Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Più sicurezza in ospedale con le impronte digitali - 15 aprile 2008 [1523435]

[doc. web n. 1523435]
[v. Newsletter 29 luglio 2008]

Più sicurezza in ospedale con le impronte digitali - 15 aprile 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Esaminata la richiesta di verifica preliminare presentata dall´Azienda policlinico Umberto I in Roma ai sensi dell´art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visti gli atti d´ufficio ivi compresa la relazione del Dipartimento risorse tecnologiche dell´Ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

 

1. Trattamento di dati biometrici nel rapporto di lavoro per finalità di autenticazione di accesso a sistemi Ict, a particolari aree e rilevazione delle presenze

1.1. L´Azienda policlinico Umberto I, che ha dichiarato di erogare al Sistema sanitario regionale prestazioni sanitarie a elevata complessità e criticità associate a funzioni didattiche e di ricerca proprie dell´ambito universitario, ha presentato a questa Autorità una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, corredata da una dettagliata relazione, circa il trattamento di dati biometrici (ricavati dalla lettura delle impronte digitali) dei dipendenti di varia qualifica: medici, personale infermieristico, tecnico amministrativo e logistico-ausiliario, per un totale di circa 6.500 unità, cui si aggiungono alcune centinaia di dipendenti assunti a tempo determinato. Ciò determina una complessa gestione delle risorse umane, complicata dall´enorme flusso di persone (dottorandi, specializzandi, studenti dei corsi di laurea, dipendenti di ditte e cooperative che erogano servizi, pazienti, familiari e fornitori) che, in aggiunta ai dipendenti, quotidianamente circolano nei 54 edifici di cui è composta la struttura, gestione considerata difficile per via di alcune sedi dislocate in altri complessi e quartieri di Roma.

1.2. L´Azienda ritiene particolarmente difficile gestire tali flussi e ha individuato tre aspetti critici che potrebbero trovare a suo avviso soluzione mediante tecniche che utilizzano la rilevazione di dati biometrici dei dipendenti:

a) l´autenticazione del personale medico, infermieristico, ausiliario e tecnico amministrativo ai sistemi di Information and Communication Technology (Ict) attraverso i quali sono trattati dati personali e sensibili degli operatori e dei pazienti;

b) l´accesso ad alcune limitate aree dell´ospedale destinate a funzioni strategiche o ad attività che richiederebbero l´adozione di particolari misure di sicurezza, protezione e gestione/controllo degli accessi (aree a elevata criticità operativa o a elevato rischio clinico);

c) la rilevazione delle presenze dell´intero personale dipendente.

1.3. Per quanto attiene alla lettera a), ad avviso dell´Azienda l´utilizzo di metodi tradizionali di autenticazione ai sistemi Ict mediante digitazione dell´identificativo e password personale, in un simile contesto non risulta adeguato. Oltre alla salvaguardia dei dati personali, vi sarebbero altre istanze da tenere in debito conto: la necessità di individuare con certezza l´operatore impegnato nelle attività medico-legali, nelle procedure, nel trattamento delle informazioni, nell´utilizzo delle risorse strumentali e umane legate alla tutela della salute dei pazienti. In altri termini, occorrerebbe un sistema che dia maggiore certezza che chi si presenta al sistema con le credenziali assegnate al proprio nominativo sia effettivamente la persona fisica legittimata e non ci sia la possibilità che un altro soggetto possa presentarsi al suo posto.

1.4. Per quanto riguarda la lettera b), l´Azienda ha rappresentato che numerose aree dell´ospedale sono classificate ad "accesso limitato" per i seguenti motivi:

  • trattamenti sanitari che vi si svolgono (blocchi operatori, terapie intensive, rianimazioni, aree dell´emergenza, aree di diagnostica per immagini, radioterapia, laboratori di ricerca, ecc.);
  • beni conservati (magazzini, farmacia, stupefacenti, galenici, armamentario chirurgico, strumentazioni Ict, cucine, alimentazione, area dei reparti anatomo-patologici, laboratori di ricerca, ecc.);
  • particolari patologie dei pazienti (ematologia, oncologia e relative camere sterili, fibrosi cistica, area delle malattie infettive e tropicali, area Hiv, ecc.);
  • strumentazioni in esercizio nei laboratori, aree radiologiche o di radioterapia, server farm e sistemi robotizzati, ecc.;
  • trattamenti di dati ivi effettuati (archivi di cartelle cliniche, server farm contenenti dati personali trattati dall´ospedale, centri di riferimento regionali per le patologie rare).

L´attuale controllo degli accessi in tale aree è considerato inadeguato e, come riferito dall´Azienda, effettuato a vista prevalentemente attraverso il riconoscimento tra colleghi; presenta quindi aspetti particolarmente problematici per quanto riguarda l´identificazione degli incaricati in relazione all´impatto che può determinare l´accesso di personale non autorizzato.

1.5. In ordine alla lettera c), l´Azienda evidenzia una serie di difficoltà nel controllare la presenza in servizio del personale mediante sistemi di uso consueto, sempre a motivo dell´elevato numero di vie d´accesso a ciascun edificio, della distribuzione territoriale delle strutture da gestire, dell´elevato flusso giornaliero di persone e dell´impossibilità di adottare soluzioni tradizionali quali varchi e tornelli. Anche i tempi legati al controllo delle informazioni registrate nei cartellini o fogli di firma sarebbero di ostacolo ad un´efficiente gestione delle risorse la cui presenza in servizio dovrebbe essere verificata, invece, in tempo reale. Non ultimo, viene addotto il problema dell´onerosità dell´adozione di tecnologie diverse per tutti e tre gli aspetti (autenticazione Ict, autenticazione ad accessi riservati e attestazione della presenza in servizio).

1.6. L´Azienda ritiene che un sistema tecnologico integrato basato sui rilevatori di impronte biometriche di cui al progetto presentato (smart-card, template, cifratura e lettore di impronta digitale) possa essere risolutivo per tutti i problemi sopra esposti dal momento che le molteplici attività svolte nell´ambito ospedaliero presuppongono la presenza effettiva dell´operatore, senza dubbi di sostituzione di persona come accade con il tradizionale badge a banda magnetica. L´utilizzo di tecniche biometriche renderebbe più controllabile la presenza dell´operatore che, se ulteriormente abilitato, potrebbe accedere alle aree controllate e ai database contenenti dati sensibili. Su quest´ultimo aspetto l´azienda ritiene che il controllo delle presenze non possa essere scisso dalle altre funzionalità di autenticazione per l´accesso alle aree controllate e ai database. Il progetto dell´Azienda ipotizza infatti che mediante il badge e l´autenticazione su base biometrica tutti gli operatori debbano dichiarare l´entrata e l´uscita dal servizio e, in quanto in servizio, siano abilitati secondo le opportune autorizzazioni ad accedere a programmi, data base e aree particolari. Pertanto, il primo gradino dell´intero progetto dovrebbe essere proprio la rilevazione della presenza in servizio degli operatori.

1.7. Dal punto di vista tecnico l´Azienda ritiene che la soluzione ipotizzata sia conforme alle prescrizioni sulle misure di sicurezza di cui all´Allegato B) al Codice in materia di protezione dai dati personali e che sia necessario orientarsi sull´utilizzo di un badge con microchip (smart-card) escludendo altre possibili soluzioni basate su un badge con banda magnetica o tag Rfid di tipo passivo. La smart-card, nell´esclusiva disponibilità del lavoratore, verrebbe utilizzata con sistemi di verifica biometrica e di autenticazione basati su dispositivi di lettura dell´impronta digitale del dito, non centralizzati e integralmente autonomi nello svolgimento delle procedure di autenticazione (associazione delle coordinate geometriche crittografate contenute nel microprocessore con quelle rilevate sull´impronta digitale) accompagnati dalla digitazione di un pin da parte dell´operatore. L´accesso al template contenente le coordinate geometriche e registrate in un settore worm della smart-card avvererebbe solo localmente. Nessuna traccia dell´impronta biometrica o del template verrebbe trattata su supporti diversi dalla smart-card. Al sistema centrale verrebbero inviate, invece, solo le informazioni in forma cifrata concernenti l´identificativo segreto del dipendente (cifrato nella smart-card), il numero identificativo della smart-card, l´ora di autenticazione e il codice identificativo del dispositivo utilizzato per l´autenticazione.


2. Necessità, liceità, finalità e correttezza nel trattamento di dati biometrici per l´accesso a particolari aree e ai sistemi ICT

2.1. La raccolta e la registrazione di impronte digitali e dei dati biometrici ricavati e successivamente utilizzati per verifiche e raffronti nelle procedure di autenticazione o di identificazione, sono operazioni di trattamento di dati personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b) del Codice), alle quali trova applicazione la normativa contenuta nel Codice cui si riferiscono diversi provvedimenti in materia (v. Provv. 19 novembre 1999, in www.garanteprivacy.it, doc. web n. 42058; 21 luglio 2005, doc. web n. 1150679; 23 novembre 2005, doc. web n. 1202254; 15 giugno 2006, doc. web n. 1306530; 1 febbraio 2007, doc. web n. 1381983: in merito v. pure il documento di lavoro sulla biometria del Gruppo Art. 29 dei garanti europei, Wp80).
La liceità del sistema deve essere pertanto valutata sul piano della conformità ai princìpi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice), anche in relazione ai tempi di conservazione dei dati.

2.2. Con riguardo al trattamento di dati biometrici aventi lo scopo di regolare l´accesso ad aree e locali deve rilevarsi che, stando alle dichiarazioni rese dall´Azienda, gli ambienti di lavoro in esame si caratterizzano per la loro delicatezza e pericolosità in ragione dei dati trattati (in particolare, cartelle cliniche e dati sulla salute in genere), dei materiali e medicinali depositati (ad es., campioni biologici e stupefacenti) e del rischio di contrarre infezioni o malattie anche infettive, oltre alla presenza di strumenti complessi e costosi; attività e apparecchiature presenti in una pluralità di ambienti ed edifici ad alto afflusso di dipendenti ed estranei e che renderebbero problematico organizzare e attuare idonei sistemi di sicurezza.
Ad avviso dell´azienda, l´utilizzo di sistemi di autenticazione basati su tecniche biometriche associate a una smart-card con inserimento di un codice segreto (pin) secondo le modalità sopra descritte, in possesso del personale abilitato, fornirebbe una valida soluzione al problema aumentando considerevolmente il grado di sicurezza nell´accesso a luoghi e settori da tenere sotto controllo.
Viene quindi considerato piuttosto problematico assicurare con sistemi tradizionali l´autenticazione certa e univoca della molteplicità degli operatori abilitati ad accedere e operare nelle aree a rischio, non solo in relazione ai dati sensibili, ma anche per garantire l´incolumità dei lavoratori e delle persone che affluiscono alle strutture a vario titolo (parenti dei pazienti, dottorandi, studenti, fornitori). Nella considerazione che l´utilizzo di un badge tradizionale non offre adeguate garanzie, a meno di associarvi un altro sistema di controllo (es. vigilante o telecamera posizionata sul rilevatore), la verifica più certa dell´identità degli autorizzati verrebbe resa possibile, grazie all´impiego di rilevatori di impronte biometriche basate su una più attendibile identificazione fisica. Sono state addotte anche ulteriori motivazioni concernenti l´obbligo del datore di lavoro di adottare le misure necessarie a tutelare l´integrità fisica dei lavoratori rispetto all´accesso ai settori a rischio da parte del solo personale autorizzato (art. 2087 c.c.; d.lg. n. 626/1994 e successive modifiche e integrazioni).

2.3. L´Azienda dichiara di aver verificato se esistano mezzi parimenti efficaci, diversi da quello proposto. Osterebbero alla possibilità di utilizzare proficuamente sistemi alternativi di identificazione del personale abilitato consistenti nel presidio fisico degli accessi da parte di sorveglianti e guardie giurate, sia la pluralità di edifici (sparsi anche nella città) e degli accessi, sia la difficoltà di controllare il flusso dei loro frequentatori. Non risulta quindi sproporzionato, per questo verso, l´uso di dati tratti dalle impronte digitali, il template, atteso che esso viene memorizzato su un supporto privo di indicazioni nominative riferibili all´interessato (è presente solo un codice individuale), destinato a restare nell´esclusiva disponibilità di quest´ultimo. Inoltre, come dichiarato dall´Azienda, il template memorizzato sulla smart card risulta essere protetto con una chiave crittografica e con un codice alfanumerico per la lettura.
Per quanto riguarda la durata di conservazione dai dati (registrazione dei log degli accessi in forma criptata), l´Azienda ha indicato novanta giorni naturali e consecutivi per fini di giustizia.
A tale riguardo si rileva che la finalità indicata dall´Azienda non risulta pertinente, dovendosi invece tenere conto solo della necessità di conservazione connessa all´ ordinaria attività gestionale; di conseguenza il termine indicato risulta sproporzionato e va ridotto ad una durata inferiore, non superiore a dieci giorni, sufficiente per accertare eventuali accessi indebiti.

2.4. Per quanto riguarda i sistemi Ict, a fini di sicurezza e in aderenza con le regole espresse nel menzionato Allegato B), non risulta sproporzionato l´utilizzo del sistema sopra descritto a fini di autenticazione dei medesimi sistemi attraverso i quali sono resi accessibili i dati personali e sensibili degli operatori e dei pazienti dell´ospedale. La delicatezza dei dati sulla salute trattati in ambito ospedaliero rende proporzionata una misura di "autenticazione forte" quale l´impiego di tecniche biometriche, purché esso sia circondato dalle garanzie sopra descritte escludendo, in particolare, sistemi centralizzati di archiviazione dei dati ricavati dall´impronta biometrica.
Risulta invece sproporzionata la durata di conservazione dei log d´accesso alle diverse applicazioni aziendali per fini di gestione dell´ospedale per tutta la durata di vita del sistema stesso e dei dati trattati, né risulta pertinente il richiamo a fini di giustizia.
Allo stato della documentazione prodotta e delle motivazioni addotte dall´Azienda, per le ordinarie finalità gestionali risulta congruo fissare un limite non superiore a sei mesi per l´accertamento di eventuali violazioni e usi impropri dei sistemi informativi, salva la facoltà dell´Azienda stessa di documentare e motivare nel frattempo le ragioni che inducano eventualmente ad avvalersi di un termine più ampio.
In relazione al sistema in esame, risulta in conclusione necessario prescrivere, a garanzia degli interessati, alcuni accorgimenti e misure ai sensi dell´art. 17 del Codice, indicati nel seguente dispositivo.

 

3. Finalità, necessità, liceità e proporzionalità di rilevazione di presenze sul luogo di lavoro

3.1. Il trattamento di dati biometrici sopra descritto non risulta invece lecito e proporzionato per il perseguimento della diversa finalità di rilevazione della presenza dei dipendenti, sebbene l´Azienda abbia addotto proprie motivazioni volte a chiarire la necessità dell´utilizzo di tale peculiare modalità di trattamento.

Il provvedimento a carattere generale del Garante del 14 giugno 2007 recante "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" (in G.U. 13 luglio 2007, n. 161; doc. web n. 1417809), menziona al punto 7 l´illegittimità di un utilizzo in modo generalizzato di sistemi di rilevazione automatica delle presenze dei dipendenti mediante la raccolta di dati biometrici in quanto particolarmente invasivi in rapporto alle finalità perseguite. In tale sede è stato in particolare posta in evidenza la sproporzione dell´utilizzo di sistemi di rilevazione delle impronte digitali per verificare l´esatto adempimento di prestazioni lavorative, qualora siano attivabili altre misure "convenzionali" non lesive dei diritti della persona quali, ad esempio, apposizioni di firme anche in presenza di eventuale personale incaricato, fogli di presenza o sistemi di timbratura mediante badge magnetico. Né, valutazioni d´ordine strettamente economico e organizzativo possono essere addotte per avallare sistemi tecnologicamente meno onerosi –quale per l´appunto quello previsto nel progetto-, nemmeno per prevenire eventuali usi illeciti o dimenticanze del badge. Dette finalità devono essere perseguite in maniera legittima avvalendosi dei sistemi già in uso o di un altro idoneo sistema più proporzionato e meno intrusivo.

L´intenzione di utilizzare un sistema unico di rilevazione e autenticazione –principio in astratto condivisibile- non può essere poi, di per sé, la base legittimante per l´adozione di un sistema biometrico generalizzato a fini di mera verifica della presenza del personale sul luogo di lavoro.

4. Informativa, notificazione del trattamento e misure di sicurezza.

4.1. Il progetto in esame non reca indicazioni per quanto riguarda l´informativa da rendere agli interessati ai sensi dell´art. 13 e sulla notificazione del trattamento. Per tali aspetti, come per quanto concerne le misure di sicurezza, restano ovviamente fermi gli obblighi previsti dal Codice, cui l´attuazione del progetto dovrà ovviamente conformarsi.

TUTTO CIÒ PREMESSO IL GARANTE

in relazione al progetto dell´Azienda policlinico Umberto I volto a trattare dati biometrici mediante un sistema di verifica basato sul confronto tra le impronte digitali rilevate e il template, memorizzato e cifrato su un supporto che resti nell´esclusiva disponibilità dei lavoratori interessati nei termini di cui in premessa, prescrive all´Azienda ai sensi dell´art. 17 del Codice di adottare i seguenti accorgimenti e misure:

  • limitare l´uso del sistema di rilevazione biometrica descritto agli accessi alle aree riservate e all´autenticazione per l´utilizzo del sistema Ict (punto 1.2, lettere a) e b), di cui in motivazione), con conseguente esclusione dell´utilizzo dei dati personali raccolti mediante il medesimo sistema per finalità diverse da quelle autorizzate con il presente provvedimento, in particolare per quanto concerne la rilevazione della presenza dei lavoratori (punto 3);
  • ridurre il termine di conservazione dei dati di log per l´accesso alle diverse applicazioni aziendali per fini di gestione dell´Ospedale, al massimo a sei mesi;
  • individuare con precisione le aree e i locali da sottoporre ad accesso controllato -rigorosamente limitato alle aree e ai settori che presentino effettivamente rischi specifici per l‘incolumità delle persone, rischi di sottrazione di materiale pericoloso o di danneggiamento di apparecchiature delicate o costose, di alterazione, perdite di dati per accertare l´effettiva prestazione medica e infermieristica da parte degli operatori abilitati- con esclusione di quelli per i quali non risulti comprovata l´effettiva necessità di sottoporli a controllo tramite dispositivo biometrico (in particolare per quanto concerne le aree amministrativo contabili);
  • I dati di log relativi agli orari di ingresso alle aree riservate, potranno essere conservati per il tempo massimo di dieci giorni.

Roma,  15 aprile 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli