Privacy delle persone “vulnerabili”: le misure di sicurezza da utilizzare | Agenda Digitale

l'approfondimento

Privacy delle persone “vulnerabili”: le misure di sicurezza da utilizzare

Il ventaglio dei soggetti “vulnerabili” è molto ampio di quello che non possa in prima istanza apparire. Le organizzazioni, dunque, sono chiamate a riconsiderare se hanno correttamente individuato tutti i soggetti interessati per programmare un’adeguata protezione dei loro dati. Facciamo chiarezza

19 Ott 2020
Monica Perego

Ingegnere

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie


Con la situazione di emergenza sanitaria è stato rivalutato il concetto di “persona fragile” che non è sinonimo di “persona vulnerabile”.

Facciamo un po’ di chiarezza rispetto alle definizioni e alle fonti, comprendendo come il concetto possa essere allargato a un ampio ventaglio di soggetti nel ruolo di interessati, con l’obiettivo di individuare le misure per il trattamento dei medesimi, secondo il Regolamento Europeo per la protezione dei dati personali.

Persona “vulnerabile” e “fragile”: due definizioni a confronto

È “vulnerabile” colui che appare debole, eccessivamente sensibile.

È “fragile” colui che si trova in una «condizione di ciò che è fragile, in senso proprio (come il vetro, il cristallo, ecc.) e figurato (con riferimento agli stati emotivi)».

In pratica, due qualità/condizioni nelle quali la sostanziale differenza è data dal fatto che la vulnerabilità è legata al contesto essendo vulnerabile a “qualcosa-qualcuno”[1], mentre la fragilità è attribuibile ad un soggetto indipendentemente dal contesto.

Persona “vulnerabile” e “fragile”: la protezione dei dati

Dopo aver introdotto le definizioni letterali, esploriamo dove, nell’ambito della normativa in materia di trattamento dei dati personali o in documenti ad essa correlata, si fa riferimento a termini assimilabili, attraverso la ricognizione delle numerose fonti che trattano il tema.

In termini generali, tali individui rientrano nel più ampio bacino dei soggetti cd “…di minorata difesa” quale “circostanza aggravante” ex art. 61, comma I, num. 5, cp che può riassumersi, richiamando la giurisprudenza penale peraltro costante, nello stato di “…approfittamento di una condizione di debolezza”.

Analizzando la normativa in materia di protezione dei dati personali si evincono le definizioni che seguono.

Persone vulnerabili
Riferimento NormativoContenuto
Allegato 1 al Provvedimento N. 467 DELL’11 OTTOBRE 2018 – doc. web n. 9058979 –“Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto che individua le persone vulnerabili nei “minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo
“Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto che individua le persone vulnerabili nei “minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo”
Art. 8 comma 1 D.lgs 140/2005“Attuazione alla direttiva 203/9 CE che stabilisce le norme minime relative all’accoglienza dei richiedenti asilo negli Stati membri”, individua tra le persone vulnerabili i: minori, disabili, anziani, donne in stato di gravidanza, genitori singoli con figli minori, persone per le quali è stato accertato che hanno subito torture, stupri, o altre forme gravi di violenza psicologica, fisica o sessuale, vittime della tratta degli esseri umani, le persone affette da gravi malattie o disturbi mentali e le vittime di mutilazioni.”
Persone fragili
Riferimento NormativoContenuto
Protocollo del 24.04.2020

DPCM del 26.04.2020

DPCM dell’8.03.2020

le persone anziane o affette da patologie croniche o con multimorbilità ovvero con stati di immunodepressione congenita o acquisita.
Circolare 7942-27/03/2020 del Ministero della Salute“il lavoratore affetto da patologia che ne aumenta la vulnerabilità nei confronti dell’infezione virale; soggetti immunodepressi, donne in gravidanza, soggetti affetti da patologie cronico-degenerativo come diabete, cardio vasculopatie, bronco pneumopatia, nefropatie.”
”Non esistendo in letteratura, né nella pratica clinica, una definizione operativa di immunosoppressione, le raccomandazioni elencate di seguito vanno considerate per le seguenti classi di pazienti: a) Pazienti sottoposti a trapianto di organo solido o a trapianto di cellule staminali emopoietiche (TCSE); b) Pazienti con immunodeficienza primitiva (compresi immunodeficienza comune variabile, CVID); c) Pazienti con infezione acquisita da HIV; d) Pazienti che per qualsiasi condizione (es. patologie autoimmuni o, più in generale, immunomediate) stiano assumendo cronicamente trattamenti immunosoppressivi [es. farmaci inibitori della calcineurina, micofenolato, azatioprina, ciclofosfamide, methotrexate, steroidi a dose ≥1 mg/Kg, modificatori della risposta biologica (es. anticorpi monoclonali inducenti alterazioni di numero e funzione delle cellule dell’immunità innata o adattiva)]….”
Legge n. 104/92, art. 3“…È persona handicappata colui che presenta una minorazione fisica, psichica o sensoriale, stabilizzata o progressiva, che è causa di difficoltà di apprendimento, di relazione o di integrazione lavorativa e tale da determinare un processo di svantaggio sociale o di emarginazione…”

Inoltre, la legge specifica:

«Qualora la minorazione, singola o plurima, abbia ridotto l’autonomia personale, correlata all’età, in modo da rendere necessario un intervento assistenziale permanente, continuativo e globale nella sfera individuale o in quella di relazione, la situazione assume connotazione di gravità. Le situazioni riconosciute di gravità determinano priorità nei programmi e negli interventi dei servizi pubblici.

4. La presente legge si applica anche agli stranieri e agli apolidi, residenti, domiciliati o aventi stabile dimora nel territorio nazionale. Le relative prestazioni sono corrisposte nei limiti e

alle condizioni previste dalla vigente legislazione o da accordi internazionali.

Conseguentemente, preferiamo parlare di “persone vulnerabili” piuttosto che “…fragili” sembrandoci più ampio.

I trattamenti dati dei soggetti vulnerabili: punti di attenzione

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

Per il trattamento dei dati di tali soggetti, oltre alle misure già definite dal REG. EU.2016/679 per il trattamento dei dati personali e quelli particolari, devono esserne messe in atto ulteriori che di seguito elenchiamo.

Applicando tali misure bisogna anche considerare che, ogni variazione di trattamento dei dati riguardanti i soggetti vulnerabili deve essere peraltro, preventivamente, autorizzato dal Responsabile in posizione apicale dell’unità nell’ambito della quali tali dati sono trattati, che a sua volta si è confrontato con il DPO/Titolare del trattamento. Modifiche ai trattamenti, infatti, potrebbero implicare la revisione delle misure adottate o l’impossibilità di procedere negli stessi.

Quali misure di sicurezza, ai fini privacy

Per i soggetti vulnerabili il Regolamento europeo prevede che siano definiti dei limiti al trattamento ed applicate delle misure specifiche.

In primis, la comunicazione dei dati, di tali interessati, deve avvenire solo ad altri soggetti autorizzati o qualora richiesto dalle Autorità e la diffusione degli stessi è assolutamente vietata.

Per il trattamento dei dati di tali soggetti, oltre alle misure già definite, in termini generali, per gli interessati è opportuno che siano messe in atto delle ulteriori quali:

  • i dati cartacei devono essere conservati esclusivamente con accesso controllato e riposti negli archivi immediatamente dopo essere stati consultati;
  • i dati elettronici possono essere trasmessi a soggetti terzi individuati, secondo le procedure definite, solo criptati;
  • qualsiasi richiesta di evasione dei diritti da parte di tali interessati deve essere trasmessa al Privacy Officer affinché ne valuti la pertinenza;
  • devono essere definite le opportune limitazioni sui trattamenti verbali a quanto strettamente necessario;
  • deve essere pianificata ed eseguita la formazione mirata agli Autorizzati volta all’acquisizione della consapevolezza[2] e devono essere somministrati test di verifica con simulazione di trattamenti per valutare che gli stessi abbiano correttamente compreso le corrette modalità di trattamento;
  • deve essere regolamentato il divieto assoluto di diffusione di dati e comunicazione limitata esclusivamente a quanto previsto dalle procedure interne;
  • devono essere limitati, in ottica di privacy by default, i referenti incaricati di trattare tali dati;
  • nel caso di sviluppo di applicativi deve essere garantita la netta separazione tra ambiente di sviluppo, di test e di produzione; non devono essere utilizzati dati riconducibili a soggetti vulnerabili o se ciò è indispensabile devono essere previste opportuni accorgimenti;
  • deve essere pianificata ed eseguita l’eliminazione dei dati (cartacei ed elettronici) ed intervalli predefiniti, tramite soluzioni certificate, preferibilmente di terza parte;
  • analogamente la rivisitazione ad intervalli specifici delle misure adottate ed analisi nel caso di variazioni di fattori come trattamenti effettuati, misure adottate responsabili esterni coinvolti, tecnologie, software utilizzati, ecc.;
  • devono essere pianificati ed eseguiti audit mirati sulle misure individuate e messe in campo sulla base dei risultati della PIA con azioni mirate per risolvere eventuali criticità.

Da ultimo, ogni variazione di trattamento di dati riguardanti tali soggetti deve essere preventivamente autorizzata dal Responsabile in posizione apicale che a sua volta si è confrontato con il DPO.

Quali istruzioni agli autorizzati

È fortemente consigliato, in relazione al contesto dell’Organizzazione, fornire agli autorizzati chiamati a trattare i dati degli interessati vulnerabili, anche indicazioni in merito ai trattamenti che li riguardano.

Ciò può essere effettuato tramite istruzioni mirate che prendono spunto dalle misure sopra indicate oltre alle modalità per l’archiviazione dei dati relativi agli interessati vulnerabili; alla formazione mirata che aumenta la consapevolezza adoperando esempi tratti da casi reali o verosimili; o ancora ricorrendo alla formulazione ed applicazione di un sistema sanzionatorio a cui ricorrete nel caso di non rispetto delle misure definite, da parte degli Autorizzati.

La necessità di un Privacy Impact Assessment

Per questi trattamenti, l’Autorità Garante ha emanato — come noto — un provvedimento che elenca i casi in cui occorre predisporre un Privacy Impact Assessment (PIA) tra cui appunto si annoverano «….i Dati relativi a interessati vulnerabili (Considerando 75): il trattamento di questa tipologia di informazioni rappresenta un criterio ai fini della DPIA in quanto è più accentuato lo squilibrio di poteri fra interessato e titolare del trattamento […]

La categoria degli interessati vulnerabili comprende anche i minori, che si può ritenere non siano in grado di opporsi o acconsentire, in modo consapevole e ragionato, al trattamento dei propri dati personali, i dipendenti, quei segmenti di popolazione particolarmente vulnerabile e meritevole di specifica tutela (soggetti con patologie psichiatriche, richiedenti asilo, anziani, pazienti) e ogni interessato per il quale si possa identificare una situazione di disequilibrio nel rapporto con il rispettivo titolare del trattamento»

Quindi deve essere predisposta, per i trattamenti che riguardano tali soggetti, un PIA secondo quanto previsto dall’art. 35 del GDPR anche alla luce delle linee guida provenienti dai WP; documento che dovrà essere verificato al fine di valutarne l’adeguatezza, ed eventualmente dovrà anche essere aggiornato ad intervalli definiti.

Inoltre, la procedura relativa alla introduzione o modifica di un trattamento deve considerare che qualora il trattamento coinvolga interessati vulnerabili deve essere valutata, in tutto o in parte, l’applicazione delle misure definite. Non solo, anche la nomina di responsabili del trattamento, incaricati di operare su dati personali di interessati fragili o anche vulnerabili, deve prevedere misure mirate sempre attingendo all’elenco di cui si è detto.

Conclusioni

In conclusione, il ventaglio degli interessati che possono essere considerati soggetti “vulnerabili” è molto ampio e coinvolge una pletora di soggetti decisamente più ampia di quello che non possa, in prima istanza, apparire.

Le organizzazioni, dunque, sono chiamate a riconsiderare se hanno correttamente individuato tutti i soggetti interessati dei quali si trattano i relativi dati, ricadenti in tale definizione.

Ne discende che anche le misure da mettere in atto talune vincolanti talaltre da valutare in relazione al contesto, debbano essere correttamente individuate, progettate, applicate e valutate e ad intervalli rivalutate, al fine di verificarne l’effettiva efficacia.

________________________________________________________________________________________________

  1. Ad esempio il “tallone di Achille” è un punto “vulnerabile” ad un evento esterno – non ha invece la caratteristica della fragilità.
  2. Circa quali soggetti fragili sono trattati dall’Organizzazione e quali dati dei medesimi.
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 3