Privacy: come trattare i dati delle persone vulnerabili ai tempi del Covid-19

Nel contesto dell'attuale emergenza sanitaria, con il susseguirsi dei vari DPCM, è stato introdotto il concetto di "persone vulnerabili" per le quali, in tema di Privacy, bisogna prevedere particolari misure sia in ambito lavorativo sia in ambito scolastico.



Per capire quali sono le misure tecniche e organizzative da mettere in atto per il trattamento di questi soggetti è però fondamentale fare prima chiarezza sull'identità di tali persone.


Chi sono quindi gli individui considerati "vulnerabili"?

Con la situazione di emergenza sanitaria che stiamo vivendo è stato rivalutato il concetto di "persona fragile" che non è sinonimo di "persona vulnerabile".

Si intende per “vulnerabile” colui che appare debole, eccessivamente sensibile.

È invece “fragile” colui che si trova in una «condizione di ciò che è fragile, in senso proprio (come il vetro o il cristallo) e figurato (con riferimento agli stati emotivi)».

In pratica, due qualità/condizioni nelle quali la sostanziale differenza è data dal fatto che la vulnerabilità è legata al contesto (in quanto vulnerabile a qualcosa o qualcuno), mentre la fragilità è attribuibile ad un soggetto indipendentemente dal contesto.


L'identificazione dello status di tali soggetti (che possono essere lavoratori, studenti, ospiti di residenze per anziani -RSA- o case di cura, residenze deputate al recupero dei soggetti con patologie pregresse o per immunodepressi, comunità volte al recupero dei tossicodipendenti o alcoldipendenti) avviene:

- tramite il Medico Competente, per i lavoratori;

- tramite la Direzione Sanitaria per gli ospiti delle residenze, case di cura e comunità;

- tramite il Medico Scolastico, per gli studenti (tale figura, presente nell'ambito della scuola fino agli anni novanta, nel tempo è andata scomparendo, ma sembra stia tornando in voga con la riapertura delle scuola in emergenza sanitaria).


Le misure di sicurezza ai fini della Privacy


Il Regolamento Europeo in materia di Trattamento dei Dati Personali (GDPR) prevede che per i soggetti vulnerabili siano definiti dei limiti al trattamento e che vengano applicate delle misure specifiche.

In primo luogo, la diffusione dei dati di tali interessati è assolutamente vietata e la comunicazione degli stessi deve avvenire solo ad altri soggetti autorizzati qualora richiesto dalle Autorità.

Per quanto riguarda invece il trattamento dei dati di tali soggetti è opportuno che siano messe in atto le seguenti misure:

  • i dati cartacei devono essere conservati esclusivamente con accesso controllato e riposti negli archivi immediatamente dopo essere stati consultati;

  • i dati elettronici possono essere trasmessi a soggetti terzi individuati, secondo le procedure definite, solo criptati;

  • qualsiasi richiesta di evasione dei diritti da parte di tali interessati deve essere trasmessa al DPO (Data Protection Officer) affinché ne valuti la pertinenza;

  • devono essere definite le opportune limitazioni sui trattamenti verbali a quanto strettamente necessario;

  • deve essere pianificata ed eseguita la formazione mirata agli Autorizzati volta all’acquisizione della consapevolezza e devono essere somministrati test di verifica con simulazione di trattamenti per valutare che gli stessi abbiano correttamente compreso le corrette modalità di trattamento;

  • deve essere regolamentato il divieto assoluto di diffusione di dati e comunicazione limitata esclusivamente a quanto previsto dalle procedure interne;

  • devono essere limitati, in ottica di Privacy by Default, i referenti incaricati di trattare tali dati;

  • nel caso di sviluppo di applicativi deve essere garantita la netta separazione tra ambiente di sviluppo, di test e di produzione; non devono essere utilizzati dati riconducibili a soggetti vulnerabili o se ciò è indispensabile devono essere previsti opportuni accorgimenti;

  • deve essere pianificata ed eseguita l’eliminazione dei dati (cartacei ed elettronici) ad intervalli predefiniti, tramite soluzioni certificate, preferibilmente di terze parti;

  • analogamente deve essere messa in atto la rivisitazione periodica delle misure adottate ed analisi nel caso di variazioni di fattori come trattamenti effettuati, misure adottate, responsabili esterni coinvolti, tecnologie e software utilizzati;

  • devono essere pianificati ed eseguiti audit mirati sulle misure individuate e messe in campo sulla base dei risultati della DPIA (Leggi anche l'articolo "GDPR: che cos'è la DPIA?") con azioni mirate per risolvere eventuali criticità.

  • ogni variazione di trattamento di dati riguardanti tali soggetti deve essere preventivamente autorizzata dal Responsabile che a sua volta si è confrontato con il DPO.


Ruolo del Medico Competente

Si presume che il Medico Competente di un'organizzazione sia ben informato sulla condizione di vulnerabilità o fragilità dei lavoratori, anche perché magari sono già state apportate delle limitazioni alle mansioni assegnate a quel lavoratore, ad esempio a seguito di una malattia professionale o di un infortunio occorso nel contesto lavorativo.

Ma laddove il medico competente non sia a conoscenza di situazioni di criticità tali da rendere il lavoratore interessato un “soggetto fragile”, quest’ultimo dovrebbe comunque comunicarlo, anche grazie alle opportune istruzioni fornitegli dal datore di lavoro.

Nell’ipotesi in cui il lavoratore ritenesse di essere affetto da una patologia tale da renderlo vulnerabile o fragile al Covid-19, dovrà essere sottoposto ad una visita medica da parte del medico competente, il quale potrà valutare la sussistenza delle condizioni di vulnerabilità o fragilità in relazione alla patologia, alle terapie, all’età, alla storia pregressa ed alla mansione del lavoratore.

L’esito di questa visita di sorveglianza sanitaria eccezionale, sarà formalizzato in un parere conclusivo che riguarda per il lavoratore la possibilità di effettuare o meno l’attività lavorativa in presenza e per il datore di lavoro l'obbligo di implementare eventuali misure preventive aggiuntive e/o ulteriori modalità organizzative atte a garantire il benessere del lavoratore considerato "vulnerabile" o "fragile".


Le misure nelle scuole

Con l’ordinanza del Ministero dell’Istruzione n. 134 del 09.10.2020, è stata dato attuazione alle misure, nell’ambito della scuola, per venire incontro alle esigenze degli studenti vulnerabili/fragili ai sensi e per gli effetti di cui all’art. 2 del comma 1 lettera 1bis) del D.lgs. n. 22 del 08.04.2020.

Secondo l'ordinanza del Ministero dell'Istruzione di ottobre 2020, gli allievi ritenuti vulnerabili/fragili da Covid–19 a fronte di certificazioni sanitarie rilasciate dal pediatra, dal Medico scolastico (ove presente) o di medicina generale, devono essere messi in Didattica a Distanza (DAD) e/o in percorsi integrativi ad hoc.

In ogni caso, deve essere garantita la possibilità di accesso alle lezioni a tutti gli alunni, compresi quelli le cui famiglie versano in contesti disagiati socialmente e/o emotivamente per i quali potrebbe essere preferibile la frequenza di lezioni anche in presenza.


Al contempo, per concludere, è opportuno che sul fronte Privacy venga integrata la modulistica riguardante l'informativa, così come per i lavoratori, anche per i pazienti e gli ospiti delle RSA e delle Case di Cura e per tutti gli studenti considerati persone fragili o vulnerabili al Covid-19 ed è pertanto fondamentale rivolgersi ad uno specialista in materia di privacy che fornisca, insieme alle varie informative, tutta la modulistica necessaria, corredata anche dalle istruzioni per gli autorizzati, che dovrà essere integrata con azioni di formazione mirate ad hoc.


Per maggiori informazioni e chiarimenti non esitare a contattarci, i nostri esperti Privacy saranno lieti di fornirti tutte le informazioni che desideri!


Chiamaci -> Cel. +39 371 46 371 45 - 371 46 30 129

Scrivici -> E-mail: info@enterprise-solutions.net

Chatta -> Cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." dal tuo smartphone.

Seguici anche su Facebook


8 visualizzazioni0 commenti