Soggetti vulnerabili: quando la privacy si scontra con la spinta alla digitalizzazione

Pubblicato in: Approfondimenti il giorno: 23 Settembre 2019

Che il processo di digitalizzazione, sia a livello nazionale che mondiale, sia inevitabile è stato ampiamente discusso.

Tuttavia, è quando gli strumenti volti all’efficientamento digitale vengono adoperati in ambiti sensibili che sorgono dei problemi, o quanto meno dei dubbi.

Un esempio è l’ambito scolastico.

Qui l’adozione del registro elettronico, divenuta obbligatoria, semplifica la gestione burocratica da parte del docente e consente ai genitori una maggiore supervisione sulle attività scolastiche dei propri figli.

A 7 anni dalla sua introduzione, si tratta di uno strumento ormai largamente diffuso, installato su applicativi diversi, dal momento che ogni scuola è libera di acquistare il software più adatto alle proprie esigenze.

Altro esempio sono i “Sistemi di video-sorveglianza a tutela dei minori e degli anziani”, supporto tecnologico divenuto obbligatorio (con la recentissima legge n. 55/2019 di conversione del Decreto Sblocca-Cantieri) nei servizi educativi per l’infanzia, nelle scuole dell’infanzia statali e paritarie, nonché nelle strutture socio-sanitarie e socio-assistenziali per anziani e persone con disabilità.

Si tratta di interventi che si pongono chiaramente l’obiettivo di migliorare situazioni preesistenti (la seconda in particolare cerca di arginare alcuni spiacevoli fatti di cronaca, anche recenti); tuttavia sono giustificati i timori inerenti la protezione dei dati personali.

Tuttavia, come si accennava, il dubbio è legittimo: basti pensare all’eventualità in cui, per mancanza di sufficienti misure di sicurezza, vengano rubati e diffusi online dati relativi a valutazioni personali come i voti, i giudizi di rendimento, o addirittura la nota disciplinare di uno studente.

E difatti un insegnante di Cagliari si è rifiutato di utilizzare il software per registro elettronico fornito da una società privata in quanto privo di sufficienti garanzie per la privacy dei suoi alunni. Ne ha ricavato una sospensione, ma non ha ceduto sul suo condivisibilissimo punto di vista (è stato sostenuto anche da numerosi genitori).

E si pensi pure al caso in cui vengano registrati momenti sensibilissimi e propri della sfera personale di un soggetto, come il decorso di una malattia di un paziente ricoverato in una casa di cura.

Per cui, anche se gli strumenti succitati sono obbligatori, non possono essere esenti da misure di tutela, soprattutto quando si tratta di dati appartenenti a soggetti cosiddetti vulnerabili.

Ed è al Titolare del trattamento che spetta l’onere di cercare l’equilibrio tra i due fattori.

Elementi per il corretto bilanciamento

Si è cercato di ovviare ad alcuni di questi problemi, ad esempio, prevedendo che le immagini siano cifrate e non siano accessibili ad altri che agli organi inquirenti in sede di indagine a fini probatori.

Ma ciò non basta!

Altrettanto necessaria è la sensibilizzazione e la formazione sia dei soggetti interessati (alunni, pazienti, anziani) che del personale deputato a trattare i dati personali (docenti, operatori di strutture socio-sanitarie e socio-assistenziali, etc.).

Sensibilizzare in merito alla normativa privacy, ad esempio, è utile per questi ultimi al fine di:

  • valutare quali fornitori garantiscono software, sistemi e applicativi sicuri
  • eseguire correttamente le istruzioni ricevute
  • verificare che i dati raccolti siano protetti.

E per i primi al fine di accertarsi che i propri dati siano rispettati, anche esigendo un’informativa chiara e comprensibile (e non, ad esempio, una redatta in carattere 6 in fondo a pagine e pagine di moduli!).

Ma è da sottolineare che resta indispensabile effettuare una DPIA (Data Protection Impact Assessment), al fine di gestire adeguatamente i rischi per i diritti e le libertà delle persone fisiche.

Tale analisi dovrebbe prendere in considerazione l’origine, la natura, la particolarità e la gravità del rischio di un determinato contesto, in modo da poter efficacemente determinare le misure da adottare per garantire la protezione dei dati in questione.

E dovrebbe valutare la proporzionalità del trattamento, verificando ad esempio che i dati richiesti non siano eccessivi in relazione agli scopi perseguiti.