Flusso Sistema informativo per il monitoraggio dell'assistenza primaria denominato SIAP. Nomina di Azienda Zero quale Responsabile del trattamento, ex art. 4, punto 8 del Regolamento UE 2016/679 e approvazione del relativo schema di convenzione.
VISTO il Regolamento (UE) 2020/2094 del Consiglio del 14 dicembre 2020 che istituisce uno strumento dell'Unione europea per la ripresa, a sostegno alla ripresa dell'economia dopo la crisi COVID-19;
VISTO il Regolamento (UE) 2021/241 del Parlamento europeo e del Consiglio del 12 febbraio 2021, che istituisce il dispositivo per la ripresa e la resilienza dell'Unione Europea;
VISTA la legge 30 dicembre 2020, n. 178 recante disposizioni sul Bilancio di previsione dello Stato per l'anno finanziario 2021 e bilancio pluriennale per il triennio 2021-2023, G.U. n. 322 del 30 dicembre 2020 che, all'art.1 comma 1043, prevede l'istituzione del sistema informatico di registrazione e conservazione di supporto dalle attività di gestione, monitoraggio, rendicontazione e controllo delle componenti del PNRR;
VISTO il decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge n. 29 luglio 2021, n. 108 s.m.i, recante l'individuazione della Governance del Piano nazionale di ripresa e resilienza e delle prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure;
VISTO il Piano nazionale di ripresa e resilienza (PNRR) valutato positivamente con decisione del Consiglio ECOFIN del 13 luglio 2021 notificata all'Italia dal Segretariato generale del Consiglio con nota LT161/21, del 14 luglio 2021, che prevede alla Missione 6, Componente 2, l'Investimento 1.3.2 "Infrastruttura tecnologica del MdS, analisi di dati e modello predittivo per garantire i LEA e di sorveglianza e vigilanza sanitaria";
VISTO il decreto del Ministro dell'economia e delle finanze 6 agosto 2021, recante "Assegnazione delle risorse finanziarie previste per l'attuazione degli interventi del piano Nazionale di Riprese e Resilienza (PNRR) e ripartizione di traguardi e obiettivi per scadenze semestrali di rendicontazione";
VISTO il decreto-legge 9 giugno 2021, n. 80, convertito, con modificazioni, dalla legge 6 agosto 2021, n. 113, recante: "Misure urgenti per il rafforzamento della capacità amministrativa delle pubbliche amministrazioni funzionale all'attuazione del Piano nazionale di ripresa e resilienza (PNRR) e per l'efficienza della giustizia";
VISTO il decreto del Ministero della salute 23 maggio 2022 n.77, recante "Regolamento recante la definizione di modelli e standard per lo sviluppo dell'assistenza territoriale nel Servizio Sanitario nazionale";
VISTA l'Intesa, sancita ai sensi dell'accordo Stato-Regioni del 5 dicembre 2013, Rep. Atti n. 164/CSR, tra il Governo, le Regioni e le Province autonome di Trento e Bolzano nella seduta del 4 aprile 2024 (Rep. Atti n. 51/CSR) sul documento "Ipotesi di Accordo Collettivo Nazionale per la disciplina dei rapporti con i medici di medicina generale ai sensi dell'art. 8 del Decreto legislativo n. 502 /1992 e successive modificazioni ed integrazioni - Triennio 2019-2021" pubblicata in Gazzetta ufficiale - serie generale - n. 147 del 25 giugno 2024 - Suppl. ordinario n. 28 e in particolare l'art. 6 - Flussi informativi, il quale prevede che "i medici di medicina generale assolvono i compiti informativi derivanti dalla normativa nazionale e dai conseguenti provvedimenti regionali attraverso i sistemi informativi nazionali e regionali mediante la cooperazione ed interoperabilità dei propri applicativi, nel rispetto della normativa sulla privacy" e "il medico assolve al debito informativo ottemperando in particolare agli obblighi previsti da: - sistema informativo nazionale (NSIS) (...);
VISTA l'Intesa, sancita ai sensi dell'accordo Stato-Regioni del 5 dicembre 2013, Rep. Atti n. 164/CSR, tra il Governo, le Regioni e le Province autonome di Trento e di Bolzano nella seduta del 25 luglio 2024 (Rep. Atti n. 132/CSR) sul documento "Ipotesi di Accordo collettivo nazionale per la disciplina dei rapporti con i medici pediatri di libera scelta ai sensi dell'art. 78 del Decreto legislativo n. 502/1992 e successive modificazioni ed integrazioni -Triennio 2019-2021" pubblicata nella Gazzetta Ufficiale - Serie generale - n. 199 del 26 agosto 2024 - Suppl. ordinario n. 32, ed in particolare l'art. 6 - Flussi informativi, il quale prevede che "I pediatri di libera scelta assolvono ai compiti informativi derivanti dalla normativa nazionale e dai conseguenti provvedimenti regionali attraverso i sistemi informativi nazionali e regionali mediante la cooperazione ed interoperabilità dei propri applicativi, nel rispetto della normativa sulla privacy " e " il pediatra assolve al debito informativo ottemperando in particolare agli obblighi previsti da: - sistema informativo nazionale NSIS (...)";
VISTE le medesime disposizioni contenute nell'articolo 6 dei rispettivi Accordi Collettivi Nazionali per la medicina generale del 15/01/2026 e per la pediatria di libera scelta del 18/03/2026;
VISTO il decreto del Ministero della salute 7 dicembre 2016, n. 262, concernente "Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello stato", pubblicato in Gazzetta Ufficiale - Serie Generale dell'8 febbraio 2017, n. 32, ed in particolare l'articolo 3, che ha introdotto il codice univoco nazionale dell'assistito (CUNA), che permette l'interconnessione a livello nazionale, nell'ambito del NSIS, dei sistemi informativi su base individuale oggetto del decreto;
VISTO il decreto legislativo 7 marzo 2005, n. 82, recante "Codice dell'Amministrazione digitale";
VISTO il regolamento UE n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
VISTO il decreto legislativo del 30 giugno 2003, n. 196 e successive modificazioni, recante "Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE";
VISTO il decreto del Ministero della salute 20 gennaio 2022 recante "Ripartizione programmatica delle risorse alle Regioni e alle Province autonome per i progetti del Piano nazionale di ripresa e resilienza e del Piano per gli investimenti complementari relativo alla ripartizione delle risorse;
VISTA la nota 0021573-29/05/2023-DGSISS-DGSI SS-UFF03-P con la quale il Ministro della salute ha fornito all'Autorità garante per la protezione dei dati personali le motivazioni tecnico-scientifiche correlate all'individuazione del periodo di conservazione dei dati personali trattati nell'ambito dei sistemi informativi NSIS interconnettibili;
VISTO il parere della Cabina di regia NSIS, reso in data 18 dicembre 2024;
VISTO il parere del Garante per la protezione dei dati personali espresso con provvedimento n. 315 del 4 giugno 2025;
VISTO il parere in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano ai sensi dell'art. 2, comma 4 del decreto legislativo 28 agosto 1997 n. 281, nella seduta del 30 luglio 2025 (Rep Atti n. 144/CSR);
VISTO il decreto del Ministero della salute del 4 agosto 2025, pubblicato in Gazzetta Ufficiale n. 202 del 1° settembre 2025, che istituisce il "Sistema informativo dell'assistenza primaria (di seguito denominato SIAP) e il relativo disciplinare tecnico di cui al "Comunicato relativo al decreto 4 agosto 2025", pubblicato in Gazzetta Ufficiale Serie generale n. 226 del 29.9.2025;
DATO ATTO CHE le Regioni e le Province autonome:
- ai sensi dell'art. 2, comma 3, DM citato, sono tenute a mettere "a disposizione del NSIS, presso il Ministero della salute, le informazioni secondo le modalità riportate nel disciplinare tecnico, allegato 1";
- ai sensi dell'allegato tecnico al punto 6.1 del DM citato, in ordine ai flussi in ingresso, inviano "i dati di cui all'articolo 3, esclusivamente in modalità elettronica in due tracciati distinti";
- ai sensi dell'art. 4 del DM citato, hanno accesso ai dati per "consultare le informazioni rese disponibili dal SIAP in forma aggregata a livello aziendale su base mensile e di propria competenza territoriale, anche al fine di effettuare analisi comparative sulle attività e prestazioni dell'assistenza sanitaria di base erogate ";
DATO ATTO CHE l'articolo 8 del DM citato, rubricato "trattamento dei dati", al comma 1, prevede che "nel SIAP sono raccolti, trattati e conservati solo i dati che sono adeguati pertinenti e limitati a quanto necessario per il perseguimento delle finalità del presente decreto";
CONSIDERATO CHE l'istituzione di un flusso informativo per il monitoraggio dell'assistenza primaria è un obiettivo specificatamente previsto dal PNRR Missione 6, Componente 2, Investimento 1.3.2 "Infrastruttura tecnologica del MdS, analisi di dati e modello predittivo per garantire i LEA e di sorveglianza e vigilanza sanitaria", in particolare, al sub intervento 1.3.2.2.1 "Implementazione di 4 flussi informativi a livello regionale (riabilitazione territoriale, cure primarie, ospedali di comunità e consultori)";
DATO ATTO CHE l'adozione dei nuovi flussi informativi risulta anche in attuazione del decreto del Presidente del Consiglio dei Ministri del 12 gennaio 2017, recante "Definizione e aggiornamento dei livelli essenziali di assistenza, di cui all'articolo 1, comma 7, del decreto legislativo 30 dicembre 1992, n. 502";
CONSIDERATO che con la Legge Regionale 25 ottobre 2016 n. 19 è stata istituita l'Azienda per la razionalizzazione, l'integrazione e l'efficientamento dei servizi sanitari, sociosanitari e tecnico-amministrativi del servizio sanitario regionale, (...) denominata Azienda Zero, ente del servizio sanitario regionale, dotata di personalità giuridica di diritto pubblico, di autonomia amministrativa, patrimoniale, organizzativa, tecnica, gestionale e contabile;
VISTO CHE l'art. 2 della citata Legge Regionale n. 19/2016, nell'elencare le funzioni spettanti ad Azienda Zero, al comma 1, lett. g), individua espressamente "la gestione di attività tecnico - specialistiche per il sistema e per gli enti del servizio sanitario regionale" comprensive delle "infrastrutture di tecnologia informatica, connettività, sistemi informativi e flussi dati in un'ottica di omogeneizzazione e sviluppo del sistema ICT", pertanto tra le funzioni attribuite ad Azienda Zero quale Ente di governance della sanità regionale veneta, vi è anche la gestione dei sistemi e dei flussi informativi regionali;
VISTO il decreto del Direttore Generale dell'Area sanità e sociale n. 139 del 30.9.2025 con il quale successivamente è stato adottato a livello regionale il Flusso Sistema informativo per il monitoraggio dell'assistenza primaria denominato SIAP demandando a successivo atto del Direttore della Direzione programmazione sanitaria la nomina di Azienda Zero quale responsabile del trattamento dei dati;
RILEVATO che, ai sensi dell'attuale assetto organizzativo privacy, definito da ultimo con Deliberazione della Giunta Regionale 8 maggio 2018 n. 596, tutti i Dirigenti in servizio presso l'Amministrazione regionale, ognuno per la parte di propria competenza, sono delegati al trattamento di dati personali e sono tenuti a nominare il Responsabile del trattamento ai sensi dell'art. 28 del Regolamento 2016/679/UE, qualora le operazioni di trattamento dei dati personali siano affidate ad un soggetto esterno alla Regione medesima;
VISTA la Deliberazione n. 4 del 9 gennaio 2024 avente ad oggetto "Adempimenti connessi alla definizione dell'articolazione amministrativa della Giunta regionale: conferimento dell'incarico di Direttore della Direzione Programmazione Sanitaria nell'ambito dell'Area Sanità e Sociale, ai sensi dell'art. 12 della Legge regionale n. 54/2012 e s.m.i.";
RICHIAMATO l'art. 28, comma 1, del Regolamento UE 2016/679 in base al quale: "Qualora il trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato"; il citato art. 28, al comma 3, prevede che i trattamenti effettuati da parte del Responsabile siano disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il Responsabile del trattamento al Titolare e che regoli nel dettaglio la materia e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti del titolare del trattamento;
RITENUTO che Azienda Zero, quale Ente di governance della sanità regionale veneta riconosciuto con Legge Regionale 25 ottobre 2016 n. 19, presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti previsti dal Regolamento 2016/679/UE e garantisca la tutela dei diritti dell'interessato, come prescritto dall'art. 28, comma 1, del Regolamento medesimo;
VISTO lo schema per la nomina di Azienda Zero quale Responsabile del trattamento dei dati personali elaborato ai sensi dell'art. 28 del Regolamento 2016/679/UE, che costituisce l'Allegato A al presente provvedimento, quale parte integrante e sostanziale dello stesso;
1. di approvare le premesse quale parte integrante e sostanziale del presente provvedimento;
