Documentazione di radioprotezione e firma elettronica

Questo documento Intende esaminare le disposizioni di legge relative alla informatizzazione della documentazione di radioprotezione alla luce della più recente normativa riguardante la firma di documenti digitali.

Non ci poniamo qui l'obiettivo di descrivere in modo accurato e tecnicamente ineccepibile le diverse tecnologie utilizzabili per la firma elettronica (esistono diversi testi molto ben fatti sull'argomento) ma intendiamo presentare le problematiche pratiche che si possono incontrare nella loro applicazione alla documentazione di radioprotezione, in modo da permettere agli Esperti Qualificati ed ai Medici Responsabili della sorveglianza medica (e prima ancora ai datori di lavoro) di fare scelte ragionate.

Nella prima parte vengono descritte le varie tipologie di firma elettronica previste dal vigente ordinamento legislativo, nella seconda parte vengono elencate le condizioni richieste dall'art.13, Allegato XXIII del DL 101/2020, in particolare quelle riconducibili al meccanismo di firma elettronica.

Viene infine fatta una breve analisi delle soluzioni di firma elettronica che possono correttamente essere applicate alla documentazione di radioprotezione e delle problematiche associate e sarà anche descritta, come esempio ed in modo succinto, la soluzione adottata da SIWEB2 per il programma APE.

Non verranno, quindi, esaminate le tematiche relative specificatamente alla privacy ed alla sicurezza dei dati, perché appartenenti a diverse problematiche.

1. La normativa italiana relativa alla firma elettronica

L'applicazione della firma elettronica in Italia si basa sul “Codice dell'amministrazione digitale” Decreto Legislativo 7 marzo 2005 n. 82 e successive modifiche ed integrazioni (si fa qui riferimento al testo aggiornato al 04/09/2012). In considerazione dell'argomento trattato, sarà necessario esaminare anche altre normative correlate come, ad esempio il DL 30/06/2003 n. 186 “Codice in materia di protezione dei dati personali”.

Il Decreto Legislativo 82/2005 (di seguito indicato come CAD) definisce quattro diverse possibilità di firmare un documento elettronico di cui soltanto una è definita firma digitale mentre le altre sono indicate come firme elettroniche; ognuna con diverse caratteristiche che le rende adeguate a specifiche applicazioni.

Le diverse firme sono così definite nel CAD:

  1. firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.

  2. firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

  3. firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato rilasciato da un certificatore accreditato e realizzata mediante un dispositivo sicuro per la creazione della firma.

  4. firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

Le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali sono stabilite nel DPCM 22 febbraio 2013.

Vediamo adesso, più nello specifico, le singole caratteristiche.

1.1. firma elettronica

Si basa su due concetti: l'identificazione informatica e la connessione dei dati firmati con quelli identificativi.

Il CAD definisce l'identificazione informatica come: la validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell'accesso. Si tratta, in definitiva, di un meccanismo di autenticazione.

Il meccanismo di connessione tra i dati identificativi del firmatario ed i dati che sono stati firmati non è specificato; la corretta associazione è quindi completamente demandata al software applicativo.

La firma elettronica è entrata ormai nell'uso quotidiano, spesso inconsapevolmente: si esercita digitando il PIN allo sportello Bancomat. accedendo ad un sito con UserId e password , etc.

1.2. firma elettronica avanzata

La firma elettronica avanzata, oltre a quanto richiesto dalla firma elettronica “semplice”, deve garantire la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

Si tratta di obblighi molto stringenti enunciati, però, lasciando la massima libertà di realizzazione. La legge si mantiene neutrale rispetto alle possibili soluzioni tecnologiche

Nella pratica molti possono essere i modi per attuare la firma elettronica avanzata ed in particolare la “connessione univoca al firmatario” con il “controllo esclusivo” dei mezzi di accesso si può realizzare anche facendo riferimento a caratteristiche biometriche individuali (impronte digitali, lettura dell'iride, analisi dinamica della firma, etc.) che identificano univocamente il firmatario che ne ha, per definizione, il controllo esclusivo, oppure con misure di sicurezza che assicurano gli stessi standard.

Le soluzioni biometriche sono molto semplici da usare ed il firmatario non ha altro obbligo che essere presente al momento della firma.

Tra le altre la firma grafometrica (analisi dei parametri dinamici della firma apposta con una penna elettronica su di un'apposita tavoletta) sta riscuotendo un grande successo per la semplicità d'uso, analoga a quella della firma autografa. È comunque opportuno sottolineare che le tecnologie attualmente disponibili in ambito biometrico sono di tipo “proprietario”.

Il secondo punto che deve essere rispettato è che sia consentita la verifica di eventuali modifiche del documento (verifica dell'integrità).

Questo può essere realizzato, ad esempio, ri-firmando i dati firmati e la stessa firma biometrica con un meccanismo di firma automatica (definita nel DPCM 22 marzo 2013), in modo del tutto trasparente per il sottoscrittore.

1.3. firma elettronica qualificata

La firma elettronica qualificata è definita come un particolare tipo di firma elettronica avanzata (che quindi ne eredita tutte le caratteristiche) che sia basata su un certificato qualificato rilasciato da un certificatore accreditato e realizzata mediante un dispositivo sicuro per la creazione della firma.

Vengono quindi introdotte la figura del certificatore accreditato e la tipologia del dispositivo sicuro.

Certificatore accreditato

Il certificatore accreditato è un soggetto terzo che garantisce, accertandosene, l'identità della persona a cui sono forniti i mezzi di firma. È una figura equivalente a quella del notaio o del funzionario pubblico che si accerta dell'identità del sottoscrittore al momento della firma di un documento cartaceo.

Dispositivi sicuri

I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti di sicurezza tali da garantire che la chiave privata:

a) sia riservata;

b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni;

c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi.

La sicurezza dei dispositivi è accertata (DPCM 22 febbraio 2013, art. 12).

Dispositivi sicuri sono realizzati tramite smart-card e chiavette usb di vario tipo (token-usb, key usb all-in-one).

1.4. firma digitale

La firma digitale è una firma elettronica avanzata che firma con un meccanismo a doppia chiave pubblica/privata. Questo permette di verificare la provenienza e l'integrità di un documento informatico firmato.

Si tratta del meccanismo considerato intrinsecamente più sicuro per la verifica del firmatario e dell'integrità del documento.

1.5. firma digitale in formato PDF

Per completezza è utile parlare anche della firma digitale in formato pdf, riconosciuta dal nostro ordinamento. Si tratta di una soluzione di firma applicabile ai soli documenti in formato PDF, molto semplice da utilizzare: la chiave privata del sottoscrittore è residente in un server remoto, all'interno di un HSM (dispositivo crittografico hardware). L'utente accede con un meccanismo di autenticazione e quindi può sottoscrivere il documento senza necessità di dispositivi sicuri. La firma è custodita direttamente all'interno del PDF che può essere visualizzato e verificato da chiunque tramite il software Adobe Reader.

1.6. Valore probatorio delle soluzioni di firma

Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. Questo perché tutta la gestione dell'autenticazione e dell'associazione dei dati è demandata al software applicativo e quindi l'attendibilità del risultato deve essere valutata.

Il documento informatico sottoscritto con firma elettronica avanzata, ha l'efficacia di una scrittura privata. Nel caso in cui il sottoscrittore disconosca la propria firma, l'onere della prova (procedimento di verifica) è a carico della parte che intende valersene e non del presunto sottoscrittore.

Se è utilizzata una firma elettronica qualificata o digitale, la firma si presume riconducibile al titolare, salvo che questi dia prova contraria.

1.7. Le controindicazioni delle firme forti

È chiaro che le firme elettroniche, qualificate o digitali risultano le più forti e questo è un pregio che, però, implica anche un grave rischio.

Infatti i mezzi per la firma (PIN e dispositivo sicuro), se non ben conservati, possono essere utilizzati in modo fraudolento ed in caso di contestazione dovrà essere il titolare della firma a dover dimostrare di non essere stato realmente lui a firmare il documento contestato.

Anche nella firma elettronica semplice ed avanzata si è sottoposti al rischio di firma rubata ma in questo caso l'onere della prova non è carico del legale titolare!

Ma esiste anche un rischio che coinvolge chi conserva correttamente PIN e dispositivo di firma. Infatti il dispositivo sicuro è sicuro ma non lo è il suo uso.

Al momento dell'impiego il dispositivo sicuro viene collegato ad un sistema informatico il cui livello di sicurezza non è necessariamente elevato.

Ad esempio non è detto che il documento visualizzato sullo schermo, che si pensa di star firmando, sia quello che effettivamente sarà firmato.

Addirittura, con un adeguato software ed hardware, è possibile ingannare oltre che il firmatario anche un sistema di firma considerato affidabile: il firmatario vede un documento mentre il sistema di firma affidabile ne vede uno diverso. Viene quindi firmato un documento diverso da quello immaginato, con un dispositivo sicuro ed un software affidabile e non manomesso. Se il software e l'hardware truffaldini vengono rimossi sarà molto difficile poter dimostrare che non volevamo firmare quello che poi è risultato sottoscritto.

2. Documentazione di radioprotezione informatizzata

La legge italiana permette “l'impiego di sistemi di elaborazione automatica dei dati per la memorizzazione della scheda personale e del documento sanitario personale purchè siano rispettate le condizioni di cui ai commi seguenti.” (DL 101/2020 All. XXIII, artt. 13.1, 13.2, 13.3), di seguito riportate:

13.1. E’ consentito l’impiego di sistemi di elaborazione automatica dei dati per la memorizzazione della scheda personale e del documento sanitario personale purché siano rispettate le condizioni di cui ai commi seguenti.

13.2. Le modalità di memorizzazione dei dati e di accesso al sistema di gestione delle dosi devono essere tali da assicurare che:

  1. l’accesso alle funzioni del sistema sia consentito ai soli soggetti a ciò espressamente abilitati dal datore di lavoro;

  2. l’accesso alle funzioni di valutazione delle dosi sia consentito soltanto all’esperto di radioprotezione;

  3. le operazioni di valutazione delle dosi di ogni lavoratore esposto devono essere univocamente riconducibili all’esperto qualificato mediante la memorizzazione di codice identificativo, autogenerato dal medesimo;

  4. le eventuali informazioni di modifica, ivi comprese quelle inerenti alle generalità ed ai dati occupazionali del lavoratore, siano solo aggiuntive a quelle già memorizzate;

  5. sia possibile riprodurre su supporti a stampa, secondo le modalità di cui al punto 7, le informazioni contenute nei supporti di memoria;

  6. le informazioni siano conservate almeno su due distinti supporti informatici di memoria.

  7. siano implementati programmi di protezione e di controllo del sistema da codici virali;

  8. sia redatta, a cura dell’esercente il sistema, una procedura in cui siano dettagliatamente descritte le operazioni necessarie per la gestione del sistema medesimo; nella procedura non devono essere riportati i codici di accesso.

13.3. Le modalità di memorizzazione dei documenti sanitari personali e di accesso al sistema di gestione degli stessi devono essere tali da assicurare che:

  1. l’accesso alle funzioni del sistema sia consentito soltanto al medico addetto alla sorveglianza medica o a suo delegato;

  2. le operazioni di espressione dei giudizi di idoneità di ogni lavoratore esposto e delle eventuali limitazioni devono essere univocamente riconducibili al medico addetto alla sorveglianza medica mediante la memorizzazione di codice identificativo, autogenerato dal medesimo;

  3. le eventuali informazioni di modifica, ivi comprese quelle inerenti alle generalità ed ai dati occupazionali del lavoratore, siano solo aggiuntive a quelle già memorizzate;

  4. sia possibile riprodurre su supporti a stampa, secondo le modalità di cui al punto 8, le informazioni contenute nei supporti di memoria;

  5. le informazioni siano conservate almeno su due distinti supporti informatici di memoria;

  6. siano implementati programmi di protezione e di controllo del sistema da codici virali;

  7. sia redatta, a cura dell’esercente il sistema, una procedura in cui siano dettagliatamente descritte le operazioni necessarie per la gestione del sistema medesimo; nella procedura non devono essere riportati i codici di accesso.

13.4. La rispondenza dei sistemi di elaborazione automatica dei dati ai requisiti di cui ai commi 2 e 3 è dichiarata dal datore di lavoro.

Quello che si può ricavare dalla lettura degli articoli sopra riportati, se tralasciamo le parti dedicate alla sicurezza dei dati, è che è richiesto un meccanismo di autenticazione, basato su profili operativi, che, tramite la memorizzazione delle operazioni compiute e dei loro autori, garantisca gli stessi meccanismi di responsabilità e trasparenza ottenibili con la documentazione cartacea e la firma autografa.

La parte di autenticazione è ottenibile con la firma elettronica semplice mentre tutta la parte gestionale dovrebbe essere a carico del software applicativo.

Ci possiamo chiedere: sarebbe possibile (e forse auspicabile) utilizzare, invece che la firma semplice una firma più forte, in grado di fornire maggiori garanzie e valore legale?

Questo, in realtà, non è propriamente vero.

Infatti le firme avanzate, qualificate o digitali sono state ideate per identificare il firmatario di un documento e garantirne l'integrità: sono in grado di fotografare una documentazione statica e situazioni dinamiche debbono, necessariamente, essere gestite al di là del meccanismo di firma.

Questo è proprio i caso delle schede dosimetricche personali e dei DOSP: collezioni di dati che vengono continuamente aggiornati (dosi assegnate, destinazioni lavorative, visite, etc.).

Vediamo di fare un esempio pratico ma ricordiamo prima, sommariamente, come funziona il meccanismo di firma digitale:

Nel caso della firma elettronica il programma, oltre all'inserimento/modifica dei dati, inserirà, in apposito campo, le informazioni relative al firmatario ed al momento della firma (evidenza temporale). Sarà lo stesso programma a gestire la storia del documento garantendo coerenza con le variazioni associate. È chiaro che le firma digitale ha un costo in termini di elaborazione e spazio richiesto, molto superiore rispetto a quello richiesto dalla firma digitale.

Se la firma digitale fosse utilizzata per firmare la sola variazione non ci troveremmo di fronte ad un documento firmato digitalmente ma soltanto una firma elettronica semplice che utilizza mezzi più complessi di firma. Infatti la gestione dei dati, la storia che determina la natura reale ed il valore legale del documento sarebbe comunque deputata al software applicativo.

Per la firma digitale, ad ogni variazione dei dati, dovrebbe corrispondere la creazione di un documento unico e comprensivo di tutte le informazioni, firmato ed archiviato. L'insieme di tutti i singoli documenti firmati, decine o centinaia di versioni, costituirebbe la storia del documento e, se ben realizzata costituirebbe una reale applicazione della firma digitale alla documentazione di radioprotezione. Da notare che, a parte il dispendio di risorse, risulterebbe comunque difficile garantire l'indipendenza dal software operativo, ad esempio nella gestione della storia del documento.

Con queste premesse è evidente che l'applicazione della firma digitale alle schede dosimetriche sarebbe veramente molto complicata mentre un poco più semplice potrebbe essere l'uso con i DOSP per il minor numero di variazioni ipotizzabili. Dovrebbe comunque essere chiaro che non è sufficiente utilizzare un certificato qualificato ed un dispositivo di firma sicura per poter parlare di firma digitale.

Ma qual'è il livello di sicurezza veramente necessario ed utile nella documentazione di radioprotezione? Sarebbe sbagliato richiedere alle schede informatizzate una sicurezza assoluta, magari a discapito della funzionalità, senza ricordarsi che anche la gestione cartacea non può essere immune da attività fraudolenti.

Inoltre non dobbiamo dimenticare che esiste un meccanismo, valido per la documentazione di radioprotezione sia cartacea che elettronica, che mette al riparo da possibili brogli ed è la diffusione dei dati. La comunicazione periodica delle dosi assegnate e degli esisti delle visite ad altri professionisti ed ai diretti interessati permette di evidenziare, con facilità, qualsiasi modifica dolosa delle informazioni.

3. Oltre la gestione informatizzata

C'è un ultimo argomento da affrontare: la gestione informatizzata offre una serie di garanzie ma cosa succede quando i dati vengono estratti dal sistema?

Nel DL 101, Allegato XXIII, art. 13.5 è scritto:

13.5. In caso di cessazione del rapporto di lavoro i documenti informatizzati, sono inviati secondo le modalita' e la destinazione indicate negli articoli 132, comma 4, e 140, comma 4, del presente decreto.”

Quindi saranno l'Esperto Qualificato od il Medico Autorizzato/Competente a certificare con firma autografa la correttezza dei dati e questo varrà non soltanto al momento della cessazione del rapporto di lavoro ma ogni qual volta i dati debbano essere comunicati al di fuori del programma di gestione.

Potrebbe essere utile, in alcuni casi, poter dimostrare che il documento stampato e firmato o quello salvato in formato PDF (e magari firmato con la firma elettronica specifica) è derivato direttamente dal programma di gestione e non è stato modificato o creato ad hoc.

Per ottenere questo è necessario che il programma gestionale possa firmare direttamente i documenti con una firma avanzata, qualificata o digitale.

Si tratta di una soluzione messa in opera da APE a partire dalla versione V6.5; è infatti possibile acquisire la scheda anche in formato PDF firmata da APE con firma avanzata, come descritto nelle Regole tecniche del DPCM 22 febbraio 2013 (art. 55 comma 2, a) ed applicata con un meccanismo di firma automatica.

La provenienza da APE e l'integrità di un documento firmato con firma avanzata può essere verificata, da chiunque, partendo dal sito di APE (ape.siweb2.com). Si tratta di un'assunzione di responsabilità da parte del programma di gestione, utile in caso di controversie o di conservazione sostitutiva.