Registro dei provvedimenti
n. 29 del 25 gennaio 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);
Visto il provvedimento generale in materia di videosorveglianza adottato dal Garante l'8 aprile 2010, pubblicato in G.U. n. 99 del 29 aprile 2010 e consultabile sul sito Internet www.garanteprivacy.it, doc. web n. 1712680;
Viste le note con le quali la Fondazione Onlus Mazzali ha chiesto la verifica preliminare, ai sensi dell'art. 17 del Codice, in relazione al trattamento dei dati personali che intende effettuare attraverso un sistema di monitoraggio a distanza di pazienti in condizioni di non auto-sufficienza;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;
Relatore la prof.ssa Licia Califano;
PREMESSO:
La Fondazione Onlus Mazzali ha chiesto una verifica preliminare, ai sensi dell'art. 17 del Codice, in relazione al trattamento di dati che intende effettuare attraverso un sistema articolato basato su sistemi di localizzazione e videosorveglianza, che consentirebbe al personale sanitario di controllare, anche a distanza, in particolari situazioni, i pazienti ospiti della residenza sanitario-assistenziale in condizione di totale non autosufficienza.
In particolare, il sistema prevederebbe che il paziente indossi un bracciale o una cavigliera, che contiene un dispositivo beacon, basato su tecnologia bluetooth a bassa emissione di energia, e un misuratore di frequenza cardiaca. La localizzazione del soggetto avverrebbe soltanto in caso di specifici eventi, al verificarsi dei quali risulterebbe necessario conoscere la posizione specifica del soggetto: in caso di allontanamento del paziente dal reparto o di accesso ad aree precluse, come ad esempio, la farmacia della struttura o in caso di rilevazione di un'alterazione della frequenza cardiaca.
In quest'ultimo caso, oltre la localizzazione, si attiverebbe la "telecamera di zona", ossia la telecamera più vicina alla posizione corrente del paziente, con registrazione delle immagini per circa 30 minuti e con invio di un messaggio di allerta al personale, al fine di consentirgli di valutare la necessità di un pronto intervento.
Analogamente, nel caso in cui il paziente si allontani dal reparto (o acceda ad aree allo stesso precluse), la localizzazione dello stesso consentirebbe al personale sanitario, allertato da un allarme trasmesso alla postazione nella guardiola, di raggiungerlo e di intervenire a garanzia della sua incolumità.
Con riferimento alle finalità che si intendono perseguire tramite il predetto sistema di controllo remoto, è stato rappresentato che lo stesso è stato progettato per consentire un monitoraggio a distanza di quegli ospiti, preventivamente individuati, che hanno condizioni fisico/mentali tali da esigere un controllo continuo, considerata l'estrema difficoltà di sorvegliarli singolarmente, a causa della grandezza e della particolare conformazione articolata (stanze, palestra, sala da pranzo, salotti, cappelle, aule laboratorio, cortili e giardini) della struttura.
OSSERVA
1. L'istanza della Fondazione Onlus Mazzali
La Fondazione Onlus Mazzali ha rappresentato a questa Autorità di voler attivare un sistema di localizzazione e di videosorveglianza per consentire al personale sanitario di controllare, anche a distanza, i pazienti ospiti della residenza sanitario-assistenziale in condizione di totale non autosufficienza; in particolare, la predetta Fondazione ha richiesto la verifica preliminare di questa Autorità, ai sensi dell'art. 17 del Codice, in relazione al trattamento di dati personali e sensibili che si intende effettuare attraverso il citato sistema. I dati rilevati sarebbero la frequenza cardiaca, la cui eventuale alterazione rispetto a parametri di soglia predefiniti per ciascun paziente, per fini di prevenzione, diagnosi e cura degli ospiti, attiverebbe un sistema di videosorveglianza, nonché gli spostamenti degli stessi in caso di allontanamento o ingresso in specifici luoghi della struttura, al fine di assicurare l'incolumità degli interessati.
1.1. La predetta Fondazione, per spiegare le ragioni in base alle quali ritiene indispensabile l'utilizzo del predetto sistema, ha dichiarato che:
"considerate le esigenze residenziali dei soggetti ospiti, la struttura è conformata in modo da simulare una struttura alberghiera con stanze separate, molti ambienti distinti tra palestra, sala da pranzo, salotti, cappelle, aule laboratorio, cortili e giardini; inoltre molte sono le attività ricreative e di socializzazione con lo scopo di attenuare il regime di controllo ospedaliero e rendere accogliente quanto più possibile il soggiorno; contemporaneamente molti ospiti hanno condizioni fisico/mentali tali da esigere un controllo continuo; il possibile controllo alternativo per esercitare tale controllo potrebbe essere quello di utilizzare un sorvegliante persona fisica, ma ciò non costituisce una valida soluzione ai seguenti problemi:
- la conformazione articolata e la grandezza della struttura: questa imporrebbe un sorvegliante per assistito; il rapporto 1 a 1 non sarebbe sostenibile e non solo per i costi connessi, ma anche per gli effetti psicologici collaterali;
- limitazione della libertà dell'interessato: con un sorvegliante persona fisica l'interessato sarebbe "osservato" e "ascoltato" in ogni istante del suo tempo nel complesso della sua esistenza; ad es: quando svolge le funzioni quotidiane e quando si relaziona con altri ospiti; ma anche nei momenti di necessaria solitudine (es. meditazione/preghiera), il suo diritto alla riservatezza sarebbe comunque fortemente limitato".
Quindi si ritiene che la condizione di continua sorveglianza non sia realizzabile se non con l'ausilio di macchine che sostituiscano la presenza del sorvegliante persona fisica e possano «selezionare cosa monitorare»".
E' stato, inoltre, precisato che la necessità di una sorveglianza costante, attraverso i predetti bracciali, non è prevista indistintamente per tutti gli ospiti, ma soltanto per i soggetti le cui patologie sono connesse a perdita di capacità mentali di diverso grado fino a giungere a uno stato confusionale tale da costituire, per sé e per gli altri, un pericolo con il rischio di rapide degenerazioni, squilibri e crisi repentine; tale condizione è "individuata da una commissione interna presieduta dal medico responsabile di struttura; la valutazione sarà annotata e motivata per iscritto nonché condivisa con i responsabili di riferimento (es. delegati, amministratori di sostegno, curatori)".
1.2. Con riferimento alla localizzazione del soggetto, è stato precisato che il sistema è idoneo a conoscere la posizione del paziente nella struttura in uno specifico momento, ma non ne memorizza la posizione immediatamente precedente. Non è, pertanto, in grado, di per sé, di tracciare i percorsi, non acquisendo lo storico delle posizioni; può intendersi, infatti, come un "radar" che rileva la posizione all'interno di una mappa definita, rappresentata dalla struttura. Ove, invece, venisse segnalata un'alterazione della frequenza cardiaca, con conseguente accensione della telecamera della zona in cui è posizionato il paziente e registrazione delle immagini per circa trenta minuti, il percorso eventualmente effettuato dal paziente, che deambulasse, ad esempio, lungo un corridoio, sarebbe registrato dalle telecamere di zona che si attiverebbero, in successione, una dopo l'altra.
1.3. La medesima Fondazione ha, altresì, fornito indicazioni in ordine all'informativa da fornire agli interessati e al consenso da acquisire, evidenziando che "il titolare intende utilizzare una informativa e un consenso specifici e ulteriori rispetto a quello già fornito dall'interessato all'atto di ingresso in struttura" e che "il consenso sarà facoltativo; sempre revocabile; circoscritto alla struttura fisica che materialmente ospita l'interessato e non includerà strutture terze nemmeno se giuridicamente collegate; il titolare, nella raccolta del consenso, non intende avvalersi delle modalità semplificate di cui all'art. 81 e 82 in quanto provvederà sempre ad una informativa preventiva e alla raccolta del consenso scritto autografo da parte dell'interessato oppure da parte di uno dei soggetti indicati nell'art. 82 (es.: colui che esercita legale potestà, familiare, congiunto)."
1.4. Quanto alla designazione del soggetto che fornisce il servizio di monitoraggio, quale responsabile del trattamento dei dati in questione, il titolare ha dichiarato che il predetto soggetto "dovrà rilasciare una dichiarazione di conformità del sistema alle norme di sicurezza individuate dal d.lgs. n. 196/2003; (..) sarà nominato responsabile del trattamento con le mansioni di amministratore di sistema nei limiti del profilo della affidabilità e sicurezza del sistema per l'assicurazione del rispetto dei requisiti di procedura stabiliti in accordo con le disposizioni del titolare, del Resp. Privacy della struttura e del Resp. del progetto di monitoraggio con braccialetto".
1.5. Le misure previste dalla Fondazione, al fine di garantire la dignità dei pazienti e il rispetto dei principi di finalità e proporzionalità nel trattamento dei dati, riguardano:
- la limitazione della registrazione delle immagini solo in caso di rilevazione di anomalia cardiaca e per un tempo non superiore a 30 minuti;
- l'accessibilità alle immagini eventualmente registrate al solo soggetto designato come responsabile del progetto;
- la temporaneità della conservazione dei dati (72 ore dalla registrazione) e l'automatismo della cancellazione, salvo l'eventuale verificarsi di condizioni che richiedano la conservazione delle immagini per esigenze di prova in specifici procedimenti;
- la sistematicità della formazione del personale, con organizzazione di eventi formativi specifici e periodici;
- l'impegno a informare sul funzionamento del sistema:
• gli interessati, ospiti e familiari, attraverso la redazione di materiale informativo specifico, l'organizzazione di incontri individuali nonché di una struttura di ascolto per dubbi, reclami e verifica periodica del consenso;
• i lavoratori e le rappresentanze sindacali ai fini dell'espletamento degli adempimenti previsti dall'art. 4 dello Statuto dei lavoratori (legge 20 maggio 1970, n. 300);
- la verifica dell'affidabilità del sistema in termini di misure di sicurezza, di efficacia delle procedure di cancellazione dei dati, di inviolabilità dei dispositivi, di programmazione di un sistema di verifiche periodiche ad opera del responsabile designato con funzioni di amministratore di sistema.
1.6. [OMISSIS]
2. Verifica preliminare e tecnologia utilizzata
2.1. In via generale il Codice prevede che debba essere effettuata una verifica preliminare del Garante, anche a seguito di un interpello del titolare, con riferimento al trattamento dei dati personali -diversi da quelli sensibili e giudiziari- che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, al fine di consentire all'Autorità di prescrivere, ove necessario, ulteriori misure ed accorgimenti a garanzia dell'interessato (art. 17).
Si fa inoltre presente che, a partire dal 25 maggio 2018, sarà applicabile il Regolamento (UE) 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE), il quale stabilisce che quando un tipo di trattamento, allorché preveda in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare, prima di procedere al trattamento, è tenuto ad effettuare una valutazione dell'impatto sulla protezione dei dati personali (art. 35).
In tale quadro, con riferimento all'ipotesi generale di cui all'art. 17 del Codice, si rileva che il trattamento di dati personali che la Fondazione Onlus Mazzali intende effettuare tramite il sistema descritto in premessa non deve essere sottoposto alla verifica preliminare del Garante, in quanto riguarda un trattamento dei dati personali di natura sensibile. Le informazioni eventualmente rilevate, infatti, facendo riferimento alla frequenza cardiaca e all'allontanamento o all'ingresso in specifici luoghi della struttura da parte dei pazienti a seguito di significative perdite delle loro capacità mentali, sono idonee a rivelarne lo stato di salute.
Pertanto, i trattamenti dei predetti dati devono essere effettuati nell'osservanza dei presupposti e dei limiti stabiliti dal Codice per i trattamenti in ambito sanitario (art. 26 e Titolo V del Codice).
Va considerato, però, che la finalità perseguita nel caso di specie, volta a tutelare l'incolumità fisica degli interessati mediante il trattamento di dati e l'effettuazione di operazioni che risultano indispensabili al perseguimento di tale scopo (come motivato in atti dal richiedente, con specifico riferimento alla struttura particolarmente articolata ed estesa), appare lecita alla luce della disciplina in materia di protezione dei dati personali, tenuti altresì in conto gli accorgimenti che il titolare del trattamento ha dichiarato di voler adottare. Al fine di poter lecitamente effettuare il trattamento in questione, e considerati i rischi sotto il profilo della tutela dei diritti e delle libertà fondamentali, nonché della dignità degli stessi interessati, il Garante ritiene, comunque, opportuno prescrivere alla Fondazione Onlus Mazzali alcune misure ulteriori con riferimento al complessivo trattamento dei dati personali degli interessati (cfr. punto 4).
2.2. Come sopra descritto, il sistema prospettato utilizza dispositivi beacon. Tali dispositivi consentono, attraverso la tecnologia bluetooth, di trasmettere e ricevere piccoli messaggi, entro brevi distanze, constando di un presentatore o trasmettitore (dispositivo beacon) e un ricevitore che rileva i messaggi dei sensori beacon, attivando, ove programmate, specifiche funzioni. L'informazione fornita dai beacon consiste in un UUID (Universally unique identifier), che costituisce un identificatore di eventi univoco. Il ricevitore, acquisite le informazioni, consente di rilevare la distanza dai trasmettitori e azionare dei comandi, come, ad esempio, avviare una registrazione, inviare avvisi, allarmi, ecc.
3. Valutazione del Garante in relazione ai presupposti di liceità e proporzionalità del trattamento
3.1. La Fondazione Mazzali, di diritto privato, persegue come scopo istituzionale quello dell'assistenza sociale e sanitaria nei confronti di persone adulte e/o anziani di ambo i sessi, disabili, fragili, non autosufficienti totalmente o parzialmente, sofferenti di limitazioni nell'esercizio delle comuni funzioni psichiche o fisiche e provvede ad erogare prestazioni in regime ambulatoriale, diurno, notturno, o a degenza piena e curando il mantenimento del loro buono stato di salute (artt. 1 e 2 dello Statuto).
Le finalità perseguite dalla predetta Fondazione, in qualità di titolare del trattamento, attraverso il descritto sistema congiunto di localizzazione e di videosorveglianza hanno ad oggetto la prevenzione, diagnosi e cura dei pazienti in condizioni di totale non autosufficienza, attraverso il monitoraggio di eventuali anomalie cardiache degli stessi, nonché la tutela della loro incolumità (rilevando la loro presenza in determinate aree). Per il perseguimento delle predette finalità, che risultano determinate, esplicite e legittime, la predetta Fondazione può trattare dati personali (artt. 4, comma 1, lett. f); 11, comma 1, lett. b);cfr. anche punto 2 del provvedimento generale dell'8 aprile 2010 in materia di videosorveglianza).
Ciò premesso, in conformità alle previsioni del Codice, essi possono essere pertanto effettuati con il consenso dell'interessato, previa idonea informativa sul trattamento dei dati (artt. 13, 26 e 75 e ss. del Codice).
Tale presupposto giuridico risulta sussistente, nel caso in esame, in quanto la Fondazione fornisce una specifica informativa per il trattamento dei dati effettuato attraverso i predetti sistemi, rispetto alla quale viene richiesto un autonomo consenso scritto degli stessi pazienti (o del legale rappresentante in caso di incapacità di intendere e di volere), facoltativo e sempre revocabile, senza che l'eventuale diniego comporti l'estromissione dalla struttura.
3.2. Nondimeno, ancorché il trattamento preveda l'acquisizione del consenso degli interessati, non può non rilevarsi che i predetti sistemi che utilizzano dispositivi di localizzazione da essere indossati (braccialetto o cavigliera), da soggetti che si trovano in uno stato di grave deficit cognitivo, sollevano, in quanto tali, problematiche estremamente delicate. Tali sistemi, infatti, ancor più ove comportino il trattamento anche di dati sulla salute, pur essendo volti a ricercare il più alto livello di autonomia e di qualità della vita per gli interessati, sono, in astratto, suscettibili di recare gravi pregiudizi agli stessi, in particolare, sotto il profilo della tutela della dignità. Si impone, pertanto, una rigorosa valutazione di proporzionalità del trattamento dei dati personali effettuato tramite i sistemi sopra descritti.
Ciò premesso, allo stato degli elementi acquisiti, si evidenzia che:
- la conformazione articolata e la grandezza della struttura non consentono un agevole controllo di tutti i pazienti;
- la rilevazione dei dati di localizzazione non è sistematica ma avviene solo al verificarsi di alcuni eventi predeterminati, che possono esporre l'ospite al pericolo (alterazione del suo parametro cardiaco e allontanamento o ingresso in specifiche aree);
- l'utilizzo dei predetti dispositivi è previsto soltanto per gli ospiti che, a giudizio di una commissione interna presieduta dal medico responsabile della struttura, sono nella condizione di perdita di capacità mentali tale da costituire per sé e per gli altri un pericolo (stato confusionale, crisi repentine, ecc.);
- il sistema di localizzazione rileva il percorso soltanto nel caso in cui vengano attivate le telecamere di zona in successione, in quanto memorizza solo l'ultima informazione rilevata, ovvero la posizione del soggetto in un determinato istante, ma non ne traccia la posizione dell'istante immediatamente precedente e, quindi, non registra lo storico della posizione;
- l'eventuale rilevazione della posizione geografica avviene solo all'interno della struttura che è stata mappata, ma non all'esterno della stessa;
- sono previste attività di informazione periodiche e sistematiche per gli interessati, i loro familiari e per il personale, sia prima che dopo l'attivazione del sistema.
Per queste ragioni, il sistema descritto si ritiene adeguato in relazione al suo impiego in casi limitati, per comprovate e giustificate esigenze, a tutela della salute e dell'incolumità degli interessati.
4. Ulteriori garanzie a tutela degli interessati
Tenuto conto, tuttavia, della speciale delicatezza dei trattamenti di dati personali e preso atto delle misure e degli accorgimenti prospettati (con particolare riferimento alle misure di sicurezza indicate nel punto 1.6), il Garante ritiene necessario prescrivere alla Fondazione Onlus Mazzali, in relazione al trattamento di dati che intende effettuare, le ulteriori misure e accorgimenti, di seguito indicati, a garanzia degli interessati:
1. il dispositivo deve essere applicato con le modalità che risultino più accettabili da parte di ciascun paziente, anche con riferimento alla sua collocazione (polso o cavigliera);
2. il giudizio della commissione interna, che ha ritenuto di richiedere una sorveglianza continua per determinati pazienti, da realizzarsi anche attraverso l'utilizzo dei predetti sistemi, deve essere oggetto di valutazione periodica, in funzione delle condizioni specifiche del singolo paziente;
3. ove possibile, l'informativa dovrebbe essere fornita al paziente, secondo le sue possibilità di comprensione e discernimento;
4. almeno settimanalmente, deve essere verificata la regolarità del funzionamento e la corretta attribuzione del braccialetto al singolo paziente, al fine di accertare che non si siano verificati scambi o altri comportamenti che possano inficiare la funzionalità del dispositivo.
TUTTO CIO' PREMESSO IL GARANTE
ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive alla Fondazione Onlus Mazzali, in relazione al trattamento che intende effettuare, le misure e gli accorgimenti indicati nel punto 4 del presente provvedimento, al fine di rendere il predetto trattamento conforme alle disposizioni vigenti in materia di protezione dei dati personali.
Roma, 25 gennaio 2018
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia