Abbiamo già parlato dell’Internet of Things e del rischio connesso di invasivi monitoraggi dei comportamenti degli utenti (Internet delle cose (IOT) a rischio privacy).

Talvolta, tuttavia, anche i controlli a distanza possono essere fatti “a fin di bene”.

Con provvedimento n. 29 del 25.01.2018, il Garante per la privacy si è espresso su una richiesta di verifica preliminare avente ad oggetto la raccolta e il successivo trattamento di dati mediante monitoraggio da remoto dei pazienti non autosufficienti ospiti di una residenza sanitario-assistenziale.

In particolare, il paziente dovrebbe indossare un bracciale o una cavigliera con incorporati un dispositivo basato su tecnologia bluetooth e un misuratore di frequenza cardiaca che consentirebbero -in caso di allontanamento del paziente dal reparto- di attivare sia la sua localizzazione, sia la telecamera a lui più vicina qualora la frequenza cardiaca rilevata superasse predefiniti parametri di soglia (individuati per ciascun paziente al fine di prevenzione, diagnosi e cura). Il personale verrebbe così allertato al fine di poter valutare la necessità di un pronto intervento. La finalità del trattamento sarebbe, dunque, quella di tutelare l’incolumità fisica dei pazienti non autosufficienti che, a causa delle loro condizioni fisiche/mentali, necessitano di un controllo continuo: una finalità, secondo la fondazione istante, che non sarebbe altrimenti perseguibile considerate l’ampiezza della residenza e la sua articolata conformazione.

Il provvedimento appare interessante se si considera la sempre maggiore diffusione di sistemi di sorveglianza in ambiti assistenziali e sanitari che trattano dati sensibili idonei a rilevare lo stato di salute in modo interconnesso, con l’ausilio di vari dispositivi e tecnologie inquadrabili appunto nelll’IOT.

Il Garante ha ritenuto che il trattamento di queste informazioni, avendo delle finalità determinate, esplicite e legittime (la tutela della salute e dell’incolumità degli interessati), può essere lecito e proporzionale ma in presenza di garanzie adeguate a tutela della dignità personale dei pazienti.

Le indicazioni del Garante risultano molto interessanti anche alla luce del nuovo Regolamento UE n. 679/2016 (il GDPR), in particolare con riferimento alla valutazione preventiva di impatto del trattamento sulla protezione dei dati personali che il titolare deve svolgere –ai sensi dell’art. 35-  quando un tipo di trattamento, allorché preveda l’uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Garante ha, innanzitutto, verificato la sussistenza del consenso del paziente o del suo legale rappresentante come base giuridica del trattamento, da prestare per iscritto e in modo autonomo rispetto a quello già raccolto dalla fondazione all’atto di ingresso nella residenza, previa presentazione di una specifica informativa; il consenso, inoltre, sarebbe facoltativo e sempre revocabile, senza che l’eventuale diniego comporti l’estromissione dalla struttura.

La fondazione intende, inoltre, adottare degli accorgimenti che la stessa intende adottare tra cui: i) un monitoraggio limitato alla posizione del paziente senza tracciarne i percorsi; ii) registrazione delle immagini solo in caso di anomalia cardiaca e per massimo 30 minuti; iii) conservazione dei dati raccolti per un tempo prestabilito (72 ore) con cancellazione automatica, salvo esigenze di prova in specifici procedimenti; iv) monitoraggio limitato a pazienti con particolari patologie.

Ulteriori accorgimenti prescritti dal Garante sono: i) applicazione del dispositivo con le modalità più accettabili da parte del paziente, anche per collocazione (polso o caviglia); ii) una valutazione periodica della necessità di continuare ad adottare il monitoraggio in funzione delle condizioni del paziente; iii) informativa rivolta preferibilmente al paziente, in base alle sue possibilità di comprensione e discernimento; iv) verifica almeno settimanale della regolarità del funzionamento e della corretta attribuzione del braccialetto al singolo paziente.

Di fronte ad un trattamento che, avendo a oggetto dati sensibili, potrebbe risultare particolarmente invasivo dei diritti, delle libertà fondamentali e della dignità personale dei pazienti, dunque, il Garante ha cercato di trovare un giusto punto di equilibrio tra la tutela della salute e sicurezza dei pazienti da un lato e la protezione della loro privacy e dignità dall’altro.