In sede di verifica preliminare del 19 giugno 2008, il Garante per la Protezione dei Dati Personali ha indicato quando l'utilizzo di dati biometrici per operazioni di trasfusione del sangue sia legittimo o meno.
Accade sempre più di frequente che aziende, enti, società si rivolgano in via preventiva al Garante della Privacy per domandare se il comportamento che gli stessi intendono tenere sia legittimo o meno.
Accade sempre più di frequente che aziende, enti, società si rivolgano in via preventiva al Garante della Privacy per domandare se il comportamento che gli stessi intendono tenere sia legittimo o meno.
Questo consente al Garante di dare delle spiegazioni concrete ai principi che regolano la materia della privacy.
Così è avvenuto nella vicenda che oggi si commenta: si è infatti rivolta all'Autorità un'azienda ospedaliera che intendeva adottare un sistema di sicurezza per la trasfusione di sangue, tale da evitare (o diminuire enormemente) errori di identificazione tra il paziente destinato alla trasfusione e le sacche di sangue già preparate.
Il sistema funziona sulla base un terminale portatile con lettore di codice a barre, un sensore per l'identificazione delle impronte digitali e un software che trasforma le immagini delle impronte digitali in codici numerici (c.d. template).
Il paziente e l'operatore sanitario che lo assiste forniscono quindi la propria impronta digitale al sistema, che è così in grado di confrontare i dati con quelli raccolti al momento della scelta delle sacche di sangue da trasfondere. In caso di incongruenze, il sistema si blocca.
In questo modo, inoltre, l'operatore sanitario sarebbe costretto a presenziare alle operazioni di trasfusione, con ulteriore aumento di garanzie per il paziente.
L'Azienda ha quindi chiesto, in sede di verifica preventiva (art. 17 Codice Privacy), se tale comportamento potesse ritenersi legittimo o meno.
Si tratta evidentemente di verificare se il trattamento dei dati biometrici (in questo caso, le impronte digitali) così realizzato possa dirsi o meno conforme alla disciplina privacy.
Il Garante ha quindi esaminato, in primo luogo, le modalità concrete con le quali il rilevamento delle impronte digitali sarebbe avvenuto.
L'Azienda ospedaliera, mediante propria relazione, ha infatti spiegato come il paziente destinato alla trasfusione e l'operatore sanitario che deve assistere alla stessa appoggiano un dito su un sensore biometrico che crea un file temporaneo contenente l'immagine dell'impronta digitale da trasformare in codice numerico.
L'immagine viene utilizzata solo per creare il codice e distrutta immediatamente dopo.
L'Azienda ha inoltre precisato che il sensore non è dotato di collegamenti in rete né di porte di comunicazione fisiche e che pertanto non sarebbe possibile accedere alla sua memoria o estrarre dati.
E' inoltre prevista la nomina di un incaricato, dotato di password di accesso al sistema, che avrebbe il compito di registrare gli operatori sanitari che assistono alle trasfusioni.
L'Azienda si preoccupa inoltre di descrivere tutte le misure di sicurezza adottate al fine di evitare ogni e qualsiasi possibilità di estrazione, copia, trascrizione o trasmissione dei file così creati al di fuori del terminale.
La stessa ha inoltre previsto la possibilità che il paziente o l'operatore sanitario si rifiutino di prestare il consenso al rilevamento dell'impronta digitale. In questo caso, si opererebbe attraverso un codice di identificazione per l'operatore e un braccialetto con codice a barre per il paziente; sistema che, evidentemente, comporta un minore grado di sicurezza.
In merito poi alla durata della conservazione dei dati biometrici raccolti, l'Azienda prevede, per quanto riguarda gli operatori sanitari, che essi siano conservati fino a quando ve ne sia l'esigenza.
Per quanto riguarda i pazienti, è previsto un termine massimo di sette giorni dal momento della trasfusione, eventualmente prorogabili fino a trenta.
Alla luce di quanto esposto dalla Azienda ospedaliera con propria relazione, il Garante per la Privacy ha riconosciuto l'adeguatezza delle misure da questa adottate per la conservazione dei dati biometrici.
Non vi è dubbio infatti come la raccolta delle impronte digitali rientri tra le operazioni di trattamento dei dati personali disciplinate dal Codice Privacy e che pertanto, a dire dell'Autorità, la loro liceità debba essere valutata alla luce dei principi di "necessità, liceità, finalità, proporzionalità e correttezza (art. 3 e 11 del Codice Privacy), anche in relazione ai tempi di conservazione dei dati".
Principi che, secondo il Garante, ricorrono nelle modalità che l'Azienda ospedaliera intende adottare.
L'utilizzo di dati biometrici, quali le impronte digitali, in questo caso appaiono infatti di estrema importanza per ridurre i rischi di errori nelle attribuzioni delle sacche di sangue ai vari pazienti al momento della trasfusione.
Né, d'altra parte, osserva il Garante, le procedure alternative, quali quelle del braccialetto dotato di codice a barre, risultano essere parimenti efficaci e sicure.
Le concrete modalità poste in essere dall'Azienda, le misure di sicurezza adottate e i tempi di conservazione dei dati personali previsti appaiono inoltre, a parere dell'Autorità, proporzionati alle esigenze, con l'unica precisazione della necessità di indicare i casi in cui la conservazione dei dati dei pazienti possa essere prorogata sino a trenta giorni.
La conservazione dei dati biometrici da parte dell'azienda ospedaliera è stata dunque riconosciuta legittima da parte del Garante della Privacy con le seguenti precisazioni:
1) necessità di designare quali responsabili del trattamento le società che trattano i dati dell'Azienda;
2) conservare i dati biometrici dei propri operatori sanitari (medici ed infermieri) per la durata dell'incarico;
3) disciplinare i casi in cui la conservazione dei dati dei pazienti possa essere prorogata sino a trenta giorni.
Nessun commento:
Posta un commento