Il Ministero della Salute ha istituito, con il Decreto del 4 agosto 2025, il Sistema Informativo per il Monitoraggio delle Attività erogate dagli Ospedali di Comunità (SIOC). Questo decreto, pubblicato in Gazzetta Ufficiale il 16 settembre 2025, rappresenta un passo fondamentale per la sanità territoriale italiana, mirando a migliorare la trasparenza e l’efficienza dei servizi offerti dagli ospedali di comunità.

Perché il SIOC? Il Contesto e gli Obiettivi

L’istituzione del SIOC non è un evento isolato, ma si inserisce in un quadro normativo e strategico più ampio, strettamente legato al Piano Nazionale di Ripresa e Resilienza (PNRR). Uno degli obiettivi specifici del PNRR è proprio l’istituzione di un flusso informativo per il monitoraggio dell’assistenza territoriale erogata dagli ospedali di comunità.

Il SIOC nasce con la finalità principale di supportare il monitoraggio dei Livelli Essenziali di Assistenza (LEA). Questo sistema permetterà di raccogliere informazioni dettagliate sulle attività e le prestazioni erogate dagli ospedali di comunità, come previste dai decreti ministeriali 23 maggio 2022, n. 77 (paragrafo 11 “Ospedale di comunità”) e 2 aprile 2015, n. 70 (paragrafi 10 e 10.1 “Continuità ospedale-territorio” e “Ospedale di comunità”).

Gli obiettivi del SIOC sono molteplici e di grande rilevanza:

• Monitorare l’adeguatezza della continuità delle cure e dell’assistenza agli standard qualitativi e quantitativi dei LEA.
• Garantire il rispetto dei principi fondamentali come la dignità della persona umana, il bisogno di salute, l’equità nell’accesso, la qualità e appropriatezza delle cure, e l’economicità nell’impiego delle risorse.
• Fornire analisi utili per il calcolo di indicatori che serviranno anche per la verifica degli standard qualitativi e quantitativi dei LEA, come stabilito nell’intesa Stato-Regioni del 23 marzo 2005.

Come Funziona il SIOC: Raccolta e Trattamento dei Dati

Il SIOC è parte integrante del Nuovo Sistema Informativo Sanitario (NSIS) e la sua realizzazione e gestione sono affidate al Ministero della Salute, in particolare alla Direzione generale competente in materia di digitalizzazione e del sistema informativo sanitario nazionale.

Quali dati vengono raccolti? Il flusso informativo, dettagliato nel disciplinare tecnico allegato al decreto, raccoglie informazioni relative alle attività effettuate dagli erogatori e dati personali non direttamente identificativi dell’assistito:

• Caratteristiche anagrafiche e socio-sanitarie dell’assistito.
• Codice individuale dell’assistito.
• Motivazione e caratteristiche dell’episodio di cura.
• Grado di autonomia dell’assistito.
• Prestazioni erogate.

È importante sottolineare che nel SIOC vengono raccolti, trattati e conservati solo i dati adeguati, pertinenti e limitati a quanto necessario per le finalità del decreto. Le informazioni vengono elaborate per fornire una rappresentazione aggregata dei dati, a livello aziendale su base mensile.

Per garantire la protezione dei dati personali, le regioni e le province autonome, prima dell’invio al NSIS, sostituiscono i codici identificativi con un Codice Univoco Non Invertibile (CUNI), generato tramite un algoritmo di hash. Successivamente, il Ministero della Salute genera e assegna il Codice Univoco Nazionale dell’Assistito (CUNA), che sarà l’unico elemento identificativo dell’assistito in tutti i trattamenti successivi sul NSIS.

Accesso ai Dati e Tempistiche

L’accesso alle informazioni aggregate contenute nel SIOC è consentito a diverse figure chiave per il monitoraggio e la programmazione sanitaria:

• Unità organizzative delle regioni e province autonome (in forma aggregata, a livello aziendale mensile e per la propria competenza territoriale).
• Direzioni generali competenti del Ministero della Salute (in forma aggregata, a livello aziendale mensile).
• AGENAS (Agenzia Nazionale per i Servizi Sanitari Regionali) (in forma aggregata, a livello aziendale mensile) per le attività di monitoraggio.

Le trasmissioni dei dati al SIOC inizieranno in via sperimentale a partire dal primo trimestre 2026. Le informazioni devono essere trasmesse con cadenza trimestrale, entro quarantacinque giorni dal periodo di riferimento, con un ulteriore periodo di trenta giorni ammesso per l’acquisizione.

Un aspetto cruciale è che, a partire dal 1° gennaio 2027, il conferimento dei dati al SIOC diventerà un adempimento obbligatorio per le regioni per accedere al finanziamento integrativo a carico dello Stato. Le informazioni trasmesse saranno soggette a verifica di completezza e qualità.

Sicurezza e Protezione dei Dati Personali

La protezione dei dati è una priorità assoluta. Il decreto e il disciplinare tecnico specificano misure rigorose per garantire l’integrità e la riservatezza delle informazioni. Il Ministero della Salute è il titolare del trattamento dei dati personali.

Le misure di sicurezza includono:

• Isolamento logico della rete e protezione da virus informatici.
• Autenticazione degli utenti (anche a più fattori tramite SPID, CNS, CIE) e controllo degli accessi.
• Integrità dei messaggi scambiati e cifratura dei dati (crittografia simmetrica e asimmetrica).
• Utilizzo di strumenti come firewall, IPS/IDS, SIEM/SOAR per il monitoraggio e la gestione degli eventi di sicurezza.
• Tracciatura di tutte le operazioni di accesso ai dati, con log conservati per dodici mesi.
• Separazione dei dati anagrafici dai dati sensibili in distinti schemi di database.

I dati personali nel SIOC saranno conservati per trent’anni dal decesso dell’interessato, con cancellazione annuale.

Finanziamento

La realizzazione del SIOC è finanziata dalle risorse previste dal PNRR, in particolare dall’Investimento 1.3.2 «Infrastruttura tecnologica del Ministero della salute e analisi dei dati, modello predittivo per la vigilanza LEA» della Missione 6, Componente 2. Anche le risorse a livello regionale per l’attuazione di questo decreto derivano da un apposito decreto ministeriale sulla ripartizione delle risorse PNRR alle regioni e province autonome.