| Garante per la protezione dei dati personali [v. Newsletter PI SICUREZZA IN OSPEDALECON LE IMPRONTE DIGITALI IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale; Esaminata la richiesta di verificapreliminare presentata dall'Azienda policlinico Umberto I in Roma ai sensidell'art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30giugno 2003, n. 196); Visti gli atti d'ufficio ivi compresa larelazione del Dipartimento risorse tecnologiche dell'Ufficio; Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000; Relatore il dott. Giuseppe Fortunato; PREMESSO
1. Trattamento di dati biometrici nelrapporto di lavoro per finalit di autenticazione di accesso a sistemi Ict, aparticolari aree e rilevazione delle presenze 1.1. L'Azienda policlinico Umberto I, cheha dichiarato di erogare al Sistema sanitario regionale prestazioni sanitarie aelevata complessit e criticit associate a funzioni didattiche e di ricercaproprie dell'ambito universitario, ha presentato a questa Autorit unarichiesta di verifica preliminare ai sensi dell'art. 17 del Codice, corredatada una dettagliata relazione, circa il trattamento di dati biometrici (ricavatidalla lettura delle impronte digitali) dei dipendenti di varia qualifica:medici, personale infermieristico, tecnico amministrativo elogistico-ausiliario, per un totale di circa 6.500 unit, cui si aggiungonoalcune centinaia di dipendenti assunti a tempo determinato. Ci determina unacomplessa gestione delle risorse umane, complicata dall'enorme flusso dipersone (dottorandi, specializzandi, studenti dei corsi di laurea, dipendentidi ditte e cooperative che erogano servizi, pazienti, familiari e fornitori)che, in aggiunta ai dipendenti, quotidianamente circolano nei 54 edifici di cui composta la struttura, gestione considerata difficile per via di alcune sedidislocate in altri complessi e quartieri di Roma. 1.2. L'Azienda ritiene particolarmente difficilegestire tali flussi e ha individuato tre aspetti critici che potrebbero trovarea suo avviso soluzione mediante tecniche che utilizzano la rilevazione di datibiometrici dei dipendenti: a) l'autenticazione del personale medico,infermieristico, ausiliario e tecnico amministrativo ai sistemi di Informationand Communication Technology (Ict) attraverso i quali sono trattati datipersonali e sensibili degli operatori e dei pazienti; b) l'accesso ad alcune limitate areedell'ospedale destinate a funzioni strategiche o ad attivit cherichiederebbero l'adozione di particolari misure di sicurezza, protezione egestione/controllo degli accessi (aree a elevata criticit operativa o aelevato rischio clinico); c) la rilevazione delle presenzedell'intero personale dipendente. 1.3. Per quanto attiene alla lettera a),ad avviso dell'Azienda l'utilizzo di metodi tradizionali di autenticazione aisistemi Ict mediante digitazione dell'identificativo e password personale, inun simile contesto non risulta adeguato. Oltre alla salvaguardia dei datipersonali, vi sarebbero altre istanze da tenere in debito conto: la necessitdi individuare con certezza l'operatore impegnato nelle attivit medico-legali,nelle procedure, nel trattamento delle informazioni, nell'utilizzo dellerisorse strumentali e umane legate alla tutela della salute dei pazienti. Inaltri termini, occorrerebbe un sistema che dia maggiore certezza che chi sipresenta al sistema con le credenziali assegnate al proprio nominativo siaeffettivamente la persona fisica legittimata e non ci sia la possibilit che unaltro soggetto possa presentarsi al suo posto. 1.4. Per quanto riguarda la lettera b),l'Azienda ha rappresentato che numerose aree dell'ospedale sono classificate ad"accesso limitato" peri seguenti motivi: trattamenti sanitari che vi sisvolgono (blocchi operatori, terapie intensive, rianimazioni, areedell'emergenza, aree di diagnostica per immagini, radioterapia, laboratori diricerca, ecc.); beni conservati (magazzini,farmacia, stupefacenti, galenici, armamentario chirurgico, strumentazioni Ict,cucine, alimentazione, area dei reparti anatomo-patologici, laboratori diricerca, ecc.); particolari patologie deipazienti (ematologia, oncologia e relative camere sterili, fibrosi cistica,area delle malattie infettive e tropicali, area Hiv, ecc.); strumentazioni in esercizio neilaboratori, aree radiologiche o di radioterapia, server farm e sistemirobotizzati, ecc.; trattamenti di dati ivieffettuati (archivi di cartelle cliniche, server farm contenenti dati personalitrattati dall'ospedale, centri di riferimento regionali per le patologie rare). L'attuale controllo degli accessi in talearee considerato inadeguato e, come riferito dall'Azienda, effettuato a vistaprevalentemente attraverso il riconoscimento tra colleghi; presenta quindiaspetti particolarmente problematici per quanto riguarda l'identificazionedegli incaricati in relazione all'impatto che pu determinare l'accesso dipersonale non autorizzato. 1.5. In ordine alla lettera c), l'Aziendaevidenzia una serie di difficolt nel controllare la presenza in servizio delpersonale mediante sistemi di uso consueto, sempre a motivo dell'elevato numerodi vie d'accesso a ciascun edificio, della distribuzione territoriale dellestrutture da gestire, dell'elevato flusso giornaliero di persone edell'impossibilit di adottare soluzioni tradizionali quali varchi e tornelli.Anche i tempi legati al controllo delle informazioni registrate nei cartellinio fogli di firma sarebbero di ostacolo ad un'efficiente gestione delle risorsela cui presenza in servizio dovrebbe essere verificata, invece, in tempo reale.Non ultimo, viene addotto il problema dell'onerosit dell'adozione ditecnologie diverse per tutti e tre gli aspetti (autenticazione Ict, autenticazionead accessi riservati e attestazione della presenza in servizio). 1.6. L'Azienda ritiene che un sistematecnologico integrato basato sui rilevatori di impronte biometriche di cui alprogetto presentato (smart-card, template, cifratura e lettore di improntadigitale) possa essere risolutivo per tutti i problemi sopra esposti dalmomento che le molteplici attivit svolte nell'ambito ospedaliero presuppongonola presenza effettiva dell'operatore, senza dubbi di sostituzione di personacome accade con il tradizionale badge a banda magnetica. L'utilizzo di tecnichebiometriche renderebbe pi controllabile la presenza dell'operatore che, seulteriormente abilitato, potrebbe accedere alle aree controllate e ai databasecontenenti dati sensibili. Su quest'ultimo aspetto l'azienda ritiene che ilcontrollo delle presenze non possa essere scisso dalle altre funzionalit diautenticazione per l'accesso alle aree controllate e ai database. Il progettodell'Azienda ipotizza infatti che mediante il badge e l'autenticazione su basebiometrica tutti gli operatori debbano dichiarare l'entrata e l'uscita dalservizio e, in quanto in servizio, siano abilitati secondo le opportuneautorizzazioni ad accedere a programmi, data base e aree particolari. Pertanto,il primo gradino dell'intero progetto dovrebbe essere proprio la rilevazionedella presenza in servizio degli operatori. 1.7. Dal punto di vista tecnico l'Aziendaritiene che la soluzione ipotizzata sia conforme alle prescrizioni sulle misuredi sicurezza di cui all'Allegato B) al Codice in materia di protezione dai datipersonali e che sia necessario orientarsi sull'utilizzo di un badge conmicrochip (smart-card) escludendo altre possibili soluzioni basate su un badgecon banda magnetica o tag Rfid di tipo passivo. La smart-card, nell'esclusivadisponibilit del lavoratore, verrebbe utilizzata con sistemi di verificabiometrica e di autenticazione basati su dispositivi di lettura dell'improntadigitale del dito, non centralizzati e integralmente autonomi nello svolgimentodelle procedure di autenticazione (associazione delle coordinate geometrichecrittografate contenute nel microprocessore con quelle rilevate sull'improntadigitale) accompagnati dalla digitazione di un pin da parte dell'operatore.L'accesso al template contenente le coordinate geometriche e registrate in unsettore worm della smart-card avvererebbe solo localmente. Nessuna tracciadell'impronta biometrica o del template verrebbe trattata su supporti diversidalla smart-card. Al sistema centrale verrebbero inviate, invece, solo leinformazioni in forma cifrata concernenti l'identificativo segreto deldipendente (cifrato nella smart-card), il numero identificativo dellasmart-card, l'ora di autenticazione e il codice identificativo del dispositivoutilizzato per l'autenticazione. 2. Necessit, liceit, finalite correttezza nel trattamento di dati biometrici per l'accesso a particolariaree e ai sistemi ICT 2.1. La raccolta e la registrazione diimpronte digitali e dei dati biometrici ricavati e successivamente utilizzatiper verifiche e raffronti nelle procedure di autenticazione o diidentificazione, sono operazioni di trattamento di dati personali riconducibiliai singoli interessati (art. 4, comma 1, lett. b) del Codice), alle quali trovaapplicazione la normativa contenuta nel Codice cui si riferiscono diversiprovvedimenti in materia (v. Provv. 19 novembre 1999, 21 luglio 2005, 23 novembre 2005, 15 giugno2006, 1 febbraio 2007, in merito v.pure il documento di lavoro sulla biometria del Gruppo Art. 29 dei garanti europei, Wp80). La liceit del sistema deve essere pertanto valutata sulpiano della conformit ai princpi di necessit, proporzionalit, finalit ecorrettezza (artt. 3 e 11 del Codice), anche in relazione ai tempi diconservazione dei dati. 2.2. Con riguardo al trattamento di datibiometrici aventi lo scopo di regolare l'accesso ad aree e locali deverilevarsi che, stando alle dichiarazioni rese dall'Azienda, gli ambienti dilavoro in esame si caratterizzano per la loro delicatezza e pericolosit inragione dei dati trattati (in particolare, cartelle cliniche e dati sullasalute in genere), dei materiali e medicinali depositati (ad es., campionibiologici e stupefacenti) e del rischio di contrarre infezioni o malattie ancheinfettive, oltre alla presenza di strumenti complessi e costosi; attivit eapparecchiature presenti in una pluralit di ambienti ed edifici ad altoafflusso di dipendenti ed estranei e che renderebbero problematico organizzaree attuare idonei sistemi di sicurezza. Ad avviso dell'azienda, l'utilizzodi sistemi di autenticazione basati su tecniche biometriche associate a unasmart-card con inserimento di un codice segreto (pin) secondo le modalit sopradescritte, in possesso del personale abilitato, fornirebbe una valida soluzioneal problema aumentando considerevolmente il grado di sicurezza nell'accesso aluoghi e settori da tenere sotto controllo. Viene quindi consideratopiuttosto problematico assicurare con sistemi tradizionali l'autenticazionecerta e univoca della molteplicit degli operatori abilitati ad accedere eoperare nelle aree a rischio, non solo in relazione ai dati sensibili, ma ancheper garantire l'incolumit dei lavoratori e delle persone che affluiscono allestrutture a vario titolo (parenti dei pazienti, dottorandi, studenti,fornitori). Nella considerazione che l'utilizzo di un badge tradizionale nonoffre adeguate garanzie, a meno di associarvi un altro sistema di controllo(es. vigilante o telecamera posizionata sul rilevatore), la verifica pi certadell'identit degli autorizzati verrebbe resa possibile, grazie all'impiego dirilevatori di impronte biometriche basate su una pi attendibileidentificazione fisica. Sono state addotte anche ulteriori motivazioniconcernenti l'obbligo del datore di lavoro di adottare le misure necessarie atutelare l'integrit fisica dei lavoratori rispetto all'accesso ai settori arischio da parte del solo personale autorizzato (art. 2087 c.c.; d.lg. n.626/1994 e successive modifiche e integrazioni). 2.3. L'Azienda dichiara di aververificato se esistano mezzi parimenti efficaci, diversi da quello proposto.Osterebbero alla possibilit di utilizzare proficuamente sistemi alternativi diidentificazione del personale abilitato consistenti nel presidio fisico degliaccessi da parte di sorveglianti e guardie giurate, sia la pluralit di edifici(sparsi anche nella citt) e degli accessi, sia la difficolt di controllare ilflusso dei loro frequentatori. Non risulta quindi sproporzionato, per questoverso, l'uso di dati tratti dalle impronte digitali, il template, atteso cheesso viene memorizzato su un supporto privo di indicazioni nominative riferibiliall'interessato ( presente solo un codice individuale), destinato a restarenell'esclusiva disponibilit di quest'ultimo. Inoltre, come dichiaratodall'Azienda, il template memorizzato sulla smart card risulta essere protettocon una chiave crittografica e con un codice alfanumerico per la lettura. Perquanto riguarda la durata di conservazione dai dati (registrazione dei logdegli accessi in forma criptata), l'Azienda ha indicato novanta giorni naturalie consecutivi per fini di giustizia. A tale riguardo si rileva che lafinalit indicata dall'Azienda non risulta pertinente, dovendosi invece tenereconto solo della necessit di conservazione connessa all' ordinaria attivitgestionale; di conseguenza il termine indicato risulta sproporzionato e varidotto ad una durata inferiore, non superiore a dieci giorni, sufficiente peraccertare eventuali accessi indebiti. 2.4. Per quanto riguarda i sistemi Ict, afini di sicurezza e in aderenza con le regole espresse nel menzionato AllegatoB), non risulta sproporzionato l'utilizzo del sistema sopra descritto a fini diautenticazione dei medesimi sistemi attraverso i quali sono resi accessibili idati personali e sensibili degli operatori e dei pazienti dell'ospedale. Ladelicatezza dei dati sulla salute trattati in ambito ospedaliero rendeproporzionata una misura di "autenticazione forte"
3. Finalit, necessit, liceit eproporzionalit di rilevazione di presenze sul luogo di lavoro 3.1. Il trattamento di dati biometricisopra descritto non risulta invece lecito e proporzionato per il perseguimentodella diversa finalit di rilevazione della presenza dei dipendenti, sebbenel'Azienda abbia addotto proprie motivazioni volte a chiarire la necessitdell'utilizzo di tale peculiare modalit di trattamento. Il provvedimento a carattere generale delGarante del 14 giugno 2007 recante "Linee guida in materia ditrattamento di dati personali di lavoratori per finalit di gestione delrapporto di lavoro in ambito pubblico" , menziona alpunto 7 l'illegittimit di un utilizzo in modo generalizzato di sistemi dirilevazione automatica delle presenze dei dipendenti mediante la raccolta didati biometrici in quanto particolarmente invasivi in rapporto alle finalitperseguite. In tale sede stato in particolare posta in evidenza lasproporzione dell'utilizzo di sistemi di rilevazione delle impronte digitali perverificare l'esatto adempimento di prestazioni lavorative, qualora sianoattivabili altre misure "convenzionali" L'intenzione di utilizzare un sistemaunico di rilevazione e autenticazione –principio in astrattocondivisibile- non pu essere poi, di per s, la base legittimante perl'adozione di un sistema biometrico generalizzato a fini di mera verifica dellapresenza del personale sul luogo di lavoro. 4. Informativa, notificazione deltrattamento e misure di sicurezza. 4.1. Il progetto in esame non recaindicazioni per quanto riguarda l'informativa da rendere agli interessati aisensi dell'art. 13 e sulla notificazione del trattamento. Per tali aspetti,come per quanto concerne le misure di sicurezza, restano ovviamente fermi gliobblighi previsti dal Codice, cui l'attuazione del progetto dovr ovviamenteconformarsi. TUTTO CI PREMESSO ILGARANTE in relazione al progetto dell'Aziendapoliclinico Umberto I volto a trattare dati biometrici mediante un sistema diverifica basato sul confronto tra le impronte digitali rilevate e il template,memorizzato e cifrato su un supporto che resti nell'esclusiva disponibilit deilavoratori interessati nei termini di cui in premessa, prescrive all'Azienda aisensi dell'art. 17 del Codice di adottare i seguenti accorgimenti e misure: limitare l'uso del sistema dirilevazione biometrica descritto agli accessi alle aree riservate eall'autenticazione per l'utilizzo del sistema Ict (punto 1.2, lettere a) e b),di cui in motivazione), con conseguente esclusione dell'utilizzo dei datipersonali raccolti mediante il medesimo sistema per finalit diverse da quelleautorizzate con il presente provvedimento, in particolare per quanto concernela rilevazione della presenza dei lavoratori (punto 3); ridurre il termine diconservazione dei dati di log per l'accesso alle diverse applicazioni aziendaliper fini di gestione dell'Ospedale, al massimo a sei mesi; individuare con precisione learee e i locali da sottoporre ad accesso controllato -rigorosamente limitatoalle aree e ai settori che presentino effettivamente rischi specifici perlincolumit delle persone, rischi di sottrazione di materiale pericoloso o didanneggiamento di apparecchiature delicate o costose, di alterazione, perditedi dati per accertare l'effettiva prestazione medica e infermieristica da partedegli operatori abilitati- con esclusione di quelli per i quali non risulticomprovata l'effettiva necessit di sottoporli a controllo tramite dispositivobiometrico (in particolare per quanto concerne le aree amministrativocontabili); I dati di log relativi agli oraridi ingresso alle aree riservate, potranno essere conservati per il tempomassimo di dieci giorni.
|