ECOMEDICA ODONTOIATRICA S.R.L.
via Verdi, 32/2
35010 Loreggia (PD)
http://www.ecomod.it/ecomod.html
MANUALE FEA (FIRMA GRAFOMETRICA) Pag. 1 / 12 Rel. 2019.02
B2. FEA_INFORMATIVA.docx
NOTA INFORMATIVA SULLA FIRMA ELETTRONICA AVANZATAFIRMA
E INFORMATIVA PRIVACY
Sommario
NOTA INFORMATIVA SULLA FIRMA ELETTRONICA AVANZATA CON TECNOLOGIA GRAFOMETRICA ........................................................................... 2
INFORMAZIONI GENERALI .................................................................................. 3
LA FIRMA ELETTRONICA AVANZATA (F.E.A.) – FIRMA GRAFOMETRICA ...........4
MODALITA’ DI FUNZIONAMENTO DEL SERVIZIO DI FIRMA GRAFOMETRICA .5
- CONFERMARE.................................................................................................... 5
- RIFIRMARE.......................................................................................................... 5
- ANNULLARE ...................................................................................................... 5
Modalità di adesione al servizio di firma grafometrica dello STUDIO............. 6
Caratteristiche del sistema di firma grafometrica adottato dallo STUDIO e delle tecnologie utilizzate ...................................................................................7
SISTEMA INFORMATICO DI FIRMA .....................................................................8
GESTIONE DEI DATI BIOMETRICI .......................................................................9
INFORMAZIONI RIGUARDANTI LA COPERTURA ASSICURATIVA..................... 9
INFORMATIVA privacy (g.d.p.r.) ........................................................................ 10
Documento predisposto ai sensi del DPCM 22-02-2013 “regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”, Art. 57 commi 1 e 3
PREMESSA
Soggetti coinvolti nel processo di firma grafometrica
• ECOMEDICA ODONTOIATRICA S.R.L. (di seguito STUDIO) soggetto erogatore della soluzione di Firma Elettronica Avanzata (di seguito FEA) come definito dall’articolo 55 comma 2 lettera a del DPCM.
• INFOMEDICA S.R.L. (di seguito INFOMEDICA) che riveste il ruolo di fornitore di servizi integrati e di supporto al STUDIO per il completamento delle procedure necessarie per l’attivazione della FEA.
• NAMIRIAL S.P.A. (di seguito NAMIRIAL CA) soggetto realizzatore della FEA come definito dall’articolo 55 comma 2 lettera b del DPCM.
• FIRMATARIO DEL DOCUMENTO (di seguito FIRMATARIO) la persona che usa FEA per la sottoscrizione dei documenti attraverso il dispositivo di firma installato presso lo STUDIO
• OPERATORE DI FRONT END (di seguito OPERATORE) è la persona fisica, incaricata dallo STUDIO che partecipa al processo di firma identificando il FIRMATARIO, consegnando allo stesso l’informativa, richiedendo il consenso preventivo al trattamento dati, assiste e garantisce che la sottoscrizione venga fatta solo ed unicamente dal FIRMATARIO.
INFORMAZIONI GENERALI
Lo STUDIO ha introdotto un’innovativa soluzione informatica che consente di sottoscrivere elettronicamente la documentazione meglio sotto specificata. Tale soluzione, di seguito denominata “firma grafometrica”, si inquadra nel più ampio progetto di dematerializzazione dei processi contabili e gestionali con la progressiva sostituzione della documentazione cartacea con la documentazione digitale.
In sintesi, il servizio di firma grafometrica si basa sull’utilizzo di una tecnologia che permette di sottoscrivere la documentazione direttamente attraverso un dispositivo tablet o tavoletta (di seguito TABLET) con una particolare tipologia di firma elettronica, riducendo/eliminando la necessità di stampare documenti cartacei da consegnare al FIRMATARIO e riducendo i documenti cartacei da conservare.
Il presente documento, contenente le informazioni relative alle caratteristiche del Servizio di firma grafometrica come processo di FEA ed alle tecnologie su cui questo si basa, è pubblicato sul sito internet dello STUDIO (http://www.ecomod.it/ecomod.html), risultando in tal modo sempre disponibile.
Si ottiene dalla registrazione delle caratteristiche dinamiche (ritmo, pressione, coordinate, ecc.) della firma che il FIRMATARIO appone di suo pugno tramite un TABLET di firma. La soluzione di firma grafometrica adottata dallo STUDIO è riconducibile alla tipologia di firma elettronica avanzata, come da Decr. Pres. Cons. Min. del 22-02-2013 “regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali” pubblicato nella GU n. 117 del 21-05-2013 e garantisce quindi (cfr. DPCM 22-02-2013, art. 56, comma 1):
a) l’identificazione del FIRMATARIO del documento
b) la connessione univoca della firma al FIRMATARIO
c) il controllo esclusivo del FIRMATARIO del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma
e) la possibilità per il FIRMATARIO di ottenere evidenza di quanto sottoscritto
f) l’individuazione del soggetto di cui all’articolo 55, comma 2, lettera a) delle regole tecniche
g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati
h) la connessione univoca della firma al documento sottoscritto.
I documenti che il FIRMATARIO sottoscrive con la FEA sono documenti informatici che:
- sul piano tecnico soddisfano i requisiti di sicurezza definiti dalla normativa vigente
- sul piano giuridico hanno lo stesso valore dei documenti cartacei sottoscritti con firma autografa.
La FEA consentirà al FIRMATARIO di sottoscrivere tutti i documenti che precedentemente erano sottoscritti in modalità cartacea, quali a solo titolo di esempio, dichiarazioni sullo stato di salute anamnesi, preventivi, consensi informati, modalità di pagamenti, etc)
Il servizio di firma grafometrica adottato dallo STUDIO consente al FIRMATARIO, opportunamente supportato dall’OPERATORE, di:
▪ visualizzare il documento sul TABLET;
▪ procedere con la sottoscrizione utilizzando gli appositi campi “firma” predisposti sul TABLET. L’effetto grafico sul TABLET è del tutto similare a una classica firma olografa su carta;
▪ una volta effettuata la firma, il FIRMATARIO ha ancora disponibile l’intero documento che potrà visualizzare sul TABLET e, al fine di completare il processo di firma, dovrà scegliere una delle seguenti alternative:
- CONFERMARE la sottoscrizione, premendo sul TABLET un tasto di conferma con la penna elettronica;
- RIFIRMARE ovvero effettuare nuovamente l’operazione di firma;
- ANNULLARE l’operazione di firma.
Al termine delle operazioni di firma il documento assume caratteristiche tecniche ed informatiche che ne garantiscono integrità e non modificabilità.
Per quanto riguarda le modalità di consegna della documentazione al FIRMATARIO si ricorda che essa può avvenire in modalità cartacea o informatica (spedita via mail) secondo le richieste del FIRMATARIO che possono essere espresse dopo ogni documento firmato.
Modalità di adesione al servizio di firma grafometrica dello STUDIO.
I pazienti, per poter utilizzare il servizio di firma grafometrica, dovranno sottoscrivere un apposito consenso con il quale accettano di utilizzare la firma grafometrica per la sottoscrizione di tutta la documentazione per la quale lo STUDIO renderà possibile la sottoscrizione con detta modalità di firma (cfr. DPCM 22-02-2013, art. 57, comma 1, lettera a).
I clienti che hanno aderito al servizio possono richiedere, in qualsiasi momento e gratuitamente, una copia dell’informativa e del consenso all’uso della firma grafometrica direttamente allo STUDIO (cfr. DPCM 22-02-2013, art. 57, comma 1, lettera c).
Con analoga modalità possono richiedere, in qualsiasi momento tramite apposito modulo, la revoca della dichiarazione di accettazione tornando quindi ad operare con la tradizionale firma autografa su documentazione cartacea.
Queste informazioni sono rese disponibili anche attraverso il Sito Internet dello STUDIO
(http://www.ecomod.it/ecomod.html).
Caratteristiche del sistema di firma grafometrica adottato dallo STUDIO e delle tecnologie utilizzate (cfr. DPCM 22-02-2013, art. 57, comma 1, lettere e, f)
Lo STUDIO utilizza, quale componente hardware, particolari tavolette di firma con metodo di lettura a risonanza elettromagnetica che permettono di rilevare con precisione i valori biometrici del FIRMATARIO che appone la firma. I TABLET sono caratterizzati da un display TFT LCD a colori e da una apposita penna attraverso la quale il FIRMATARIO sottoscrive il documento elettronico visualizzato sul display.
Il TABLET mostra la firma in tempo reale mentre il FIRMATARIO firma sul display, rendendo l’esperienza del tutto analoga alla scrittura su carta.
Il TABLET in generale consente di:
▪ prendere visione del documento eseguendo, se necessario, lo “scroll” dello stesso
▪ sottoscrivere il documento e confermare la firma apposta
▪ cancellare la firma apposta per riproporne un’altra
▪ annullare l’operazione di firma
Le operazioni di cui sopra sono rese possibili attraverso l’utilizzo di una apposita penna elettronica e di appositi tasti funzione presenti sul display del TABLET ed il firmatario mantiene sempre il controllo esclusivo del sistema di generazione della firma.
SISTEMA INFORMATICO DI FIRMA
Il sistema di firma grafometrica garantisce la protezione dei dati biometrici che rendono riconducibile, in modo univoco, la firma apposta sul TABLET al firmatario. La connessione tra il TABLET di firma e la postazione di lavoro dell’operatore avviene in modalità protetta utilizzando un algoritmo AES a doppia chiave simmetrica scambiata attraverso un ulteriore algoritmo DIFFIE-HELLMAN.
La cifratura dei dati biometrici avviene tramite un certificato pubblico con chiave asimmetrica RSA 2048 bit ed algoritmo di cifratura SHA256.
Successivamente i dati vengono inglobati nel pdf insieme alla generazione di una firma PadES, attraverso l’applicazione di una firma digitale tecnica, basata su un ulteriore certificato con chiave privata ed algoritmo SHA256.
I dati biometrici non vengono in nessun modo memorizzati in chiaro, né dal TABLET né dall’applicazione di firma. L’insieme dei valori biometrici viene inoltre connesso, in modo univoco ed indissolubile, al documento informatico visualizzato e sottoscritto dal FIRMATARIO, in modo che la stessa firma grafometrica non possa essere associata ad un altro documento. Inoltre, al fine di rendere immodificabile l’intero documento firmato dal FIRMATARIO, a chiusura di ogni transazione viene applicata una firma digitale qualificata.
Il documento digitale sottoscritto dal FIRMATARIO viene memorizzato in formato PDFa1-a e firmato digitalmente in modalità PAdES, in modo da soddisfare i requisiti normativi legati all’autoconsistenza, non modificabilità e leggibilità dello stesso. Al termine del processo di firma viene infine inviato presso un sistema di conservatoria digitale per la conservazione a norme di legge.
GESTIONE DEI DATI BIOMETRICI
Lo STUDIO non può in alcun modo accedere autonomamente ai dati biometrici di colui che ha firmato.
La decifratura degli stessi, nei casi previsti dalla legge, potrà avvenire unicamente con il coinvolgimento di un soggetto terzo, specificamente incaricato dallo STUDIO, che dovrà comunque seguire un rigoroso e dettagliato processo aziendale.
Sono escluse quindi altre finalità di utilizzo delle informazioni biometriche, quali ad esempio l’identificazione e autenticazione del FIRMATARIO sulle procedure informatiche.
INFORMAZIONI RIGUARDANTI LA COPERTURA ASSICURATIVA.
Per ottemperare a quanto previsto dal DPCM 22-02-2013, art. 57, comma 2, polizze assicurative a tutela dell’utente che sottoscrive con la firma grafometrica, lo STUDIO ha stipulato una polizza assicurativa specifica.
Di seguito i riferimenti della polizza: *** DA RICHIEDERE ***
La presente informativa è rivolta agli interessati che conferiscono i propri dati in qualità di FIRMATARIA relativamente al SERVIZIO DI FIRMA GRAFOMETRICA messo in atto dallo STUDIO
Questo documento è redatto ai sensi del Regolamento UE n. 2016/679 (in seguito, “GDPR”) che prevede la tutela delle persone fisiche con riferimento al trattamento dei dati personali.
Secondo tale normativa il trattamento dei dati personali che si riferiscono ad un soggetto, nello specifico da definirsi “interessato”, è improntato ai principi di correttezza, liceità e trasparenza, nonché di tutela della riservatezza e dei diritti dell’interessato stesso.
NOTA La presente informativa privacy può essere modificata in base alle esigenze legislative, regolamentarie, o con la finalità di adattare detta informativa alle istruzioni impartite dalle Autorità competenti in materia. Si consiglia, quindi, di controllare regolarmente questa Informativa e di riferirsi alla versione più aggiornata, disponibile sul sito internet (i cui riferimenti sono indicati nelle informazioni di contatto)
TITOLARE DEL TRATTAMENTO
Titolare del trattamento è il ECOMEDICA ODONTOIATRICA S.R.L. via Verdi, 32/2 35010 Loreggia (PD)
INFORMAZIONI DI CONTATTO, RESPONSABILI, INCARICATI DEL TRATTAEMNTO DATA PRIVACY OFFICER
Le informazioni di contatto aggiornate sono disponibili sul sito internet (http://www.ecomod.it/ecomod.html).
L’elenco dei Responsabili e degli Incaricati ed il Riferimento del D.P.O. (Data Privacy Officer) se nominato, sono disponibili presso la sede
OGGETTO DEL TRATTAMENTO
Sono oggetto del trattamento i Dati Personali acquisiti in sede di registrazione del Consenso per l’Uso della Firma Grafometrica (quali, ad esempio, nome, cognome, ragione sociale, indirizzo, telefono, e-mail) e tutti quelli presenti nel documento di riconoscimento che ci avrà fornito per adempiere a quanto previsto dalla normativa sulla firma grafometrica (C.A.D. Art. 57 comma 1 a e comma 1 b)
Il Titolare tratta documenti informatici (PDF) contenenti dati biometrici a lui non disponibili in quanto I dati biometrici vengono cifrati, direttamente all’atto della firma
FINALITA’ DEL TRATTAMENTO (rif. Art. 6 comma B del GDPR)
Solo previo Suo specifico e distinto consenso per poter erogare il Servizio di Firma Grafometrica come specificato nella presente informativa e nella nota tecnica.
MODALITA’ DEL TRATTAMENTO (rif. Art. 4 comma 2 del GDPR)
Il trattamento dei Suoi dati personali è realizzato per mezzo delle operazioni indicate dall’art. 4 n. 2 GDPR e precisamente qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
Il trattamento potrà essere fatto in maniera cartacea (per il Consento all’uso della Firma e la Copia del Documento di identificazione), ed in maniera elettronica
In ogni caso il Titolare si impegna a trattare i dati personali in modo lecito e secondo correttezza; a raccoglierli e registrarli per scopi determinati, espliciti e legittimi e ad utilizzarli in altre operazioni del trattamento in termini non incompatibili con tali scopi.
Si impegna, altresì, a verificare che essi siano esatti, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti.
Si impegna inoltre a mantenere un livello di sicurezza adeguato al rischio adottando misure tecniche ed organizzative adeguate.
INCARICATI E RESPONSABILI
I Suoi dati potranno essere resi accessibili per adempiere alle finalità di cui sopra
• a incaricati del trattamento (dipendenti e/o collaboratori del Titolare)
• a responsabili esterni del trattamento (a titolo indicativo consulenti, studi professionali, società di servizi, etc.)
COMUNICAZIONE
Il servizio di firma Grafometrica coinvolge tutti i documenti che possono essere sottoscritti dal Paziente quali ad esempio Dichiarazioni di Stato di Salute (Anamnesi), Preventivi, Fuori Preventivi, Consenti Informato sulle Cure, Informative sulle Cure.
Questi documenti sono custoditi presso il Titolare e non sono normalmente oggetto di comunicazione, potranno tuttavia essere comunicati ad altri soggetti che tratteranno i dati nella loro qualità di autonomi titolari del trattamento.
• Per dare esecuzione delle Richieste dell’Interessato a terzi che intervengono nel pagamento delle cure (ad esempio Assicurazioni, Terzi Paganti)
• Per tutelare i diritti del Titolare a Società di Recupero Credito, Avvocati, nonché a quei soggetti ai quali la comunicazione sia obbligatoria in forza di disposizione di legge, di regolamento o di normativa comunitaria, nei limiti previsti da tali norme;
DIFFUSIONE DEI DATI
I Suoi dati NON saranno diffusi.
TRASFERIMENTO DATI
I dati personali sono conservati nella sede operativa del titolare.
DURATA DEL TRATTAMENTO (rif. Art. 5 comma e del GDPR)
Il Titolare tratterà i dati personali per il periodo di tempo necessario per adempiere alle finalità di cui sopra, in conformità con le leggi vigenti (tenendo presente il periodo di trasmissione e conservazione ai fini contabili, civili e fiscali)
Per chiarimenti sul periodo conservazione dei dati può rivolgersi al Titolare (vds. Informazioni di contatto).
NATURA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DEL RIFIUTO
Prima di poter utilizzare il Servizio di Firma Grafometrica è necessario che l’interessato esprima un esplicito consenso in assenza del quale il Servizio di Firma Grafometrica non può essere erogato.
Può quindi decidere di non esprimere il consenso oppure può decidere di revocarlo in qualsiasi momento
La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
DIRITTI DELL’INTERESSATO (rif. Art. 15 e successivi del GDPR)
Ai sensi del Regolamento europeo 679/2016 (GDPR) e della normativa nazionale, l'interessato può, secondo le modalità e nei limiti previsti dalla vigente normativa, esercitare i seguenti diritti:
• chiedere la conferma dell’esistenza o meno di un trattamento dei propri dati personali; (art. 15 GDPR)
• ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione; (art. 15 GDPR)
• il diritto di proporre un reclamo ad una Autorità di controllo. (art. 15 GDPR) • diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano. (art. 16 GDPR)
• chiedere cancellazione dei dati (art. 17 GDPR)
• chiedere la limitazione del trattamento dei dati personali che lo riguardano (art. 18 GDPR)
• ottenere la portabilità dei dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro titolare del trattamento senza impedimenti;
• opporsi al trattamento (art. 21 GDPR)
NOTA. I diritti dell’interessato sono subordinati agli obblighi vigenti di legge e di conservazione dei documenti che ci sono imposti da norme di legge o regolamentari. Il titolare del trattamento risponderà alle richieste dell'interessato senza ingiustificato ritardo e al più tardi entro un mese.