USO DI DATI BIOMETRICINELLE OPERAZIONI DI TRASFUSIONE

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale;

Esaminata la richiesta di verificapreliminare presentata dall'Azienda ospedaliera civile Maria Paternò Arezzo diRagusa ai sensi dell'art. 17 del Codice in materia di protezione dei datipersonali (d.lg. 30 giugno 2003, n. 196);

Visti gli atti d'ufficio;

Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Trattamento di dati biometrici dioperatori sanitari e pazienti in processi di trasfusione del sangue
L'Aziendaospedaliera civile Maria Paternò Arezzo di Ragusa intende adottare un sistemadi sicurezza trasfusionale per prevenire errori di identificazione di pazientio delle unità di sangue in sede di trasfusioni e scongiurare le conseguenzegravissime che si determinerebbero in caso di errori.
Il progetto ruotaintorno all'adozione di un terminale portatile a batterie -denominato "Securblood"- dotato di un lettore di codice a barre, di unsensore per la rilevazione delle impronte digitali, di un display a tastiera numerica corredato di un software che trasforma le immagini delle impronte digitalidegli interessati (operatori sanitari e pazienti) in codici numerici (template). Mediante l'utilizzo del terminale e secondo lerelative procedure tecniche ed amministrative si assicurerebbe la tracciabilitàdel sangue e la corretta associazione al paziente del campione di sangueprelevato e della sacca di sangue o emoderivati durante la trasfusione.

Secondo l'Azienda, il sistema permette diverificare se le unità di sangue da trasfondere sono le stesse assegnate dalservizio di immunoematologia e medicina trasfusionale (Simt) a un determinatopaziente identificato con l'impronta digitale; in caso d'incongruenza dei dati,il sistema si blocca. Il sistema, basato sul riconoscimento biometrico,obbligherebbe poi il personale sanitario a presenziare alle operazioni ditrasfusione garantendo la massima assistenza nei primi quindici minutidall'operazione (tempo ritenuto appropriato per evidenziare eventuali reazionitrasfusionali). Ciò, in osservanza della Raccomandazione europea R (95)15(capitolo 28, par. 2) sulla sorveglianza clinica.

L'Azienda ha quindi presentato a questaAutorità una richiesta di verifica preliminare ai sensi dell'art. 17 delCodice, corredata da una dettagliata relazione sul trattamento di datibiometrici ricavati dalla lettura delle impronte digitali degli operatorisanitari e dei pazienti interessati alla trasfusione.


2. Formato dei dati biometrici;modalità di registrazione e di trasmissione
In base a quanto attestatodall'Azienda, la raccolta dei dati biometrici (enrollment) avverrebbe tramite il lettore di impronte digitalifacente parte del terminale. La procedura prevede che il paziente che deveessere sottoposto a trasfusione e l'operatore (infermiere o medico) appogginoun dito sul sensore biometrico, creando un file temporaneo contenente l'immagine dell'improntadigitale da trasformare in un algoritmo (il template). L'immagine verrebbe utilizzata esclusivamente percreare l'algoritmo e distrutta immediatamente dopo; da esso non sarebbepossibile creare a ritroso il filedistrutto. Gli algoritmi verrebbero memorizzati all'interno dello stessoapparecchio.

L'Azienda precisa che il rilevatore nonha collegamenti in rete, né porte di comunicazione fisiche; non sarebbe quindiconsentito accedere ai circuiti di memoria del dispositivo biometricodall'esterno e l'estrazione dei dati sarebbe inibita.

L'operazione di registrazione deglioperatori sanitari che eseguono trasfusioni di sangue o emocomponenti nelterminale destinato al reparto di competenza verrebbe effettuata da unincaricato dotato di una passwordd'accesso. Nel data base delterminale confluirebbero i seguenti dati: numero di badge personale, algoritmo dell'impronta digitale, numerodi identificazione privato (pin)riservato e noto esclusivamente all'operatore. Gli algoritmi numerici delleimpronte degli operatori verrebbero associati al numero di badge e al numero personale di identificazione. Una voltaeffettuata la registrazione dei dati, la password dell'incaricato della registrazione dell'operazioneverrebbe disattivata immediatamente.

2.1. Viene precisato che lamemorizzazione dell'algoritmo relativo all'impronta, riportato unicamente sulportatile collocato nel reparto ospedaliero interessato, non potrebbe essereestratto, né copiato o trascritto e nemmeno trasmesso al di fuori delterminale. Vengono ipotizzate robuste misure di sicurezza per la custodia del server della B.b.s. s.r.l.; un terzo server (posto in una housing in Francia) si attiverebbe in caso di guasti.

Il terminale registra non dati personaliquali nome, cognome e data di nascita, ma unicamente codici numerici. I datirelativi alle operazioni eseguite durante una trasfusione (non contenenti ilcodice di badge dell'operatore)verrebbero trasmessi automaticamente dal terminale direttamente al server della B.b.s. s.r.l. fornitrice dei terminaliSecurblood e, da questo, trasferiti al Servizio trasfusionale (Emonet) e atutti i terminali dello stesso ospedale.

I dati da trasmettere al server nellevarie fasi del prelievo e trasfusione sono raccolti:

     durante la fase del prelievo(reparto, data e ora del prelievo, numero di badge dell'infermiere, numero di identificazione delpaziente – consistente nel codice a barre del braccialetto -);

     all'inizio della trasfusione(reparto, data e ora inizio trasfusione, numero del badge dell'infermiere, numero del badge del medico, numero di identificazione dell'emocomponentee codice degli emocomponenti);

     alla chiusura della trasfusione(reparto, ora fine trasfusione, badge dell'infermiere e reazione trasfusionale).

I dati sopra menzionati sarebberovisibili nella sessione riservata del sito della B.b.s. s.r.l. tramite una userid e una password criptata in possesso del direttore del Simt, designato responsabile deltrattamento.

Dal momento che il terminale è privo diconnessioni fisiche, per la trasmissione dei dati a un server e viceversa verrebbe utilizzato un sistema conprotocollo Gprs/Ftp utilizzandosim abilitate alla trasmissione "machine to machine".

L'Azienda ha previsto la possibilità diun rifiuto del trattamento dei dati biometrici da parte del dipendente opaziente: in questo caso, si assegnerebbe all'operatore sanitario un codice diidentificazione personale e al paziente, un braccialetto da applicare sul polsocon inciso un codice a barre (sistema ritenuto meno sicuro) da leggersi sempremediante il terminale.


3. Durata della conservazione didati
3.1 I dati del personale dell'Azienda (algoritmi delle improntedigitali, numeri di badge e pin)verrebbero conservati all'interno del terminale di competenza di ciascunreparto e cancellati, venendone a mancare la necessità, a cura dell'incaricatodesignato dal direttore del Simt e dotato di password d'accesso. I dati dei pazienti (algoritmi delleimpronte digitali, codici della richiesta e barcode dei braccialetti) verrebbero invece cancellatiautomaticamente trascorsi sette giorni dalla richiesta trasfusionale,eventualmente prorogabili fino a un massimo di trenta dal direttore del Simt.

Infine, per quel che concerne i dati incodice numerico trasmessi al serverdella B.b.s.. s.r.l., se ne prevede la cancellazione ogni sei mesi, previa lorocopia su supporto magnetico e invio al servizio trasfusionale di competenza.


4. Motivi addotti che rendononecessario l'utilizzo di dati biometrici in luogo di altri sistemi
4.1L'Azienda ritiene che l'utilizzo del terminale, unitamente alle procedure daadottarsi, possa essere l'unico sistema idoneo per ridurre drasticamente la possibilitàdi un errore trasfusionale che ha conseguenze particolarmente gravi, fino alpossibile decesso del paziente.

L'utilizzo del solo codice a barreapposto al braccialetto del paziente non assicurerebbe quel grado di certezzaindispensabile per un'attività così pericolosa come quella della trasfusionedel sangue o emoderivati; ciò, senza contare che, come accennato, l'impiegodella rilevazione biometrica costringerebbe l'operatore sanitario a essererealmente vicino al paziente nei momenti di maggiore criticità dell'operazionedi trasfusione.


5. Rispetto di alcuni adempimentie delle misure di sicurezza
5.1. Le misure di sicurezza prospettate perla conservazione dei dati personali risultano dagli atti adeguate. Anche perquanto riguarda alcuni adempimenti previsti dal Codice (informativa, consenso edesignazione degli incaricati), l'Azienda li ha presi in esame assicurando laloro attuazione. Ciò, salvo che quanto riguarda le società presso le qualisaranno detenuti i dati per conto dell'Azienda, le quali dovranno essereopportunamente designate quali responsabili del trattamento ai sensi degliartt. 4, comma 1, lett. g) e 29 del Codice.


6. Necessità, liceità, finalità,proporzionalità e correttezza nel trattamento
6.1. La raccolta e laregistrazione di impronte digitali e dei dati biometrici utilizzati perverifiche e raffronti nelle procedure di autenticazione o di identificazionesono operazioni di trattamento di dati personali riconducibili ai singoliinteressati (art. 4, comma 1, lett. b)), alle quali trova applicazione lanormativa contenuta nel Codice (Provv.  19 novembre 1999; 21 luglio 2005; 23 novembre2005; 15 giugno2006; 1 febbraio2007; doc. di lavorosulla biometria del Gruppo Art. 29 dei garanti europei, Wp 80). La liceità delsistema deve essere pertanto valutata sul piano della conformità ai princìpi dinecessità, liceità, finalità, proporzionalità e correttezza (artt. 3 e 11 delCodice), anche in relazione ai tempi di conservazione dei dati.

6.2. Con riguardo al trattamento di datibiometrici aventi lo scopo di identificare con elevato grado di certezza i datidei sanitari, dei pazienti e i prodotti ematici relativi alle operazioni ditrasfusione, deve rilevarsi che le operazioni da effettuare si caratterizzanoper la loro delicatezza e pericolosità e trovano giustificazione nella garanziache esse offrono per contenere errori possibili di scambi di dati e di sacchedi sangue.

Ad avviso dell'Azienda, l'utilizzo disistemi di autenticazione basati su tecniche biometriche secondo le modalitàsopra descritte darebbe una risposta idonea rispetto alla problematica deglierrori, aumentando considerevolmente il grado di sicurezza nelle operazione datenere sotto controllo, non esistendo un mezzo diverso parimenti efficace.Viene infatti considerato non esente da rischio assicurare con sistemitradizionali l'autenticazione certa e univoca dei pazienti e degli operatorisanitari, nonché la verifica dei prodotti ematici in fase di trasfusione.

Il rispetto della specifica disciplina inmateria (l. 195/2005; dd.lg. 207 e 261/2007; raccomandazione n. 5/2007 delMinistero della salute) obbliga l'Azienda a prestare la massima attenzionepossibile alle operazioni da compiere in un settore così delicato in ragionedei dati trattati e dei rischi connessi, per assicurare l'incolumità e lasalute del paziente e la tracciabilità del percorso delle unità di sangue e diemocomponenti dal donatore al ricevente e viceversa.

Può ritenersi quindi proporzionata lamodalità prospettata dall'Azienda per il trattamento dei dati derivanti dalleimpronte digitali (template), sebbene essi verrebbero memorizzati non su supportiin possesso di ciascun interessato (come di regola prescritto da questaAutorità a seguito di verifiche preliminari), ma su ciascun terminale indotazione ai singoli reparti. Inducono in particolare a tale constatazione lecaratteristiche dell'apparecchiatura utilizzata (priva di accessi fisici), legaranzie di sicurezza sopra menzionate, la circostanza che i dati rilevati sonoprivi di indicazioni nominative e, infine, l'obiettiva difficoltà di produrreper i pazienti singoli badge.

6.3. Per la durata di conservazione deidati degli operatori sanitari, l'Azienda si è limitata a fornire le indicazionie le procedure per la loro eventuale cancellazione. Al riguardo, deve ritenersiche tali dati debbano essere conservati per la sola durata in cui gli addettiricoprono la qualità di incaricati del trattamento ed essere poi prontamentecancellati.

Per i pazienti è stato invece indicato,come termine di conservazione, quello di sette giorni dalla trasfusione,elevabile fino a un massimo di trenta su autorizzazione del direttore del Simt.Non viene però dichiarato in quali casi tale termine minimo possa essere cosìaumentato.

Riguardo a questi aspetti, i terminiindicati non risultano incongrui, dovendosi tener conto della necessità di unapiù ampia conservazione connessa a particolare vicende che possono emergerenell'attività gestionale; casi che dovranno essere però disciplinatipreventivamente dall'Azienda.


7. Notificazione deltrattamento
7.1. Il progetto in esame non reca infine indicazioni perquanto riguarda la notificazione del trattamento ai sensi degli art. 37 e 38del Codice. Per tale aspetto, come per quanto concerne le misure di sicurezza,restano ovviamente fermi gli obblighi previsti dal Codice, cui l'attuazione delprogetto dovrà ovviamente conformarsi.

In relazione al sistema in esame risultain conclusione necessario prescrivere, a garanzia degli interessati, alcuniaccorgimenti e misure ai sensi dell'art. 17 del Codice, indicati nel seguentedispositivo.

TUTTO CIÒ PREMESSO ILGARANTE:

in relazione al progetto dell'AziendaOspedaliera civile Maria Paternò Arezzo di Ragusa volto a trattare datibiometrici di operatori sanitari e pazienti mediante terminali dislocati neivari reparti prescrive all'Azienda, ai sensi dell'art. 17 del Codice, di adottarei seguenti accorgimenti e misure:

     designare opportunamente qualiresponsabili del trattamento le società che trattano i dati dell'Azienda, aisensi degli artt. 4, comma 1, lett. g) e 29 del Codice, specificandoanaliticamente i compiti affidati anche per quanto riguarda l'osservanza dellemisure di sicurezza (punto 5.1);

     conservare i dati biometrici deipropri operatori sanitari (infermieri e medici) per la sola durata del relativoincarico (punto 6.3);

     disciplinare preventivamente icasi in cui sia necessaria la conservazione dei dati biometrici dei pazientifino ad un massimo di trenta giorni (punto 6.3);

Roma, 19 giugno 2008

Il presidente
Pizzetti

Il relatore
Paissan

Il segretario generale
Buttarelli