Il silenzio di chi non ha voce

Un’anziana in una RSA. Da mesi non parla più. Nessun parente in zona, il figlio vive all’estero, non risponde mai al telefono. Il suo fascicolo elettronico è aggiornato ogni giorno, con dati sanitari, terapie, commenti comportamentali, fotografie per monitoraggio clinico. L’infermiere compila, l’educatore legge, il medico firma, la cooperativa appalta, il gestionale archivia, la Regione controlla. Tutto digitale. Tutto regolare.

Potrebbe interessarti > Fascicolo Sanitario Elettronico e schedatura sanitaria?

Ma chi ha mai chiesto davvero il consenso a quella donna? Chi ha verificato se il figlio è stato informato, se ha capito, se ha autorizzato qualcosa? Un ragazzo di quattordici anni vive in una comunità educativa. Padre assente, madre con problemi di dipendenza. Frequenta la scuola, vede uno psicologo, partecipa a un progetto con un'associazione sportiva. Ogni passo lascia una traccia: schede, relazioni, e-mail, verbali, allegati. Tutto memorizzato. Tutto condiviso. Ma con chi? Chi controlla chi legge quei dati? E soprattutto: chi li tutela?

La verità è che ci sono milioni di persone come anziani fragili, minori soli, pazienti in carico ai servizi, disabili psichici, detenuti, senzatetto, che non possono esprimere un consenso vero, libero, informato. Non perché manchino le norme. Il GDPR prevede tutele specifiche per i minori, per i soggetti fragili, per i dati sensibili. Il Codice Privacy e le linee guida delle autorità nazionali parlano chiaramente di protezione rafforzata. Ma la protezione non si fa da sola. E spesso si ferma sulla soglia dell’ufficio, della struttura, del server.

Ci sono amministrazioni che archiviano i dati di persone che non hanno un tutore nominato, e nemmeno un familiare rintracciabile. Cooperative che inviano report settimanali con nome e cognome dei minori ospiti, allegando PDF via mail a destinatari multipli, perché “così si è sempre fatto”. Aziende sanitarie che installano sistemi di tracciamento nei reparti psichiatrici per “ragioni di sicurezza”, dimenticando che ogni dato è una persona. E nessuno si ferma a chiedere: questo trattamento, a chi serve davvero? È proporzionato? È rispettoso?

Nel mondo reale, il consenso spesso non esiste. Non per malafede, ma per inerzia. E allora, chi gestisce quei dati, dirigente, operatore, DPO o imprenditore, deve farsi carico anche di quello che la legge non esplicita, ma che il buon senso impone: pensare per chi non può farlo. Tutelare chi non può protestare. Limitare l’accesso, ridurre la circolazione, custodire ciò che non può essere difeso da chi lo genera.

Ma c’è un’altra categoria, ancora più trascurata. Quella di chi non c’è più. I morti. I dati personali delle persone decedute non muoiono con loro. Restano. Nei sistemi informatici, nei backup, nei profili social, nei referti digitali, nei cloud aziendali. Restano nelle chat, nei messaggi vocali, nelle mail. E continuano a essere trattati, duplicati, trasmessi, talvolta anche venduti. Chi se ne occupa? Chi li cancella, o decide di conservarli, o li usa per addestrare un algoritmo, o li analizza per fare statistiche?

Potrebbe interessarti > La protezione del dato di chi non c'è più

Il GDPR non protegge direttamente i dati delle persone decedute. In Italia, l’art. 2-terdecies del Codice Privacy prevede che i diritti sui dati possano essere esercitati dai soggetti che hanno un interesse proprio o agiscono per ragioni familiari meritevoli di tutela. Ma nella pratica? Spesso nessuno fa nulla. I sistemi continuano a girare, le notifiche arrivano, i dati circolano. E quella che era una persona si riduce a un residuo digitale gestito da automatismi.

Abbiamo accettato l’idea che il corpo venga sepolto, ma il profilo resti aperto. Che il paziente muoia, ma il gestionale lo mantenga attivo. Che il cliente venga meno, ma il CRM continui a processarne preferenze, gusti, ordini. Nessuno sa dove finiscono davvero quei dati. Né chi se ne assuma la responsabilità.
Il vero test della privacy non è nei banner dei siti o nei trattamenti standard. È nei margini, nei casi scomodi, nei silenzi.

Conclusione

La differenza tra una gestione dignitosa e una gestione automatica non la fanno le procedure, ma le scelte quotidiane. Il rispetto non si scrive con un “flag” su un modulo. Si misura su come trattiamo chi non può più dirci nulla. E chi lavora con i dati, oggi, deve smettere di pensare solo a chi firma le informative. Deve iniziare a preoccuparsi di chi non ha mai firmato niente, e nemmeno potrà farlo mai più. Se la privacy è un diritto, la sua vera prova non è nel rumore di chi protesta. È nel silenzio di chi non può parlare.

E in quel silenzio, siamo soli con la nostra coscienza.