Intervento di Polizia Postale e Garante per le foto dei pazienti di Udine su Facebook

Come si apprende dal comunicato stampa del Garante per la privacy, in relazione all’episodio relativo alla diffusione su Facebook delle foto di pazienti dell’Ospedale di Santa Maria della Misericordia di Udine da parte di un’infermiera, l’Ospedale ha segnalato il tutto alla Polizia Postale, per quanto di sua competenza, probabilmente anche ai fini dell’eventuale accertamento sull’utilizzo dei computer da cui sarebbe stato effettuato l’up-loading delle immagini.

Anche il Garante ha avviato le indagini.

Dalle dichiarazioni dell’infermiera, questa avrebbe sostenuto di aver utilizzato il computer domestico e di aver comunque provveduto ad eliminare le immagini in questione dal proprio profilo su Facebook.

Il Garante, ad ogni modo, ha precisato che

«da parte sua proseguirà l’attività di accertamento sul rispetto della normativa sulla protezione dei dati personali, anche ai fini di un’eventuale applicazione di sanzioni nei confronti di chi sarà ritenuto responsabile della violazione dei diritti dei ricoverati e delle altre persone coinvolte».

Qui sorgono questioni interessanti sotto il profilo giuridico, per via delle responsabilità che i pazienti potrebbero eventualmente invocare non solo direttamente nei confronti dell’infermiere, ma anche, ove ne sussistano i presupposti, nei confronti dell’Ospedale presso cui erano in cura.

E’ noto, tuttavia, che per le richieste di risarcimento del danno da illecito trattamento di dati personali non possono essere perorate innanzi al Garante per la protezione dei dati personali, essendo la compentenza riservata in via esclusiva all’autorità giudiziaria ordinaria.

Fabio Bravo

www.fabiobravo.it

Foto scattate da medici e infermieri sul posto di lavoro. Privacy e Facebook

Nel precedente post ho segnalato la guida divulgativa del Garante per la privacy sull’uso corretto dei social network, nonché sugli ammonimenti relativi agli «effetti collaterali».

Mi voglio soffermare sulla casistica significativa, al fine di comprendere meglio il rischio connesso all’uso disinvolto di facebook e di altri social networks.

Il 14 maggio 2009, con una notizia richiamata in prima pagina corredata di foto parzialmente oscurata, il Corriere della Sera (edizione cartacea), con un articolo a firma Germano Antonucci, dal titolo «I pazienti intubati finiscono su Facebook», segnalava il caso dell’Ospedale Santa Maria della Misericordia di Udine, che ha visto protagonista un’infermiera.

Quest’ultima, infatti, avrebbe pubblicato su Facebook, nel proprio profilo, fotografie scattate nell’ambito del servizio svolto in detto ospedale. Oltre ad altri colleghi infermieri e a medici in servizio, però, le foto riprendono anche pazienti, alcuni dei quali addirittura intubati.

La segnalazione sarebbe giunta ad un lettore del Corriere.it

I risvolti sono tanti.

C’è la palese violazione della privacy dei pazienti, con diffusione on-line di dati sensibili, relativi allo stato di salute. C’è un problema di tutela della dignità delle persone, ritratte nel momento in cui sono particolarmente vulnerabili.

Ci sono poi ulteriori aspetti.

Alcune foto ritraggono, per esempio, anche medici che si sono visti pubblicare le proprie foto on-line, accanto alle altre foto con i pazienti intubati. Sorge dunque un problema legato alla loro reputazione, considerando il clamore e l’indignazione che la notizia suscita.

Nel quotidiano, si pensi, Antonucci riporta le dichiarazioni di un medico dell’Ospedale di Udine, il quale precisa:

«Io mi sono lasciato fotografare con piacere, ma non avrei mai permesso che le mie immagini finissero in Rete. Volevo soltanto che fossero conservate dalla collega o dal collega. Chi ha deciso di mettere tutto in Rete ha fatto un torto anche a me. Ma soprattutto lo ha fatto ai nostri pazienti. Se fossi uno dei loro familiari, sarei incavolato nero».

C’è poi un’altra questione, sottolineata dal medesimo medico, il quale puntualizza:

«Questo è un reparto ad altissima intensità di lavoro. Spero soltanto che il responsabile non abbia utilizzato i computer dell’ospedale per i suoi passatempi personali».

Si può vedere che la questione attiene anche alla connessione tra privacy, informatica e rapporti di lavoro.

La notizie diffusa dal Corriere della Sera ne richiama un’altra ancora più grave, che ha visto protagonista un’infermiera del pronto soccorso dell’ospedale piemontese delle Molinette.

La notizia, diffusa agli inizi del 2009, ha fatto molto scalpore perché l’infermiera ha caricato fotografie che la ritraevano con una collega sorridente accanto ad un paziente ubriaco disteso a pancia scoperta sul lettino di ospedale e sulla fotografia appare una scritta aggiunta con un programma fotoritocco, nella quale si legge «son ciucco perso».

L’alternarsi di episodi analoghi, che passano alla ribalta della stampa a distanza di qualche mese, rende evidenza della assoluta noncuranza (ovvero della profonda sottovalutazione) degli «effetti collaterali» di facebook e di altri social network.

Proprio il caso delle Molinette ci lascia spunti di riflessioni in più, soprattutto per quanto emerge dalla significativa intervista, pubblicata su La Stampa, che Marco Accossato ha rivolto all’infermiera che ha caricato tali foto sul proprio profilo attivato su Facebook.

Merita di essere riportata nei suoi passaggi più importanti, rinviando agli altri articoli di Accossato [1, da cui è possibile vedere la foto in questione, parzialmente oscurata - 2 - 3] per un commento:

Come le è venuto in mente di pubblicare l’immagine commentata di un paziente in sala visita?

«Credevo che nessuno potesse vederla, oltre ai miei “amici di Facebook”, quello che ho selezionato».

Sbagliato. E comunque non è una giustificazione.

«Deve essere colpa di un hacker che l’ha rubata dal mio profilo e l’ha pubblicata. Mi ricordo di averla tolta, alcuni giorni fa. Hanno leso la mia privacy».

Sosterrà questo, in commissione disciplinare? Sarà la sua difesa?

«Dirò semplicemente che ho sbagliato e chiederò scusa. Non c’è altro da aggiungere. E poi non ho fatto nulla di nascosto: altri, in ospedale, sapevano che scattavo foto, e altri sapevano che mettevo anche quell’immagine su Facebook. Chiedo scusa davvero, a tutti. Io lavoro alle Molinette da quindici anni, mi reputo una brava infermiera, non ho mai ricevuto un rimprovero né un richiamo ufficiale. Mai una denuncia. Mi creda, sono brava».

Anche una brava fotografa, direi. Ha caricato lei quell’immagine dell’ubriaco?

«Non ricordo… non so… forse sì».

Come può non ricordare?

«Ne ho scattate altre».

L’ha ritoccata lei? Ha scritto “Son ciucco perso” sull’immagine incriminata?

«Non so che cosa risponderle».

La verità.

«Non so, non vorrei mettere in difficoltà qualcuno. Non le rispondo».

Il Garante della privacy ha disposto un’inchiesta. Manderà gli ispettori a Torino.

«Mai avrei pensato a tutto questo pasticcio. Sono così sconvolta che ho subito cancellato il mio profilo da Facebook. Non ci sono più, sul sito».

Da un eccesso all’altro, non pensa? Sarebbe bastato non pubblicare quelle foto chiaramente offensive. O toglierle.

«Giuro che non metterei mai l’immagine di un malato su Internet. Mai».

Scusi, come giudica un uomo ubriaco? Come lo definirebbe?

«Lei non sa come ci trattano, in pronto soccorso, i pazienti di questo genere. Ci dicono di tutto».

Il che l’autorizza a offenderli? Magari quell’uomo era «ciucco perso» per qualche ragione che non è l’alcolismo. Forse era disperato per qualcosa. In ogni caso: come può giudicare? Lei è un soccorritore e lui una persona che aveva bisogno di aiuto…

«Ha ragione, è vero. Non so che cosa dire. Ripeto che ho sbagliato, io sono una brava infermiera».

Lo dicono anche in ospedale. Anche il suo primario.

«Nessun paziente si è mai lamentato di me».

Che cosa pensa dell’infermiera che, sulla foto finita ieri sul giornale, ride accanto a quell’uomo ubriaco in barella?

«Non dico cose che riguardano altri colleghi. Penso a me stessa».

Settanta foto sono una discreta collezione online. Si rende conto che si espone a un’altra critica? Il tempo per scattare non sarà tempo tolto ai pazienti?

«Ci sono momenti in cui l’afflusso di pazienti in pronto soccorso è tale, e la nostra attività è talmente piena, che si cerca di tirarsi su. Siamo ogni giorno a rischio burn-out, alleggerire la tensione è fondamentale. Non dico che ridiamo dei pazienti e delle loro disgrazie, ma una foto un po’ ridicola tra noi, uno scatto a sorpresa che fa sorridere, aiuta ad allentare la tensione. E’ importante».

Entro un certo limite. Che lei ha superato.

«Ne pagherò le conseguenze»

L’esempio della casistica illustra bene le preoccupazioni del Garante per la privacy.

L’impatto sociale dei social network è impressionante e pieno di implicazioni sotto il profilo del diritto delle nuove tecnologie, a cui da sempre mi rivolgo con attenzione.

Fabio Bravo

www.fabiobravo.it

Offerte di lavoro via Internet. Monster, phishing e rischio di furto di dati dai CV

In un interessante articolo apparso tempo fa su «il correre della sicurezza» ha ripreso la notizia divulgata dai McAfee Avert Labs relativa alle tecniche per attingere dati personali di chi trasmette i propri CV via Internet in cerca di offerte di lavoro.

Il meccanismo è simile al phishing, ma l’obiettivo, anziché essere direttamente focalizzato sull’acquisizione dei dati relativi alla carta di credito o alle credenziali di accesso al conto corrente on-line, è rivolto all’acquisizione dei dati dei CV.

Oltre all’illecita acquisizione di dati personali da rivendere sul mercato (es. per azioni di marketing) ed al rischio del furto di identità, l’azione potrebbe essere dolosamente orientata con truffe mirate sulle esigenze espresse nei CV dai candidati in cerca di lavoro.

In altre parole, è possibile notare l’evoluzione delle tecniche di phishing e l’ampliamento del loro raggio di azione, che ora va a ricoprire anche il settore del placement.

L’incremento dei livelli di sicurezza e il ruolo svolto dalle modalità di gestione della privacy diventano, anche per la raccolta dei CV on-line, un elemento fondamentale per dare sicurezza al mondo imprenditoriale, commerciale ed industriale, che ricorre massivamente alla raccolta dei CV in formato elettronico, tramite Internet, ed ai soggetti che, spinti dalla ricerca di un lavoro, sono disposti a cedere i propri dati, ancor di più in questo periodo, ove la crisi economica fa sentire tutto il suo peso sui bilanci familiari.

Riporto di seguito i passaggi dell’articolo sopra citato, che mi sembrano interessanti per stimolare la riflessione sull’argomento:

«I McAfee Avert Labs hanno scoperto una nuova truffa di phishing indirizzata agli utenti di Monster.com, il popolare sito di annunci di lavoro. L’annuncio è stato dato dalla stessa azienda che, in un comunicato, ha spiegato che l’attrattiva dei siti di ricerca di lavoro e il valore delle informazioni personali a cui è possibile accedere violando questo tipo di siti sono noti da esperienze precedenti. (…)»

Con riferimento ai dati dell’operazione svolta ai danni di Monster ed alle tecniche utilizzate, si legge che

«Già ad agosto 2007, le informazioni personali di oltre 1,3 milioni di utenti di Monster.com sono stati rubati da alcuni cybercriminali attraverso un attacco lanciato da due server di un’azienda di Web hosting in Ucraina. Più di recente, Monster.com, assieme ad alcuni tra i principali siti di collocamento, sono stati oggetto di attacco da parte di una di gang russa nominata ‘Phreak’, che preleva i dati dei CV utilizzando uno strumento di selezione d’identità. Questa nuova truffa è indirizzata sia agli annunci di offerta che di ricerca e reclutamento degli utenti di Monster.com. E-mail che richiedono agli utenti di cliccare su un determinato link per aggiornare il proprio profilo sembrano essere legate direttamente al sito Monster.com, ma pare possano essere fatte risalire a un bot in Turchia. Tuttavia, è più probabile che questo tipo di truffa abbia un maggiore impatto sui datori di lavoro, poiché i responsabili della truffa cercano di ottenere l’accesso ai loro account e, di conseguenza, a centinaia o addirittura migliaia di CV».

L’articolo riporta altresì il commento di Greg Day, Security Analiyst di McAfee, per il quale

«I criminali informatici stanno cercando tecniche sempre più diversificate e sofisticate per ottenere informazioni che possono avere valore economico. I giornali pieni di news sulla flessione economica portano a una generale preoccupazione sui potenziali tagli di posti di lavoro, così molte persone ricorrono a Internet per trovare potenziali opportunità di lavoro e per ottenere qualche rassicurazione in questo attuale clima incerto. Purtroppo, i truffatori sono sempre più abili e attenti, come dimostrato dal recente afflusso di attacchi di phishing nel tentativo di sottrarre dati personali per ottenere l’accesso ai profili di persone in cerca di posti di lavoro on line o tentando le vittime attraverso la potenziale proposta di un posto di lavoro».

(…)

«Le conseguenze possibili in questo senso sono potenzialmente enormi. Se un cybercriminale è in grado di accedere a un gran numero di CV, le informazioni ottenute potrebbero essere facilmente utilizzate a intento doloso. Per i cybercriminali, infatti, i CV offrono una miniera di informazioni, e questo rappresenterebbe per loro un grande successo».

(…)

Qui è possibile vedere l’immagine di una delle e-mail inviate in stile phishing ai danni di Monster.

Fabio Bravo

www.fabiobravo.it

Crisi economica e licenziamenti nel settore tecnologico

ICT, Business e Labour Law mostrano collegamenti molto stretti.

In questo periodo di recessione mondiale e di grande crisi, anche i colossi multinazionali del settore tecnologico, collocati in una delle fette di mercato più fiorenti dell’economia, sono costretti a rivedere le proprie strategie sulle risorse umane.

Si registrano, da tempo, segnali allarmanti. Basta leggere le notizie diffuse dagli organi di stampa, che non risparmiano colossi come Microsoft, Sony Ericsson e Toshiba, tanto per fare alcuni esempi, che per la verità potrebbero continuare a lungo.

Ovviamente non è solo il settore tecnologico a risentire della crisi, dato che il trend si registra in tutti i settori, compreso quelli considerati tradizionalmente forti, come il settore farmaceutico. Il discorso non cambia, anzi, talvolta si fa ancora più drammatico, per le PMI. 

Le scelte imprenditoriali, ovviamente, non possono essere focalizzate esclusivamente su una gestione restrittiva delle risorse umane, che dovrebbero poter essere valorizzate, ma occorrono percorsi strategici differenziati, che vanno dalla formazione al marketing, dalla gestione dei crediti da recuperare alla gestione dei contenziosi (che generalmente aumentano nel periodo di crisi), dal ricorso a forme di finanziamento pubblico o agevolato a processi di riorganizzazione e riallocazione ottimale delle risorse umane, dalla reingegnerizzazione dei processi all’uso delle nuove tecnologie come fattore competitivo.

Davvero pregevole è, a tal proposito, l’iniziativa di formazione per gli imprenditori promossa dalla CNA di Cremona unitamente ad ECIPA Lombardia, il consorzio delle CNA lombarde dedicato alla Formazione.

Forse è proprio in tempo di crisi che dalla competizione concorrenziale si emerge investendo di più e non tagliando. La prospettiva è di andare incontro a perdite sicure nel breve periodo per ottenere vantaggi competitivi forti nel medio lungo periodo, in un’ottica di capitalizzazione degli investimenti.

Anche nel breve periodo, però, la crisi può essere affrontata con adeguati strumenti di consulenza legale e di gestione giudiziale e stragiudiziale dei problemi che l’esercizio d’impresa presenta.

Fabio Bravo

Nuove tecnologie e controllo dei lavoratori

Le nuove tecnologie finiscono sovente per essere usate di fatto, anche indirettamente, per controllare i lavoratori sul luogo di lavoro o nelle sue prossimità.

Uno dei problemi maggiormente avvertito concerne l’uso delle telecamere di videosorveglianza, di cui ora si fa un impiego massivo.

Sul tema è intervenuto il Garante per la privacy al termine di un’operazione di controllo sull’impiego dei dispositivi di videosorveglianza da parte di una cooperativa, disponendo il blocco del trattamento dei dati effettuato tramite videocamere collocate in aree di transito da parte dei lavoratori (aree di carico e scarico merci, box informazioni, zone circostanti, etc.).

Nel suo provvedimento il Garante per la protezione dei dati personali ha ribadito, come pubblicamente annunciato anche nella Newsletter n. 321 del 3 aprile 2009, che

«Non è lecito installare telecamente che possano controllare i lavoratori, anche in aree e locali dove si trovino saltuariamente. L’uso delle telecamenre sui luoghi di lavori deve rispettare in maniera rigorosa gli obblighi previsti danno Stato dei lavoratori, richiamati nel Codice della Privacy.

(…)

Il sistema di videosorveglianza può, infatti, configurarsi come forma di controllo a distanza dell’attività lavorativa, anche nel caso in cui i luoghi di alvori siano frequenati anche solo temporaneamente dal personale».

Aggiunge poi il Garante come anche la Suprema di Corte di Cassazione aveva avuto modo di confermare che

«il divieto di controllo a distanza dell’attività lavorativa “non è escluso dal fatto che il controllo sia destinato ad essere discontinuo perché esercitato in locali dove I lavoratori possono trovarsi solo saltuariamente”».

Ovviamente va precisato che le possibilità di controllo dei lavorati tramite strumenti di videosorveglianza non sono illecite a priori, ma vanno collocate entro i limiti di garanzia previsti dallo Statuto dei lavoratori e dal Codice in materia di protezione dei dati personali, in difetto dei quali il controllo diviene illecito.

Il caso è comunque interessante, perché ribadisce che non è sufficiente il posizionamento degli apparati di videoripresa in aree diverse da quelle di effettivo svolgimento dell’attività lavorativa per sottrarsi alle garanzie previste nello statuto dei lavoratori e nel Codice della privacy.

Fabio Bravo