Messaggio 001
Comunicazione della Commissione - TRIS/(2023) 3385
Direttiva (UE) 2015/1535
Notifica: 2023/0682/FR
Notifica di un progetto di testo da parte di uno Stato membro
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.IT
1. MSG 001 IND 2023 0682 FR IT 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Salute, attrezzature mediche
5. Decreto che modifica il decreto dell'11 giugno 2018 recante approvazione del quadro di accreditamento degli organismi di certificazione e del quadro di certificazione per l'hosting dei dati sanitari personali
6. Attività di hosting dei dati sanitari personali su supporto digitale
7.
8. Il presente progetto di decreto modifica il quadro di accreditamento per gli organismi di certificazione e il quadro di certificazione per l'hosting di dati sanitari personali.
Conformemente alle disposizioni di cui agli articoli L.1111-8 e R.1111-10 del codice della sanità pubblica, tutti gli host di dati sanitari personali devono essere in possesso di un certificato di conformità rilasciato da un organismo di certificazione sulla base di un quadro di certificazione, approvato mediante decreto del ministro della Sanità.
Le principali modifiche al quadro di certificazione per l'hosting dei dati sanitari hanno lo scopo di:
- chiarire per quali attività i prestatori di hosting hanno ottenuto la certificazione, in particolare specificando la definizione dell'attività di amministrazione e gestione dei sistemi sanitari;
- migliorare la leggibilità delle garanzie fornite dall'host a ciascun fornitore che utilizza i suoi servizi;
- chiarire gli obblighi contrattuali dell'host;
- integrare le modifiche alla norma ISO 27001 nel quadro di certificazione per l'hosting dei dati sanitari.
Il quadro riveduto per l'hosting dei dati sanitari propone inoltre di aggiungere quattro nuovi requisiti in materia di sovranità dei dati, in particolare:
- limitare la conservazione dei dati sanitari al territorio di uno Stato facente parte dello Spazio economico europeo;
due requisiti relativi alla trasparenza dell'host nei confronti dei suoi clienti:
- di informarli di qualsiasi trasferimento o accesso remoto dei dati del cliente da un territorio al di fuori dello Spazio economico europeo (SEE) che non garantisce un livello adeguato di protezione dei dati ai sensi dell'articolo 45 del GDPR e delle misure organizzative e tecniche attuate per regolamentare tale trasferimento;
- di informarli di qualsiasi assoggettamento a regolamenti extracomunitari che potrebbero comportare un rischio di accesso ai dati da parte di un organismo situato in un paese che non garantisce un livello adeguato di protezione dei dati ai sensi dell'articolo 45 del GDPR e delle misure adottate per attenuare tale rischio;
un obbligo di trasparenza nei confronti dei suoi potenziali clienti: l'host deve rendere pubbliche e mantenere aggiornate le informazioni dettagliate su qualsiasi trasferimento di dati che ospita a un paese non appartenente al SEE e sulle misure adottate per garantire il rispetto del GDPR.
9. La procedura di certificazione obbligatoria per l'hosting dei dati sanitari personali, istituita dalla legge, ha lo scopo di garantire agli utenti e agli operatori sanitari che tali dati sensibili ai sensi del GDPR, affidati nell'ambito delle cure mediche, siano conservati in modo sicuro.
Il presente progetto di decreto è adottato a norma degli articoli L.1111-8 e R.1111-10 del codice della sanità pubblica al fine di approvare una versione riveduta: da un lato, il quadro di certificazione per l'hosting dei dati sanitari e, dall'altro, il quadro di accreditamento per gli organismi di certificazione, inizialmente approvati mediante il decreto dell'11 giugno 2018. Il decreto n. 2018-137, che ha stabilito le disposizioni di cui agli articoli R. 1111-8-8 e successivi del codice della sanità pubblica, nonché il decreto dell'11 giugno 2018 sono stati entrambi notificati alla Commissione europea nel 2017.
Il sistema di certificazione globale attuato nel 2018 non è stato modificato, con solo alcuni punti in corso di aggiornamento.
Gli unici requisiti aggiunti al quadro di certificazione riguardano la sovranità dei dati sanitari e mirano a garantire la conformità al GDPR (il precedente quadro è stato approvato prima dell'entrata in vigore del GDPR).
Il sistema di certificazione per l'hosting dei dati sanitari deve fornire garanzie alle parti interessate del settore sanitario e medico-sociale per quanto riguarda la protezione dei dati rispetto alla legislazione extra UE che potrebbe comportare un rischio di divulgazione dei dati e non dovrebbe fornire garanzie alle persone in merito all'efficacia dei loro diritti ai sensi del regolamento generale sulla protezione dei dati (GDPR).
Il quadro è stato oggetto di un parere del Garante francese per la protezione dei dati (CNIL) del 13 luglio 2023.
In attesa dell'esito delle discussioni a livello europeo sui futuri quadri europei (EUCS — European Cybersecurity Certification Scheme for Cloud services), si è deciso di non allinearlo, ad oggi, ai requisiti in termini di immunità extraterritoriale stabiliti dal quadro francese denominato "SecNumCloud version 3.2", adottato dall'ANSSI (l'Agenzia francese per la sicurezza dei sistemi di informazione).
10. Riferimenti ai testi di base: 2017/0343/F, 2017/0379/F
I testi di riferimento devono essere inviati nell'ambito di una precedente notifica:
2017/0343/F
2017/0379/F
11. No
12.
13. No
14. No
15. No
16.
Aspetto OTC: No
Aspetto SPS: No
**********
Commissione europea
Punto di contatto Direttiva (UE) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
