privacy e sanità

Telecamere in corsia: regole e cautele per proteggere i pazienti

Home Sanità digitale
Indirizzo copiato

La videosorveglianza negli ospedali offre sicurezza, ma solleva dubbi su privacy e diritti. È essenziale bilanciare protezione e rispetto della normativa GDPR per tutelare pazienti e operatori sanitari, evitando ingerenze indebite

Pubblicato il 10 dic 2024
Simona Custer

A&A Studio Legale

Sara Della Piazza

A&A Studio Legale

Telecamere in corsia (1)

Sono diverse le esigenze che spingono società ed enti a installare sistemi di videosorveglianza. Si pensi, ad esempio, alla necessità di proteggere il patrimonio aziendale o di tutelare la sicurezza dei lavoratori, nonché, per ospedali o luoghi di cura (soprattutto in determinati reparti e ambienti), di garantire maggior protezione alla salute e alla sicurezza di pazienti od ospiti.

Sistemi di videosorveglianza al lavoro: guida pratica alla compliance

In ogni caso e a prescindere dalla finalità che conduce i vari soggetti all’installazione e al successivo utilizzo dei sistemi di videosorveglianza, è fondamentale non solo prestare attenzione affinché detti sistemi non comportino un’ingerenza ingiustificata nei diritti e nelle libertà delle persone riprese – soprattutto se fragili – ma anche tenere in considerazione i numerosi aspetti connessi alla protezione dei dati personali, al fine di garantire il rispetto della normativa vigente.

Videosorveglianza: le disposizioni normative da rispettare

    Come noto, la raccolta, la registrazione, la visualizzazione, la conservazione e, in generale, l’utilizzo delle immagini rilevate da un sistema di videosorveglianza sono tutte operazioni che configurano una serie di trattamenti di dati personali.

    Tali operazioni – per essere considerate lecite – devono essere effettuate nel rispetto delle disposizioni contenute nel Regolamento (UE) 2016/679 (GDPR), nelle Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video dello European Data Protection Board (EDPB) e nel Provvedimento n. 467 del 08.04.2010 del Garante per la protezione dei dati personali. Nello specifico, i titolari del trattamento hanno l’onere di verificare la liceità e la proporzionalità del trattamento, tenendo conto sia del contesto in cui questo viene attuato, sia delle finalità perseguite, oltre che del rischio che la sua attuazione potrebbe comportare per i diritti e le libertà delle persone fisiche.

    Ma non solo. Devono essere rispettate ulteriori disposizioni normative, quali quelle civili e penali in materia di interferenze illecite nella vita privata, nonché quelle in materia di controllo a distanza dei lavoratori sancite dalla L. 300/1970 (c.d. Statuto dei Lavoratori).

    Videosorveglianza in ambito sanitario

    L’installazione di sistemi di videosorveglianza presso ospedali deve essere attuata con molta cautela. Se da un lato, infatti, tali sistemi possono essere certamente utili per monitorare le condizioni di salute dei pazienti e garantirne una maggiore sicurezza e prontezza di intervento degli operatori sanitari (si pensi, ad esempio, alle telecamere ubicate all’interno dei reparti di rianimazione o dei locali del pronto soccorso), dall’altro comportano un trattamento di dati personali e particolari.

    In considerazione di ciò, è quindi ovvio che l’installazione di tali sistemi nei predetti ambienti dovrà non solo essere limitata a quei casi di comprovata indispensabilità, ma dovrà altresì trovare un giustificato fondamento nelle basi giuridiche previste dal GDPR sia per i dati personali, che per quelli particolari.

    Inoltre, il titolare sarà tenuto a utilizzare il sistema unicamente per quei motivi che ne hanno comportato l’installazione e non anche per altre finalità.

    Leggermente diverso, invece, lo scenario che si configura qualora si avverta la necessità di installare sistemi di videosorveglianza all’interno di strutture socio sanitarie e/o socio assistenziali e, più precisamente, nelle stanze ove sono ricoverati gli ospiti per fini connessi proprio alla loro sicurezza. In questo caso si pongono, infatti, alcune questioni sia di natura etica, oltre che giuridica.

    Sono due, infatti, gli aspetti che non possono essere trascurati: il monitoraggio costante delle persone “fragili” malate o disabili interferisce:

    • con loro riservatezza, intimità e dignità,
    • con lo svolgimento delle attività del personale socio sanitario, in quanto realizza un controllo a distanza dell’attività lavorativa.

    Occorre, quindi, trovare un giusto equilibrio tra la finalità di sicurezza perseguita e gli aspetti sopra indicati: in che modo?

    Raccomandazioni emanate dalla CNIL

    Al riguardo possono essere di aiuto le Raccomandazioni emanate dalla CNIL, ove viene evidenziato che – per garantire l’incolumità degli ospiti in caso di caduta o di incidente – possono essere adottati sistemi alternativi a quelli di videosorveglianza (ad esempio, sensori posti sotto il pavimento o bracciali in grado di rilevare le cadute).

    La CNIL continua, poi, affermando che le telecamere possono essere installate solo nell’ambito di un’indagine per maltrattamenti. In quest’ultimo caso, il titolare del trattamento deve, però, garantire l’implementazione di misure di sicurezza adeguate, quali la limitazione nel tempo delle riprese, la disattivazione in caso di visite dei parenti, il divieto di ripresa nei bagni e nelle docce, ecc..

    Adempimenti privacy da realizzare

    In ogni caso, quali sono gli adempimenti che il titolare del trattamento deve porre in essere?

    Fermi restando gli adempimenti giuslavoristici a cui occorre dar corso nel caso in cui l’installazione del sistema di videosorveglianza comporti un controllo a distanza dell’attività dei lavoratori (stipula di un accordo con le rappresentanze sindacali o ottenimento dell’autorizzazione rilasciata da parte della sede competente dell’Ispettorato Nazionale del Lavoro), il titolare deve, poi, concentrarsi sugli adempimenti in materia di protezione dei dati personali.

    Prima che il trattamento dei dati abbia inizio, infatti, il titolare deve autonomamente valutarne la conformità ai principi sanciti dalla normativa vigente, mediante la realizzazione di una valutazione d’impatto (DPIA), che contiene oltre che una descrizione del trattamento, anche una sua analisi sotto il profilo del rischio per i diritti e le libertà degli interessati con previsione delle misure di sicurezza tecniche ed organizzative idonee a contenente il predetto rischio. Attenzione, però, che qualora le misure indicate non dovessero risultare adeguate ad eliminare o, quantomeno, contenere il rischio, il titolare dovrà preventivamente consultare il Garante per la protezione dei dati personali.

    Il titolare del trattamento, inoltre, deve:

    • aggiornare il registro delle attività di trattamento, inserendo anche detto trattamento.
    • fornire un’informativa minima (cd. di primo livello), ovvero prevedere in prossimità del raggio di azione delle telecamere e in modo ben visibile un segnale di avvertimento, che avvisi della presenza del sistema di videosorveglianza. Attenzione, però, che il segnale di avvertimento deve contenere una serie di informazioni ben precise, tra cui l’identità del titolare del trattamento, la finalità e la base giuridica, i diritti riconosciuti all’interessato, il periodo di conservazione dei dati e se questi vengono trasmessi a terzi, oltre che oltre che il riferimento alle informazioni di secondo livello;
    • rendere un’informativa estesa (cd. di secondo livello), che contenga tutti gli elementi richiamati dall’art. 13 del GDPR, in cui dovranno essere dettagliatamente riportate tutte le informazioni richieste dalla normativa privacy. Tale informativa dovrà essere resa ai terzi che possono accedere alle aree sorvegliate (ad esempio, mediante affissione), ai lavoratori coinvolti nelle riprese, nonché agli utenti, nel caso di strutture sanitarie;
    • stabilire un periodo di conservazione dei dati rispettoso dei principi di minimizzazione e di limitazione della conservazione. Nello specifico, la conservazione deve essere limitata a poche ore (24 o 48 ore); l’ulteriore conservazione è, infatti, consentita in pochi casi ben determinati ed individuati dal Garante per la protezione dei dati personali. In ogni caso, quanto più prolungato è il periodo di conservazione, tanto più dettagliata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione stessa;
    • adottare misure di sicurezza tecniche e organizzative proporzionate ai rischi per i diritti e le libertà delle persone riprese (ad esempio, l’utilizzo di sistemi che mascherino le zone irrilevanti per la sorveglianza, l’assegnazione di credenziali di autenticazione per accedere alle immagini, la cancellazione automatica allo scadere del termine previsto, ecc.);
    • definire i rapporti con coloro che – esternamente alla sua organizzazione – trattano dati per suo conto (ad esempio, la società che si occupa della manutenzione del sistema, la società che effettua il servizio di vigilanza collegandosi da remoto al sistema, ecc.), stipulando specifici contratti di nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR;
    • autorizzare al trattamento dei dati il personale interno, mediante la consegna di lettere contenenti precise istruzioni circa le modalità del trattamento dei dati, nonché organizzare dei momenti formativi e di sensibilizzazione circa i principi privacy;
    @RIPRODUZIONE RISERVATA

    Valuta la qualità di questo articolo

    La tua opinione è importante per noi!

    C
    Simona Custer
    A&A Studio Legale
    Seguimi su
    D
    Sara Della Piazza
    A&A Studio Legale

    Argomenti

    Canali

    EU Stories - La coesione innova l'Italia

    Tutti
    Analisi
    Video
    Iniziative
    Social
    Programmazione europ
    Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
    Interventi
    Riccardo Monaco e le politiche di coesione per il Sud
    Iniziative
    Implementare correttamente i costi standard, l'esperienza AdG
    Finanziamenti
    Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
    Formazione
    Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
    Interviste
    L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
    Interviste
    La ricerca e l'innovazione in Campania: l'ecosistema digitale
    Iniziative
    Settimana europea delle regioni e città: un passo avanti verso la coesione
    Iniziative
    Al via il progetto COINS
    Eventi
    Un nuovo sguardo sulla politica di coesione dell'UE
    Iniziative
    EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
    Iniziative
    Parte la campagna di comunicazione COINS
    Interviste
    Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politiche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia
    Programmazione europ
    Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
    Interventi
    Riccardo Monaco e le politiche di coesione per il Sud
    Iniziative
    Implementare correttamente i costi standard, l'esperienza AdG
    Finanziamenti
    Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
    Formazione
    Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
    Interviste
    L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
    Interviste
    La ricerca e l'innovazione in Campania: l'ecosistema digitale
    Iniziative
    Settimana europea delle regioni e città: un passo avanti verso la coesione
    Iniziative
    Al via il progetto COINS
    Eventi
    Un nuovo sguardo sulla politica di coesione dell'UE
    Iniziative
    EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
    Iniziative
    Parte la campagna di comunicazione COINS
    Interviste
    Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politiche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia

    Articoli correlati

    • intelligenza artificiale

      IA in azienda, sinergia o conflitto? Cosa influenza le percezioni dei dipendenti

      30 Ott 2024

      di Chiara Cilardo

      Condividi

    • vademecum

      Consensi privacy in azienda, come gestirli: la guida completa

      09 Feb 2024

      di Lorenzo Giannini

      Condividi

    • scenario

      AI e sanità, quante opportunità: ma attenzione agli impatti etici

      13 Set 2024

      di Michele Losole

      Condividi

    Prossimo

    IA in azienda, sinergia o conflitto? Cosa influenza le percezioni dei dipendenti

    Articolo 1 di 4