Modifica della legge federale sull’assicurazione malattie (Garanzia del principio secondo il quale la raccolta dei dati avviene una sola volta)
Dipartimento federale dell’interno DFI
Ufficio federale della sanità pubblica UFSP
Berna, 13 dicembre 2024
Modifica della legge federale sull’assicurazione malattie (garanzia del principio della rilevazione unica dei dati)
Rapporto esplicativo per l’avvio della procedura di consultazione
BK-D-BB8A3401/1090
Compendio Il presente progetto mira ad adeguare le basi giuridiche esistenti al fine di attuare il principio della rilevazione unica dei dati («once only») nel settore ospedaliero. I fornitori di prestazioni dovranno trasmettere a una piattaforma gestita dall’Uffi- cio federale di statistica i dati necessari per l’adempimento dei compiti previsti dalla legge sulla statistica federale, dalla legge federale sull’assicurazione malat- tie, dalla legge federale sull’assicurazione contro gli infortuni, dalla legge fede- rale sull’assicurazione militare e dalla legge federale sull’assicurazione per l’in- validità.
Situazione iniziale
Con la decisione del 27 settembre 2019 «Utilizzo multiplo dei dati (attuazione del prin- cipio «once only»), il Consiglio federale ha lanciato il programma «Gestione dei dati a livello nazionale» presso l’Ufficio federale di statistica (UST). In questo contesto, nel 2020 l’UST è stato incaricato di attuare il progetto pilota «SpiGes» (Spitalstationäre Gesundheitsversorgung; cure ospedaliere stazionarie).
Contenuto del progetto
Al momento, l’articolo 59a LAMal prevede un’attuazione parziale del principio di rileva- zione unica dei dati («once only»). Il presente progetto intende abrogare il suddetto articolo e sostituirlo con due nuovi articoli 22 e 22a, che estendono la cerchia di desti- natari ai quali l’UST può trasmettere i dati forniti dai fornitori di prestazioni.
I vantaggi attesi dal principio della rilevazione unica sono l’eliminazione di rilevazioni ridondanti, una migliore organizzazione e trasparenza dei flussi di dati nonché un mi- glioramento dell’accessibilità dei dati e del loro potenziale utilizzo. Grazie a questa so- luzione, Cantoni, assicuratori, ospedali e tribunali possono attingere a una banca dati comune per mettere a confronto l’economicità delle prestazioni, a scopo di pianifica- zione, tariffazione o amministrazione della giustizia.
Per poter applicare il principio della rilevazione unica dei dati nei settori AINF/AM/AI, sono inoltre necessarie modifiche alla legge federale sull’assicurazione contro gli infor- tuni, alla legge federale sull’assicurazione militare e alla legge federale sull’assicura- zione per l’invalidità.
Sebbene il progetto SpiGes riguardi solo l’ambito ospedaliero, le basi giuridiche adat- tate permetteranno la successiva integrazione del trattamento dei dati ambulatoriali nella soluzione gestita dall’UST.
Rapporto esplicativo
1 Situazione iniziale
1.1 Necessità di agire e obiettivi
Con la decisione del 27 settembre 2019 «Utilizzo multiplo dei dati (attuazione del prin- cipio «once only»), il Consiglio federale ha lanciato il programma «Gestione dei dati a livello nazionale» presso l’Ufficio federale di statistica (UST). In questo contesto, nel 2020 l’UST è stato incaricato di attuare il progetto pilota «SpiGes» (Spitalstationäre Gesundheitsversorgung; cure ospedaliere stazionarie).
L’obiettivo del progetto SpiGes consiste nell’attuazione del principio della rilevazione unica dei dati («once only») in ambito ospedaliero. È previsto che i fornitori di presta- zioni trasmettano a una piattaforma gestita dall’UST i dati necessari per l’adempimento dei compiti previsti dalla legge federale del 18 marzo 19941 sull’assicurazione malattie (LAMal) e dalla legge del 9 ottobre 19922 sulla statistica federale (LStat). Nel settore della LAMal, questi compiti consistono segnatamente nella vigilanza amministrativa (controllo dell’economicità e della qualità delle prestazioni), nello sviluppo delle strut- ture tariffali e nella negoziazione delle tariffe.
Al momento, il principio della rilevazione unica dei dati è parzialmente attuato per i compiti derivanti dalla LAMal in virtù dell’articolo 59a, secondo cui l’UST rileva i dati dei fornitori di prestazioni necessari per vigilare sull’applicazione delle disposizioni relative all’economicità e alla qualità delle prestazioni. L’articolo 30b dell’ordinanza del 27 giu- gno 19953 sull’assicurazione malattie (OAMal) precisa i compiti per i quali i dati rilevati possono essere trasmessi dall’UST ai differenti utilizzatori. Si tratta nello specifico dell’esame delle tariffe, delle comparazioni tra ospedali, della determinazione dei nu- meri massimi e della pubblicazione dei dati. I dati pubblicati dall’Ufficio federale della sanità pubblica (UFSP) in virtù di tali disposizioni comprendono segnatamente le cifre chiave su ospedali e case di cura, gli indicatori di qualità ospedalieri e le comparazioni dei costi per singolo caso corretti per il livello di gravità fra gli ospedali su scala nazio- nale.
Per alcuni compiti sanciti dalla LAMal, il principio della rilevazione unica dei dati non è applicato sistematicamente in considerazione di esigenze differenti in termini di conte- nuto, verifica e tempistiche di rilevazione. Di conseguenze, al momento le aziende ospedaliere devono fornire determinati dati identici a più attori, fra cui l’UST, attraverso diverse piattaforme o rilevazioni. Gli stessi dati sono così forniti a SwissDRG SA, agli assicuratori, ai Cantoni o all’associazione nazionale degli ospedali (H+) per lo sviluppo delle strutture tariffali o la comparazione dei costi per singolo caso fra ospedali (cfr. art. 49 cpv. 2, 7 e 8 LAMal). Oltre all’incremento di risorse investite dai fornitori di presta- zioni, questa situazione genera divergenze nel contenuto dei dati rilevati e successiva- mente utilizzati dalle diverse parti interessate. Queste rilevazioni parallele compromet- tono l’efficacia, la trasparenza e la qualità (comparabilità) dei dati.
Il presente progetto ha per obiettivo l’adeguamento delle basi giuridiche esistenti al fine di attuare il progetto SpiGes e applicare in modo più ampio il principio della rilevazione
unica dei dati. I vantaggi attesi sono l’eliminazione delle rilevazioni ridondanti, una mi- gliore organizzazione e trasparenza dei flussi di dati, nonché un miglioramento dell’ac- cessibilità dei dati e del loro potenziale utilizzo per i compiti presenti e futuri.
1.2 Alternative esaminate e opzione scelta
Per attuare il principio della rilevazione unica dei dati è stata elaborata una soluzione tecnica sotto l’egida dell’UST in concertazione con gli attori interessati: fornitori di pre- stazioni, UFSP, assicuratori, Conferenza delle direttrici e dei direttori cantonali della sanità (CDS) e Conferenza svizzera degli uffici regionali di statistica (CORSTAT). Que- sta soluzione prevede di armonizzare sia il contenuto dei dati, mediante una serie di variabili uniformi, sia le procedure di rilevazione e verifica dei dati sulla piattaforma dell’UST.
La rilevazione dei dati corrispondente (rilevazione SpiGes) amplia il contenuto dell’odierna Statistica medica ospedaliera dell’UST integrando parte della Statistica ospedaliera, la Statistica dei costi per caso diagnosticato e alcune nuove variabili. È previsto inoltre l’inserimento del modello integrato di allestimento delle tariffe sulla base della contabilità analitica degli ospedali (ITAR_K), utilizzato soprattutto nell’ambito delle negoziazioni tariffarie, direttamente nella piattaforma dell’UST. Grazie a questa solu- zione, Cantoni, assicuratori, ospedali e tribunali potranno attingere a una banca dati comune per mettere a confronto l’economicità delle prestazioni, a scopo di pianifica- zione, tariffazione o amministrazione della giustizia.
La LAMal attualmente prevede in disposizioni sparse che i fornitori di prestazioni deb- bano fornire dati per vari compiti (p. es. sviluppo delle strutture tariffali, negoziazioni delle tariffe, approvazione o determinazione delle tariffe da parte delle autorità compe- tenti, limitazione del numero di medici che forniscono prestazioni ambulatoriali). Affin- ché il principio della rilevazione unica si possa applicare ai flussi di dati corrispondenti e i dati vengano trasmessi tramite l’UST, occorre modificare il contenuto dell’arti- colo 59a LAMal e spostarlo nei due nuovi articoli 22 e 22a. In particolare, è necessario ampliare la cerchia dei destinatari ai quali l’UST trasmette i dati e gli scopi di questa trasmissione. Anche il livello di granularità dei dati trasmessi (individuali o aggregati) deve essere specificato.
Sebbene il progetto SpiGes riguardi solo l’ambito ospedaliero in senso stretto, le basi giuridiche adattate permetteranno la successiva integrazione del trattamento dei dati necessari nel settore delle cure ambulatoriali o infermieristiche. Il programma di pro- mozione della trasformazione digitale nel settore sanitario (DigiSanté), di cui il progetto SpiGes fa parte, prevede infatti che «sulla base delle conoscenze e delle esperienze acquisite nell’ambito del progetto SpiGes i flussi di dati saranno ottimizzati e ampliati secondo le necessità nei settori dell’assistenza ambulatoriale o delle cure»4.
4 Messaggio concernente il credito d’impegno per un programma di promozione della trasforma- zione digitale nel settore sanitario per gli anni 2025–2034, FF 2023 2908, pag. 41 4/18
1.3 Rapporto con il programma di legislatura e con le strategie del Consiglio
federale Il progetto è stato annunciato nel messaggio del 24 gennaio 20245 sul programma di legislatura 2023–2027 e nel decreto federale del 6 giugno 20246 sul programma di le- gislatura 2023–2027.
Esso rientra a pieno titolo nella strategia Sanità2030 del Consiglio federale. Il primo degli otto obiettivi di questa strategia punta infatti a «utilizzare i dati sanitari e le tecno- logie» e contiene l’orientamento politico 1.1 «Promozione della digitalizzazione e utiliz- zazione dei dati». Questo obiettivo prevede specificamente che la digitalizzazione del sistema sanitario debba essere concordata tra i partner e consentire di riutilizzare dati e infrastrutture. Il progetto SpiGes attua, inoltre, il programma «Gestione dei dati a li- vello nazionale», il quale costituisce un progetto pilota.
Il presente progetto fa altresì parte del programma DigiSanté7, il cui obiettivo consiste nella promozione di un sistema sanitario interoperabile, basato su un ecosistema di dati trasparente, accessibile a tutti gli attori interessati, nel rispetto della protezione dei dati. Il progetto SpiGes attua, inoltre, due misure proposte nel rapporto del gruppo di esperti del 24 agosto 2017 sulle misure di contenimento dei costi per sgravare l’assi- curazione obbligatoria delle cure medico-sanitarie: la misura M04, che verte sulla crea- zione della necessaria trasparenza e la misura M05, volta a evitare procedure inutili causate da doppioni o da un rilevamento dei dati errato 8. A dicembre 2019 è stato pubblicato, su mandato dell’UFSP, il rapporto «Stratégie de transparence dans le do- maine des coûts et prestations de santé» del professor Christian Lovis (rapporto Lovis), che fa riferimento a tali misure e contiene principi di gestione dei dati relativi alla LAMal, alla legge federale del 26 settembre 20149 sulla vigilanza sull’assicurazione malattie (LVAMal) e all’ambito sanitario in generale. L’attuazione del progetto SpiGes tiene conto in particolare delle conclusioni del rapporto Lovis e del rapporto del Consiglio federale dell’8 dicembre 2023 in adempimento del postulato 18.4102 della Commis- sione della sicurezza sociale e della sanità del Consiglio degli Stati «Una strategia coe- rente per il rilevamento di dati nel settore sanitario»10 (v. cap. 1.5).
1.4 Stralcio di interventi parlamentari
Il presente progetto non comporta lo stralcio di interventi parlamentari.
1.5 Altri interventi collegati al progetto
Mozione 16.4011 del Gruppo liberale radicale «Digitalizzazione. Evitare i doppioni nella rilevazione dei dati» In data 14 dicembre 2016, il Gruppo liberale radicale ha depositato al Consiglio nazio- nale la mozione 16.4011 «Digitalizzazione. Evitare i doppioni nella rilevazione dei dati», che incarica il Consiglio federale di assicurarsi che le imprese non debbano fornire gli
5 FF 2024 525, pag. 78 - Il messaggio è pubblicato nel Foglio federale soltanto mediante ri- mando. Il messaggio può essere consultato all’indirizzo: https://fedlex.data.admin.ch/eli/fga/2024/525 > Informazioni generali > Portata della pubblica- zione > Pubblicazione mediante rimando.
6 FF 2024 1440, pag. 5
7 FF 2023 2908 8 Il rapporto può essere consultato (in tedesco e francese) all’indirizzo: www.ufsp.admin.ch > As- sicurazioni > Assicurazione malattie > Contenimento dei costi. 9 RS 832.12 10 Il rapporto può essere consultato (in tedesco e francese) all’indirizzo: www.ofsp.admin.ch > Pu-
blications > Rapports du Conseil fédéral. 5/18
stessi dati e le stesse informazioni ad autorità diverse. Nel parere del 22 febbraio 2017, il Governo stimava che a medio termine le misure previste non avrebbero sgravato soltanto le imprese, ma anche le unità amministrative della Confederazione e dei Can- toni.
Il presente progetto consente di raggiungere l’obiettivo della mozione per quanto ri- guarda i dati che i fornitori di prestazioni devono trasmettere per le cure ospedaliere stazionarie nel quadro della LAMal.
Postulato Ettlin 18.4102 «Una strategia coerente per il rilevamento di dati nel set- tore sanitario» Adottato dal Consiglio degli Stati il 21 marzo 2019, il postulato 18.4102 «Una strategia coerente per il rilevamento di dati nel settore sanitario» incarica il Consiglio federale di sviluppare una strategia in materia di dati allo scopo di migliorare la trasparenza del sistema nell’ambito dell’assicurazione obbligatoria delle cure medico-sanitarie (AOMS) e di individuare misure efficaci in grado di contenere i costi. Nel rapporto dell’8 dicem- bre 2023 in adempimento di questo postulato, il Governo sostiene che occorrerebbe innanzitutto ottenere una panoramica dei dati, dei flussi e degli attori del sistema dell’AOMS, segnatamente per individuare le basi giuridiche mancanti che consentireb- bero una migliore condivisione dei dati. La relativa strategia prevede la creazione di un catalogo dei dati sanitari, di una topografia dei flussi di dati e di una serie di indicatori pertinenti, in particolare per documentare i dati ancora lacunosi che dovrebbero essere migliorati attraverso modifiche legislative. La fase 4 del calendario della strategia, che consiste nella valutazione degli strumenti, dei risultati e delle azioni intraprese dopo la creazione degli strumenti nonché nelle eventuali raccomandazioni per adeguare le basi giuridiche, è prevista a partire dal 2027.
Il progetto SpiGes concretizza questo obiettivo per quanto riguarda i dati che i fornitori di prestazioni devono trasmettere per le cure ospedaliere stazionarie nel quadro della LAMal.
2 Diritto comparato, in particolare rapporto con il diritto europeo
Il diritto delle assicurazioni sociali dell’Unione europea (UE) non prevede un’armoniz- zazione dei sistemi nazionali di sicurezza sociale. Gli Stati membri possono in ampia misura determinare liberamente la struttura, il campo d’applicazione personale, le mo- dalità di finanziamento e l’organizzazione del proprio sistema di sicurezza sociale. De- vono tuttavia osservare i principi di coordinamento definiti nei regolamenti (CE) n. 883/200411 e n. 987/200912, come il divieto di discriminazione, la presa in conside- razione dei periodi di assicurazione e la fornitura transfrontaliera di prestazioni. In con- siderazione dell’elevata eterogeneità dei sistemi, non è stato effettuato alcun confronto con il diritto estero.
11 Regolamento (CE) n. 883/2004 del Parlamento europeo e del Consiglio, del 29 aprile 2004, rela-
tivo al coordinamento dei sistemi di sicurezza sociale, GU L 166 del 30.4.2004, pag. 1; modificato da ultimo dal regolamento (UE) 2019/1149, GU L 186 dell’11.7.2019, pag. 21. 12 Regolamento (CE) n. 987/2009 del Parlamento europeo e del Consiglio, del 16 settembre 2009,
che stabilisce le modalità di applicazione del regolamento (CE) n. 883/2004 relativo al coordina- mento dei sistemi di sicurezza sociale, GU L 284 del 30.10.2009, pag. 1; modificato da ultimo dal regolamento (UE) 2017/492, GU L 76 del 22.3.2017, pag. 13. 6/18
3 Punti essenziali del progetto
3.1 La normativa proposta
I dati concernenti la salute sono considerati dati degni di particolare protezione ai sensi della legge federale del 25 settembre 202013 sulla protezione dei dati (LPD). Il loro trat- tamento da parte degli organi federali deve pertanto fondarsi su una base giuridica formale (una legge), la quale deve definire lo scopo del trattamento (compiti), gli utiliz- zatori (destinatari), i flussi di dati (organi interessati) e le variabili (categorie di dati). Tali definizioni possono essere piuttosto generali e precisate in un’ordinanza o in appositi regolamenti. Il trattamento dei dati deve peraltro rispettare in particolare i principi di proporzionalità (cfr. art. 6 cpv. 2 LPD; sono trasmesse soltanto le categorie di dati ne- cessarie a un determinato compito) e di scopo (cfr. art. 6 cpv. 3 LPD; i dati possono essere utilizzati unicamente per il compito previsto).
Il presente progetto propone di abrogare l’articolo 59a LAMal e di spostarne il conte- nuto, modificandolo, in due nuovi articoli 22 e 22a, per estendere il campo di applica- zione del principio della rilevazione unica dei dati. L’articolo 59a capoverso 1 LAMal definisce lo scopo del trattamento dei dati trasmessi dai fornitori di prestazioni. Il pre- sente progetto precisa e completa questa disposizione nel nuovo articolo 22 capo- verso 1, citando espressamente tutti gli obiettivi utili. I compiti in questione sono, da un lato, la vigilanza sull’applicazione delle disposizioni della LAMal relative all’economicità e alla qualità delle prestazioni e, dall’altro, la garanzia dell’applicazione uniforme delle disposizioni della LAMal relative al finanziamento delle prestazioni, alla formazione delle tariffe e dei prezzi, alla pianificazione delle cure e alle misure straordinarie desti- nate a contenere l’evoluzione dei costi. Il capoverso 2 del nuovo articolo 22a riprende l’elenco dei destinatari dell’articolo 59a capoverso 3 ai quali l’UST fornisce dati e lo integra con nuovi destinatari. Il capoverso 3 garantisce l’anonimato dei dati dei dipen- denti e dei pazienti, mentre il capoverso 4 disciplina la granularità dei dati (aggregati o individuali) messi a disposizione.
Il presente progetto conserva le basi giuridiche che prevedono che in determinati casi i dati siano trasmessi senza transitare per l’UST in deroga al principio della rilevazione unica (p. es. art. 49 cpv. 2 LAMal, secondo cui gli ospedali forniscono dati all’organiz- zazione tariffale per il settore ospedaliero). Questa soluzione deve concedere ai desti- natari dei dati la flessibilità, qualora necessario e laddove già previsto dalla legge, di ottenere direttamente dai fornitori di prestazioni i dati richiesti per lo svolgimento dei loro compiti, in particolare i dati non compresi nella rilevazione SpiGes. Tuttavia, per evitare rilevazioni ridondanti, il capoverso 5 del nuovo articolo 22a prevede che i dati rilevati dall’UST sulla base del nuovo articolo 22 LAMal non possano essere richiesti in virtù delle disposizioni in questione. Questo corrisponde a quanto previsto oggi dall’ar- ticolo 59f capoverso 2 OAMal riguardo alla comunicazione di dati sulle tariffe nel set- tore delle cure ambulatoriali.
Per poter applicare il principio della rilevazione unica dei dati nel settore delle assicu- razioni AINF/AM/AI, sono inoltre necessarie modifiche alla legge federale del 20 marzo 198114 sull’assicurazione contro gli infortuni (LAINF), alla legge federale del 19 giugno 199215 sull’assicurazione militare (LAM) e alla legge federale del 19 giugno 195916 sull’assicurazione per l’invalidità (LAI).
13 RS 235.1 14 RS 832.20 15 RS 833.1 16 RS 831.20 7/18
3.2 Compatibilità tra compiti e finanze
Il presente progetto attua il progetto SpiGes. La modifica delle basi giuridiche permette la trasmissione centralizzata dei dati dei fornitori di prestazioni tramite l’UST, confor- memente al principio della rilevazione unica dei dati. Essa consente l’eliminazione delle rilevazioni ridondanti, una migliore organizzazione e trasparenza dei flussi di dati, non- ché un miglioramento dell’accessibilità dei dati e del loro potenziale utilizzo. Questo progetto evita inoltre che le strutture ospedaliere debbano fornire gli stessi dati a più attori, fra cui l’UST, attraverso diverse piattaforme o rilevazioni, come avviene attual- mente. Dovrebbe derivarne un risparmio di risorse investite dai fornitori di prestazioni e l’eliminazione del rischio di divergenze nel contenuto dei dati rilevati e successiva- mente utilizzati dalle diverse parti interessate.
3.3 Attuazione
Attualmente l’articolo 59a capoverso 4 LAMal conferisce al Consiglio federale la com- petenza di emanare prescrizioni dettagliate sulla rilevazione, il trattamento, la trasmis- sione e la pubblicazione dei dati, nel rispetto del principio di proporzionalità. Anche gli articoli 30 (dati dei fornitori di prestazioni), 30a (rilevazione e trattamento dei dati dei fornitori di prestazioni) e 30b (trasmissione dei dati dei fornitori di prestazioni) dell’ordi- nanza del 27 giugno 199517 sull’assicurazione malattie (OAMal) dovranno essere mo- dificati. Le categorie di dati saranno descritte più dettagliatamente nell’OAMal, che do- vrà indicare quali dati sono trasmessi a quali destinatari in funzione dei loro rispettivi compiti. I dettagli delle variabili che ne derivano saranno specificati in un regolamento per il trattamento.
Occorrerà modificare anche l’ordinanza del 20 dicembre 198218 sull’assicurazione con- tro gli infortuni, l’ordinanza del 10 novembre 199319 sull’assicurazione militare e l’ordi- nanza del 17 gennaio 196120 sull’assicurazione per l’invalidità affinché i dati dei fornitori di prestazioni necessari alla fissazione delle tariffe in queste diverse assicurazioni pos- sano essere trasmessi per il tramite dell’UST in conformità con il principio della rileva- zione unica dei dati.
4 Commento ai singoli articoli
4.1 Modifica della LAMal
Sezione 4 Trattamento di dati e statistiche Nel titolo precedente l’articolo 21, il termine «trasmissione» è sostituito con «tratta- mento». Quest’ultimo, la cui definizione compare nell’articolo 5 LPD, è più adatto in quanto più generico rispetto alla trasmissione. Art. 22 Dati dei fornitori di prestazioni: obbligo di trasmissione dei dati L’articolo 59a LAMal, posto nella sezione 6 «Controllo dell’economicità e della qualità delle prestazioni», è abrogato; il contenuto viene ripreso in forma modificata nei due nuovi articoli 22 e 22a LAMal, nella sezione 4 «Trasmissione di dati e statistiche», che con la presente revisione è modificato in «Trattamento di dati e statistiche». In seguito all’entrata in vigore il 1° gennaio 2023 dell’articolo 21 LAMal21 sui dati degli assicuratori,
17 RS 832.102 18 RS 832.202 19 RS 833.11 20 RS 831.201 21 Nuovo testo giusta il n. I 1 della legge federale del 19 mar. 2021 sulla trasmissione di dati degli
assicuratori nell’assicurazione obbligatoria delle cure medico-sanitarie, in vigore dal 1° gen. 2023 (RU 2022 731; FF 2019 4495, 4883). 8/18
questo spostamento migliora la struttura della legge, raggruppando nella sezione 4 gli articoli che disciplinano il trattamento dei dati. Tiene inoltre conto del fatto che i dati saranno trasmessi anche a nuovi destinatari, per scopi che non riguardano esclusiva- mente la vigilanza sull’applicazione delle disposizioni relative all’economicità e alla qua- lità delle prestazioni.
Cpv. 1 Il vigente articolo 59a capoverso 1 primo periodo LAMal prevede l’obbligo per i fornitori di prestazioni di comunicare alle competenti autorità federali i dati di cui necessitano per vigilare sull’applicazione delle disposizioni relative all’economicità e alla qualità delle prestazioni. Tale scopo è ripreso alla lettera a. Per estendere la rilevazione a nuovi compiti, in particolare lo sviluppo delle strutture tariffali e le negoziazioni delle tariffe, viene aggiunto un nuovo scopo alla lettera b, vale a dire garantire l’applicazione uniforme delle disposizioni della presente legge relative al finanziamento delle presta- zioni, alla formazione delle tariffe e dei prezzi, alla pianificazione delle cure e alle misure straordinarie destinate a contenere l’evoluzione dei costi. Il finanziamento delle presta- zioni comprende segnatamente la fissazione della parte di finanziamento cantonale delle prestazioni ospedaliere. Le disposizioni relative alla formazione delle tariffe e dei prezzi includono lo sviluppo delle strutture tariffali e le negoziazioni delle tariffe, mentre quelle relative alla pianificazione delle cure comprendono la pianificazione ospedaliera, già prevista nell’OAMal. Infine, fra le misure straordinarie destinate a contenere l’evo- luzione dei costi rientrano in particolare la definizione da parte del Cantone, su richiesta degli assicuratori, di un budget globale per il finanziamento degli ospedali o delle case di cura. I compiti specifici per i quali l’UST trasmette dati ai diversi destinatari saranno precisati a livello di ordinanza. L’articolo 59a capoverso 1 primo periodo consente all’UFSP di ottenere i dati dei forni- tori di prestazioni per controllare la ripercussione degli sconti ai sensi dell’articolo 56 capoversi 3 lettera b e 3bis. I dati sulla fatturazione (art. 22 cpv. 2 lett. d del presente progetto) precisano la portata della comunicazione e servono anch’essi per attività di controllo. Il fornitore di prestazioni deve infatti indicare nella fattura lo sconto di cui all’articolo 56 capoverso 3 (art. 76a cpv. 1 OAMal); questi dati permetteranno all’UFSP di controllare se vi è stata la deduzione e, in caso negativo, di aprire una procedura amministrativa ai sensi dell’articolo 82a o una procedura penale amministrativa ai sensi dell’articolo 92 capoverso 2, se le condizioni sono soddisfatte.
Cpv. 2 Il capoverso 2 specifica il contenuto (variabili) dei dati trasmessi dai fornitori di presta- zioni. La rilevazione dei dati SpiGes è strutturata in 8 sezioni tematiche: 1. Dati relativi ai casi (identificatori delle unità di rilevazione); 2. Diagnosi; 3. Trattamenti; 4. Medica- menti; 5. Fattura; 6. Contabilità analitica per unità finale d’imputazione (CUFI); 7. Medici che eseguono gli interventi; 8. Trasferimenti di pazienti. I dati relativi agli identificatori del paziente (numero AVS, data di nascita) sono rilevati separatamente per garantire la protezione dei dati.
Tutte le sezioni summenzionate, a eccezione di quella chiamata «Fattura», possono essere collegate a una delle categorie di dati indicate nel vigente articolo 59a capo- verso 1 secondo periodo. La disposizione equivalente nel nuovo articolo 22 rappre- senta quindi una base giuridica sufficiente per le variabili richieste in tali sezioni. Per quelle relative alla sezione «Fattura», invece, la lettera d è integrata con «fatturazione per queste prestazioni». I dati corrispondenti sono costituiti dalle informazioni riprese dalla fatturazione elettronica e forniscono i dettagli delle prestazioni fatturate per cia- scun caso, in funzione dell’unità finale d’imputazione e restituiscono un’immagine 9/18
precisa e veritiera per esempio del costo del ricovero ospedaliero. Questi dati servono anche a controllare la ripercussione degli sconti, consentendo all’UFSP, se del caso, di aprire una procedura amministrativa ai sensi dell’articolo 82a o una procedura pe- nale amministrativa ai sensi dell’articolo 92 capoverso 2, se le condizioni sono soddi- sfatte.
L’espressione «in forma anonima» alla lettera c è stralciata per motivi di coerenza con il nuovo articolo 22a capoverso 3, secondo il quale l’UST garantisce l’anonimato dei pazienti nell’ambito della messa a disposizione dei dati (v. ulteriori spiegazioni relative al cpv. 3). L’anonimizzazione dei dati in futuro avverrà in sede di messa a disposizione degli stessi da parte dell’UST e non più nella fase anteriore di rilevazione dei dati presso i fornitori di prestazioni.
Art. 22a Dati dei fornitori di prestazioni: rilevazione, messa a disposizione e pubblica- zione Cpv. 1 Questo capoverso riprende il contenuto del primo periodo dell’articolo 59a capo- verso 3 LAMal, che precisa che la rilevazione dei dati è effettuata dall’UST.
Cpv. 2 Questo capoverso riprende il contenuto del secondo periodo dell’articolo 59a capo- verso 3 LAMal, aggiungendo ulteriori destinatari ai quali l’UST mette a disposizione i dati. Attualmente, le seguenti disposizioni della LAMal impongono ai fornitori di presta- zioni di trasmettere dati a determinanti destinatari, dando luogo a flussi di dati poten- zialmente ridondanti:
- comunicazione all’organizzazione tariffale dei dati necessari per l’elaborazione, lo sviluppo, l’adeguamento e la manutenzione delle strutture tariffali ambulatoriali
- comunicazione al Consiglio federale o al governo cantonale, su richiesta, dei dati necessari per adempiere i compiti di cui agli articoli 43 capoversi 5 e 5bis, 46 capo- verso 4 e 47 (art. 47b cpv. 1);
- comunicazione all’organizzazione tariffale dei dati necessari per lo sviluppo delle strutture tariffali ospedaliere (art. 49 cpv. 2);
- consultazione da parte dei governi cantonali e dei partner tariffali dei dati necessari per valutare l’economicità, per effettuare comparazioni tra ospedali, per la tariffa- zione e per la pianificazione ospedaliera (art. 49 cpv. 7);
- fornitura al Consiglio federale e ai Cantoni dei documenti necessari per la compa- razione tra ospedali sui costi e la qualità dei risultati medici (art. 49 cpv. 8);
- comunicazione ai Cantoni dei dati necessari per limitare il numero di medici (art. 55a cpv. 4);
- comunicazione ai terzi incaricati dalla Commissione federale per la qualità dei dati necessari per l’adempimento di determinati compiti (art. 58c cpv. 3);
- comunicazione alle competenti autorità federali dei dati necessari per vigilare sull’applicazione delle disposizioni della presente legge relative all’economicità e alla qualità delle prestazioni (art. 59a);
- rilevazione da parte dell’UFSP dei dati necessari per controllare la ripercussione degli sconti ottenuti dai fornitori di prestazioni o il loro utilizzo (art. 82a).
Di conseguenza, è opportuno aggiungere i seguenti destinatari a questo capoverso: le federazioni degli assicuratori (gli assicuratori sono già menzionati), i fornitori di presta- zioni e le loro federazioni, le organizzazioni tariffali di cui agli articoli 47a e 49 capo- verso 2 e la Commissione federale per la qualità (art. 58b).
Inoltre, nella votazione popolare del 24 novembre 2024 è stata accolta la modifica della LAMal relativa al finanziamento uniforme delle prestazioni22. Tale modifica prevede la creazione di un’organizzazione tariffale per le prestazioni di cura che dovrà utilizzare alcuni dati dei fornitori di prestazioni per svolgere i propri compiti. Questa organizza- zione rientra quindi nelle organizzazioni tariffali di cui all’articolo 47a LAMal indicato alla lettera f del presente capoverso.
È altresì previsto che il Consiglio federale metta in vigore la modifica della LAMal (Mi- sure di contenimento dei costi – Definizione di obiettivi in materia di costi e di qualità)23 deliberata dal Parlamento, se entro il 9 gennaio 2025 non verrà indetto alcun referen- dum contro tale disegno. Quest’ultimo prevede l’istituzione di una commissione fede- rale per il monitoraggio dei costi e della qualità nell’AOMS che sorvegli l’evoluzione dei costi. A tal fine, il nuovo organismo avrà bisogno dei dati dei fornitori di prestazioni e dovrà dunque essere aggiunto fra i destinatari del capoverso in oggetto se non vi sarà alcun referendum o se la modifica sarà accettata in sede di votazione popolare.
Infine, l’indicazione dell’Ufficio federale di giustizia può essere stralciata. Dalla revi- sione totale della procedura federale e dall’entrata in vigore il 1° gennaio 2007 della legge sul Tribunale amministrativo federale24, infatti, il suddetto Ufficio non ha più la competenza di istruire i ricorsi relativi alla LAMal indirizzati al Consiglio federale.
Cpv. 3 La garanzia dell’anonimato dei dipendenti e dei pazienti nell’ambito della trasmissione dei dati da parte dell’UST, stabilita dall’articolo 30b capoverso 2 OAMal, deve essere sancita nella legge per coerenza con l’articolo 21 LAMal sui dati degli assicuratori.
L’anonimizzazione dei pazienti in una fase successiva alla trasmissione dei dati da parte dell’UST è giustificata dal fatto che l’UST deve ricevere il numero AVS per poter svolgere i compiti definiti dalla LStat. In virtù dell’articolo 153c della legge federale del 20 dicembre 194625 sull’assicurazione per la vecchiaia e per i superstiti (LAVS), l’UST è autorizzato a utilizzare sistematicamente il numero AVS. Tuttavia, una volta verificata la loro plausibilità, può trattare i dati soltanto con un identificatore statistico non parlante (cfr. art. 8a dell’ordinanza del 30 giugno 199326 sulle rilevazioni statistiche). Nell’ambito del collegamento di dati, inoltre, viene creato ogni volta uno pseudo-identificatore spe- cifico di progetto (art. 3 dell’ordinanza del 17 dicembre 201327 sul collegamento di dati). Il numero AVS serve dunque in primo luogo per poter effettuare i necessari controlli della qualità dei dati all’inizio della procedura di trattamento. In seguito, i dati sono trat- tati soltanto con l’identificatore statistico.
22 FF 2024 31 23 FF 2024 2412 24 RU 2006 2197 (cfr. n. 110 dell’allegato alla legge del 17 giugno 2005 sul Tribunale amministra-
tivo federale, con effetto dal 1° gennaio 2007 [RS 173.32]). 25 RS 831.10 26 RS 431.012.1 27 RS 431.012.13 11/18
Cpv. 4 Il livello di granularità dei dati trasmessi (aggregati o individuali), disciplinato dall’arti- colo 30b capoverso 3 OAMal, deve essere sancito nella legge per coerenza con l’arti- colo 21 LAMal sui dati degli assicuratori.
È previsto che l’UFSP riceva i dati in forma individuale, conformemente a quanto pre- visto dalla normativa vigente (art. 30b cpv. 3 OAMal). Occorre, inoltre, concedere ai Cantoni un ampio accesso ai dati individuali per l’adempimento dei loro compiti, segna- tamente in materia tariffale e nella limitazione del numero di medici per campo di spe- cializzazione medica e per regione (cfr. art. 55a LAMal). Si deve quindi estendere la regolamentazione attuale, che prevede che le autorità cantonali competenti ricevano dati individuali unicamente per la pianificazione di ospedali, case per partorienti e case di cura.
In applicazione del principio di proporzionalità, il capoverso 4 precisa anche che i dati sono necessari per l’adempimento dei compiti relativi alla formazione delle tariffe e dei prezzi, comprendenti in particolare le negoziazioni delle tariffe e lo sviluppo delle strut- ture tariffali, e per lo sviluppo della qualità. Il riferimento alla qualità permette di mettere a disposizione di assicuratori, fornitori di prestazioni e relative federazioni (partner con- venzionali) dati individuali per adempiere i compiti relativi alle convenzioni sulla qualità (art. 58a). Consente altresì di trasmettere dati individuali alla Commissione federale per la qualità per adempiere i compiti di cui all’articolo 58c.
Cpv. 5 I vigenti articoli 47a capoverso 5, 47b capoverso 1 e 49 capoversi 2 terzo periodo, 7 terzo periodo e 8 prevedono che i fornitori di prestazioni comunichino o forniscano dati o documenti ai destinatari menzionati nel nuovo articolo 22a capoverso 2 per l’adem- pimento dei compiti contemplati dal capoverso 1 del nuovo articolo 22. Per evitare rile- vazioni di dati ridondanti, viene creato un nuovo capoverso 5, che stabilisce che i dati rilevati dall’UST sulla base dell’articolo 22 capoverso 1 non possano essere richiesti in virtù degli articoli 47a capoverso 5, 47b capoverso 1 e 49 capoversi 2 terzo periodo, 7 terzo periodo e 8. Questo corrisponde a quanto previsto oggi dall’articolo 59f capo- verso 2 OAMal riguardo alla comunicazione dei dati sulle tariffe nel settore delle cure ambulatoriali.
Se dei fornitori di prestazioni omettono di trasmettere dati all’UST sulla base del nuovo articolo 22, questi dati per definizione non potranno essere considerati come «raccolti dall’UST». Pertanto, in questi casi, possono essere prese sanzioni contro i fornitori di prestazioni in virtù degli articoli 47a capoverso 6 e 47b capoverso 2.
Cpv. 6 Questo capoverso, che prevede la pubblicazione dei dati da parte dell’UFSP, riprende in forma modificata l’ultimo periodo del vigente articolo 59a capoverso 3, secondo cui «i dati sono pubblicati». I dati pubblicati dall’UFSP comprendono segnatamente le cifre chiave su ospedali e case di cura, gli indicatori di qualità degli ospedali e delle case di cura e le comparazioni dei costi per singolo caso corretti per il livello di gravità fra gli ospedali su scala nazionale.
Cpv. 7 Il capoverso 7 riprende il contenuto del capoverso 4 dell’articolo 59a LAMal adattan- dolo alla nuova formulazione della rubrica della sezione 4 «Trattamento di dati e stati- stiche» e al tenore dell’articolo 47b capoverso 1 secondo periodo.
Art. 23 cpv. 1, secondo periodo Si precisa che l’UST, per elaborare le basi statistiche necessarie per valutare il funzio- namento e gli effetti della LAMal, utilizza in particolare i dati rilevati presso gli assicura- tori (art. 21) e i fornitori di prestazioni (art. 22).
Il rinvio all’articolo 59a è sostituito con il rinvio al nuovo articolo 22.
L’articolo può essere abrogato, dal momento che il contenuto viene spostato negli arti-
Art. 84a cpv. 1, frase introduttiva e lett. f Nella frase introduttiva nel capoverso 1 viene corretta una svista nel testo in italiano, poiché manca l’indicazione «oder des KVAG» presente nel testo in tedesco e rispetti- vamente «ou la LSAMal» nel testo in francese.
Il rinvio all’articolo 22a (articolo abrogato con l’entrata in vigore della LVAMal il 1° gen- naio 201628 e il cui contenuto era stato spostato nell’art. 59a) è sostituito da un rinvio all’articolo 22.
4.2 Modifiche della LAM, della LAINF e della LAI
Art. 27 cpv. 1bis e 8 e 78 cpv. 3 LAI, 56 cpv. 1bis LAINF nonché 26 cpv. 1bis e 43 cpv. 1, frase introduttiva, LAM Per integrare i diversi assicuratori nella soluzione della rilevazione unica dei dati, agli articoli 26 LAM e 56 LAINF viene aggiunto un nuovo capoverso 1bis, che stabilisce che i fornitori di prestazioni comunicano gratuitamente agli assicuratori in questione i dati necessari per stipulare le convenzioni di cui al capoverso 1. Per analogia con il nuovo articolo 22 capoverso 3 LAMal, il nuovo capoverso 1bis precisa che i dati possono es- sere rilevati dall’UST. Questa formulazione permette di mantenere la possibilità per gli utilizzatori di dati di ottenere direttamente dai fornitori di prestazioni i dati che non sa- ranno ancora integrati nella soluzione attuata, nello specifico i dati del settore ambula- toriale. I dati rilevati dall’UST sono messi a disposizione dell’assicurazione militare, dei fornitori di prestazioni e delle loro federazioni per l’esecuzione della LAM nonché degli assicuratori, dei fornitori di prestazioni e delle loro rispettive federazioni per l’esecu- zione della LAINF. Per analogia con il nuovo articolo 22a capoverso 5 LAMal, questo capoverso prevede ancora che i dati rilevati dall’UST non possano essere richiesti nuo- vamente. Questo capoverso 1bis stabilisce infine che il Consiglio federale emana dispo- sizioni dettagliate sul trattamento dei dati, nel rispetto del principio di proporzionalità, riprendendo così la formulazione del nuovo articolo 22 capoverso 7 LAMal.
Un nuovo capoverso 1bis, dal tenore simile, è aggiunto all’articolo 27 LAI, che fa riferi- mento all’Ufficio federale delle assicurazioni sociali. Peraltro, per analogia con il nuovo
28 RU 2015 5137 13/18
articolo 22a capoverso 5 LAMal, l’articolo 27 capoverso 8 LAI precisa che i dati rilevati dall’UST ai sensi del capoverso 1bis non possono essere richiesti nuovamente (per l’adempimento dei compiti del Consiglio federale di cui ai cpv. 3–5). Questa integra- zione è motivata dal fatto che i dati rilevati dall’UST sono messi a disposizione dell’UFAS. Essa però non è prevista per le disposizioni corrispondenti della LAM (art. 26 cpv. 3bis) e della LAINF (art. 56 cpv. 3bis), dal momento che, in virtù del capo- verso 1bis di queste due leggi, l’UST può mettere a disposizione i dati che rileva soltanto agli assicuratori, ai fornitori di prestazioni e alle loro rispettive federazioni.
Agli articoli 78 capoverso 3 LAI e 43 capoverso 1 frase introduttiva LAM, la denomina- zione completa «Ufficio federale di statistica» deve essere sostituita dalla sigla «UST», dal momento che l’Ufficio è menzionato nei nuovi capoversi 1bis degli articoli 27 LAI e 26 LAM.
5 Ripercussioni
5.1 Ripercussioni per la Confederazione
Il settore Trasformazione digitale e governance delle TIC della Cancelleria federale ha stanziato dei fondi per il progetto SpiGes in qualità di progetto pilota di digitalizzazione per gli anni 2023 e 2024. Ulteriori risorse sono state stanziate dall’Amministrazione digitale Svizzera per il 2024. Dal 2025 il progetto sarà portato avanti e finanziato nel quadro del programma DigiSanté.
5.2 Ripercussioni per i Cantoni e i Comuni, per le città, gli agglomerati e le re- gioni di montagna L’uniformazione coerente della rilevazione per scopi statistici e amministrativi permet- terà ai Cantoni interessati di ridurre i doppioni. Con l’eliminazione di rilevazioni ridon- danti non sarà più necessario verificare le incoerenze tra i dati.
I Cantoni avranno inoltre un accesso giuridicamente sicuro a dati individuali per scopi che vanno oltre la pianificazione, come per esempio l’approvazione e la fissazione delle tariffe e i controlli dell’economicità.
5.3 Ripercussioni sull’economia
Si ridurrà l’onere amministrativo per gli ospedali, dal momento che gli stessi dati do- vranno essere forniti solo una volta secondo prescrizioni uniformi.
5.4 Ripercussioni sulla sanità e sulla società
Il progetto non ha ripercussioni né sulla sanità né sulla società.
5.5 Ripercussioni sull’ambiente
Il progetto non ha ripercussioni sull’ambiente.
5.6 Altre ripercussioni
Il progetto non dovrebbe avere altre ripercussioni.
6 Aspetti giuridici
6.1 Costituzionalità
Il progetto si fonda sull’articolo 59 capoverso 5 della Costituzione (Cost.)29 secondo cui chiunque, nel prestare servizio militare o civile, patisce danni alla salute o perisce ha diritto per sé o per i propri congiunti a un adeguato sostegno da parte della Confedera- zione. Si fonda altresì sull’articolo 112 Cost., che prevede che la Confederazione emani prescrizioni sull’assicurazione invalidità, e sull’articolo 117 Cost., che conferisce alla Confederazione una competenza estesa in materia di organizzazione delle assicura- zioni contro le malattie e contro gli infortuni.
6.2 Compatibilità con gli impegni internazionali della Svizzera
Le modifiche proposte devono essere compatibili con gli impegni internazionali della Svizzera, in particolare con quelli derivanti dall’Accordo del 21 giugno 199930 tra la Confederazione Svizzera, da una parte, e la Comunità europea ed i suoi Stati membri, dall’altra, sulla libera circolazione delle persone (ALC), e dalla Convenzione del 4 gen- naio 196031 istitutiva dell’Associazione europea di libero scambio (Convenzione AELS). L’Allegato II ALC e l’appendice 2 dell’Allegato K AELS precisano che il diritto europeo in materia di coordinamento dei sistemi di sicurezza sociale dell’UE, per esempio il regolamento (CE) n. 883/200432 e il regolamento (CE) n. 987/200933, è applicabile in Svizzera rispetto agli Stati membri dell’UE o dell’AELS sulla base dell’articolo 95a LA- Mal. Come spiegato al capitolo 2 del presente rapporto, questo diritto non prevede un’armonizzazione dei regimi nazionali di sicurezza sociale. Le modifiche proposte de- vono essere compatibili anche con gli obblighi internazionali derivanti dalla Conven- zione del 9 settembre 202134 sul coordinamento della sicurezza sociale tra il Regno Unito di Gran Bretagna e Irlanda del Nord e la Confederazione Svizzera.
Il presente progetto disciplina la trasmissione centralizzata dei dati dei fornitori di pre- stazioni per il tramite dell’UST, conformemente con il principio della rilevazione unica dei dati. Al momento, né l’ALC né la Convenzione AELS o la Convenzione sul coordi- namento della sicurezza sociale tra il Regno Unito di Gran Bretagna e Irlanda del Nord e la Confederazione Svizzera prevedono norme sulle modalità di trasmissione dei dati dei fornitori di prestazioni ai diversi utilizzatori. Inoltre il progetto non viola i principi di coordinamento derivanti da questi accordi, come la parità di trattamento, la determina- zione della normativa applicabile, la presa in considerazione dei periodi di assicura- zione e il mantenimento dei diritti acquisiti. Le modifiche proposte sono pertanto com- patibili con gli impegni internazionali della Svizzera.
29 RS 101 30 RS 0.142.112.681 31 RS 0.632.31 32 Regolamento (CE) n. 883/2004 del Parlamento europeo e del Consiglio, del 29 aprile 2004, re-
lativo al coordinamento dei sistemi di sicurezza sociale, nella versione vincolante per la Sviz- zera secondo l’Allegato II ALC (una versione consolidata non vincolante di questo regolamento è pubblicata nella RS 0.831.109.268.1), rispettivamente nella versione vincolante per la Sviz- zera secondo l’appendice 2 dell’Allegato K della Convenzione AELS. 33 Regolamento (CE) n. 987/2009 del Parlamento europeo e del Consiglio, del 16 settembre 2009,
che stabilisce le modalità di applicazione del regolamento (CE) n. 883/2004 relativo al coordina- mento dei sistemi di sicurezza sociale, nella versione vincolante per la Svizzera secondo l’Alle- gato II ALC (una versione consolidata non vincolante di questo regolamento è pubblicata nella RS 0.831.109.268.11) rispettivamente nella versione vincolante per la Svizzera secondo l’ap- pendice 2 dell’Allegato K della Convenzione AELS. 34 RS 0.831.109.367.2 15/18
6.3 Forma dell’atto
Conformemente all’articolo 164 Cost. e all’articolo 22 capoverso 1 della legge del 13 di- cembre 200235 sul Parlamento, l’Assemblea federale emana sotto forma di legge fede- rale tutte le disposizioni importanti che contengono norme di diritto. Il presente progetto riguarda la trasmissione di dati aggregati e autorizza l’UST a trasmettere, in determinati casi eccezionali, dati individuali anonimizzati. Le disposizioni proposte devono pertanto fondarsi su una base giuridica formale. Il presente progetto soddisfa questo requisito. Conformemente all’articolo 141 capoverso 1 lettera a Cost., le leggi federali sotto- stanno a referendum. Il presente progetto prevede espressamente questa possibilità.
6.4 Subordinazione al freno alle spese
Il progetto non contiene né nuove disposizioni in materia di sussidi, né nuovi crediti d’impegno o limiti di spesa che implichino nuove spese uniche di oltre 20 milioni di franchi o nuove spese ricorrenti di oltre 2 milioni di franchi. Il progetto non sottostà pertanto al freno alle spese.
6.5 Rispetto del principio di sussidiarietà e del principio dell’equivalenza fi-
scale Il presente progetto non tocca la ripartizione dei compiti tra Confederazione e Cantoni né l’adempimento di tali compiti.
6.6 Conformità alla legge sui sussidi
Il presente progetto non prevede né aiuti finanziari né indennità ai sensi della legge del 5 ottobre 199036 sui sussidi.
6.7 Delega di competenze legislative
I nuovi articoli 26 capoverso 1bis LAM, 56 capoverso 1bis LAINF e 27 capoverso 1bis LAI conferiscono al Consiglio federale la competenza di emanare disposizioni dettagliate sul trattamento dei dati, nel rispetto del principio di proporzionalità. Nella LAMal tale competenza è data dall’articolo 59a capoverso 4, sostituito nel presente progetto dall’articolo 22a capoverso 7.
6.8 Protezione dei dati
Il presente progetto adegua le basi giuridiche al fine di attuare il progetto SpiGes dell’UST, il cui obiettivo consiste nell’attuazione del principio della rilevazione unica dei dati in ambito ospedaliero stazionario. Per rispettare questo principio, i fornitori di pre- stazioni trasmettono a una piattaforma gestita dall’UST i dati necessari per l’adempi- mento dei compiti previsti dalla LStat, dalla LAMal, dalla LAINF, dalla LAM e dalla LAI.
Per quanto riguarda la piattaforma di rilevazione SpiGes, è necessaria una valutazione d’impatto sulla protezione dei dati (VIPD), dal momento che il numero AVS viene rile- vato con dati sensibili su ampia scala. Il rischio per la personalità e i diritti delle persone interessate è dunque elevato. L’UST ha quindi stabilito nel quadro del progetto SpiGes, effettuato secondo il metodo HERMES 2022 (agile), un piano di sicurezza dell’informa- zione e di protezione dei dati (SIPD) che, integrando un’analisi dei rischi, costituisce la base per la definizione delle misure di sicurezza dell’informazione e di protezione dei
35 RS 171.10 36 RS 616.1 16/18
dati. Il piano SIPD indica quali sono i rischi residui connessi all’utilizzo del sistema in- formatico e all’organizzazione.
L’analisi dei rischi si basa sulla fase della piattaforma SpiGes per la rilevazione pilota (funzionalità limitate). Il piano SIPD e la VIPD saranno adattati a fine 2024, prima che la piattaforma diventi operativa per tutti gli ospedali a inizio 2025, e saranno ulterior- mente aggiornati al momento dell’entrata in vigore del presente progetto.
L’analisi dei rischi condotta dall’UST ha individuato tre rischi residui. La tabella se- guente riporta il rischio, lo scenario immaginato e le misure relative ai rischi residui che giustificano la decisione di proseguire con il progetto:
Rischio Scenario Motivazione e misure
Violazione della riser- Attacco a vulnerabilità Dal lancio nel 2025 l’applicazione vatezza, p. es. attra- dell’applicazione SpiGes sarà integrata nel con- verso vulnerabilità nel SpiGes: trollo di scanning periodico sistema, utilizzo impro- dell’UFIT (verifica delle vulnerabi- prio delle informazioni Accesso a entrambi i lità). o attacco al sistema file XML forniti o alle banche dati SpiGes Inoltre parteciperà al programma «bug bounty» (fine 2024-inizio 2025, con riserva di decisione po- sitiva della direzione dell’UST).
Le misure riducono la probabilità che vi siano vulnerabilità nell’ap- plicazione SpiGes. Rimane un ri- schio residuo.
Osservazione per la rilevazione pilota (2024, ISDS V1.0): Implementata parzialmente (se- guirà check di sicurezza dell’UFIT prima della rilevazione pilota)
Si raccomanda di accettare il rischio residuo.
Violazione della riser- Attacco a vulnerabilità Essenzialmente come per il ri- vatezza, p. es. attra- dell’applicazione schio sopra citato. verso vulnerabilità nel SpiGes: sistema, utilizzo impro- La probabilità che lo scenario si prio delle informazioni Accesso a soltanto concretizzi è superiore rispetto al o attacco al sistema uno dei due file XML rischio precedente, poiché i dati forniti (dati medici) sono forniti con maggiore fre- quenza, ma le conseguenze sono minori, perché non sono presenti numeri AVS.
Si raccomanda di accettare il rischio residuo.
Accesso non autoriz- Un utilizzatore esterno Gli ospedali vengono sensibiliz- zato a dati personali (ospedale) cambia da- zati sul rischio, sottolineando che tore di lavoro e man- spetta a loro assicurare il traccia- tiene l’accesso a mento e l’aggiornamento degli SpiGes (login eIAM) accessi, attraverso la gestione delegata degli accessi in eIAM.
Inoltre l’UST verificherà periodi- camente se gli utilizzatori sono ancora attivi, p. es. inviando loro un’e-mail all’indirizzo di lavoro.
Si raccomanda di accettare il rischio residuo.
Non è stato individuato alcun rischio elevato. I rischi residui summenzionati sono stati accettati dall’UST e dall’Ufficio federale dell’informatica e della telecomunicazione.