Il processo di modernizzazione e di secolarizzazione sociale, da un lato, e il progresso medico-scientifico, dall’altro, negli ultimi decenni hanno profondamente inciso sulle due principali determinanti demografiche della crescita della popolazione. Secondo l’Istituto Nazionale di Statistica (ISTAT), la quota di over 65 è in crescita come conseguenza dell’aumento dell’indice di vecchiaia: dal 22.6% nel 2018 al 34,3% nel 2060. Di conseguenza, sono aumentati del 1,8% i ricoveri in strutture residenziali e socioassistenziali.
Sono aumentati del 1,8% i ricoveri in strutture residenziali e socioassistenziali
Per affrontare il progressivo invecchiamento della popolazione, secondo “Gruppo ComfortCura” in un interessantissimo articolo pubblicato di recente, non è solo “necessario un maggio numero di strutture di assistenza e ricovero per gli anziani”: è fondamentale, altresì, “cambiare il modo di vivere all’interno di queste strutture, poiché spesso non si pone la giusta attenzione alla riservatezza, alla vita privata dell’individuo, privilegiando la valenza sanitaria e riabilitativa dell’ospite all’interno di queste strutture.
Tra i diritti inviolabili dell’ospite vi è la protezione e tutela della propria sfera privata. Il diritto all’inviolabilità della propria quotidianità, dei propri spazi, delle proprie relazioni con altri individui e con la propria famiglia.
Il diritto alla riservatezza e alla protezione dei dati personali è già oggi considerato un diritto fondamentale della persona, meritevole cioè di particolare tutela. Tant’è che una violazione di dati personali (Data Breach) può provocare, letteralmente, danni fisici, materiali o immateriali. Di conseguenza, la necessità di formare e di trasmettere sensibilità e responsabilità al personale coinvolto nel trattamento dei dati personali degli ospiti (dalla Direzione agli operatori socio-assistenziali) diventa, dunque, necessario oltre che doveroso per le RSA.
La necessità di formare e di trasmettere sensibilità e responsabilità al personale coinvolto nel trattamento dei dati personali degli ospiti (dalla Direzione agli operatori socio-assistenziali) diventa, dunque, necessario oltre che doveroso per le RSA.
La perdita del controllo dei dati personali o una limitazione dei diritti della persona nei confronti dei dati degli ospiti, la discriminazione, il furto o usurpazione d’identità, perdite finanziarie, pregiudizi alla reputazione, perdita di riservatezza dei dati oggetto di trattamento sono solo alcuni dei danni riferibili ad una cattiva gestione dei dati dei propri ospiti. L’assenza di un vero e proprio Modello di Organizzazione Privacy all’interno di una casa di riposo è il segno distintivo di una “maladministration” o “cattiva amministrazione”.
Ai sensi dell’art. 32 del Regolamento (UE) 2016/679, nel valutare l’adeguato livello di sicurezza, le case di risposo devono tener conto, in special modo, dei rischi presentati dal trattamento, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Ribadiamo l’importanza di tali trattamenti visto che le RSA gestiscono e conservano dati comuni ma soprattutto sensibili.
La vigente normativa privacy ha stabilito due principi fondamentali: da un lato, la sensibilità e la consapevolezza da parte delle case di riposo nell’ambito del trattamento dei dati personali degli ospiti; dall’altro lato, invece, la responsabilizzazione, sia delle case di riposo stesse, sia del personale incaricato socioassistenziale che tratta i dati personali nonché sensibili degli ospiti e dei familiari. Le case di risposo, “non solo sono tenute a perseguire l’obiettivo primario che riguarda l’assistenza sanitaria, riabilitativa e, in generale, di cura dell’ospite”.
La protezione dei dati personali degli ospiti dev’essere considerata la migliore carta di presentazione nonché una garanzia per gli interessati e per le loro famiglie.
Proprio per la natura dei dati oggetto di trattamento da parte delle RSA – case di riposo, l’Autorità Garante per la Protezione dei Dati Personali dedica una particolare attenzione a tale settore. Recentemente ha emanato un’ordinanza di ingiunzione [doc. web n. 9745262 ] nei confronti di una casa di riposo che aveva installato un impianto di videosorveglianza, composto da 2 telecamere, posizionate internamente senza i relativi cartelli informativi. La sanzione (€ 1.000,00) pare sia simbolica in quanto la struttura aveva dichiarato di non effettuare più il trattamento e di aver smontato l’impianto a seguito degli accertamenti effettuati da parte del Comando dei Carabinieri per la Tutela del Lavoro – Nucleo Carabinieri Ispettorato del Lavoro.
Come premesso dall’Autorità, “l’utilizzo di sistemi di videosorveglianza può determinare, in relazione al posizionamento delle telecamere e alla qualità delle immagini riprese, un trattamento di dati personali”. Nello specifico, il “trattamento deve essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento e, in particolare, del principio di trasparenza che presuppone che “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”.
Non di minore importanza è l’ordinanza di ingiunzione [doc. web n. 9734934] emessa nei confronti della società Med Store Saronno S.r.l. In tale sede, l’Autorità aveva ribadito che i Titolari possono affidare un trattamento “a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i principi del GDPR 2016/679”, anche per la sicurezza del trattamento, tenuto conto degli specifici rischi derivanti dallo stesso (artt. 28, par. 1, 24 e 32 del Regolamento; cfr. anche Cons. n. 81).
In quest’ultimo caso, la casa di cura aveva notificato al Garante – ai sensi dell’art. 33 del Regolamento – un Data Breach a seguito di un attacco informatico riconducibile al gruppo hacker LulzSec_ITA. Tale evento aveva comportato la pubblicazione, sul profilo Twitter del gruppo hacker, di immagini radiologiche riconducibili alla casa di cura. La Casa di cura confermava in tale sede di aver affidato ad un’azienda esterna l’installazione sul web di un software che consentiva ai medici di avere accesso da remoto ad immagini diagnostiche degli ospiti.
Va dunque ricordato che, in materia di sicurezza dei dati personali, il Titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (…).
Nel valutare l’adeguato livello di sicurezza, le case di riposo devono tener conto, in special modo, dei rischi presentati dal trattamento (anche affidati a soggetti esterni) che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32 del Regolamento).
Si potrebbe dire che, nei casi appena descritti, non è particolarmente rilevante la sanzione economica comminata bensì la perdita di reputazione della struttura stessa.
La necessità di implementare un modello di organizzazione privacy ai sensi del Regolamento (UE) 2016/679 non è solo una soluzione prettamente formale. Il mantenimento di un sistema tale all’interno di una struttura che tratta dati personali nonché categorie di dati particolari diventa uno strumento necessario per l’adeguamento di una struttura e per trasmettere maggiore sensibilità e responsabilità al personale.
Vuoi iniziare ad implementare il Modello di Organizzazione Privacy per la Tua struttura? Ecco il nostro servizio dedicato
Contattaci