g-docweb-display Portlet

Certificati medici: scambio di dati tra Inps e Inpdap - 8 gennaio 2010 [1693889]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1693889]

Certificati medici: scambio di dati tra Inps e Inpdap - 8 gennaio 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale reggente;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la comunicazione dell´Istituto nazionale per la previdenza sociale ai sensi degli artt. 19 e 39 del Codice (prot. n. 0022.17/12/2009.0002098);

Visto l´art. 17 del regolamento n. 1/2007 del 14 dicembre 2007 concernente le procedure interne all´Autorità aventi rilevanza esterna, disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 1477480, e pubblicato in G.U. n. 7 del 9 gennaio 2008;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale, ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

L´Istituto nazionale per la previdenza sociale (Inps) ha comunicato al Garante, ai sensi degli artt. 19, comma 2, e 39, comma 1, lett. a), del Codice, l´esigenza di acquisire presso l´Istituto nazionale di previdenza per i dipendenti pubblici (Inpdap) gli estremi identificativi delle amministrazioni di dipendenza e/o di servizio dei medesimi dipendenti, pur in assenza di un´espressa previsione di legge o di regolamento, al fine di trasmettere alle amministrazioni interessate i certificati medici inviati all´Inps dai medici o dalle strutture sanitarie. Ciò, attraverso un servizio sincrono di cooperazione applicativa da "invocare" utilizzando il codice fiscale del dipendente pubblico.

Secondo quanto rappresentato dall´Inps, l´accesso a tali informazioni sarebbe giustificato dalla necessità di consentire al medesimo Ente previdenziale lo svolgimento delle funzioni istituzionali in materia di controlli sulle assenze. Più precisamente, specifiche disposizioni legislative prevedono che, "in tutti i casi di assenza per malattia la certificazione medica è inviata per via telematica, direttamente dal medico o dalla struttura sanitaria che la rilascia, all´Istituto nazionale della previdenza sociale, secondo le modalità stabilite per la trasmissione telematica dei certificati medici nel settore privato dalla normativa vigente"…"e dal predetto Istituto è immediatamente inoltrata, con le medesime modalità, all´amministrazione interessata." (art. 69, comma 1, del d.lg. 27 ottobre 2009, n. 150, che ha inserito l´art. 55-septies dopo l´art. 55 del d.lg. n. 165 del 2001).

Al fine di consentire all´Inps di inoltrare immediatamente all´amministrazione interessata tale documentazione, pertanto, si rende necessario per il medesimo Ente previdenziale acquisire dall´Inpdap le informazioni essenziali per individuare, in maniera univoca, gli estremi identificativi dell´amministrazione di dipendenza e/o di servizio del dipendente pubblico cui la certificazione medica si riferisce.

In particolare, secondo quanto intendono convenire gli Istituti previdenziali in questione con uno schema di "accordo" e di un "disciplinare tecnico", trasmessi a questa Autorità unitamente alla comunicazione in esame, si prevede che:

  • per l´attuazione dell´art. 55 septies del d.lg. n. 165/2001, introdotto dall´art. 69 del d.lg. n. 150/2009, con riferimento all´esatta individuazione delle amministrazioni alle quali porre a disposizione i certificati  inviati all´Inps dai medici o dalle strutture sanitarie relativamente ai dipendenti pubblici, l´Inps e l´Inpdap concordano le modalità tecniche utili per l´identificazione degli stessi dipendenti pubblici e delle relative amministrazioni di dipendenza e/o di servizio;
  • per la realizzazione di quanto sopra previsto viene elaborato tra le parti un servizio sincrono in cooperazione applicativa. In un disciplinare tecnico saranno individuate le modalità di cooperazione;
  • ciascuna delle parti è tenuta ad assumere tutte le iniziative necessarie a garantire che il trattamento dei dati avvenga nel rigoroso rispetto del Codice. Le parti cureranno che i dati siano utilizzati per fini non diversi da quelli previsti dalla disciplina vigente e limitatamente ai trattamenti strettamente connessi agli scopi di cui al presente accordo. Le parti si impegnano a rispettare i canoni della pertinenza e della non eccedenza nel trattamento dei dati, secondo quanto disposto dall´art. 11 del Codice. Cureranno altresì che i dati stessi non siano divulgati, comunicati, ceduti a terzi, né in alcun modo riprodotti. In conformità a quanto sopra, ciascuna delle parti provvederà ad impartire precise e dettagliate istruzioni agli addetti al trattamento che, operando in qualità di incaricati, avranno accesso ai dati stessi.

Nel disciplinare tecnico sottoposto all´esame del Garante è stato inoltre specificato che, mediante la realizzazione di un servizio sincrono in cooperazione applicativa da invocare utilizzando il codice fiscale dei dipendenti pubblici, sono restituiti dall´Inpdap, qualora disponibili, i dati relativi all´amministrazione di appartenenza ed alla sede di servizio risultanti dall´ultima "denuncia mensile anagrafica" (Dma) presentata all´Inpdap.

Più precisamente, il disciplinare tecnico prevede che la risposta fornita dall´Inpdap contenga le seguenti informazioni:

1. Esito ricerca (0 = positivo, 1 = negativo, 8 = Amministrazione non presente in archivio Inpdap, 9 = errore);

2. Codice fiscale amministrazione appartenenza;

3. Denominazione;

4. Codice Fiscale Sede di servizio;

5. Codice identificativo Inpdap;

6. Denominazione;

7. Frazione, via e numero civico;

8. Cap;

9. Comune;

10. Provincia;

11. Riferimento DMA (mmaaaa).

OSSERVA

Allo stato degli elementi esaminati, in considerazione delle prospettate esigenze derivanti dallo svolgimento delle funzioni istituzionali in materia di controlli sulle assenze dei dipendenti pubblici, risulta necessario, pur in assenza di un´espressa previsione di legge o di regolamento, che l´Inps acquisisca dall´Inpdap, attraverso servizio sincrono in cooperazione applicativa da invocare utilizzando il codice fiscale dei dipendenti pubblici, i soli dati riguardanti gli estremi identificativi delle amministrazioni di dipendenza e/o servizio dei medesimi dipendenti al fine di trasmettere alle stesse i certificati medici inviati all´Inps dai medici o dalle strutture sanitarie.

In particolare, le finalità istituzionali perseguite dall´Inps attraverso la consultazione delle predette informazioni possono essere correttamente ricondotte alla corretta attuazione delle specifiche disposizioni legislative richiamate in base alle quali l´Inps, che riceve la certificazione medica, direttamente dal medico o dalla struttura sanitaria che la rilascia, in tutti i casi di assenza per malattia, è tenuto ad inoltrare tale documentazione sanitaria all´amministrazione interessata; rispetto a tali finalità risultano quindi pertinenti e non eccedenti i dati personali oggetto di comunicazione da parte dell´Inpdap sopra individuati.

Al riguardo, non vi sono osservazioni da formulare a condizione che l´Inpdap, in conformità a quanto risulta in atti, assicuri l´accesso selettivo alle informazioni individuate in premessa ed il loro utilizzo proporzionato rispetto alle predette finalità istituzionali perseguite dall´Inps, al fine di garantire il rispetto dei principi di proporzionalità, pertinenza e non eccedenza nel trattamento dei dati (art. 11 del Codice).
Sotto il profilo della sicurezza nella trasmissione delle informazioni e degli accessi alla banca dati dell´Inpdap, occorre tuttavia rilevare che sulla base di quanto dichiarato in atti dall´Inps non è possibile, allo stato, valutare in concreto la conformità delle misure previste rispetto alle prescrizioni contenute nel Codice.

In ogni caso, fermo restando il rispetto, da parte dell´Inps e dell´Inpdap, ciascuno per la parte di propria competenza, delle misure previste dagli artt. 33 e ss. del Codice e dal relativo disciplinare tecnico (cfr. in particolare, regole 2, 5, 6 e 14), in presenza di un sistema informativo che prevede accessi da parte di soggetti esterni all´amministrazione, occorre che i predetti Enti predispongano strumenti e procedure, individuati con dettaglio nel dispositivo, per rafforzare il meccanismo di autorizzazione e autenticazione di soggetti abilitati ad accedere alle informazioni in questione.

Ciò, ferma restando l´esigenza di esaminare organicamente, in altra sede e in un più ampio contesto, l´ulteriore incremento di livelli di sicurezza da garantire rispetto a trattamenti di dati quali quelli in esame.

Per quanto riguarda, invece, la successiva trasmissione dei certificati medici da parte dell´Inps alle amministrazioni interessate, si evidenzia che tale operazione deve essere effettuata senza l´indicazione della diagnosi, in conformità all´art. 1, comma 149, della legge 30 dicembre 2004, n. 311 e all´art. 2, comma 2, del d.l. 30 dicembre 1979, n. 663, conv. con modificazioni dalla legge 29 febbraio 1980, n. 33.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 39, comma 2, e 154, comma 1, lett. c), del Codice, determina che l´Inps possa acquisire presso l´Inpdap, pur in assenza di un´espressa previsione di legge o di regolamento che preveda tale comunicazione, attraverso un servizio sincrono in cooperazione applicativa da "invocare" utilizzando il codice fiscale dei dipendenti pubblici, gli estremi identificativi delle amministrazioni di dipendenza e/o di servizio dei medesimi dipendenti, ritenendo che tale flusso di dati sia necessario al fine di consentire la trasmissione alle amministrazioni interessate dei certificati medici inviati all´Inps dai medici o dalle strutture sanitarie; a tal fine prescrive che l´Inps e l´Inpdap, ciascuno per i profili di propria competenza:

A). assicurino l´accesso selettivo alle sole informazioni individuate in premessa;

B). predispongano strumenti e procedure per utilizzare il meccanismo di autorizzazione e autenticazione dei soggetti abilitati ad accedere alle informazioni in esame e per delimitare nel tempo e nella localizzazione sulla rete la possibilità di accesso alla banca dati dell´Inpdap prevedendo che:

1. gli accessi alla banca dati avvengano soltanto tramite l´uso di postazioni di lavoro appartenenti alla rete Ip dell´ente autorizzato o dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell´erogatore del servizio;

2. laddove l´interrogazione della banca dati dell´Inpdap avvenga secondo le modalità della cooperazione applicativa in forma di web services, le condizioni d´uso di tali servizi siano trasposte in appositi "accordi di servizio", redatti secondo il modello della cooperazione applicativa impiegata all´interno del sistema pubblico di connettività istituito dal Codice dell´amministrazione digitale. Gli "accordi di servizio" devono individuare idonee garanzie per il trattamento dei dati personali, prevedendo, in particolare, il tracciamento delle operazioni compiute in cooperazione applicativa, con l´identificazione dell´utente che accede ai dati, il timestamp, l´indirizzo Ip di provenienza dell´utente e del server interconnesso, l´operazione effettuata e i dati trattati;

3. laddove, invece, l´interrogazione della banca dati dell´Inpdap avvenga su rete pubblica (Internet) e in forma di web application, l´applicazione sia implementata con protocolli https/ssl provvedendo ad asseverare l´identità digitale dei server erogatori dei servizi tramite l´utilizzo di certificati digitali emessi da una Certification Authority ufficiale e prevedendo il tracciamento delle operazioni compiute, con l´identificazione dell´utente che accede ai dati, il timestamp, l´indirizzo Ip di provenienza dell´utente e del server interconnesso, l´operazione effettuata e i dati trattati;

4. i dati contenuti nei log di tracciamento delle operazioni compiute siano conservati per un periodo non superiore a tre mesi e possano essere trattati solo da appositi incaricati al trattamento esclusivamente in forma anonima mediante loro opportuna aggregazione. Tali dati possono essere trattati in forma non anonima unicamente laddove ciò risulti indispensabile al fine di verificare la correttezza e la legittimità delle singole interrogazioni effettuate;

5. l´interrogazione della banca dati dell´Inpdap avvenga previa stipula di una convenzione tra l´Inps e l´Inpdap volta a circoscrivere, in conformità al presente provvedimento, le esclusive finalità per le quali è consentito il trattamento dei dati comunicati dall´Inpdap all´Inps e i vincoli per assicurarne la correttezza; la convenzione deve predefinire anche le soglie relative al numero di utenti abilitabili dall´Inps;

6. nella convenzione sia disciplinata altresì la procedura da seguire per le autenticazioni e le autorizzazioni degli utenti; tale procedura deve individuare, all´interno dell´Inps, il soggetto giuridicamente preposto alla designazione degli utenti e dei rispettivi profili, il quale deve istruire adeguatamente il personale incaricato in ordine alla correttezza degli accessi; deve essere inoltre assicurato un flusso di comunicazione tra tale soggetto e l´articolazione che si occupa della gestione delle risorse umane al fine di procedere alla tempestiva revisione del profilo di abilitazione o alla disabilitazione dei soggetti preposti ad altre mansioni o che abbiano cessato il rapporto di lavoro, anche con apposite verifiche a cadenza almeno trimestrale. Si applicano anche le previsioni contenute nel provvedimento del Garante recante "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" (provvedimento del 27 novembre 2008 come modificato in base al provvedimento del 25 giugno 2009 – in G.U. n. 300 del 24 dicembre 2008);

7. sia previsto che la password che consente l´accesso ai dati resi disponibili dall´Inpdap, venga comunicata al singolo incaricato separatamente rispetto al codice per l´identificazione e sia modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi;

8. siano introdotti meccanismi volti a garantire che gli accessi avvengano esclusivamente nell´ambito di intervalli temporali o di data predeterminati, definiti sulla base delle esigenze d´ufficio;

9. laddove l´interrogazione della banca dati dell´Inpdap avvenga su rete pubblica (Internet) e in forma di web application, nella prima schermata successiva al collegamento per l´interrogazione della banca dati dell´Inpdap, siano visualizzabili le informazioni relative all´ultima sessione effettuata con le stesse credenziali (almeno con l´indicazione di data, ora e indirizzo di rete da cui è stata effettuata la precedente connessione). Le stesse informazioni devono essere riportate anche relativamente alla sessione corrente;

10. venga disciplinata la possibilità di effettuare accessi contemporanei con le medesime credenziali, limitandone l´utilizzo ai soli casi necessari per esigenze di servizio;

11. l´Inps non realizzi autonome banche dati con le informazioni ricevute dall´Inpdap; a tal fine deve impartire istruzioni ai propri incaricati vietando l´utilizzo di dispositivi automatici (robot) che consentano di consultare in forma massiva dati e di replicare la banca dati acceduta.

Roma, 8 gennaio 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE REGGENTE
De Paoli