La Firma Grafometrica è un particolare tipo di Firma Elettronica Avanzata (FEA), sottoscritta a mano su un particolare tablet, o tavoletta grafometrica, in grado di acquisire oltre all’immagine della firma, anche i principali dati biometrici del tratto grafico apposto (posizione, tempo, pressione, velocità, accelerazione). Tali dati saranno cifrati e univocamente associati al documento sottoscritto a garanzia della loro immodificabilità. La firma grafometrica, ha valore probatorio a tutti gli effetti di legge così come la firma apposta manualmente su un documento cartaceo e diventa quindi un utile strumento per il miglioramento e la dematerializzazione dei processi ambulatoriali.
Ma quali condizioni normative occorre rispettare per mantenere il suo valore probatorio ed acquisirla nell’organizzazione? E quali misure tecnico-organizzative è opportuno rispettare per utilizzarla nel proprio ambulatorio o studio medico? Vediamolo insieme!
Firma grafometrica normativa: linee guida per la sua corretta gestione in ambulatorio
Firma grafometrica normativa: cosa prevede?
Ecco le principali linee guida per esser conformi alle regole tecniche e agli adempimenti previsti in tema di biometria e come gestirli al meglio nel proprio ambulatorio o studio medico.
Acquisizione del consenso del paziente
L’utilizzo della firma elettronica con valore di Firma Elettronica Avanzata deve essere sempre subordinato al consenso esplicito del paziente per l’accettazione del servizio di firma.
Identificazione del soggetto firmatario
Per la corretta gestione del processo di firma biometrica, occorre preventivamente identificare il paziente mediante un valido documento di riconoscimento. Il documento acquisito in copia deve essere conservato presso la struttura per almeno 20 anni.
Pubblicazione dell’informativa sul proprio sito
È indispensabile, previa erogazione del servizio di firma grafometrica, pubblicare sul proprio sito la nota informativa sul servizio di firma grafometrica.
Adozione polizza assicurativa
L’erogazione della firma grafometrica, prevede che ogni soggetto si doti di un’assicurazione per la responsabilità civile come richiesto nell’Art. 57 comma 2 del DPCM del 22 febbraio 2013, al fine di proteggere i titolari della firma e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche.
Invio della notificazione preventiva al garante privacy per il trattamento dei dati biometrici
L’art. 37 del Codice Privacy prevede l’obbligo di effettuare la notificazione al Garante (si tratta, infatti, di dati ritenuti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato). La stessa deve essere effettuata prima che inizi il trattamento, ed una sola volta, indipendentemente dalla durata e dal numero di operazioni di trattamento del medesimo tipo di dati che si effettua. Tuttavia, il garante ha individuato specifiche tipologie di trattamento per cui non è necessario richiedere la verifica preliminare, a condizione siano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati, che riguardano: l’autenticazione informatica; l’accesso ad aree “sensibili”; l’utilizzo di dati biometrici a scopi facilitativi, la sottoscrizione di documenti informatici. In particolare per l’ultimo punto si è esonerati dall’obbligo di presentare istanza di verifica preliminare se il trattamento è svolto nel rispetto delle seguenti prescrizioni e limitazioni:
a) Il procedimento di firma è abilitato previa identificazione del firmatario.
b) Sono resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l’utilizzo di dati biometrici.
c) La cancellazione dei dati biometrici grezzi e dei campioni biometrici ha luogo immediatamente dopo il completamento della procedura di sottoscrizione, e nessun dato biometrico persiste all’esterno del documento informatico sottoscritto.
d) I dati biometrici e grafometrici non sono conservati, neanche per periodi limitati, sui dispositivi hardware utilizzati per la raccolta, venendo memorizzati all’interno dei documenti informatici sottoscritti in forma cifrata tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata alla dimensione e al ciclo di vita dei dati e certificato digitale emesso da un certificatore accreditato ai sensi dell´art. 29 del Codice dell’amministrazione digitale. La corrispondente chiave privata è nella esclusiva disponibilità di un soggetto terzo fiduciario che fornisca idonee garanzie di indipendenza e sicurezza nella conservazione della medesima chiave. La chiave può essere frazionata tra più soggetti ai fini di sicurezza e integrità del dato. In nessun caso il soggetto che eroga il servizio di firma grafometrica può conservare in modo completo tale chiave privata. Le modalità di generazione, consegna e conservazione delle chiavi sono dettagliate nell’informativa resa agli interessati e nella relazione di cui alla lettera k) del presente paragrafo, in conformità con quanto previsto all´art. 57, comma 1 lettere e) ed f) del d.P.C.M. 22 febbraio 2013.
e) La trasmissione dei dati biometrici tra sistemi hardware di acquisizione, postazioni informatiche e server avviene esclusivamente tramite canali di comunicazione resi sicuri con l’ausilio di tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati.
f) Sono adottate idonee misure e accorgimenti tecnici per contrastare i rischi di installazione di software e di modifica della configurazione delle postazioni informatiche e dei dispositivi, se non esplicitamente autorizzati.
g) I sistemi informatici sono protetti contro l’azione di malware e sono, inoltre, adottati sistemi di firewall per la protezione perimetrale della rete e contro i tentativi di accesso abusivo ai dati.
h) Nel caso di utilizzo di sistemi di firma grafometrica nello scenario mobile o BYOD (Bring Your Own Device), sono adottati idonei sistemi di gestione delle applicazioni o dei dispositivi mobili, con il ricorso a strumenti MDM (Mobile Device Management) o MAM (Mobile Application Management) o altri equivalenti al fine di isolare l´area di memoria dedicata all´applicazione biometrica, ridurre i rischi di installazione abusiva di software anche nel caso di modifica della configurazione dei dispositivi e contrastare l´azione di eventuali agenti malevoli (malware).
i) I sistemi di gestione impiegati nei trattamenti grafometrici adottano certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro (in particolare, rendendo disponibili funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi).
j) L’accesso al modello grafometrico cifrato avviene esclusivamente tramite l’utilizzo della chiave privata detenuta dal soggetto terzo fiduciario, o da più soggetti, in caso di frazionamento della chiave stessa, e nei soli casi in cui si renda indispensabile per l’insorgenza di un contenzioso sull’autenticità della firma e a seguito di richiesta dell’autorità giudiziaria. Le condizioni e le modalità di accesso alla firma grafometrica da parte del soggetto terzo di fiducia o da parte di tecnici qualificati sono dettagliate nell’informativa resa agli interessati e nella relazione di cui alla lettera k) del presente paragrafo, in conformità con quanto previsto all´art. 57, comma 1, lettere e) ed f) del d.P.C.M. 22 febbraio 2013.
k) È predisposta una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare, fornendo altresì la valutazione della necessità e della proporzionalità del trattamento biometrico rispetto alle finalità. Tale relazione tecnica è conservata aggiornata, con verifica di controllo almeno annuale, per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante
Firma grafometrica normativa: i vantaggi nell’ ambulatorio
Una volta adottate le misure tecnico-organizzative per rendere conforme alle previsioni di legge la soluzione di firma grafometrica scelta, questa diventa un valido strumento per l’efficienza dei processi.
Con la firma grafometrica potrai raggiungere:
• Trasparenza e sicurezza dei dati trattati, sia per il paziente che per medici ed operatori,
• Ottimizzazione dei costi. Pensa al flusso cartaceo, ad esempio, che dovresti sostenere per gestire il consenso informato al trattamento dei dati sanitari. Con un flusso digitalizzato, invece, come quello della firma grafometrica potrai eliminare i costi relativi alla gestione degli archivi cartacei.
• Ottimizzazione della produttività degli addetti di accettazione. La dematerializzazione dei documenti, diminuisce i passaggi e le attività che devono esser svolte dagli operatori nell’interazione con il paziente
Firma grafometrica normativa: rispetta le misure tecniche e gli adempimenti previsti e assicura al tuo ambulatorio il miglior servizio possibile!
Scopri la soluzione di firma grafometrica di Doctor Manager: conferme alla normativa vigente e garanzia della massima efficienza e della migliore esperienza d’uso.
Firma grafometrica: normativa di riferimento
[Il Codice dell’Amministrazione Digitale (CAD) (D. Lgs. n. 82/2005). Testo coordinato ed aggiornato con le modifiche ed integrazioni introdotte dal Decreto Legislativo 30 dicembre 2010, n. 235];
[Decreto del Presidente del Consiglio dei Ministri del 22 Febbraio 2013 contenente la Regole Tecniche in materia di Firma Elettronica Avanzata pubblicato in G.U. n. 117 il 21 maggio 2013. Tale decreto è entrato in vigore il 5 giugno 2013. Le Regole Tecniche riportano al Titolo V, dall’articolo 57 al 61, gli obblighi da rispettare per la produzione, l’erogazione e l’adozione del servizio di Firma Elettronica Avanzata];
[Provvedimento del Garante per la protezione dei dati personali del 12 novembre 2014, pubblicato in G.U. n. 280 il 2 dicembre 2014, che espone di adempimenti in tema di biometria e sottoscrizione dei documenti informatici a mezzo firma grafometrica.]
0 commenti