Coronavirus, come trattare i dati delle persone vulnerabili: le regole - Cyber Security 360

La guida

Coronavirus, come trattare i dati delle persone vulnerabili: le regole

Vademecum per trattare in modo adeguato, nel rispetto della normativa, i dati delle persone “vulnerabili” nell’ambito dell’emergenza sanitaria: per questi soggetti, infatti, bisogna prevedere particolari misure sul lavoro o in ambito scolastico

16 Nov 2020
M
Ferruccio Militello

DPO di Istituti Scolastici – esperto in Cybersecurity

P
Monica Perego

Ingegnere, Esperto di compliance

P
Chiara Ponti

Avvocato, Legal Compliance e nuove tecnologie – Laureata anche in ISSR (TO)


Nel contesto della emergenza Covid-19 attraverso i DPCM e le fonti normative è stato introdotto il concetto di “persone vulnerabili” per le quali devono essere previste delle misure specifiche nell’ambito del contesto lavorativo.

Si tratta, quindi, di identificare tali soggetti che possono essere lavoratori, studenti, ospiti di strutture eccetera. Tra queste ultime annoveriamo le residenze per anziani – RSA, quelle deputate al recupero dei soggetti con patologie pregresse o per gli immunodepressi, nonché tutte quelle altre comunità volte al recupero dei tossicodipendenti o alcoldipendenti.

Approfondiamo le misure tecniche e organizzative da mettere in atto per il trattamento dei dati dei soggetti vulnerabili nel contesto dell’emergenza Covid-19.

Riconoscimento della condizione di vulnerabilità/fragilità

Per attestare la condizione di vulnerabili/fragilità in relazione all’emergenza Covid-19 si deve far riferimento all’art. 26 della Legge 27 del 24/04/2020 di conversione del D.L. Cura Italia nel quale viene introdotta una specifica categoria di dipendenti cosiddetti “vulnerabili/fragili” i quali, per essere riconosciuti tali, devono essere «in possesso del riconoscimento di disabilità con connotazione di gravità ai sensi dell’articolo 3, comma 3 della legge 5 febbraio 1992, n. 104, nonché per i lavoratori in possesso di certificazione rilasciata dai competenti organi medico-legali, attestante una condizione di rischio derivante da immunodepressione o da esiti da patologie oncologiche o dallo svolgimento di relative terapie salvavita, ai sensi dell’articolo 3, comma 1 della medesima legge n. 104 del 1992».

Per tali soggetti bisogna porre delle attenzioni particolari, sotto il profilo privacy, come richiamato anche da specifiche indicazioni emesse anche a livello regionale.

Anzitutto, occorre identificare lo status di tali soggetti; il che avviene per il tramite del medico competente circa i lavoratori, ed attraverso altri soggetti come la Direzione sanitaria presenti nelle strutture che accolgono gli anziani o altri tipi di comunità.

Nell’ambito degli istituti scolastici, come si dirà nel seguito, il problema vero riguarda il fatto che gli studenti, dal momento che la struttura organizzativa difetta di una Direzione sanitaria e la presenza di un Medico Competente è indirizzata ovviamente alla salvaguardia delle condizioni di salute dei lavoratori (insegnanti, personale amministrativo ed ausiliario), manca una figura che, come nel contesto lavorativo, si preoccupi della salute degli allievi.

Non è pertanto chiaro a chi spetti il compito di seguire gli allievi e di identificare, di conseguenza, le relative misure di sicurezza da mettere in atto.

Nell’ambito della scuola fino agli anni nnovanta vi era la figura del medico scolastico che nel tempo è andata scomparendo e con la riapertura delle scuole, in emergenza sanitaria, è ritornata in voga. Tale figura era comunemente presente fino a quando non è stata introdotto il pediatra di base che ne ha fatto venire meno la funzione.

In generale, ci preme ancora segnalare che circa le responsabilità del datore di lavoro, non appaiono ancora completamente chiare nel caso di contagio di un lavoratore sul luogo di lavoro.

La tematica, per quanto laterale, è di stretta attualità considerando che i contagi Covid-19 sul lavoro sono oltre 54.000, come riportato nel IX report Inail e con l’aumento costante di denunce anche per effetto del consolidamento dei dati.

La tematica, evidentemente, riapre il tema della necessità di uno scudo penale per i datori di lavoro.

Le misure tecniche ed organizzative a tutela dei dati

Le misure tecniche organizzative per la protezione dei dati personali da mettere in atto in ordine ai soggetti vulnerabili sono le stesse, indipendentemente dall’emergenza sanitaria. Tuttavia, quest’ultima ci offre ulteriori spunti di riflessione sul tema. Vediamoli nel dettaglio.

Dal punto di vista privacy, a tutti i lavoratori e non solo a quelli vulnerabili/fragili deve essere segnalato, tramite una corretta informativa, che i loro dati potrebbero essere trattati con specifico riferimento ad una situazione emergenziale, e che, stante l’incertezza ed il rapido evolversi della stessa, alcuni contenuti dell’informativa potrebbero non essere così precisi come invece sarebbe opportuno ed auspicabile, nonostante la buona fede di chi si occupa di questi adempimenti.

Come fare l’informativa ai tempi della Covid-19

Anzitutto, lo spirto non deve essere quello di fare una informativa da aggiornare continuamente anche per evitare un inutile sforzo in termini di tempo e risorse.

Per evitare ciò si potrebbe scrivere l’informativa in modo generale ovvero integrarla laddove necessario specie in situazioni emergenziali. Tali trattamenti, non necessariamente noti a priori ed in alcuni casi imposti dalle Autorità competenti, potrebbero avere, come base giuridica, delle normative create ad hoc per far fronte allo stato emergenziale, senza essere citate nel dettaglio sì da garantirne l’aggiornamento in re ipsa.

Circa il periodo di conservazione dei dati, anch’essi non determinabile a priori, si suggerisce di stabilire dei tempi più lunghi rispetto al dichiarato stato di emergenza, con obbiettivo di tutelare i vari soggetti, a partire dal datore di lavoro il quale potrebbe essere chiamato a dimostrare, anche a distanza di tempo, di aver messo in atto tutte le misure necessarie per proteggere i soggetti vulnerabili/fragili.

Pur tenendo conto che il tempo di conservazione di tali dati dovrebbe essere il più ridotto possibile al fine di ridurre al massimo possibili eventi “data breach” o comunque di incidenti di sicurezza.

Dopo un attento bilanciamento di interessi divergenti, suggeriamo di limitare le conservazioni a quei dati di natura cartacea più facili per certi versi da proteggere e da distruggere, che si devono conservare presso l’RSPP/l’ufficio Risorse Umane/Medico Competente, in un ambiente protetto.

I rapporti con il medico competente

Il medico competente si presume che già conosca la condizione di vulnerabili/fragilità dei lavoratori specie se tale circostanza (di vulnerabili/fragilità) sia già nota all’interno dell’organizzazione.

Ciò perché, magari, sono già state apportate delle limitazioni circa le mansioni assegnate a quel lavoratore fragile, a seguito di una malattia professionale o di un infortunio occorso nel contesto lavorativo.

Facciamo il caso, ad esempio, di una dipendente nell’area amministrativa che soffre di diabete o di una patologia di origine tumorale, cui si applica la Legge 104/92, può accadere che il medico competente non sia necessariamente a conoscenza di tale patologia. Oppure il caso in cui sussistano delle condizioni di vulnerabili/fragilità — non necessariamente note all’Organizzazione — che potrebbero essere causate da due ipotesi:

  • la situazione di vulnerabili/fragilità del lavoratore insorta dopo l’ultima sorveglianza sanitaria;
  • il lavoratore potrebbe non essere soggetto a sorveglianza sanitaria.

In altri termini, sinteticamente, all’interno dell’organizzazione, per motivi diversi, potrebbe essere presente un lavoratore vulnerabile del cui stato l’organizzazione stessa non ne sia al corrente. Col che, il lavoratore stesso dovrebbe comunicare la sua condizione di vulnerabili/fragilità al medico competente affinché quest’ultimo possa fare le opportune valutazioni, e se del caso richiedere che per tale soggetto siano prese in carico tutte le misure necessarie al fine di proteggerlo.

Laddove il medico competente, dunque, non sia a conoscenza di situazioni di criticità tali da rendere il lavoratore interessato un “soggetto fragile”, quest’ultimo dovrebbe comunque comunicarlo, anche grazie alle opportune istruzioni fornitegli dal datore di lavoro.

Come specificano le indicazioni dell’Inail, una volta che il datore di lavoro abbia informato i lavoratori, questi, nell’ipotesi in cui ritenessero di essere affetti da una patologia tali da renderli vulnerabili/fragili alla Covid-19, saranno sottoposti ad una visita medica, da parte del medico competente, (sorveglianza sanitaria eccezionale) che potrà valutare la sussistenza delle condizioni di vulnerabili/fragilità in relazione alla patologia, alle terapie, all’età, alla storia pregressa ed alla mansione del lavoratore.

L’esito della visita di sorveglianza sanitaria eccezionale, sarà formalizzato in un parere conclusivo che riguarda, in modo esclusivo da un lato, la possibilità per il lavoratore di effettuare o meno l’attività lavorativa in presenza, dall’altro la richiesta a carico del datore di lavoro di implementare eventuali misure preventive aggiuntive e/o ulteriori modalità organizzative atte a garantire il benessere del lavoratore vulnerabile/fragile.

Alcuni casi particolari

Premesso che le considerazioni sinora esposte valgano per tutte le categorie delle persone considerate vulnerabili/fragili al netto della Covid-19. Ci sono anche altri contesti nei quali possono essere presenti queste persone come, ad esempio:

  • degli allievi vulnerabili/fragili nelle scuole;
  • degli ospiti delle comunità psichiatriche/recupero che, in relazione al loro passato, potrebbero presentare condizioni di salute fortemente a rischio;
  • altri contesti specifici in cui devono essere messe in atto specifiche misure.

Situazioni peculiari

Rappresentiamo alcune situazioni particolari, a titolo esemplificativo ma non esaustivo.

  • Presenza di Direzione sanitaria – come ad esempio nelle comunità psichiatriche, istituti penitenziari – che è a conoscenza di specifici stati di vulnerabili/fragilità degli interessati.In questa ipotesi, le misure da porre in essere sono sotto la diretta responsabilità della stessa.
  • Contesto in cui – come ad esempio nella scuola di cui tratteremo in dettaglio nel paragrafo successivo – la condizione di vulnerabili/fragilità dell’interessato non è necessariamente nota. In quest’altro caso, è comunque necessario che la Direzione dell’Organizzazione (ad esempio scolastica) solleciti, attraverso avvisi o altre forme, che vengano comunicati tutti i dati volti a tutelare al meglio, le condizioni di salute dell’interessato.
  • Un altro caso, ancora, particolare è quello dei datori di lavoro che, ai sensi dell’art. 18, co. I lett. a), d.lgs. 81/2008 non sono tenuti a nominare il medico competente. In tali circostanze, essi possono:
  1. nominare un medico competente fino a quando non termina lo stato di emergenza – misura che si raccomanda vista la criticità della situazione e gli scenari che si delineano di giorno in giorno;
  2. rivolgere una richiesta ai servizi territoriali dell’Inail che possono intervenire, secondo le loro tempistiche, facendo ricorso ai propri medici del lavoro;
  3. i datori di lavoro devono poi definire le misure da mettere in atto non avendo avuto precedenti esperienza/sensibilità in merito al trattamento dai dati sanitari derivanti dall’esito della sorveglianza sanitaria.

Focus sulla scuola

Con l’ordinanza del Ministero dell’Istruzione n. 134 del 09.10.2020, è stata dato attuazione alle misure, nell’ambito della scuola, per venire incontro alle esigenze degli studenti vulnerabili/fragili ai sensi e per gli effetti di cui all’art. 2 del comma 1 lettera 1bis) del D.lgs. n. 22 del 08.04.2020.

Gli allievi ritenuti vulnerabili/fragili da Covid – 19 a fronte di certificazioni sanitarie rilasciate dal pediatra o dal Medico di medicina generale o da quello convenzionato con il S.S.N., devono essere messi in didattica a distanza – DAD e/o in percorsi integrativi ad hoc.

In ogni caso, deve essere garantita la possibilità dell’accesso alle lezioni a tutti gli alunni anche a quelli le cui famiglie versano in contesti disagiati socialmente e/o emotivamente per i quali potrebbe essere preferibile, nonostante tutto, la frequenza di lezioni anche in presenza.

Tuttavia, secondo la citata Ordinanza tali misure non trovano applicazione per tutte quelle ipotesi in cui gli studenti versino gia in condizioni di vulnerabili/fragilità, indipendentemente dalla Covid-19. Lato privacy, rammentiamo che le considerazioni precedentemente esposte circa l’eventuale integrazione della informativa così come per quella dei lavoratori, valgono, con gli opportuni distinguo, anche per queste categorie di soggetti/interessati.

Come proteggere i dati dei vulnerabili

Di seguito alcune indicazioni operative, ad integrazione di quelle relative all’informativa precedentemente elencate, sulle misure che possono essere messe in atto dagli autorizzati per tutelare i dati degli interessati vulnerabili, siano essi altri lavoratori o clienti o comunque soggetti i cui dati, a vario titolo, possono essere trattati dall’organizzazione.

Si tratta, nello specifico, delle istruzioni per gli autorizzati, suddivise tra comportamenti vietati ed auspicati, che dovranno essere integrate con azioni di formazione mirate.

Comportamenti auspicatiComportamenti vietati
  • Proteggere i dati dei soggetti vulnerabili con la massima diligenza, considerando che tali informazioni potrebbero ledere in modo importante la reputazione e/o portare discriminazione nei confronti degli Interessati, considerando che tali dati non solo presentano particolari caratteristiche ma anche possono essere d’interesse per soggetti
  • Nell’esercizio dei diritti degli interessati assicurarsi che chi lo richiede sia un soggetto autorizzato ad esercitare il diritto o abbia un mandato per conto dell’interessato.
  • Documenti, ancorché non definitivi, ed i supporti recanti particolari, di soggetti vulnerabili devono essere conservati, anche e soprattutto in corso di trattamento, un elemento di arredo muniti di serratura e non devono essere lasciati incustoditi in assenza della persona autorizzata al trattamento.
Evitare di inviare, per fax e e-mail, documenti in chiaro contenenti particolari, di soggetti vulnerabili si suggerisce, nel qual caso, di inviare la documentazione, senza alcun esplicito riferimento all’interessato (come ad esempio, contrassegnando i documenti semplicemente con un codice).

Conclusioni

In conclusione, il tema dei soggetti vulnerabili riesploso con l’emergenza da Covid-19, a ben guardare ha radici ben più risalenti.

Le organizzazioni avrebbero già dovuto da tempo definire le misure da mettere in atto per proteggere tali soggetti.

Come autori, raccomandiamo al datore di lavoro non solo l’importanza di effettuare una raccolta, anche attraverso evidenze documentali, delle misure poste in essere per tutelare questi soggetti più deboli, ma anche di predisporre delle istruzioni mirate e di effettuare audit da parte di un soggetto terzo ed indipendente, al fine di raccogliere evidenze circa la capacità, attenzione e sensibilità nel rispettare le misure definite.

New call-to-action

@RIPRODUZIONE RISERVATA

Articolo 1 di 5