Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere su uno schema di decreto recante disposizioni in materia di fatture elettroniche emesse nei confronti degli enti del Servizio sanitario nazionale per acquisti di prodotti farmaceutici - 7 dicembre 2017 [7457312]

[doc. web n. 7457312]

Parere su uno schema di decreto recante disposizioni in materia di fatture elettroniche emesse nei confronti degli enti del Servizio sanitario nazionale per acquisti di prodotti farmaceutici - 7 dicembre 2017

Registro dei provvedimenti
n. 516 del 7 dicembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere pervenuta del Ministero dell'economia e delle finanze;

Visto l'articolo 154, comma 4, del d.lgs. 30 giugno 2003, n.196, recante Codice in materia di protezione dei dati personali (di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n.1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Il Ministero dell'Economia e delle finanze ha richiesto il parere del Garante in ordine a uno schema di decreto attuativo dell'articolo 29, comma 2, del decreto legge 24 aprile 2017, n. 50, convertito dalla legge 21 giugno 2017, n. 96, recante disposizioni in materia di fatture elettroniche emesse nei confronti degli enti del Servizio sanitario nazionale per acquisti di prodotti farmaceutici.

L'articolo 29, al suo primo comma prevede che l'Agenzia italiana del farmaco (di seguito AIFA), al fine di monitorare la spesa complessiva sostenuta per l'assistenza farmaceutica ospedaliera, accertare lo sfondamento definitivo dei tetti di spesa nel biennio 2016-2017, e determinare conseguentemente l'ammontare del pay-back farmaceutico per lo stesso biennio, si avvalga dei dati di fatturato delle aziende farmaceutiche indicati e trasmessi dalla fattura elettronica attraverso il Sistema di interscambio disponibili presso la piattaforma elettronica per la gestione telematica del rilascio delle certificazioni (decreto del Ministro dell'economia e delle finanze 7 marzo 2008).

A tali fini, in attuazione dell'art. 29, comma 2, lo schema di decreto sottoposto all'attenzione del Garante, si pone l'obiettivo di disciplinare le modalità tecniche di indicazione delle informazioni relative al codice di autorizzazione all'immissione in commercio (di seguito AIC) sulla fattura elettronica, nonché le modalità di accesso da parte dell'AIFA ai dati ivi contenuti ai fini dell'acquisizione delle suddette fatture per l'assolvimento dei propri compiti istituzionali.

RILEVATO

1. Lo schema di decreto, predisposto dal Ministero dell'economia e delle finanze, di concerto con il Ministero della salute, si compone di 6 articoli e prevede l'introduzione, a decorrere dal 1 gennaio del 2018, dell'obbligo di indicare, nelle fatture elettroniche emesse nei confronti degli enti del SSN per l'acquisto di farmaci, anche il Codice di Autorizzazione all'Immissione in commercio (AIC) del farmaco e il quantitativo dello stesso acquistato (art. 2, comma 1).

Nello schema vengono indicate nel dettaglio le informazioni che le fatture elettroniche dovranno obbligatoriamente contenere (art. 2, comma 2) e viene introdotto un espresso divieto per gli enti del SSN di effettuare pagamenti di corrispettivi di fatture che non riportino le informazioni relative all'AIC e ai quantitativi forniti (art. 3).

Lo schema prevede inoltre che le suddette fatture elettroniche siano trasmesse con cadenza settimanale all'AIFA disciplinandone le modalità di accesso da parte di questa  anche con riferimento alle misure di sicurezza da garantire.

In particolare, viene previsto che le misure di sicurezza relative allo scambio dei dati tra l'AIFA e il Ministero dell'economia e delle finanze debbano avvenire "nel rispetto delle misure previste dal Provvedimento 2 luglio 2015, n. 393, pubblicato nella Gazzetta Ufficiale n. 179 del 4 agosto 2015, del Garante per la protezione dei dati personali, concernente le misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche" (art. 4).

Ai fini del rispetto del principio di finalità, lo schema prevede al suo art.  5 un preciso impegno da parte dell'AIFA e della Ragioneria generale dello Stato ad utilizzare le informazioni tratte dalle fatture elettroniche esclusivamente per le finalità di monitoraggio della spesa farmaceutica ospedaliera (articolo 29 del decreto-legge 24 aprile 2017, n. 50) nonché al trattamento e conservazione delle stesse informazioni nel quadro delle misure di cui agli articoli da 31 a 36 del Codice. Infine, viene individuato nell'AIFA, il soggetto responsabile per gli eventuali danni materiali o patrimoniali, diretti o indiretti, causati dall'utilizzo delle informazioni tratte dalle fatture elettroniche emesse nei confronti degli enti del Servizio sanitario nazionale per acquisti di prodotti farmaceutici (art. 6).

RITENUTO

2. Le finalità che vengono realizzate attraverso le disposizioni dello schema di decreto oggetto di parere, rispondono a riconosciute finalità istituzionali.

E' peraltro necessario assicurare un'adeguata protezione delle informazioni che vengono scambiate tra le amministrazioni e comunque conservate, garantendo anche la sicurezza dei dati e dei sistemi.

Proprio in ragione della rilevanza che tale trattamento assume sotto il profilo della sicurezza e dello scambio dei dati, lo schema di decreto è stato elaborato dal Ministero di Economia e Finanze di concerto con il Ministero della salute, all'esito di  interlocuzioni avute con l'Ufficio del Garante il quale ha formulato rilievi e ha fornito indicazioni volte a perfezionare e rendere il testo pienamente conforme alla disciplina in materia di protezione dei dati personali; le indicazioni sono state pressoché integralmente recepite dalle Amministrazioni attraverso una nuova formulazione dello schema di decreto.

2.1. Pertinenza e non eccedenza

Una delle osservazioni formulate dall'Ufficio ha riguardato la necessità di valutare la pertinenza e non eccedenza dell'accesso da parte dell'AIFA a tutti i dati presenti nella fattura, con particolare riferimento ai dati relativi all'iscrizione all'albo professionale e a quelli bancari.

Al riguardo, si rileva che l'Amministrazione ha recepito integralmente le osservazioni dell' Ufficio, eliminando nella bozza di decreto l'accesso da parte dell'AIFA a tali tipologie di dati (art. 4, comma1).

2.2. Finalità

In occasione delle precedenti valutazioni del testo, si era evidenziata l'opportunità di prevedere, oltre alle limitazioni al trattamento dei dati da parte dell'AIFA strettamente connesse alle finalità perseguite dall'Ente, analoghe limitazioni anche per il Mef con riferimento al trattamento effettuato ai sensi del citato art. 29.

L'Amministrazione, al fine di adeguarsi alle osservazioni dell'Ufficio, nella bozza di decreto in esame, ha inserito il comma 2 all'art. 5, secondo il quale "La Ragioneria Generale dello Stato si impegna a trasmettere le fatture emesse dalle imprese produttrici e/o distributrici di farmaci nei confronti degli enti del settore sanitario ai fini di cui al precedente comma".

Si ritiene tuttavia opportuno che in tale comma venga specificato sia il destinatario della trasmissione (AIFA) sia  che il trattamento dei dati personali contenuti nelle fatture elettroniche da parte del Mef possa essere effettuato soltanto per lo svolgimento delle funzioni di interscambio previste dal decreto e per il tempo strettamente necessario al raggiungimento delle stesse.

2.3. Modalità di accesso

L'Ufficio aveva inoltre suggerito all'Amministrazione di specificare con più precisione quali fossero le modalità di accesso ai dati contenuti nella fattura elettronica da parte dell'AIFA (come previsto dal richiamato art. 29, comma 2) e quali le relative misure di sicurezza adottate.

L'Amministrazione si è limitata  ad  operare un rimando al provvedimento del 2 luglio 2015 del Garante, concernente le misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche (art. 4, comma 4).

Tale rimando non sembra però sufficiente. Pertanto, si invita, in linea con quanto disposto dall'art. 29, comma 2, del decreto legge 24 aprile 2017, n. 50, convertito dalla legge 21 giugno 2017, n. 96, a riformulare il comma 4, dell'articolo 4 dello schema di decreto, individuando con precisione le modalità di accesso ai dati contenuti nella fattura elettronica da parte dell'AIFA e le misure di sicurezza adottate a protezione degli stessi.

TUTTO CIO' PREMESSO IL GARANTE:

ai sensi dell'art. 154, comma 4, del Codice, esprime parere favorevole nei termini di cui in motivazione sullo schema di decreto attuativo dell'articolo 29, comma 2, del decreto legge 24 aprile 2017, n. 50, convertito dalla legge 21 giugno 2017, n. 96, recante disposizioni in materia di fatture elettroniche emesse nei confronti degli enti del Servizio sanitario nazionale per acquisti di prodotti farmaceutici, con le osservazioni di cui ai punti 2.2. e 2.3.

Roma, 7 dicembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia