Dalle RSA alle fondazioni fino al mondo dell’associazionismo, sono molteplici gli enti che svolgono assistenza socio-sanitaria per conto del Comune (soprattutto se si tratta di un Comune piccolo). E complica gli adempimenti privacy: una questione spesso sottovalutata.
In ogni comune esiste infatti un’Area o Settore dedicato alla gestione di tematiche che vanno dalla mera assistenza a soggetti deboli (Es: Consegna pasti a domicilio) fino a correlazioni anche forti con il Sistema Sanitario (Es: TSO Trattamento Sanitario Obbligatorio). Fra i nomi più gettonati per quest’Area troviamo “Servizi alla Persona” e “Servizi Sociali”.
Gli interessati coinvolti sono prevalentemente soggetti deboli quali minori, anziani, adulti con fragilità di svariato genere, persone che hanno subito abusi o vivono in condizioni di disagio sociale e/o economico.
I dati personali coinvolti sono quelli Particolari definiti dall’Art. 9 del GDPR. L’Ente comunale, soprattutto se di piccole e medie dimensioni, esternalizza tutte o quasi tutte le attività, limitandosi a fare un lavoro di gestione amministrativa e compartecipazione economica. Ovviamente ogni realtà comunale a fronte delle proprie forze e peculiarità gestisce tali attività con modalità proprie.
Vediamo i nodi di una corretta gestione dei dati personali e come un’estensione del campo d’azione del DPO possa rivelarsi risolutiva.
Esternalizzazione delle attività
Le organizzazioni chiamate in causa dall’Ente Comunale per gestire le attività di cui necessita la propria popolazione residente, sono numerosissime. Fra queste abbiamo soggetti pubblici e privati dell’apparato sanitario, RSA, le Regioni e i loro organi preposti, i soggetti del terzo settore, fondazioni, il mondo dell’associazionismo e più generalmente il volontariato.
Le organizzazioni citate talvolta sono Titolari autonomi, talvolta Contitolari, talvolta Responsabili esterni. Ognuna di loro ha propri apparati IT, propri sistemi di archiviazione, propri sistemi di sicurezza tecnici e organizzativi, propri autorizzati, propri sub-responsabili, propri referenti privacy. O almeno dovrebbe averli.
Nella realtà dei fatti, nella mia attività di DPO o consulente Privacy, soprattutto durante le verifiche di conformità al GDPR che faccio svolgere nei confronti dei Responsabili Esterni dei miei clienti, mi imbatto in situazioni talvolta grottesche, dove nemmeno gli adempimenti più elementari previsti dal “vecchio” D.Lgs. 196/2003 e dal suo “Allegato B” vengono rispettati.
Si dice il peccato ma non il peccatore, consiglia una massima, e a questa io mi atterrò, solo per dare al lettore, che ha meno dimestichezza con questo mondo, un spaccato di quotidianità.
Assistenti sociali: il caso
Un Assistente Sociale, con un proprio personal computer piuttosto datato e privo delle corrette misure di sicurezza (patch, sistemi operativi crackati, antivirus gratuito), operante, per conto di un Ente territoriale, su 3 diversi Comuni, conservava copia cartacea di tutta la documentazione nell’Ufficio, non ad uso esclusivo, messogli a disposizione da uno dei suddetti Comuni.
Essendo la persona poco propensa al mondo digitale e ancora affezionata al buon vecchio e caro cartaceo, ignorava la direttiva interna di caricare tutti i dati sul “Fascicolo Sanitario Elettronico”. Alle mie domande relative al rispetto della Privacy, le risposte erano vaghe e denotavano una totale non comprensione della materia. Formazione, Autorizzazione al Trattamento e Disciplinare non gli erano stati forniti. Gli archivi cartacei e digitali erano privi delle più elementari misure di sicurezza.
L’Assistente sociale è solo il principio, poiché definito il carico assistenziale idoneo per cada soggetto, intervengono i soggetti preposti all’erogazione dello stesso, fra i quali troviamo organizzazioni perfettamente in regola con il Reg. UE 679/2016 e altre che ne ignorano l’esistenza o fingono di non esserne soggette, sicure di scappare fra le maglie del sistema. Peccato che quei dati siano “sensibilissimi”, si sarebbe detto prima del 25 maggio 2018, e relativi a soggetti deboli (Es: minori vittime di abusi).
La responsabilità invece è e rimane in capo all’Ente, che in fase d’incarico avrebbe dovuto verificare la conformità al GDPR dei soggetti che operano per suo conto.
Sistema Sanitario e organizzazione
I Comuni rappresentano uno dei tanti piccoli ingranaggi che permettono al complicato apparato assistenziale-sanitario di girare. Questo sistema ampio e complesso, prevede un continuo e reciproco scambio di informazioni. L’Ente locale, primo presidio territoriale dello Stato attraverso l’Area “Servizi alla persona”, individua le situazioni di criticità sul territorio e interviene insieme a un vasto elenco di soggetti. Lato privacy, fare chiarezza talvolta è piuttosto complesso.
Primo perimetro: l’Area di riferimento
In un comune piccolo, per scarsità di risorse, non si ha personale interno: l’assistente sociale è esterno e sovente fornito dall’Ambito territoriale di riferimento o da un’aggregazione territoriale (Es: Comunità Montana). Invece, in un comune grande, gli Assistenti sociali sono risorse interne cui si affianca del personale amministrativo.
Nel primo caso, lato GDPR, la difficoltà è individuare e regolamentare correttamente i rapporti fra il soggetto Ente Comunale e il soggetto erogante il servizio di Assistenza Sociale. Nelle realtà che ho seguito direttamente ho sempre preferito optare verso un accordo di Contitolarità ma mi è capitato d’imbattermi in situazioni dove si era optato per un semplice accordo di Responsabile Esterno.
Nel secondo caso, lato GDPR, la difficoltà è strutturarsi affinché vi sia segregazione delle informazioni, in modo che il personale Amministrativo non acceda a dati particolari che non gli competano per l’espletazione delle proprie funzioni.
Un ulteriore tema scottante, a cui non sempre è facile dare una soluzione, è la profondità del ruolo politico di controllo degli amministratori, definendo quante e quali informazioni necessitino di acquisire nello svolgimento del proprio ruolo.
Più facile distinguere invece quanti e quali informazioni siano accessibili per il cittadino in tema di Trasparenza Amministrativa, essendosi il Garante espresso più di una volta ed essendo la stessa normativa piuttosto chiara e vietando la divulgazione di dati personali in generale e soprattutto se particolari.
Secondo perimetro: l’Ambito Territoriale
A livello territoriale e salendo dal basso verso l’alto, i comuni sono aggregati in Ambiti Territoriali, quest’ultimi in Distretti che compongono la Provincia.
Lato trattamento dei dati mi concentrerò solo sull’Ambito Territoriale essendo l’attività di Distretto, Provincia e Regione, di governance e allocazione delle risorse, dove i dati dovrebbero essere aggregati.
L’Ambito Territoriale si compone di un’Assemblea dei Sindaci per l’attività d’indirizzo, dell’Azienda Risorsa Sociale, dell’Ufficio di Piano, di Commissioni, Cabine di Regia e Tavoli d’Area e svariati Responsabili e Gruppi di lavori. I Tavoli d’Area si occupano ad esempio di Politiche Abitative, Salute Mentale, Famiglia (interventi di tutela dei componenti fragili tutela minori, violenza di genere, bullismo, prima infanzia e servizi educativi 0-6, conciliazione vita lavoro), Marginalità sociale (Fondi d’inclusione e povertà), Prevenzione di dipendenze, Disabilità e Non Autosufficienza (ASE e orientamento post scuola, dopo di noi / reddito di autonomia, sport e disabilità, servizi per anziani).
L’ambito è una vera e propria organizzazione dotata di una propria gestione Privacy e con un proprio DPO. La gestione dei dati fra di esso e gli Enti Comunali dovrebbe essere definita attraverso un Accordo di contitolarità.
L’ambito opera attraverso un Ente Capofila, sovente il Comune dimensionalmente più importante, talvolta attraverso un ente territoriale. L’Ente Capofila struttura un Ufficio di Piano composto oltre che da diversi rappresentanti dei soggetti facenti parte dell’Ambito anche da personale amministrativo messo a disposizione dell’Ente Capofila.
L’Ente Capofila dovrà strutturare correttamente Informative, Lettere per gli Autorizzati e premunirsi di rispettare puntualmente tutte le prescrizioni del Reg. UE 679/2016 e soprattutto l’Art. 32 relativo alle misure di sicurezza, siano esse organizzative che tecniche.
Progetti per aree e obiettivi
A titolo di esempio prenderò il “Quadro delle risorse per la programmazione triennale” di un Ambito territoriale, che seguo, poiché ritengo sia più chiaro discutere di casistiche concrete.
L’Ambito territoriale si divide in 5 aree:
- Disabilità e non Autosufficienze
- Marginalità sociale
- Minori e Famiglia
- Prevenzione e Promozione
- Trasversale
Ogni Area ha propri obiettivi. L’Ambito definisce progettualità, caratteristiche e budget per poi implementarlo insieme a diversi soggetti preposti. Sempre a titolo d’esempio, nell’Area Disabilità e non Autosufficienze, gli obiettivi sono:
- Assistenza domiciliare anziani
- Voucher sostegno domiciliare
- Voucher sollievo disabili
- Buono sociale badanti
- Residenzialità leggera – Psichiatrica
- Rete Amministrazione di sostegno
Per l’erogazione di ognuno dei suddetti obiettivi intervengono soggetti diversi quali Comuni, ASL, Terzo Settore.
Ognuno di questi soggetti per l’espletamento di ogni attività fa un cospicuo trattamento dati per la maggior parte di natura particolare. Lo fa attraverso personale dipendente, ausiliario, in collaborazione o volontario, che dovrebbe essere stato formato e informato attraverso procedure e disciplinari. Si appoggia su sub-responsabili esterni, che dovrebbero essere formalmente nominati e verificati. Archivia dati sia a livello cartaceo che digitale, su supporti che dovrebbero essere conformi alle prescrizioni dell’Art. 32 GDPR. Molti di questi necessiterebbero di un DPO o di un Amministratore di Sistema. Tutti questi elementi sono sovente critici e presentano lacune o incongruenze, quando l’organizzazione è una. Quale criticità vi potrebbero essere quando le organizzazioni divengono molte?
I compiti dell’Ufficio di Piano
L’Ufficio di Piano, preposto alla gestione dell’Ambito, dovrebbe già in fase di selezione dei soggetti, sia essa una gara o un’assegnazione diretta, premunirsi di selezionare solo soggetti “privacy friendly” secondo il principio di Privacy by Design, e inserire all’interno del percorso di selezione parametri e criteri di verifica della conformità al GDPR, come ad esempio criteri di merito per i soggetti dotati di DPO.
L’Ufficio di Piano periodicamente dovrebbe svolgere degli Audit presso i soggetti incaricati per verificare la reale loro conformità.
Nella realtà dei fatti, muovendomi sul campo, poche volte ho riscontrato piena consapevolezza delle responsabilità e della gravità di una violazione dei dati. Raramente vengono svolti controlli ex ante. Talvolta viene inviata una check list mentre difficilmente viene svolto un vero e proprio Audit. Questa trascuratezza è a mio avviso particolarmente grave in ambito pubblico e lo diviene se possibile ancor di più in ambito servizi sociali.
Come si muove il Terzo Settore
Gli enti del terzo settore, secondo quanto stabilito dall’Art. 4 D.Lgs. 177/2017 sono organizzazioni di volontariato; associazioni di promozione sociale; enti filantropici; imprese sociali, incluse le cooperative sociali, le reti associative, le società di mutuo soccorso, le associazioni, riconosciute o non riconosciute, le fondazioni e gli altri enti di carattere privato diversi dalle società costituite per il perseguimento, senza scopo di lucro, di finalità civiche, solidaristiche e di utilità sociale.
Moltissimi soggetti del terzo settore hanno nominato un DPO e stanno adempiendo egregiamente alle incombenze previste dalla normativa in tema di Privacy. Altri, per scarsità di risorse e/o carenze organizzative, non implementano correttamente i requisiti del GDPR.
Sempre a titolo esemplificativo mi sono imbattuto in piccole o piccolissime organizzazioni di volontariato che utilizzavano personal computer obsoleti, con sistemi operativi non aggiornati, privi di antivirus e senza alcun sistema di back up. Gli accessi ai locali e agli archivi erano privi di misure di sicurezza che precludessero l’accesso a personale non autorizzato. Non vi era documentazione idonea. Il personale spesso volontario non era stato formato, non conosceva le adeguate procedure per la gestione di dati personali, non era stato autorizzato mediante apposita lettera e disciplinare, non aveva ricevuto formazione.
L’Ufficio di Piano per l’Ambito, l’Amministrazione Comunale per le progettualità promosse direttamente, dovrebbe verificare e promuovere il rispetto della Privacy in tutti quei soggetti che operano in sinergia con essi. Sovente le Amministrazioni Comunali si appoggiano a Associazioni di pensionati, a volontari non inquadrati all’interno del mondo associativo, a studenti, stagisti, cittadini disoccupati o bisognosi e altre forme collaborative.
Lo scopo di utilizzare queste risorse ha una valenza economica, per far fronte alla scarsità di risorse, ma anche sociale, per impegnare e dare motivazioni a persone che diversamente non ne avrebbero. Se pur iniziative lodevoli e da incentivare, queste non possono essere in preclusione né della sicurezza né della privacy.
Formazione priorità assoluta
Così come vengono forniti mezzi, DPI – Dispositivi di Protezione Individuale, sedi ove operare, coperture assicurative e quanto necessario per l’adempimento delle loro funzioni, in egual modo deve essere fornita una formazione privacy, devono essere adempiuti i formalismi necessari, deve essere promossa una reale e piena comprensione e rispetto della normativa.
Dovrebbe ad esempio essere allargato il campo d’azione del DPO affinché operi anche per quel mondo associativo e volontario che gravita intorno all’Ente Comunale.
Sanità digitale, il patrimonio di dati
Per dibattere delle criticità dell’applicazione del GDPR in ambito sanitario non basterebbe un intero articolo. Qui sinteticamente mi limiterò a sottolineare che le informazioni trattate da ogni operatore sanitario confluiscono all’interno di 3 contenitori. Alla base vi è la Cartella Sanitaria (documentazione relativa a un singolo caso/intervento), le Cartelle Sanitarie confluiscono nel Dossier Sanitario (raccolta di tutte le cartelle relative al singolo paziente all’interno di una singola struttura clinica), i Dossier confluiscono nel Fascicolo Sanitario Elettronico (raccolta digitale della vita sanitaria di ognuno di noi).
Questo enorme patrimonio di dati tanto è utile a livello di cura tanto è critico a livello di privacy. Ovviamente ogni organizzazione del sistema sanitario dovrebbe rispettare appieno il GDPR mentre la cronaca sovente ci porta esempi di violazione della privacy in ambito sanitario sia per inadempienze sia per violazioni.
Comunicazione fra PA
Oltre a Comuni, Ambito territoriale e soggetti del Terzo Settore, sistema sanitario, sovente vi è la compartecipazione di altre soggetti della P.A.
Solo per fare qualche esempio in ambito minorile, il minore viene gestito in equipe con le istituzioni scolastiche e le strutture sanitarie pediatriche. In ambito di prevenzione il soggetto con problematiche di abuso di sostanze viene gestito con il coinvolgimento delle strutture sanitarie e talvolta giudiziarie.
Non sempre la comunicazione fra diverse pubbliche amministrazioni è lecita. Andrebbe inquadrata e gestita in conformità del GDPR e del D.Lgs. 196/2003. Lo stesso CAD Art. 50 comma 1 e 2, sottolinea come la comunicazione fra pubbliche amministrazione debba avvenire “nel rispetto della normativa in materia di protezione dei dati personali”.
Sarà quindi necessario “chiarire tutti i legami esterni”, che l’ente ha con altre organizzazioni pubbliche, individuare le singole e puntuali leggi che autorizzino la comunicazione o in loro assenza premunirsi di verificare l’effettiva possibilità di svolgere tale trattamento.
Come risolvere le possibili criticità
A livello di Ente Comunale deve essere nominato un DPO con le risorse necessarie a svolgere adeguatamente il proprio compito. In assenza di un budget adeguato, gli Enti Comunali piuttosto che accontentarsi di DPO a mezzo servizio, dovrebbero procedere con la nomina di un DPO di Gruppo, unendosi ad altre amministrazioni locali.
L’incarico di DPO comunale dovrebbe comprendere anche il mondo associativo e volontario, operante sul territorio comunale. Infatti così come vengono forniti mezzi, DPI, sedi, coperture assicurative e quanto necessario per l’adempimento delle proprie funzioni, in egual modo dovrebbe essere fornita la formazione privacy, dovrebbero essere adempiuti i formalismi necessari, dovrebbe essere promossa una reale e piena comprensione e rispetto della normativa.
A livello di Ambito, L’Ufficio di Piano dovrebbe già in fase di selezione dei soggetti, sia essa una gara o un’assegnazione diretta, premunirsi di selezionare solo soggetti “privacy friendly” secondo il principio di Privacy by Design, e inserire all’interno del percorso di selezione parametri e criteri di verifica della conformità al GDPR, come ad esempio criteri di merito per i soggetti dotati di DPO. L’Ufficio di Piano periodicamente dovrebbe svolgere degli Audit presso i soggetti incaricati per verificare la reale loro conformità.
A livello di Terzo Settore, Ente Comunale e Ufficio di Piano, vista l’eterogeneità dei soggetti che lo compongono, dovrebbero prendere molto più sul serio l’attività di verifica della reale conformità di tali soggetti al GDPR e al D.Lgs. 196/2003, sia in fase di selezione e poi di controllo. A livello di comunicazioni fra P.A., appartenenti a gerarchie funzionali diverse dalla propria, è necessario chiarire la liceità del trattamento.
