data protection

Dati personali: ruolo e obblighi dell’amministratore di sostegno



Indirizzo copiato

L’attività dell’amministratore di sostegno deve necessariamente conformarsi alle disposizioni in materia di protezione dei dati personali, siano esse dettate dal GDPR o da altre normative di settore. L’ADS, quindi, dovrà valutare i trattamenti che realizza in ragione della nomina e, sulla base di quelli, adeguare le relative operazioni

Pubblicato il 15 gen 2024

Federica De Stefani

avvocato e docente di Digital Media Law presso Università degli Studi Link



A,Businessman,Computing,Probability,Of,Risks,In,Cyber,Security,Protection

L’amministratore di sostegno, nell’esercizio delle proprie funzioni, così come risultanti dal decreto di nomina del Giudice Tutelare, tratta i dati personali dell’amministrato e pertanto è soggetto agli obblighi di tutela imposti dalla normativa sulla protezione dei dati personali.

La figura dell’amministratore di sostegno

L’amministratore di sostegno è una figura introdotta nel nostro ordinamento dalla legge 9 gennaio 2004, n. 6 a tutela delle persone fragili, ossia persone “prive in tutto o in parte di autonomia nell’espletamento delle funzioni della vita quotidiana” che quindi necessitano di “interventi di sostegno temporaneo o permanente”.

La funzione, quindi, dell’ADS è quella di supportare le persone fragili, cercando di sostenere la capacità residua del singolo e valorizzando la centralità dell’individuo stesso e il principio di autodeterminazione.

In tal senso il Codice civile, all’art. 404, prevede che tale misura possa essere disposta nei confronti di una persona “che, per effetto di una infermità ovvero di una menomazione fisica o psichica, si trova nella impossibilità, anche parziale o temporanea, di provvedere ai propri interessi”.

Secondo il dettato normativo ci sono due requisiti, uno soggettivo e uno oggettivo, legati da un nesso di causalità, che devono coesistere affinché la misura possa essere accordata e possa essere nominato un ADS: è necessario che la persona sia affetta da una infermità o da una menomazione (requisito soggettivo) e che tale situazione fisica o psichica impedisca al soggetto, anche temporaneamente, di provvedere ai propri interessi.

L’amministratore di sostegno viene nominato con un decreto emesso dal Giudice Tutelare.

Il decreto di nomina è il cuore dell’amministrazione di sostegno in quanto in esso sono contenute le specifiche attribuzioni che vengono fatte a favore dell’ADS e, pertanto, con esso vengono da un lato perimetrati i poteri dell’amministratore e dall’altro viene riconosciuta e garantita la residua capacità dell’amministrato.

In questo contesto, quindi, emergeranno anche i dati personali dell’amministrato che l’amministratore tratterà in ragione della propria nomina.

I dati personali: tipologia e obblighi

Come anticipato la tipologia di poteri spettanti all’ADS dipende direttamente dal decreto di nomina il quale ha lo specifico compito di modulare l’amministrazione in base alle specifiche esigenze della persona fragile.

Le tipologie di dati che possono essere trattati dall’amministratore sono sia dati comuni, sia dati ex art 9 GDPR, come ad esempio dati relativi allo stato di salute o dati attinenti alla situazione economico e finanziaria dell’amministrato.

Il primo punto sul quale indagare è quello relativo agli obblighi che incombono in capo all’ADS con riferimento ai dati personali dell’amministrato.

La base giuridica del trattamento è da rinvenire nel provvedimento di nomina emesso dal Giudice Tutelare, per cui, nel perimetro dei poteri affidati all’ADS dal decreto in parola, l’amministratore è dotato di una valida base giuridica.

Il problema si potrebbe porre nell’ipotesi in cui l’ADS eccedesse i limiti del proprio incarico: in questo caso non avrebbe alcun titolo per trattare i dati dell’amministrato e quindi, ogni eventuale trattamento attuato in violazione del decreto di nomina si configurerebbe come illecito tout court.

Le conseguenze del rapporto esclusivi tra amministratore e persona fragile

È importante precisare che il rapporto che si viene a creare a seguito della nomina dell’ADS riguarda unicamente due soggetti: l’amministratore e la persona fragile. Nessun altro soggetto, se non in virtù di un espresso provvedimento in tal senso del Giudice Tutelare, deve essere relazionato dall’ADS in merito a notizie attinenti all’amministrazione. Si tratta, in altre parole, di un rapporto “esclusivo” tra amministratore e amministrato.

Questo comporta alcune impostanti conseguenze.

Il diritto di informazione dell’amministrato

L’ADS ha il dovere di informare l’amministrato del motivo della propria presenza, delle caratteristiche del suo incarico e delle attività che dovrà svolgere, così come dovrà altresì spiegare perché tratterà i dati dell’amministrato, per quali finalità e con quali modalità.

Se da un lato l’amministrato ha il diritto di essere informato dei trattamenti cui vengono sottoposti i propri dati e, dall’altro, l’ADS ha il dovere di rendere queste informazioni alla persona fragile, in questo contesto il vero problema che si pone è quello delle modalità con le quali tali informazioni devono (o possono) essere rese.

Si deve infatti considerare che l’amministrato può avere diverse tipologie e diversi gradi di fragilità, ognuno di per sé diverso dall’altro, e richiedenti, per tale motivo, l’adozione di misure specifiche a seconda del soggetto fragile considerato.

L’ADS, quindi, dovendo rendere l’informativa ai sensi dell’art. 13 GDPR, dovrà adottare quelle misure che, già indicate nell’art. 12, dovrebbero permettere all’interessato di comprendere tipologia e modalità di trattamenti cui vengono sottoposti i propri dati. Se già è difficile riuscire a garantire questo aspetto in una situazione di normalità, il compito dell’amministratore è ancora più arduo quando il proprio amministrato è affetto da limitazioni della sfera intellettiva che rendono difficile la comprensione o il ricordo di quanto ascoltato o letto, si pensi, per esempio, ai malati di Alzheimer.

Anche in questi casi, tuttavia, persiste in capo all’amministratore l’obbligo di informare il proprio amministrato, non potendosi desumere una esenzione in via generale e astratta sulla base della sola patologia, indipendentemente dall’analisi della situazione reale e contingente in cui si trova l’amministrato.

Tutela dei dati personali e il diritto all’informazione dei terzi

Come anticipato i doveri dell’ADS sono unicamente nei confronti dell’amministrato (oltre, ovviamente che nei confronti del Giudice Tutelare). La giurisprudenza intervenuta sul punto ha sancito che l’accesso ai dati del beneficiario deve essere riservato solo all’amministratore di sostengo e al solo fine dell’esercizio della funzione pubblicistica a lui assegnata, mentre ne è vietata la divulgazione a terzi (ex plurimis Tribunale di Massa – 15 aprile 2021).

Ci si deve chiedere, a tal proposito, se i familiari dell’amministrato possano rientrare nella categoria dei “terzi”. La risposta non può che essere positiva se si considera che l’accesso ai dati del soggetto fragile è riservato esclusivamente all’ADS, con conseguente esclusione di tutti gli altri soggetti, che addirittura vengono estromessi dal fascicolo della procedura dopo la nomina dell’amministratore (in tal senso si veda Tribunale di Genova, sez. IV, 4 maggio 2022) e che qualora una persona beneficiaria non fosse sottoposta ad amministrazione di sostegno nessuno potrebbe accedere ai dati riguardanti le sue spese, i suoi redditi, la gestione della sua vita personale senza il di lei consenso, aspetto che quindi dovrà essere valutato nel caso specifico e indagato dal Giudice Tuelare.

Si pensi, ad esempio, a trattamenti sanitari urgenti e non rinviabili.

In questo caso l’ADS ha il dovere di informare i parenti sulle condizioni dell’amministrato? Secondo quanto appena evidenziato, salva l’ipotesi di una volontà espressa in tal senso dall’amministrato, l’ADS non può rivelare notizie che attengono allo stato di salute dello stesso a soggetti terzi, parenti compresi. Laddove però si tratti di situazioni particolari che prevedono cure eccezionali, ricoveri presso strutture ospedaliere o interventi chirurgici l’amministrazione può informare del trasferimento presso la struttura, ma non potrà scendere nel dettaglio. Laddove ci dovesse essere un contrasto tra quanto deciso dall’ADS e i familiari questi ultimi dovranno rivolgersi direttamente al Giudice Tutelare affinchè indagate anche le volontà dell’amministrato, magari presenti in specifiche DAT, possa decidere nell’interesse della persona fragile.

Protezione dei dati nell’amministrazione di sostegno: le best practice da rispettare

Trattando i dati personali dell’amministrato l’ADS è tenuto ad adottare tutte le misure idonee per garantire il massimo livello di protezione possibile.

Valgono, quindi, anche con riferimento all’amministrazione tutte le norme di cybersecurity che devono essere rispettate per la protezione dei dati personali, comprese quelle relative alla scelta degli strumenti da poter utilizzare.

Qui di seguito una breve lista di best practice che l’ADS dovrebbe rispettare.

Documenti e WhatsApp

I documenti, in particolare documenti di identità, certificati medici, certificati catastali, documenti bancari, credenziali di accesso a vari servizi non possono essere inviati attraverso le app di messaggistica istantanea, nemmeno se fotografati. L’ADS dovrebbe indicare tale regola anche ai familiari dell’amministrato e all’amministrato stesso, ponendo come condizione della ricevibilità del documento in questo l’invio o la consegna con altri mezzi.

Scanner

Non andrebbero utilizzate app gratuite che consentono la scannerizzazione dei documenti dell’amministrato. L’ADS è tenuto a valutare la tipologia di trattamenti di dati personali effettuati da queste app e le misure adottate dalle stesse. I documenti scannerizzati dove, come e per quanto tempo vengono conservati? L’app lo indica?

Cloud

La scelta di salvare i dati dell’amministrato in cloud è sempre legata alle garanzie fornite dal cloud stesso. L’ADS ha il dovere di analizzare i servizi utilizzati sia con riferimento alla tipologia di servizio, sia per quanto attiene alle misure adottate per la protezione dei dati salvati in quello specifico cloud. È necessario utilizzare il cloud? È necessario utilizzare quello specifico cloud? È stata effettuata una comparazione con altri servizi? La scelta si è basata solo sul costo del servizio o anche sulle caratteristiche tecniche?

Home banking

Inutile dire che la protezione delle credenziali di accesso per l’home banking dell’amministrato deve essere totale. Nessuna condivisione, quindi, delle credenziali, nemmeno con i collaboratori dello studio. Nessun appunto delle credenziali stesse in note del cellulare, foglietti, agende et similia. Recupero delle credenziali con una mail dedicata e non destinata ad un uso promiscuo.

Password

Infine le password, argomento super inflazionato, ma che porta con sé, sempre, criticità pericolosissime per la reale protezione dei dati. No a password che riportino riferimenti personali, nomi, soprannomi, date e ricorrenze. L’ADS dovrà utilizzare password lunghe, almeno 12 caratteri, alternando lettere, maiuscole e minuscole, numeri e caratteri speciali. Le soluzioni per attuare correttamente e concretamente queste indicazioni sono solamente due: l’adozione di un password manager o l’utilizzo del metodo “password phrases”, entrambi caratterizzati da pregi e difetti che, quindi, andranno valutati dall’ADS per il singolo caso specifico.

Conclusioni

L’attività dell’amministratore di sostegno, al pari di qualunque altra attività che preveda trattamenti di dati personali, deve conformarsi alle disposizioni in materia di protezione dei dati personali, siano esse dettate dal GDPR o da altre normative di settore.

L’ADS, quindi, dovrà valutare i trattamenti che realizza in ragione della nomina e, sulla base di quelli, adeguare le relative operazioni, sia con riguardo alle modalità di realizzazione dei trattamenti, sia con riferimento agli strumenti impiegati.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2