L'attenzione dell'Autorità privacy puntata sui dati sanitari e dispositivi medici

Le novità della newsletter del 28 febbraio 2018

Annagiulia Caiazza, Ufficio giuridico Sede nazionale

Il 1° febbraio 2018 il Garante per la protezione dei dati personali ha approvato i contenuti del piano ispettivo per il primo semestre 2018 (doc. web n. 7810451), deliberando che l'attività ispettiva dei prossimi mesi, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza, si concentrerà innanzitutto sui trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca.
Il medesimo provvedimento prevede inoltre che i controlli si concentreranno sull'adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, sul rispetto delle norme sull'informativa e sul consenso, sulla durata della conservazione dei dati da parte di soggetti pubblici e privati.

Le priorità fissate con il piano ispettivo sono state rese note dal Garante con la newsletter del 28 febbraio scorso, con cui è stato divulgato anche il bilancio dell’attività ispettiva svolta nel 2017 che ha registrato un forte incremento. Sono infatti stati definiti oltre 1.000 procedimenti sanzionatori in più rispetto all’anno precedente e l'importo della sanzioni applicate con ordinanza-ingiunzione sono cresciute arrivando ad oltre 13 milioni e 300 mila euro (con circa 3 milioni e 800 mila euro di sanzioni già riscosse dall'erario). Nel resoconto dell’Autorità si ricorda anche che tra i destinatari di accertamento, molto numerosi sono stati i centri odontoiatrici e le imprese private che hanno fatto uso di sistemi di geolocalizzazione dei dipendenti. Particolare attenzione è stata poi dedicata all'attività di verifica sulla gestione del dossier sanitario da parte di Asl e Aziende ospedaliere e altri enti sanitari pubblici.

La newsletter del Garante ha anche dato notizia di un importante provvedimento con il quale si è ritenuto adeguato l’uso da parte di una struttura di assistenza geriatrica, di dispositivi sanitari indossabili per consentire al personale sanitario di controllare, anche a distanza, i pazienti totalmente non autosufficienti (doc. web n. 7810766).
Il provvedimento, adottato su istanza di una fondazione che chiedeva una verifica preliminare di un sistema di localizzazione e videosorveglianza mediante l’uso di un bracciale o una cavigliera dotati di un localizzatore e di un misuratore di frequenza cardiaca, ha ammesso l’uso di tali dispositivi in considerazione delle esigenze di tutela della salute e di incolumità dei pazienti, nonché delle misure di sicurezza predisposte dalla fondazione a tutela dei soggetti controllati. In particolare, l'impiego del dispositivo sarà limitato a un esiguo numero di casi e sarà applicato solo con il consenso scritto dei malati, revocabile in ogni momento. La localizzazione del paziente non sarà sistematica, ma avverrà soltanto all'interno della struttura e al verificarsi di determinati eventi che possono esporre l'ospite a pericoli: l'allontanamento dal reparto, l'accesso ad aree precluse, come la farmacia della struttura, o la rilevazione di un'alterazione della frequenza cardiaca. In quest'ultimo caso, oltre alla localizzazione, si attiverà la telecamera più vicina al paziente, con registrazione delle immagini per 30 minuti e l'invio di un messaggio di allerta al personale. Le immagini registrate non saranno conservate per più di 72 ore, tranne i casi in cui sia necessario prolungare la conservazione per esigenze di prova.
La fondazione si è poi impegnata ad assicurare elevate misure di sicurezza a protezione dei dati e dei sistemi, oltre a una periodica attività di formazione del personale e di informazione di ospiti, familiari e lavoratori.

Considerata la peculiarità del sistema e l'estrema delicatezza dei dati, il Garante ha inoltre ritenuto opportuno prescrivere ulteriori misure, oltre a quelle già previste dalla fondazione, per innalzare il livello di tutela della riservatezza e della dignità dei pazienti. Il bracciale o la cavigliera dovranno essere applicati con le modalità che risultino più accettabili per il paziente, al quale, qualora le condizioni lo consentano, dovrà essere fornita una informativa sul trattamento dei dati personali adeguata alle sue capacità di comprensione.
Il giudizio della commissione interna, istituita per stabilire la necessità di una sorveglianza continua attraverso un dispositivo indossabile, dovrà essere oggetto di valutazione periodica.
Almeno ogni settimana, infine, dovrà essere verificata la regolarità del funzionamento e la corretta attribuzione del bracciale o della cavigliera al singolo paziente per accertare che non si siano verificati scambi o altri comportamenti che possano alterarne la funzionalità.