Ammissibili i sistemi di controllo a distanza tramite braccialetto elettronico, per i pazienti di struttura sanitaria in situazione di grave disabilità psico/fisica

riferimenti normativi: art 13, 17, 26, 75, 154 comma 1, lettera c, del Codice in materia di protezione dei dati personali

Fatto

Una fondazione di diritto privato, che opera in ambito sanitario prestando assistenza sociale e sanitaria a persone disabili e non autosufficienti anche parzialmente, aveva chiesto al Garante per la protezione dei dati personali una verifica preliminare sul trattamento dei dati personali e sensibili che intendeva effettuare attraverso l’utilizzo di strumenti di localizzazione e videosorveglianza.

In particolare, la struttura sanitaria voleva dotare di braccialetti (o cavigliere) e di misuratore di frequenza cardiaca quei pazienti in condizioni fisico/mentali tali da necessitare un controllo constante, al fine di poter intervenire tempestivamente in caso di pericolo.

Il sistema di localizzazione, infatti, si sarebbe attivato solo al verificarsi di determinati eventi, come l’allontanamento del paziente dal reparto o l’accesso in aree vietate, permettendo ai sanitari di intervenire a tutela dell’incolumità del paziente.

Inoltre attraverso il rilevatore cardiaco, in caso di alterazione della frequenza, si sarebbe attivato un sistema di videosorveglianza (attraverso delle telecamere posizionate all’interno della struttura), eventualmente in rapida successione laddove il paziente si muovesse, che avrebbe permesso ai sanitari di valutare la situazione e decidere l’eventuale intervento.

Alla luce della richiesta di verifica preliminare avanzata dalla fondazione, il Garante ha provveduto a valutare le informazioni fornite dalla Fondazione sul sistema utilizzato al fine di accertare l’eventuale violazione della normativa in materia di privacy.

In questa fase preliminare la fondazione aveva fornito al Garante alcuni chiarimenti, circa: i) le finalità del trattamento, (ii) la tipologia di pazienti a cui sarebbero stati applicati gli strumenti di controllo; (iii) il funzionamento di detti strumenti e la conservazione dei dati acquisiti; (iv) l’informativa fornita agli interessati del trattamento; (v) l’attivazione della procedura prevista dall’art 4 dello Statuto dei lavoratori con le organizzazioni sindacali. 

In particolare, la Fondazione:

• aveva chiarito che l’utilizzo degli impianti di localizzazione e di videosorveglianza aveva l’obiettivo di monitorare eventuali anomalie cardiache dei pazienti in condizioni di totale non autosufficienza nonché di apprestare una più generica tutela dell’incolumità degli stessi, possibile solo, viste le dimensioni della struttura, attraverso l’utilizzo di sistemi di controllo elettronico a distanza;
• aveva altresì chiarito che i dispositivi di controllo non sarebbero stati dati in dotazione a tutti i pazienti presenti nella struttura, ma solo a quei pazienti ritenuti da una commissione medica istituita ad hoc in condizioni psico/fisiche non sufficienti, tali da poter mettere in pericolo se stessi o altri;
• aveva escluso la possibilità per i sistemi di controllo di memorizzare lo storico della posizione del paziente, permettendo soltanto di individuarlo nella mappa, che tra l’altro è limitata alla sola struttura sanitaria (con esclusione di qualsiasi zona esterna ad essa);
• In ultimo aveva specificato che il consenso richiesto agli interessati per il trattamento dei dati personali era facoltativo e sempre revocabile, ed il mancato consenso non poteva essere considerato, dunque, condizione di esclusione dalla struttura.

La decisione del Garante

Il Garante, analizzata l’istanza ricevuta e valutate le informazioni rese, ha considerato complessivamente lecito il trattamento dei dati personali di natura sensibile effettuato dalla Fondazione attraverso l’utilizzo di sistemi di localizzazione e videosorveglianza, ciononostante ha ritenuto necessario prescrivere alcune ulteriori misure da adottare (oltre a quelle già previste dalla stessa Fondazione istante).

In particolare, il Garante, valutate legittime le finalità perseguite dalla Fondazione attraverso l’utilizzo degli impianti di localizzazione e videosorveglianza, e ritenuta confacente alle prescrizioni legali l’informativa consegnata agli interessati al trattamento dei dati – per il quale veniva richiesto un autonomo consenso scritto, facoltativo e sempre revocabile – ha ritenuto che la Fondazione in qualità di titolare potesse legittimamente trattare i dati personali di natura sensibile.

Per quanto riguarda, invece, le ulteriori misure e accorgimenti prescritte a tutela degli interessati al trattamento, il Garante nello specifico ha chiesto alla Fondazione:

• di aver cura delle modalità con cui viene applicato lo strumento di controllo (braccialetto o cavigliera), garantendo o delle modalità che risultino più accettabili da parte di ogni paziente;
• di sottoporre a revisione periodica la valutazione della commissione interna sulla necessità di sottoporre a controllo il singolo paziente;
• di consegnare personalmente al singolo paziente, nel limite delle sue facoltà di comprensione, l’informativa sul trattamento dei dati;
• di verificare settimanalmente il regolare funzionamento del dispositivo e la corretta attribuzione del braccialetto al paziente, per scongiurare che non vi siano stati scambi tra pazienti o che non vi siano stati altri comportamenti volti ad inficiare la funzionalità del dispositivo.

Volume consigliato

Potrebbe anche interessarti Nuova Privacy dopo il 25 maggio: partecipa all’evento Web