Trasfusioni più sicure con le impronte digitali: il Garante privacy ha autorizzato un’azienda
ospedaliera a utilizzare un sistema di sicurezza trasfusionale basato
sulla rilevazione delle impronte digitali di operatori sanitari e
pazienti per prevenire errori di identificazione dei malati o delle
sacche di sangue.
Con l’introduzione del sistema biometrico si vuole
garantire anche la reale presenza del personale sanitario nella prima
fase della trasfusione, la più delicata. L’azienda intende così
assicurare la tracciabilità del sangue e la corretta associazione tra
paziente, campione prelevato e sacca di sangue o di emoderivati durante
la trasfusione. Se i dati sono incongruenti il sistema si blocca.
L’Autorità
ha ritenuto l’uso delle impronte digitali
proporzionato alla delicatezza delle informazioni da trattare e ai
rischi connessi all’incolumità e alla salute dei pazienti, ma ha
prescritto all’azienda l’adozione di alcuni specifici accorgimenti per
innalzare i livelli di tutela dei dati personali.
I dati dei pazienti
non potranno essere conservati per più di sette giorni e l’azienda
dovrà individuare preventivamente i casi in cui ritenga necessario
protrarre i tempi di conservazione fino a trenta giorni. I dati di
medici e infermieri potranno essere conservati nel terminale portatile
solo per la durata del loro incarico presso il reparto trasfusionale e
dovranno essere cancellati subito dopo. Per coloro che non intendono
sottoporsi alla rilevazione biometrica l’azienda ha previsto modalità
di identificazione alternative (assegnazione di codici personali,
braccialetti con codici a barre). L’ente ospedaliero dovrà curare la
designazione, quali responsabili, delle società esterne che trattano i
dati relativi alle operazioni eseguite durante le trasfusione,
specificando nel dettaglio le misure di sicurezza da osservare.
Il
progetto sottoposto all’Autorità si basa sull’uso di un terminale
portatile presente in reparto, di un lettore di codici a barre, un
sensore per la rilevazione delle impronte digitali e un software che
trasforma le immagini delle impronte in un codice numerico. Prima della
trasfusione, paziente e operatore sanitario poggiano un dito sul
sensore biometrico, creando un file temporaneo con l’immagine
dell’impronta che viene trasformata in un codice e immediatamente
distrutta.
Il terminale non registra dati personali quali nome,
cognome, data di nascita, ma unicamente codici numerici, conservati
direttamente nel portatile e dal quale non possono essere estratti in
alcuna maniera. Il terminale non ha infatti porte di accesso o
connessioni in rete e i dati (ora di inizio e fine delle trasfusioni,
codice del paziente e dell’operatore sanitario, gruppo sanguigno ecc.)
sono trasferiti al server e agli altri terminali dell’ospedale via
radio.