Finalità più che legittime quali la protezione di soggetti vulnerabili o la semplificazione amministrativa, perseguite attraverso l’utilizzo di strumenti digitali – quali il registro elettronico e le videocamere di sorveglianza nelle scuole – devono essere necessariamente bilanciate con la necessità di proteggere i dati personali.
Questa esigenza non viene eliminata dall’obbligo di legge e deve essere valutata da ogni Titolare del trattamento. Ciò vale a maggior ragione in relazione ai cosiddetti soggetti vulnerabili (minori, anziani, disabili) , definiti dal GDPR e dall’ex Gruppo di Lavoro Articolo 29 (ora EDPB) come quei soggetti verso i quali esiste un forte squilibrio di potere in relazione al titolare del trattamento, che “rende loro difficile opporsi ad un trattamento dei propri dati o esercitare i propri diritti”.[1]
L’utilizzo di strumenti e servizi digitali, del resto, non può essere fermato: in Italia, come nel resto del mondo, sta crescendo a livello esponenziale. Negli ultimi anni con sempre maggior frequenza tali utilizzi vengono recepiti anche sotto il profilo normativo: pensiamo al Sistema Pubblico d’Identità Digitale (SPID), introdotto dal d. lgs. N. 179 del 2016 nell’alveo del processo di digitalizzazione della Pubblica Amministrazione, o al Sistema di Interscambio (SdI) per la fatturazione elettronica, inizialmente previsto per i pagamenti verso la PA e successivamente divenuto obbligatorio, con la Legge di Bilancio 2018, sia nelle relazioni commerciali tra soggetti passivi Iva privati sia verso i consumatori finali.
Il registro elettronico
Un esempio di tali obblighi è l’introduzione, ad opera del decreto legge n. 95 del 6 luglio 2012, dell’obbligo per istituzioni scolastiche di adottare il registro elettronico per semplificare la gestione burocratica da parte del docente e consentire ai parenti una maggiore supervisione sulle attività scolastiche dei propri figli. Secondo quanto previsto dall’art. 7 del decreto legge, il Ministero dell’istruzione (MIUR) avrebbe dovuto predisporre ed approvare, entro 60 giorni dalla conversione in legge del decreto, un Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca.
In assenza, ad oggi, di tale piano, l’obbligo di utilizzo del registro online è deciso dal Collegio Docenti, che ne delibera l’adozione. Prossimo ai 7 anni dalla sua introduzione, il registro elettronico è ormai largamente diffuso presso le istituzioni scolastiche, che utilizzano tipologie di applicativi diversi, essendo libere di acquistare il software più adatto alle proprie esigenze.
Telecamere in asili e centri anziani
Un altro e più recente esempio di utilizzo obbligatorio di tecnologie per favorire la tutela e sicurezza dei soggetti vulnerabili è quanto previsto dalla recentissima legge n. 55/2019 di conversione del Decreto Sblocca-Cantieri (d. l. 32/2019), in vigore dal 18 giugno, che introduce l’art. 5- septies titolato “Sistemi di videosorveglianza a tutela dei minori e degli anziani”. L’articolo prevede l’istituzione di un fondo per l’installazione di sistemi di videosorveglianza a circuito chiuso nei servizi educativi per l’infanzia, nelle scuole dell’infanzia statali e paritarie nonché nelle strutture socio-sanitarie e socio-assistenziali per anziani e persone con disabilità.
Con i fondi dovranno essere acquistati anche gli strumenti per conservare le immagini per un “periodo temporale adeguato”. La norma si pone l’obbiettivo di offrire una tutela più ampia a favore, tra gli altri, di alunni, disabili e anziani al fine di prevenire abusi e maltrattamenti nei loro confronti, come quelli verificatisi recentemente nella case di riposo di Revere e Correggio, e in un asilo nido del Bresciano.
Cosa dice il GDPR dei soggetti vulnerabili
L’obbligo normativo di adozione di tale strumenti tecnologici desta diverse preoccupazioni dal punto di vista della protezione dei dati personali, anche da parte dei destinatari stessi di tali misure. Così il recente caso di un insegnante di Cagliari, sospeso perché si è rifiutato di utilizzare il software per registro elettronico fornito da una società privata in quanto “non offre sufficienti garanzie per la privacy dei suoi alunni”, e sostenuto nella sua decisione da molti genitori dei ragazzi.
Lo stesso Garante Privacy si è espresso auspicando la necessità di adozione, in attesa del Piano del MIUR, di misure a protezione dei dati personali.
In relazione al sistema di videosorveglianza in asili e strutture socio-sanitarie, poi, il presidente Antonello Soro, in audizione informale al Senato in gennaio, ha riconosciuto i miglioramenti apportati all’allora disegno di legge in termini di misure a protezione dei dati personali, quali la cifratura delle immagini e il divieto di accedervi se non dagli organi inquirenti in sede di indagine a fini probatori, avvertendo tuttavia che: “È difficile che le telecamere sopperiscano alle carenze insite nella formazione del personale deputato all’educazione e all’assistenza dei soggetti meritevoli della maggiore attenzione»[2].
Si incorre nel rischio, infatti, che l’obbligo normativo di adottare uno strumento tecnologico venga percepito dai Titolari del trattamento deputati ad adottarlo (scuole, asili, strutture socio-sanitarie, e così via) come un “via libera” incondizionato, senza necessità di indagare troppo a fondo se siano state adottare adeguate misure di sicurezza e senza necessità di considerare il rispetto dei principi ed i rischi, gli impatti o possibili danni per i diritti e le libertà degli interessati che possono verificarsi in assenza di un adeguato rispetto della normativa privacy (in primis, il GDPR, ma anche il Codice Privacy novellato dal d. lgs. 101 del 2018).
L’imposizione normativa di adottare e utilizzare strumenti tecnologici accentua questa sproporzione, rendendo ancor più fondamentale ricercare un attento rispetto della normativa privacy al fine di impedire conseguenze dannose e la limitazione di diritti e libertà. Basti pensare all’eventualità in cui, per mancanza di sufficienti misure di sicurezza, vengano rubati e diffusi online dati relativi a valutazioni personali come i voti, i giudizi di rendimento, o addirittura la nota disciplinare di uno studente, o al caso in cui vengano registrati momenti sensibilissimi e propri della sfera personale dell’interessato come il decorso di una malattia di cui è affetto il paziente ricoverato in una casa di cura.
Elementi per rispettare la normativa privacy
Un punto essenziale da considerare da parte dei Titolari del trattamento è la sensibilizzazione e la formazione dei soggetti interessati (alunni, pazienti, anziani) e del personale deputato a trattare i dati personali (nel caso dei docenti e degli operatori di strutture socio-sanitarie e socio-assistenziali, spesso le due qualifiche coincidono).
Sensibilizzare in merito alla normativa privacy è essenziale per permettere ai Titolari del trattamento di conformarsi con effettività e di operare con uno sguardo sempre attento alla protezione dei dati personali (ad esempio, è utile per valutare quali fornitori che garantiscano software, sistemi e applicativi sicuri). Inoltre, un personale formato sarà in grado di eseguire correttamente le istruzioni ricevute, e sensibilizzare gli interessati li metterà in condizione di verificare che i propri dati siano protetti.
Accanto alla formazione, assume importanza vitale l’informazione verso gli interessati. Secondo il GDPR, i Titolari devono informare gli interessati del trattamento dei loro dati personali (artt. 13 e 14 del Re. Ue n. 679/2016). L’informativa dovrebbe contenere tutti gli elementi richiesti (sì, anche il periodo/criterio di conservazione dei dati personali) ed essere chiara e comprensibile (no, l’informativa redatta in carattere 6 in fondo a pagine di moduli potrebbe non essere sufficientemente leggibile).
Effettuare una DPIA e valutare la proporzionalità del trattamento
E’ bene ricordare che l’obbligo di legge non esclude affatto la necessità effettuare una DPIA (Data Protection Impact Assessment), al fine di gestire adeguatamente i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei dati quando tali rischi sono “elevati”. Rischi per il diritto alla protezione dei dati e alla vita privata, certo, ma anche rischi in merito, tra gli altri, al diritto di libertà di parola, di pensiero, al divieto di discriminazione. Il trattamento non occasionale di dati personali di soggetti vulnerabili è uno dei casi in cui tali rischi elevati si presentano.
La DPIA dovrebbe prendere in considerazione l’origine, la natura, la particolarità e la gravità del rischio, in modo da poter efficacemente determinare le misure da adottare per garantire la protezione dei dati personali (se il software installato sul pc garantisce la protezione dei dati, ma non vi sono sufficienti dotazioni e il docente è costretto a utilizzare la relativa app sul tablet personale senza impostare una password di accesso, i dati personali non sono protetti!).
Effettuare una DPIA è inoltre fondamentale per valutare la proporzionalità del trattamento.
E’ necessario assicurarsi che i dati personali non siano eccessivi per gli scopi perseguiti, evitando un’ingerenza sproporzionata nei diritti e nelle libertà degli interessati. Lo stesso Garante ne riporta un esempio in relazione all’installazione di videocamere nelle aule di scuola: “Sarebbe dunque difficile ritenere conforme a tali principi (proporzionalità) l’obbligo di sottoposizione costante a videosorveglianza di tutto il personale educativo e, per altro verso, di tutti i bambini presenti tanto negli asili nido quanto nelle scuole materne del Paese, a prescindere dall’effettiva sussistenza di rischi specifici (avrebbe poco senso ad esempio per le scuole con aule vetrate).”[3]
Adottare misure tecniche e organizzative adeguate
Il GDPR impone, all’art. 25, il rispetto dei principi di privacy by design e privacy by default. In particolare, è richiesto che il titolare del trattamento mette in atto misure adeguate per garantire che i dati trattati rispettino i principi di protezione dei dati, accertarsi di trattare solo i dati personali necessari per le finalità perseguite, ed integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
Per raggiungere tale obbiettivo, non è sufficiente adeguare i software dotandoli di misure tecniche, come la cifratura dei dati personali, o la previsione di una connessione sicura, ma anche identificare le opportune misure organizzative, troppo spesso trascurate, e tuttavia fondamentali per garantire la tutela degli interessati: ad esempio, limitando l’accesso al registro scolastico online configurando credenziali univoche protette, ma anche individuando e autorizzando al trattamento dei dati personali i soli soggetti che debbano effettivamente prendere visione; o ancora, cifrando le immagini registrate tramite videocamere, ma anche valutando come posizionare i coni di ripresa in modo da evitare il trattamento di dati personali non necessari per garantire le esigenze di sicurezza degli interessati.
_________________________________________________________________
- Considerando 75 Reg. Ue n. 679/2016 e WP linee guida sulla DPIA Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017, p. 11 ↑
- WP linee guida sulla DPIA Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017, p. 14 ↑
- ALLEGATO 1 AL PROVVEDIMENTO N. 467 DELL’11 OTTOBRE 2018 [doc. web n. 9058979] (Pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018) Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, n. 6 ↑
