P.A. 158 RACCOLTA E GESTIONE DELLA FIRMA ELETTRONICA AVANZATA GRAFOMETRICA

Transcript

1 Az. Osp. - Univ. Pag. 1 di 16 FIRMA ELETTRONICA AVANZATA GRAFOMETRICA FASI NOME FUNZIONE DATA REDATTA VERIFICATA Sig. C. Berti Dott. M. Giraldi Dott. M. Nerattini Dott.ssa S. Cerali Responsabile P.O. Gestione Documentale Adempimenti Privacy Direttore Direzione Presidio U.O. Medica di Direttore U.O. innovazione sviluppo e analisi dei processi Direttore U.O. AA.GG. Referente Aziendale Privacy Dott. C. R. Tomassini Direttore Generale Z6 ozizols APPROVATA Dott.ssa S. Brìani Direttore Sanitario Dott. C. Milli Direttore Amministrativo Direttore U.O. EMESSA Dott. S. Giuliani Accreditamento e Qualità 26 (oz llois ^xycx-s^ v.- 0ZJO3 lodls

2 Pag. 2 di 16 La presente procedura è stata redatta a cura di: Sig. Cristiano Berti, Responsabile P.O. gestione Documentale Adempimenti Privacy con la collaborazione della dott.ssa Federica Marchetti, IFC UO Accreditamento e Qualità Revisione editoriale a cura di: Dott. Mauro Giraldi, direttore U.O. Direzione Medica di Presidio Dott. Marco Nerattini, direttore U.O. Innovazione e Sviluppo Dott.ssa Simonetta Gerali, direttore U.O. AA.GG. Referente Aziendale Privacy La U.O. Internal Audit, in ottemperanza alla P.A. 01: Gestione documentazione qualità, ha provveduto ad effettuare la valutazione del documento in merito alla coerenza dello stesso: con il Catalogo dei Processi Aziendali con l impianto generale del sistema aziendale dei controlli La U.O. Accreditamento e Qualità, in ottemperanza alla P.A. 01: Gestione documentazione qualità, ha provveduto ad effettuare: la verifica di conformità (requisiti attesi, codifica, congruità con la documentazione aziendale esistente); l attivazione ed il coordinamento della revisione editoriale la convalida e l attribuzione della codifica la raccolta delle firme per l approvazione l emissione e diffusione, con definizione lista di distribuzione l archiviazione e la conservazione.

3 Pag. 3 di 16 I N D I C E 1. PREMESSA SCOPO ED OBIETTIVI CAMPO DI APPLICAZIONE RESPONSABILITÀ DEFINIZIONI E ABBREVIAZIONI UTILIZZATE MODALITÀ OPERATIVE Processo di raccolta dell adesione al servizio di FEA GFM Descrizione delle Attività e delle Responsabilità Processo di sottoscrizione di documenti informatici con FEA GFM Descrizione delle Attività e delle Responsabilità Processo di esibizione dei documenti informatici firmati con FEA GFM Descrizione delle Attività e delle Responsabilità Processo di gestione delle segnalazioni relative ad incidenti di sicurezza (Data Breach) sui Dati Personali Biometrici Trattati all Interno del Servizio FEA GFM Descrizione delle Attività e delle Responsabilità Dati Biometrici e Data Breach QUADRO SINOTTICO DEI CONTROLLI DIAGRAMMA DI FLUSSO Diagramma di Flusso processo di raccolta dell adesione al servizio di FEA GFM Diagramma di Flusso processo di sottoscrizione di documenti informatici con FEA GFM Diagramma di Flusso processo di esibizione dei documenti informatici firmati con FEA GFM Diagramma di Flusso processo di gestione delle segnalazioni relative ad incidenti di sicurezza (Data Breach) sui Dati Personali Biometrici Trattati all Interno del Servizio FEA GFM MODALITÀ DI AGGIORNAMENTO E SUA PERIODICITÀ RIFERIMENTI NORMATIVI E BIBLIOGRAFICI ALLEGATI MODULI DI REGISTRAZIONE: T. T.01/P.A.158 DOCUMENTI VARI: D.V. Firma elettronica avanzata grafometrica: modulo notifica data breach Descrizione delle caratteristiche delle tecnologie utilizzate per la realizzazione della D.V.01/P.A.158 Firma Elettronica Avanzata proposta dall Azienda Ospedaliero Universitaria ai propri Pazienti per la sottoscrizione di documenti informatici tramite firma autografa su tavoletta elettronica D.V.02/P.A.158 Informativa Firma Elettronica Avanzata Grafometrica

4 Pag. 4 di PREMESSA La presente procedura illustra le responsabilità e le attività in capo all Azienda Ospedaliero Universitaria ed ai singoli operatori, previste nella gestione della Firma Elettronica Avanzata Grafometrica. Per consentire ai propri utenti la sottoscrizione di documenti informatici con Firma Elettronica Avanzata Grafometrica, l Azienda Ospedaliero Universitaria ha adeguato ogni singolo processo alle prescrizioni previste dalla la norma, in particolare a: Regolamento UE n. 679/2016, Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati D.Lgs 196/2003, Codice in materia di protezione dei dati personali D.Lgs 82/2005, Codice dell'amministrazione digitale DPCM , Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali Provvedimento generale prescrittivo in tema di biometria 12 novembre 2014 del Garante per la protezione dei dati personali. Per quanto riguarda la raccolta delle firme grafometriche, l AZIENDA: Predispone specifiche postazioni di lavoro opportunamente configurate e attrezzate Informa il firmatario e raccolto il consenso alle condizioni del servizio, previa identificazione con valido documento d identità Prevede una procedura interna e la strumentazione necessaria per consentire al firmatario di sottoscrivere i documenti con modalità di sottoscrizione alternative alla firma grafometrica Fornisce agli operatori dell AZIENDA gli strumenti necessari per la supervisione e il perfezionamento del processo di sottoscrizione con firma grafometrica (firma digitale, formazione all utilizzo del software di Biosign modulo di Scryba Sign). 2. SCOPO ED OBIETTIVI Il presente documento si prefigge di descrivere i passi operativi che devono essere seguiti per gestire i singoli processi della Firma Elettronica Avanzata Grafometrica di: processo di raccolta dell adesione al servizio di Firma Elettronica Avanzata Grafometrica (6.1) processo di sottoscrizione di documenti informatici con Firma Elettronica Avanzata Grafometrica (6.2) processo di esibizione di documenti informatici sottoscritti anche con Firma Elettronica Avanzata Grafometrica (6.3) processo di gestione delle segnalazioni relative ad incidenti di sicurezza (Data Breach) che abbiano avuto un impatto significativo sui dati biometrici trattati dall Azienda all interno del servizio di Firma Elettronica Avanzata Grafometrica (6.4) Il documento, inoltre, identifica le strutture necessarie alla gestione degli incidenti e l integrazione delle attività di segnalazione con i processi di incident e problem management esistenti.

5 Pag. 5 di CAMPO DI APPLICAZIONE La presente Procedura si applica a tutte le attività svolte dal personale amministrativo e/o sanitario, opportunamente formato, appartenente alle categorie C, D, DS delle strutture aziendali coinvolte nel processo di raccolta e gestione della Firma Elettronica Avanzata Grafometrica degli utenti/pazienti che abbiano aderito al Servizio volto a far sottoscrivere documenti digitali (non cartacei) 4. RESPONSABILITÀ Le responsabilità delle singole attività verranno indicate di volta in volta nelle varie fasi. 5. DEFINIZIONI E ABBREVIAZIONI UTILIZZATE AgID AOUP CA Agenzia per l Italia Digitale Nel presente documento con AOUP si intende L Azienda Ospedaliero- Universitaria, Ente che eroga il servizio di firma grafo metrica. L AOUP è inoltre il soggetto Titolare del Trattamento dei Dati Personali contenuti nei documenti sottoscritti con Firma Elettronica Avanzata Grafometrica.. Certification Authority Autorità di Certificazione CAD Codice dell Amministrazione Digitale, Decreto Legislativo 7 marzo 2005, n. 82. Data breach Digital Signature DIP FEA Violazione dei dati In questo contesto usiamo questa definizione in lingua inglese (di fatto una traduzione di firma digitale ) per per distinguere dalla Firma Digitale come definita dal CAD. Si tratta, per noi, della definizione tecnica di firma digitale, del tutto coincidente con la precedente tranne che non è basata su un Certificato ma su un più generico certificato di chiave pubblica emesso da una Certification Authority non accreditata da AgID. In questo contesto Digital Signature individua un particolare tipo di firma elettronica basata su un certificato digitale e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici Distribution Information Package Pacchetto di distribuzione Firma Elettronica Avanzata.

6 Pag. 6 di 16 FEA GFM (Grafometrica) La firma grafometrica è una definizione comunemente usata per indicare una modalità di firma elettronica realizzata con un gesto manuale del tutto analogo alla firma autografa su carta. I dati di una firma si acquisiscono mediante un dispositivo in grado di acquisire dinamicamente il movimento di uno stilo - azionato direttamente dalla mano di una persona - su una superficie sensibile (emulando una penna sulla carta). La firma grafometrica diventa una FEA se applicata in ottemperanza a quanto disposto dalle Regole Tecniche descritte nel DPCM Firmatario Incidenti informatici L Interessato (utente) cui si riferiscono i dati personali biometrici (parametri grafometrici) Accessi abusivi, azione di malware etc che possano esporre i dati a rischi di violazione MPK OdR FEA FGM Parametri Grafometrici PdL FEA GFM RDP / DPO RdC Terzo fiduciario Master Protection Key di Registrazione abilitato all identificazione del firmatario e alla raccolta dell adesione al servizio di FEA grafometrica Un insieme di parametri (posizione, pressione, tempo da cui è possibile derivare velocità, pressione, ritmo, accelerazione, movimenti aerei) che vengono catturati nel momento in cui si appone una firma autografa su una particolare dispositivo (generalmente tablet) e che rendono certa l autenticazione del Titolare. Postazione di Lavoro dedicata e configurata per l apposizione di firme grafometriche Responsabile della Protezione dei Dati ( denominato anche Data Protection Officer) Responsabile della Conservazione Mediante il negozio fiduciario un soggetto (fiduciante) investe un altro soggetto (fiduciario) della proprietà di un bene. Nel presente documento il soggetto fiduciante è Medas srl che affida al fiduciario composto da una rete di notai italiani la chiave privata con cui è possibile decrifrare i dati biometrici di una persona presenti in un documento informatico da lui sottoscritto con FEA grafometrica. Il mandato di investitura tra Medas e i notai dispone che la chiave privata può essere richiesta esclusivamente dall autorità giudiziaria.

7 Pag. 7 di MODALITÀ OPERATIVE Le modalità Operative sono distinte in quattro diversi momenti, in relazione a specifiche competenze. Nella prima fase è necessario acquisire l adesione dell Utente al Servizio di Firma Elettronica Avanzata Grafometrica; dal momento dell adesione e fino ad eventuale revoca, l utente firmerà i vari documenti digitali prodotti dall AOUP, esclusivamente con tale modalità. È possibile che le prime due modalità operative avvengano durante il medesimo accesso alla struttura sanitaria. Al fine di assicurare il corretto svolgimento dell intero processo, sono predisposte specifiche attività di controllo così come dettagliate nella tabella sinottica del paragrafo Processo di raccolta dell adesione al servizio di FEA GFM Il processo di raccolta della FEA GFM prevede la preliminare individuazione di Operatori di Registrazione (OdR FEA GFM) Incaricati, tra il personale amministrativo e/o sanitario appartenente alle categorie C, D, DS, ai quali affidare credenziali personali di accesso al Software, necessarie per svolgere le attività di pertinenza. Il suddetto personale è opportunamente formato per presentare al firmatario termini e condizioni del servizio, dando particolare evidenza all informativa sul Trattamento dei Dati Personali Biometrici e sulla possibilità di rifiutare l adesione al servizio stesso. Tutte le ulteriori attività svolte dal Personale (OdR FEA) e le relative responsabilità sono schematicamente riportate al punto successivo Descrizione delle Attività e delle Responsabilità Nr. Descrizione Responsabilità 1 Presentazione termini e condizioni del Servizio di FEA GFM e Informativa Privacy L OdR FEA GFM presenta al firmatario i termini e le condizioni del Servizio di FEA GFM (DV01/PA158), eroga l informativa privacy sul trattamento dei dati personali biometrici (DV02/158) ed indica dove poter recuperare tutta la documentazione informativa 2 Raccolta del consenso orale all adesione a FEA GFM del firmatario L OdR FEA GFM si accerta che il firmatario sia correttamente informato raccoglie il consenso reso in forma orale da parte del firmatario relativo all adesione al servizio di FEA GFM 3 Identificazione del firmatario L OdR FEA GFM identifica de visu e attraverso un valido documento d identità il firmatario 4 Registrazione dei dati personali del firmatario e scansione documento d identità valido L OdR FEA GFM registra i dati personali del firmatario e acquisisce scansione del valido documento d identità del firmatario 5 Sottoscrizione con FDR del consenso al servizio FEA GFM reso oralmente dal firmatario L OdR FEA GFM sottoscrive con la propria FDR il consenso al servizio di FEA GFM reso in forma orale dal firmatario OdR FEA GFM OdR FEA GFM OdR FEA GFM OdR FEA GFM OdR FEA GFM

8 Pag. 8 di Processo di sottoscrizione di documenti informatici con FEA GFM Le fasi in cui si articola il processo di Sottoscrizione del documento informatico prevedono l iniziale riconoscimento del Firmatario. I documenti digitali da sottoporre alla firma degli utenti aderenti al servizio, sono individuati dall AOUP e forniti in formato elettronico quali modelli accessibili tramite il Software Pleiade Descrizione delle Attività e delle Responsabilità Nr. Descrizione Responsabilità 1 Identificazione firmatario Il firmatario viene informato in merito al documento che è in procinto di sottoscrivere e viene identificato in modo certo dall operatore dell AZIENDA 2 Costruzione del documento digitale L operatore dell AZIENDA procede alla costruzione del documento informatico con il modulo software BioSign della soluzione MedAgree e/o Scryba Sign. Il documento informatico viene visualizzato a monitor al fine di consentire al firmatario di avere evidenza del documento da sottoscrivere 3 Firma con FEA GFM? L operatore richiede al firmatario la se vuole apporre la propria sottoscrizione con FEA grafometrica o con firma autografa 4 Sottoscrizione consenso digitale con FEA GFM Il firmatario sottoscrive il consenso digitale con la propria FEA grafometrica attraverso un tablet collegato ad una PdL FEA GFM opportunamente configurata 5 Controfirma consenso digitale con FDR L operatore dell AZIENDA controfirma il consenso digitale con la propria firma digitale 6 Invio consenso digitale a Repository L operatore invia il consenso digitale ad un Repository aziendale (facoltativo) 7 Invio consenso digitale in conservazione L operatore invia il consenso digitale al sistema di conservazione aziendale 8 Stampa consenso digitale L operatore stampa il consenso e lo sottopone al firmatario 9 Sottoscrizione consenso cartaceo con firma autografa Il firmatario sottoscrive il consenso cartaceo con la propria firma autografa 10 Invio consenso cartaceo in archivio cartaceo L operatore invia il consenso cartaceo (originale) all archivio cartaceo dell AZIENDA stessa 11 Invio copia informatica del consenso cartaceo in conservazione L operatore invia copia informatica del consenso cartaceo al sistema di conservazione aziendale Firmatario Firmatario

9 Pag. 9 di Processo di esibizione dei documenti informatici firmati con FEA GFM Il presente processo prevede le modalità operative cui attenersi nel caso in cui il Firmatario o soggetti terzi legittimati inoltrino richiesta di esibizione del Documento Informatico. Le richieste, sia esterne che interne, sono soggette a registrazione sul Protocollo Informatico Aziendale. Le richieste inoltrate da soggetti diversi dal Firmatario sono soggette alla preventiva valutazione sul reale diritto di accesso. Per tale valutazione il RdC può avvalersi del supporto del RAP. Nel caso in cui venga inoltrata richiesta di copia cartacea conforme all originale questa seguirà le attività previste ai punti 1, 2 e 3 della tabella di cui al paragrafo e successivamente il RdC produce stampa della copia, recante la dizione copia conforme da inviare al richiedente Descrizione delle Attività e delle Responsabilità Nr. Descrizione Responsabilità 1 Richiesta all Azienda di esibizione di documenti informatici Il richiedente esterno (i.e. autorità giudiziaria) richiede all Azienda l esibizione dei documenti di interesse definendone con precisione gli estremi identificativi (identificativo univoco, estremi cronologici, titolare etc.) 2 Richiesta al RdC di estrazione dei documenti informatici dal sistema di conservazione Il richiedente interno (i.e. Ufficio legale dell Azienda, Direttore sanitario, Responsabile della Protezione dei dati etc.) richiede al RdC di estrarre dal sistema di conservazione i documenti informatici oggetto della richiesta esterna 3 Produzione di un DIP con i documenti informatici richiesti Il RdC produce un DIP contenente i documenti richiesti dal richiedente interno 4 Nel DIP c è almeno un documento informatico sottoscritti con FEA GFM? Il RdC verifica se tra i documenti richiesti ve ne sia almeno uno sottoscritto con FEA GFM e lo segnala al Richiedente interno 5 Predisposizione pacchetto «Grafomteria» contenente sw BioSign Forensic e modalità di perizia grafotecnica Il RdC predispone il pacchetto Grafometria costituito da: sw BioSign Forensic Manuale d uso e installazione del sw BioSign Forensic Licenze del sw BioSign Forensic 6 Trasmissione DIP ed eventuale pacchetto «Grafometria» a Richiedente interno Il RdC trasmette il DIP e l eventuale pacchetto Grafometria al richiedente interno 7 Consegna DIP ed eventuale pacchetto «Grafometria» a Richiedente esterno Il richiedente interno trasmette il DIP costruito dal RdC l eventuale pacchetto Grafometria al Richiedente esterno Richiedente esterno Richiedente interno RdC RdC RdC RdC Richiedente interno

10 Pag. 10 di Processo di gestione delle segnalazioni relative ad incidenti di sicurezza (Data Breach) sui Dati Personali Biometrici Trattati all Interno del Servizio FEA GFM Il presente processo prevede le modalità operative da adottare in caso di segnalazioni di incidenti informatici Descrizione delle Attività e delle Responsabilità Nr. Descrizione Responsabilità 1 Comunicazione dell incidente/data breach al Responsabile della Protezione dei dati Colui che rileva un avvenuto incidente provvede a darne comunicazione al Responsabile della Protezione dei dati 2 Raccolta informazioni sull incidente/data breach Il Responsabile della Protezione dei dati, confermato che i sistemi o i dati oggetto dell incident in analisi sono legati all erogazione del servizio FEA, richiede di ricevere il dettaglio di tutte le informazioni relative all incident, tra le quali: Data/ora rilevazione; Sistemi/Servizi a supporto del Servizio FEA impattati dall incident; Nel caso di violazione dei dati, tipologia della stessa tra: - Lettura (presumibilmente i dati non sono stati copiati); - Copia (i dati sono ancora presenti sui sistemi del Titolare); - Alterazione (i dati sono presenti sul sistema ma sono stati alterati); - Cancellazione (i dati non sono più sui sistemi del titolare e non li ha neppure l autore della violazione); - Furto (i dati non sono più sui sistemi del titolare e li ha l autore della violazione) 3 Verifica gravità dell incidente/data breach Sulla base delle informazioni ricevute il Responsabile della Protezione dei dati effettua la valutazione del livello di impatto dell incidente. La segnalazione al Garante viene infatti effettuata solo a fronte di impatto significativo, ad esempio nei casi di: Copia, modifica, distruzione non autorizzata di dati biometrici; Accesso non autorizzata ai dati biometrici; Compromissione dei sistemi di sicurezza a supporto del servizio FEA (es. MDM, VPN). Nel caso in cui l impatto dell incidente venga appunto valutato significativo si procede con la formalizzazione della segnalazione 4 Gestione dell incidente/data breach Gestione dell incidente/data breach secondo le procedure adottate dall Azienda Rilevatore Responsabile della Protezione dei dati RdC Direttore struttura ESTAR preposta al supporto informatico AOUP Responsabile Esterno del Trattamento Responsabile della Protezione dei dati (RDP/DPO) Responsabile della Protezione dei dati (RDP/DPO) RdC Direttore struttura

11 Pag. 11 di 16 ESTAR preposta al supporto informatico AOUP 5 L incidente/data breach deve essere segnalato al Garante della Privacy? Valutazione della gravità dell incidente avvenuto Responsabile della Protezione dei dati (RDP/DPO) Direzione Aziendale 6 Formalizzazione della segnalazione al Garante della Privacy Trasmissione via posta elettronica o PEC della segnalazione al Garante della Privacy, entro 72 ore, secondo il modello di comunicazione al Garante della Privacy come previsto dall Allegato B del Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 Responsabile della Protezione dei dati (RDP/DPO) Direzione Aziendale Dati Biometrici e Data Breach A norma del Provvedimento del 12 novembre 2014 n.513, i titolari di trattamento di dati biometrici sono tenuti a comunicare al Garante le violazioni di tali dati (data breach) che si verificano nell ambito dei propri sistemi. La comunicazione deve essere effettuata in base al modello suindicato, allegando eventualmente ulteriore documentazione ritenuta utile. Eventuali violazioni devono essere tempestivamente segnalate al RDP/DPO per gli adempimenti conseguenti, utilizzando il modello suindicato T.01/P.A QUADRO SINOTTICO DEI CONTROLLI Al fine di assicurare il corretto svolgimento dell intero processo, sono predisposte, secondo il quadro sinottico di seguito riportato, attività di controllo svolte con le tempistiche ed a cura dei soggetti in esso indicati. n Attività di controllo Responsabile Processo di raccolta dell adesione al servizio FEA GFM (Par. 6.1): controllo sulla corretta finalizzazione dalla procedura e presenza del documento d identità della persona che ha aderito Processo di sottoscrizione di documenti informatici con FEA GFM (Par. 6.2): controllo sulla corretta sottoscrizione, attraverso esame della corrispondenza del numero di documenti di adesione al servizio e documenti firmati Processo di esibizione di documenti informatici firmati con FEA GFM (Par. 6.3): Controllo sull esistenza del documento Processo di gestione delle segnalazioni dell eventuale data breach (Par. 6.4): Controllo sulla gravità dell incidente al fine dell eventuale segnalazione al Garante Responsabile della struttura presso la quale è raccolta l adesione Responsabile Aziendale Privacy Responsabile della conservazione dell AOUP Responsabile Aziendale Privacy Altre Strutture/ruoli coinvolti Tempistica (una tantum/periodico) Una tantum ) Responsabile della conservazione dell AOUP 2) ESTAR Una tantum (in sede di verifiche compliance privacy) Periodico: ad ogni richiesta di esibizione di documenti Una tantum (solo in caso di incidente)

12 Pag. 12 di DIAGRAMMA DI FLUSSO 8.1 Diagramma di Flusso processo di raccolta dell adesione al servizio di FEA GFM

13 PER LA RACCOLTA E LA GESTIONE DELLA P.A. 00 Pag. 13 di Diagramma di Flusso processo di sottoscrizione di documenti informatici con FEA GFM

14 P.A. 00 Pag. 14 di Diagramma di Flusso processo di esibizione dei documenti informatici firmati con FEA GFM

15 P.A. 00 Pag. 15 di Diagramma di Flusso processo di gestione delle segnalazioni relative ad incidenti di sicurezza (Data Breach) sui Dati Personali Biometrici Trattati all Interno del Servizio FEA GFM

16 P.A. 00 Pag. 16 di MODALITÀ DI AGGIORNAMENTO E SUA PERIODICITÀ L aggiornamento della presente procedura è consequenziale al mutamento delle norme nazionali, regionali o etico-professionali o in occasione di mutamenti di indirizzo proposti da norme, regolamenti ed indicazioni tecniche degli organismi scientifici nazionali ed internazionali o in occasione di mutamenti delle strategie, delle politiche complessive e delle esigenze organizzative aziendali. Si precisa che, ad ogni modo, la revisione va effettuata almeno ogni 3 anni. 10. RIFERIMENTI NORMATIVI E BIBLIOGRAFICI 1. D.Lgs 196/2003, Codice in materia di protezione dei dati personali 2. D.Lgs 82/2005, Codice dell'amministrazione digitale 3. DPCM , Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali 4. Provvedimento generale prescrittivo in tema di biometria 12 novembre 2014 del Garante per la protezione dei dati personali. 5. Regolamento UE n. 679/2016, Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati