Continua la serie di articoli volti ad approfondire gli aspetti del CAD di maggiore interesse per le aziende sanitarie. In questa seconda parte si approfondiscono alcuni aspetti relativi alla firma avanzata e alla firma grafometrica in base a quanto prescritto dalle regole tecniche del 22 febbraio 2013..
Il testo vigente del CAD è reperibile sul sito di AGID, di seguito si farà riferimento ad esso semplicemente come CAD.
Alcune delle definizioni qui utilizzate sono reperibili nell’articolo CAD e dintorni, parte 1.
La Firma Avanzata e la Firma Grafometrica secondo le regole tecniche del 22 febbraio 2013
Le regole tecniche riportate nel DPCM del 22 febbraio 2013, all’art. 55, precisano che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.
NOTA BENE: si veda la parte relativa al Garante Privacy nel presente articolo.
Al comma 2 dell’art. 55 si precisa che i soggetti che erogano o realizzano soluzioni di firma elettronica avanzata si distinguono in:
a) coloro che erogano soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti di cui alla lettera b);
b) coloro che, quale oggetto dell’attività di impresa, realizzano soluzioni di firma elettronica avanzata a favore dei soggetti di cui alla lettera a).
Secondo l’interpretazione corrente il punto b) individua fornitori/realizzatori di soluzioni di firma elettronica avanzata, mentre il punto a) indica soggetti che utilizzano soluzioni di firma elettronica avanzata – eventualmente anche nei rapporti con soggetti terzi, ad esempio con i cittadini/pazienti -.
Nell’art. 57 vengono riportati una serie di precisi obblighi per coloro che “erogano soluzioni di firma elettronica avanzata” che devono:
a) identificare in modo certo l’utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all’uso del servizio, compresa ogni eventuale limitazione dell’uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente;
b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimostrare l’ottemperanza a quanto previsto all’art. 56, comma 1 (NOTA BENE: comma dove si riportano le “Caratteristiche delle soluzioni di firma elettronica avanzata”), garantendone la disponibilità, integrità, leggibilità e autenticità;
c) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo;
d) rendere note le modalità con cui effettuare la richiesta di cui al punto c), pubblicandole anche sul proprio sito internet;
e) rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall’art. 56, comma 1 (NOTA BENE: comma dove si riportano le “Caratteristiche delle soluzioni di firma elettronica avanzata”);
f) specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto;
g) pubblicare le caratteristiche di cui alle lettere e) ed f) sul proprio sito internet;
h) assicurare, ove possibile, la disponibilità di un servizio di revoca del consenso all’utilizzo della soluzione di firma elettronica avanzata e un servizio di assistenza.
2. Al fine di proteggere i titolari della firma elettronica avanzata e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche, i soggetti di cui all’art. 55, comma 2, lettera a), si dotano di una copertura assicurativa per la responsabilità civile rilasciata da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali per un ammontare non inferiore ad euro cinquecentomila.
3. Le modalità scelte per ottemperare a quanto disposto al comma 2 devono essere rese note ai soggetti interessati, pubblicandole anche sul proprio sito internet.
4. Il comma 2 del presente articolo non si applica alle persone giuridiche pubbliche che erogano soluzioni di firma elettronica avanzata per conto di pubbliche amministrazioni.
5. Nell’ambito delle pubbliche amministrazioni e in quello sanitario limitatamente alla categoria di utenti rappresentata dai cittadini fruitori di prestazioni sanitarie, la dichiarazione di accettazione delle condizioni del servizio prevista al comma 1, lettera a) può essere fornita oralmente dall’utente al funzionario pubblico o all’esercente la professione sanitaria, il quale la raccoglie in un documento informatico che sottoscrive con firma elettronica qualificata o firma digitale.
Una precisazione particolarmente importante è riportata all’art. 60 laddove si dice che: la firma elettronica avanzata è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che “eroga soluzioni di firma elettronica avanzata”.
All’art. 61 si affermano importanti equivalenze:
1. L’invio tramite posta elettronica certificata di cui all’art. 65, comma 1, lettera c-bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’art. 1, com- ma 1, lettera i) del decreto 2 novembre 2005 recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata» sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata.
2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione,la firma elettronica avanzata.
La Firma Grafometrica secondo il Garante privacy
Stante il trattamento di dati biometrici che la firma grafometrica impone, preventivamente alla attivazione di una soluzione di questo tipo è indispensabile PRESENTARE ISTANZA DI VERIFICA PRELIMINARE al Garante Privacy. Esiste tuttavia uno schema di provvedimento del Garante denominato “Schema di provvedimento in tema di riconoscimento biometrico e firma grafometrica” che semplificherebbe gli adempimenti in materia.
Al momento della scrittura del presente articolo non è ancora disponibile il provvedimento definitivo.
NOTA BENE: quanto riportato nel presente articolo è un estratto da norme vigenti e non garantisce la completezza che solo il testo originale può garantire. Le considerazioni dell’autore devono essere considerate alla stregua di opinioni personali e quindi, prima di ogni possibile utilizzo, devono essere confrontate con altre fonti autorevoli e fede facenti. Verificare sempre i testi completi e originali delle norme citate ricorrendo alle fonti ufficiali tenendo conto di ogni possibile modifica o integrazione intervenuta successivamente alla redazione del presente articolo.
PG.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.