il Garante affronta anche la questione relativa alla comunicazione di
tali dati sanitari. Secondo quanto previsto dallart. 84 del Codice, i dati
personali inerenti allo stato di salute devono essere resi noti allinte-
ressato solo per il tramite di un medico designato dallo stesso o dal ti-
tolare . Il secondo comma di tale disposizione prevede che il titolare o
il responsabile possano autorizzare per iscritto esercenti le professioni
sanitarie diversi dai medici, che nellesercizio dei propri compiti intrat-
tengano rapporti diretti con i pazienti e siano incaricati di trattare dati
personali idonei a rivelare lo stato di salute, a rendere noti i medesimi
dati allinteressato.
Labilitazione allaccesso dei suddetti sistemi di refertazione deve, per-
tanto, essere consentita allinteressato nel rispetto delle cautele previ-
ste dalla disciplina di settore gi applicabili anche per il cartaceo e
richiamate dal Garante nel provvedimento generale del 200532.
Il Garante individua anche nuove specifiche misure di sicurezza da
adottare a seconda della scelta effettuata per fornire il servizio di refer-

36
tazione on-line e, sotto il profilo strettamente relativo al corretto tratta-
mento dei dati personali dei pazienti/cittadini, permette, a certe condi-
zioni, varie modalit di consegna del referto.
Per avere un quadro completo sul referto informatico disponibile on line
necessario considerare anche le problematiche relative al ciclo di vita
del referto e ai relativi obblighi di conservazione.
Occorre, quindi, verificare e definire come il referto originale informa-
tico pu circolare in modo da garantire anche i terzi che si troveranno
nella disponibilit dello stesso (ad es. medico di base), quindi accer-
tare a quale soggetto sia ascrivibile la responsabilit di conservarlo e
per quanto tempo.
Ci premesso, relativamente alla circolazione del referto consegnato,
fondamentale individuare una modalit che garantisca al paziente/cit-
tadino e a eventuali terzi la possibilit di verificarne con certezza e in
qualsiasi momento la provenienza e loriginalit o, quantomeno, la con-
formit alloriginale. Si possono prospettare almeno tre soluzioni la cui
fattibilit e convenienza andrebbe valutata relativamente al caso con-
creto da sviluppare in seno allente di riferimento:
Consegna e circolazione del referto esclusivamente in formato
elettronico (firmato digitalmente e provvisto di marca temporale).
Questa appare la soluzione ottimale, ma presuppone che sia al pa-
ziente/cittadino, sia al soggetto terzo, siano forniti o siano resi disponi-
bili gli strumenti necessari a comprendere il referto elettronico e a
verificarne la sua effettiva validit. Ove tali condizioni non siano soddi-
sfatte occorre individuare altre modalit di consegna e comunque ren-
dere sempre possibile la consegna di una copia cartacea conforme in
mano al paziente che ne faccia esplicita richiesta33.
Consegna di una copia semplice cartacea con la possibilit per il
paziente cittadino (e/o per il suo medico curante) di consultare e sca-
ricare il referto elettronico originale ad un determinato URL, a seguito
di identificazione sicura (quantomeno mediante User e Pwd, in attesa

37
Manuale Breve per la Digitalizzazione
dei documenti sanitari

che la Carta didentit elettronica o la Carta Nazionale de Servizi di-


ventino realmente operative).
Il paziente/cittadino avr cos una copia cartacea del referto la cui con-
formit alloriginale potr essere verificata in ogni momento mediante
collegamento ai server della struttura sanitaria. Rester, per, neces-
sario per il paziente/cittadino (e del medico) dotarsi, in proprio, di uno
strumento di verifica della firma digitale e della marca temporale appo-
sta sul documento elettronico.
Altra possibilit potrebbe essere quella relativa allutilizzo del co-
siddetto timbro digitale. Come precisato in un interessante studio
del CNIPA34, il timbro digitale consente di mantenere inalterato il va-
lore legale di un documento informatico sottoscritto con firma digitale
in quanto lo stesso documento, in tutto il suo contenuto (firma digitale
compresa), viene trasformato in un solo ed unico codice bidimen-
sionale ad alta densit e stampato sulla carta, che diviene pertanto
supporto di trasporto dellintero documento firmato digitalmente (intero
pacchetto PKCS#7). Il referto conservato su supporto elettronico
dovr pertanto contenere, al proprio interno, il timbro digitale; il de-
stinatario del documento potr ricevere il documento o gi stampato
o, nei casi in cui lo riceva in formato elettronico (o ne effettui comun-
que il download) potr sia verificarlo con software di verifica della
firma digitale oppure stamparlo con lattestazione fornita dal timbro
digitale. In questultimo caso, egli dovr essere dotato di un software
di lettura del timbro digitale (senza la necessit di acquistare software
apposito). Nel caso in cui sia necessario utilizzare un plug-in o un mo-
dulo ad hoc, questo dovr essere, quindi, fornito gratuitamente. La
verifica del referto informatico stampato potr essere effettuata me-
diante scansione (con un normale scanner o mediante luso di mo-
derni telefoni cellulari) del documento e lutilizzo del relativo modulo
software di verifica.
Questa soluzione, a prima vista ottimale, presenta per una problema-

38
tica relativa allinteroperabilit dei vari sistemi di timbro digitale presenti
sul mercato. La messa a disposizione in forma gratuita dei moduli soft-
ware per la verifica non risolve completamente il problema. Si pensi
alla necessit di disporre sui PC di unorganizzazione, di tutti i moduli
software per la verifica esistenti sul mercato, magari incompatibili tra
loro, e senza chiare indicazioni su quale modulo adoperare di volta in
volta. Inoltre, la validit giuridica della copia cartacea di documento in-
formatico con timbro digitale non stata ancora regolamentata dalla
nostra normativa.35
A seconda della scelta operata restano comunque aperte due proble-
matiche:
qualora il referto elettronico sia consegnato in formato digitale al pa-
ziente esterno alla struttura sanitaria, questultimo dovr dotarsi di un
idoneo sistema di conservazione.
qualora, invece, il referto originale resti nella disponibilit della strut-
tura sanitaria, questultima dovr essere specificamente nominata
quale responsabile della conservazione (quanto meno in tutti quei
casi in cui la legge ritenga che sia il paziente il responsabile della con-
servazione del referto).
E utile richiamare, a tal proposito, le gi pi volte citate Linee guida per
la dematerializzazione della documentazione clinica in laboratorio e in
diagnostica per immagini, mai definitivamente approvate, ma comunque
richiamate in vari documenti vincolanti in materia, le quali in un sinte-
tico schema sotto riportato chiariscono sia i tempi di conservazione e sia
quali sono i soggetti responsabili della conservazione della documen-
tazione sanitaria:

39
Manuale Breve per la Digitalizzazione
dei documenti sanitari

Nella consapevolezza che impossibile immaginare attualmente si-


stemi di conservazione casalinghi a disposizione di ogni paziente/cit-
tadino si dovr risolvere la problematica della conservazione dei referti
da consegnare ai pazienti esterni attraverso una specifica nomina della
struttura sanitaria quale responsabile della conservazione del referto,
con la massima disponibilit di accesso in remoto in favore del paziente
titolare del documento (o di altro soggetto da lui indicato).

Note
(*)Lavv. Andrea Lisi coordinatore del Digital&Law Department dello Studio Legale
Lisi (www.studiolegalelisi.it) e Presidente della Associazione Nazionale per Operatori e
Responsabili della Conservazione digitale dei documenti (ANORC). Inoltre, Docente
di Informatica Giuridica nella Scuola di Professioni Legali, Facolt di Giurisprudenza del-

40
lUniversit del Salento, nella Document Management Academy, SDA Bocconi, Milano
e di UniDOC- Progetto di formazione continua in materia di documentazione ammini-
strativa, amministrazione digitale, delibere degli organi e documenti informatici -
COINFO - Consorzio interuniversitario sulla formazione - Universit degli Studi di To-
rino. Ha fondato il Centro Studi&Ricerche Scint www.scint.it e la prima banca dati sul
diritto dellinformatica www.scintlex.it. stato Direttore della RIVISTA DI DIRITTO ECO-
NOMIA E GESTIONE DELLE NUOVE TECNOLOGIE, Nyberg Editore, Milano e at-
tualmente dirige la Collana DIRITTO, ECONOMIA E SOCIET
DELLINFORMAZIONE, Cierre Edizioni, Roma. Gi componente del Comitato Scien-
tifico nel Master in DIRITTO DELINFORMAZIONE E DELLINFORMATICA presso
lUniversit di Messina (Direttore Prof. Trimarchi), oggi nel Comitato Scientifico del-
lIstituto Italiano per la Privacy (IIP) - http://www.istitutoitalianoprivacy.it, della Document
Management Academy, SDA Bocconi, Milano, del DOCUBUSINESS (http://www.do-
cubusiness.it), del Progetto e-HealthCare Forum (www.forumhealthcare.it), della Rivi-
sta Digital Document Magazine (edita da 4itGroup) e di varie riviste giuridiche
telematiche ed autore di diversi volumi e numerose pubblicazioni in materia di diritto
delle nuove tecnologie. stato, infine, docente in master dedicati al diritto dellinfor-
matica presso lUniversit di Lecce, Taranto, Trento, Padova e Messina ed iscritto al-
lAlbo Docenti della Scuola Superiore dellAmministrazione dellInterno. Attualmente
arbitro di numerosi enti di risoluzione stragiudiziale delle dispute relative ai domini In-
ternet ccTLD.it ed Conciliatore Specializzato DM 23/07/2004 n. 222, Esperto Valu-
tatore IMQ per il servizio di attestazione Q&S_CS (Qualit e Sicurezza nella
Conservazione Sostitutiva) e collabora in tutta Italia con universit, enti camerali, cen-
tri di ricerca, primarie societ fornendo progettazione, formazione, assistenza e con-
sulenza legale nelle-business internazionale, nella privacy, nei servizi di conservazione
digitale/fatturazione elettronica, nella realizzazione dei modelli organizzativi D. Lgs.
231/2001 e nel diritto delle nuove tecnologie, in genere.
1
Il Disegno di Legge Brunetta Calderoli, approvato nel recente Consiglio dei Ministri
n. 69 del 12 novembre 2009, prevede che dal prossimo 1 luglio le le cartelle clini-
che dovranno essere conservate esclusivamente in forma digitale (il testo com-
pleto del Ddl acquisibile a questindirizzo:
http://www.ilsole24ore.com/fc?cmd=document&file=/art/SoleOnLine4/Norme
%20e%20Tributi/2009/11/DS0CD500.pdf?uuid=d77e8acc-d051-11de-82e7-
5bccff4d3984).
2
Si ricorda che oggi il CNIPA (Centro Nazionale per Informatica nella Pubblica Ammi-
nistrazione) ha cambiato denominazione. Infatti, Il 29 dicembre 2009 entrato in vi-
gore il Decreto Legislativo 1 dicembre 2009, n. 177, recante Riorganizzazione del
Centro nazionale per linformatica nella pubblica amministrazione, a norma dellart. 24

41
Manuale Breve per la Digitalizzazione
dei documenti sanitari

della legge 18 giugno 2009, n. 69. Ai sensi e per gli effetti dellart. 2, comma 1, il Cen-
tro nazionale per linformatica nella pubblica amministrazione (CNIPA) assume la de-
nominazione: DigitPA. Ai sensi e per gli effetti dellart. 22, comma 4, le funzioni del
CNIPA sono trasferite a DigitPA, secondo quanto disposto dallo stesso d. lgs. n.
177/2009.
3
Linee guida per la dematerializzazione della documentazione clinica in laboratorio e
in diagnostica per immagini normativa e prassi , V19, marzo 2007 disponibili su SCIN-
TLex alla pagina http://www.scintlex.it/notizia/305/67.html.
4
Laspetto, forse, pi importante non tanto quello che riguarda la valutazione del li-
vello di sicurezza della propria infrastruttura aziendale da possibili attacchi esterni, ma
piuttosto la consapevole valutazione relativa alla propria organizzazione privacy interna
e, quindi, al reale controllo degli incaricati, anche attraverso idonee privacy policy.
5
Renato Borruso, La scrittura elettronica ovverosia: Nascita ed evoluzione del docu-
mento informatico, Rivista di Diritto, Economia e Gestione delle Nuove Tecnologie
n.2/2007, Nyberg Editore;
6
Carnelutti definiva il documento come una cosa che fa conoscere un fatto.
7
Il documento analogico utilizza grandezze fisiche che assumono valori continui ed im-
modificabili.
8
E utile sottolineare che il CAD oggetto in questi mesi di una profonda azione di mo-
difica: il Consiglio dei Ministri, riunitosi il 28 gennaio 2010 a Reggio Calabria, ha avviato
lesame della riforma del CAD proposta dal Ministro per la Pubblica Amministrazione e
lInnovazione Renato Brunetta. A cinque anni dalla sua emanazione, il Parlamento -
con la delega contenuta nellarticolo 33 della legge 18 giugno 2009 n. 69 - ha infatti
dettato i principi e i criteri direttivi per adeguarne il testo al veloce sviluppo delle ICT e
assicurare maggiore effettivit alle molte norme, a carattere programmatico o recanti
indicazioni di principio, la cui attuazione ha finora segnato il passo.
9
Allo stato attuale la lettera q) dellarticolo 1, comma I del CAD cos recita: firma elet-
tronica: linsieme dei dati in forma elettronica, allegati oppure connessi tramite asso-
ciazione logica ad altri dati elettronici, utilizzati come metodo di identificazione
informatica.
10
Lisi-Scialdone, in diritto dellinternet, a cura di Cassano-Cimino, Cedam 2009.
11
Il processo abbastanza semplice: lapposizione di una Firma Digitale a un docu-
mento viene effettuata creando un file di tipo .p7m in un formato definito dallo standard
internazionale PKCS7. Successivamente viene calcolata limpronta del file firmato
(.p7m - PKCS7) con un metodo di randomizzazione sha1 o md5. Questa impronta
(una stringa di 20 caratteri binari) viene inviata a una TSA n un messaggio definito dal-

42
lRFC-3161 (Time Stamp Request). La TSA provvede a completare la richiesta con lora
esatta di marcatura, e a firmarla digitalmente con un proprio certificato, generando un
messaggio di risposta definito dallRFC-3161 (Time Stamp Response, ovvero la Marca
Temporale), che di fatto un file PKCS7. La marca temporale viene aggiunta al file fir-
mato originale, generando un file di tipo .m7m in formato S/MIME. Questo formato
test descritto deve ritenersi valido sino allentrata in vigore della nuova Deliberazione
CNIPA 21 maggio 2009 (G.U. 3.12.2009 n. 282), secondo la quale allart. 17 comma
4 Le estensioni dei file da utilizzare per i formati detached sono:
a) TimeStampedData: .tsd;
b) TimeStampResponse: .tsr;
c) TimeStampToken : .tst.
12
Si vedano in proposito gli artt. 52 e segg. del TUDA.
13
Linee guida per la dematerializzazione della documentazione clinica in laboratorio e
in diagnostica per immagini normativa e prassi, cit..
14
Lart. Art. 41 (Procedimento e fascicolo informatico) del CAD cos recita:
1. Le pubbliche amministrazioni gestiscono i procedimenti amministrativi utilizzando le
tecnologie dellinformazione e della comunicazione, nei casi e nei modi previsti dalla
normativa vigente.
2. La pubblica amministrazione titolare del procedimento pu raccogliere in un fascicolo
informatico gli atti, i documenti e i dati del procedimento medesimo da chiunque for-
mati; allatto della comunicazione dellavvio del procedimento ai sensi dellarticolo 8
della legge 7 agosto 1990, n. 241, comunica agli interessati le modalit per eserci-
tare in via telematica i diritti di cui allarticolo 10 della citata legge 7 agosto 1990, n.
241.
2-bis. Il fascicolo informatico realizzato garantendo la possibilit di essere diretta-
mente consultato ed alimentato da tutte le amministrazioni coinvolte nel proce-
dimento. Le regole per la costituzione e lutilizzo del fascicolo sono conformi ai
principi di una corretta gestione documentale ed alla disciplina della formazione,
gestione, conservazione e trasmissione del documento informatico, ivi comprese
le regole concernenti il protocollo informatico ed il sistema pubblico di connetti-
vit, e comunque rispettano i criteri dellinteroperabilit e della cooperazione ap-
plicativa; regole tecniche specifiche possono essere dettate ai sensi dellarticolo
71, di concerto con il Ministro della funzione pubblica.
2-ter. Il fascicolo informatico reca lindicazione:
a) dellamministrazione titolare del procedimento, che cura la costituzione e la
gestione del fascicolo medesimo;
b) delle altre amministrazioni partecipanti;

43
Manuale Breve per la Digitalizzazione
dei documenti sanitari

c) del responsabile del procedimento;


d) delloggetto del procedimento;
e) dellelenco dei documenti contenuti, salvo quanto disposto dal comma 2-qua-
ter.
2-quater. Il fascicolo informatico puo contenere aree a cui hanno accesso solo lam-
ministrazione titolare e gli altri soggetti da essa individuati; esso e formato in
modo da garantire la corretta collocazione, la facile reperibilit e la collega-
bilit, in relazione al contenuto ed alle finalit, dei singoli documenti; inoltre
costituito in modo da garantire lesercizio in via telematica dei diritti previsti
dalla citata legge n. 241 del 1990.
3. Ai sensi degli articoli da 14 a 14-quinquies della legge 7 agosto 1990, n. 241, previo
accordo tra le amministrazioni coinvolte, la conferenza dei servizi convocata e
svolta avvalendosi degli strumenti informatici disponibili, secondo i tempi e le mo-
dalit stabiliti dalle amministrazioni medesime.
15
Pubblicazione a cura del CNIPA, la dematerializzazione della documentazione am-
ministrativa, marzo 2006.
16
Secondo lart. 22, del CAD nelle operazioni riguardanti le attivit di produzione, im-
missione, conservazione, riproduzione e trasmissione di dati, documenti e atti ammi-
nistrativi con sistemi informatici e telematici devono essere indicati e resi facilmente
individuabili sia i dati relativi alle amministrazioni interessate, sia il soggetto che ha ef-
fettuato loperazione. Particolare rilievo per i profili di sicurezza informatica da garan-
tire nellimplementazione di un sistema di conservazione digitale dei documenti sanitari
assume lart. 51, comma 2 del CAD, secondo il quale i documenti informatici delle pub-
bliche amministrazioni devono esser custoditi e controllati con modalit tali da ridurre
al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non
conforme alle finalit della raccolta.
17
Linee guida per la dematerializzazione della documentazione clinica in laboratorio e
in diagnostica per immagini normativa e prassi, cit.
18
Pubblicazione a cura del CNIPA, la dematerializzazione della documentazione am-
ministrativa, marzo 2006.
19
Lart. Art. 43 (Riproduzione e conservazione dei documenti) del CAD recita testual-
mente:
1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato
o documento di cui prescritta la conservazione per legge o regolamento, ove ri-
prodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la ri-
produzione sia effettuata in modo da garantire la conformita dei documenti agli
originali e la loro conservazione nel tempo, nel rispetto delle regole tecniche stabi-

44
lite ai sensi dellarticolo 71.
2. Restano validi i documenti degli archivi, le scritture contabili, la corrispondenza ed
ogni atto, dato o documento gi conservati mediante riproduzione su supporto foto-
grafico, su supporto ottico o con altro processo idoneo a garantire la conformit dei
documenti agli originali.
3. I documenti informatici, di cui prescritta la conservazione per legge o regolamento,
possono essere archiviati per le esigenze correnti anche con modalit cartacee e
sono conservati in modo permanente con modalit digitali.
4. Sono fatti salvi i poteri di controllo del Ministero per i beni e le attivit culturali sugli
archivi delle pubbliche amministrazioni e sugli archivi privati dichiarati di notevole in-
teresse storico ai sensi delle disposizioni del decreto legislativo 22 gennaio 2004, n.
42.
20
Linee guida per la dematerializzazione della documentazione clinica in laboratorio e
in diagnostica per immagini normativa e prassi, cit.
21
Tale limite temporale da attribuirsi al particolare supporto che contiene le immagini
analogiche e che ne comporta un deterioramento in tempi brevi. Oggi, per i particolari
formati utilizzati per le immagini digitali (non adatti alla conservazione di lunga durata)
si potrebbe sviluppare un analogo ragionamento, limitandone per queste ragioni gli ob-
blighi di conservazione; eppure, a ben vedere, il discorso del referto dovrebbe spin-
gerci a considerare referto e immagine come un unico documento digitale e, quindi,
conservabile secondo identiche tecniche che ne garantiscano una conservazione per-
manente. E ci non certo cosa semplice!
Per quanto concerne il periodo di conservazione in ambito sanitario, occorre ricordare
la Circolare del Ministero della Sanit n. 61 del 19/12/1986. La citata Circolare precisa
che le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente
poich rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto,
oltre a costituire preziosa fonte documentaria per le ricerche di carattere storico sani-
tario. Inoltre, in merito alla conservazione, presso larchivio delle istituzioni sanitarie,
delle radiografie, non rivestendo esse il carattere di atti ufficiali, si ritiene che sotto il pro-
filo medico, medico-legale, amministrativo e scientifico possa essere sufficiente un pe-
riodo di venti anni.
Sequenza di simboli binari bit- che pu essere elaborata da una procedura infor-
22

matica.
23
opportuno riferire che la delibera CNIPA n. 11/2004 non prevede espressamente
lapposizione di una marca temporale a chiusura del processo di conservazione, es-
sendo sufficiente un riferimento temporale. Ma nelle stesse note esplicative della deli-
berazione n. 11 il CNIPA consiglia (giustamente) lutilizzo di una marca temporale.

45
Manuale Breve per la Digitalizzazione
dei documenti sanitari

24
Il Responsabile, affinch il processo di conservazione sostitutiva sia veramente cor-
retto, deve garantire, eventualmente anche verbalizzandola, la tracciabilit delle ope-
razioni effettuate durante tutto il processo. La tracciabilit permette, infatti, di facilitare
le operazioni di controllo e verifica effettuate dagli organi preposti e di mappare pi fa-
cilmente liter che il documento ha percorso , permettendo, altres, di risalire ai vari sog-
getti che si sono interfacciati al sistema informatico dellazienda.
25
Documenti analogici originali non unici: i documenti per i quali sia possibile risa-
lire al loro contenuto attraverso altre scritture o documenti di cui sia obbligatoria la con-
servazione, anche se in possesso di terzi.
26
Tale operazione di apposizione di firma e riferimento temporale sul singolo docu-
mento da conservare per la corretta stabilizzazione (e archiviazione) dello stesso al-
tamente consigliabile e opportuna nel momento in cui si portano in conservazione
documenti informatici originariamente non sottoscritti con firma digitale e/o documenti
nativi analogici successivamente digitalizzati.
27
La deliberazione CNIPA, come gi in precedenza riferito, non prevede obbligatoria-
mente lutilizzo della marca temporale a chiusura del lotto di conservazione, anche se
ne viene consigliata ladozione nelle note esplicative della deliberazione CNIPA n.
11/2004.
28
Dalla carta al digitale, inserto n.7 dell11 febbraio 2009 di Italia oggi, a cura di Andrea
Lisi.
29
Ad esempio, nella fase di scansione dei documenti analogici, il responsabile dovr
farsi carico della scelta di un formato tale da consentire leffettiva leggibilit dei docu-
menti conservati che andr verificata con cadenza quinquennale (art.5, comma 1, lett.
h Delibera CNIPA n.11/2004). Egli dovr, altres, con lausilio di hardware e software
adeguati, uniformare il proprio sistema di conservazione agli standard di sicurezza ri-
chiesti, monitorare lintero sistema, predisponendo i necessari aggiornamenti e verifi-
cando la leggibilit della documentazione archiviata.
30
Linee guida per la dematerializzazione della documentazione clinica in laboratorio e
in diagnostica per immagini normativa e prassi, cit.
31
Nel caso di utilizzazione del servizio di avviso tramite sms nel messaggio inviato deve
essere data solo notizia della disponibilit del referto e non anche del dettaglio della ti-
pologia di accertamenti effettuati, del loro esito o delle credenziali di autenticazione as-
segnate allinteressato.
32
Prescrizioni del Garante art. 154, 1 c) del Codice - Strutture sanitarie: rispetto della
dignit - 9 novembre 2005.
33
Si ricorda che la copia cartacea conforme di documento informatico va sviluppata

46
secondo quanto richiesto dal CAD e, cio, con lattestazione di un pubblico ufficiale. Si
riporta qui di seguito il contenuto dellart. 23 comma 2-bis: Le copie su supporto carta-
ceo di documento informatico, anche sottoscritto con firma elettronica qualificata o con
firma digitale, sostituiscono ad ogni effetto di legge loriginale da cui sono tratte se la
loro conformita alloriginale in tutte le sue componenti e attestata da un pubblico uffi-
ciale a ci autorizzato.
34
Il timbro digitale: una soluzione tecnologica per lautenticazione di documenti stam-
pati versione 2.0 - 18 dicembre 2006 a cura di Francesco Grasso e Gaetano Santucci.
35
Anche se giusto sottolineare che nelle modifiche al Codice della amministrazione
digitale, che verranno a breve approvate dal Consiglio dei Ministri, gi previsto lin-
serimento di una specifica norma che regolamenti proprio gli aspetti del timbro digitale.
In proposito, si ricorda che ci sono dei progetti sperimentali di utilizzo del timbro digi-
tale nei rapporti PA-cittadini sviluppati dalla regione Emilia Romagna e dal Comune di
Milano.

47
Una iniziativa

Edisef srl
Via G. B. Falda, 3
00152 Roma
T. 06.5895104
F. 06.58179316

info@edisef.it