La videosorveglianza negli ospedali offre sicurezza, ma solleva dubbi su privacy e diritti. È essenziale bilanciare protezione e rispetto della normativa GDPR per tutelare pazienti e operatori sanitari, evitando ingerenze indebite
Sono diverse le esigenze che spingono società ed enti a installare sistemi di videosorveglianza. Si pensi, ad esempio, alla necessità di proteggere il patrimonio aziendale o di tutelare la sicurezza dei lavoratori, nonché, per ospedali o luoghi di cura (soprattutto in determinati reparti e ambienti), di garantire maggior protezione alla salute e alla sicurezza di pazienti od ospiti.
In ogni caso e a prescindere dalla finalità che conduce i vari soggetti all’installazione e al successivo utilizzo dei sistemi di videosorveglianza, è fondamentale non solo prestare attenzione affinché detti sistemi non comportino un’ingerenza ingiustificata nei diritti e nelle libertà delle persone riprese – soprattutto se fragili – ma anche tenere in considerazione i numerosi aspetti connessi alla protezione dei dati personali, al fine di garantire il rispetto della normativa vigente.
Videosorveglianza: le disposizioni normative da rispettare
Come noto, la raccolta, la registrazione, la visualizzazione, la conservazione e, in generale, l’utilizzo delle immagini rilevate da un sistema di videosorveglianza sono tutte operazioni che configurano una serie di trattamenti di dati personali.
Tali operazioni – per essere considerate lecite – devono essere effettuate nel rispetto delle disposizioni contenute nel Regolamento (UE) 2016/679 (GDPR), nelle Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video dello European Data Protection Board (EDPB) e nel Provvedimento n. 467 del 08.04.2010 del Garante per la protezione dei dati personali. Nello specifico, i titolari del trattamento hanno l’onere di verificare la liceità e la proporzionalità del trattamento, tenendo conto sia del contesto in cui questo viene attuato, sia delle finalità perseguite, oltre che del rischio che la sua attuazione potrebbe comportare per i diritti e le libertà delle persone fisiche.
Ma non solo. Devono essere rispettate ulteriori disposizioni normative, quali quelle civili e penali in materia di interferenze illecite nella vita privata, nonché quelle in materia di controllo a distanza dei lavoratori sancite dalla L. 300/1970 (c.d. Statuto dei Lavoratori).
Videosorveglianza in ambito sanitario
L’installazione di sistemi di videosorveglianza presso ospedali deve essere attuata con molta cautela. Se da un lato, infatti, tali sistemi possono essere certamente utili per monitorare le condizioni di salute dei pazienti e garantirne una maggiore sicurezza e prontezza di intervento degli operatori sanitari (si pensi, ad esempio, alle telecamere ubicate all’interno dei reparti di rianimazione o dei locali del pronto soccorso), dall’altro comportano un trattamento di dati personali e particolari.
In considerazione di ciò, è quindi ovvio che l’installazione di tali sistemi nei predetti ambienti dovrà non solo essere limitata a quei casi di comprovata indispensabilità, ma dovrà altresì trovare un giustificato fondamento nelle basi giuridiche previste dal GDPR sia per i dati personali, che per quelli particolari.
Inoltre, il titolare sarà tenuto a utilizzare il sistema unicamente per quei motivi che ne hanno comportato l’installazione e non anche per altre finalità.
Leggermente diverso, invece, lo scenario che si configura qualora si avverta la necessità di installare sistemi di videosorveglianza all’interno di strutture socio sanitarie e/o socio assistenziali e, più precisamente, nelle stanze ove sono ricoverati gli ospiti per fini connessi proprio alla loro sicurezza. In questo caso si pongono, infatti, alcune questioni sia di natura etica, oltre che giuridica.
Sono due, infatti, gli aspetti che non possono essere trascurati: il monitoraggio costante delle persone “fragili” malate o disabili interferisce:
- con loro riservatezza, intimità e dignità,
- con lo svolgimento delle attività del personale socio sanitario, in quanto realizza un controllo a distanza dell’attività lavorativa.
Occorre, quindi, trovare un giusto equilibrio tra la finalità di sicurezza perseguita e gli aspetti sopra indicati: in che modo?
Raccomandazioni emanate dalla CNIL
Al riguardo possono essere di aiuto le Raccomandazioni emanate dalla CNIL, ove viene evidenziato che – per garantire l’incolumità degli ospiti in caso di caduta o di incidente – possono essere adottati sistemi alternativi a quelli di videosorveglianza (ad esempio, sensori posti sotto il pavimento o bracciali in grado di rilevare le cadute).
La CNIL continua, poi, affermando che le telecamere possono essere installate solo nell’ambito di un’indagine per maltrattamenti. In quest’ultimo caso, il titolare del trattamento deve, però, garantire l’implementazione di misure di sicurezza adeguate, quali la limitazione nel tempo delle riprese, la disattivazione in caso di visite dei parenti, il divieto di ripresa nei bagni e nelle docce, ecc..
Adempimenti privacy da realizzare
In ogni caso, quali sono gli adempimenti che il titolare del trattamento deve porre in essere?
Fermi restando gli adempimenti giuslavoristici a cui occorre dar corso nel caso in cui l’installazione del sistema di videosorveglianza comporti un controllo a distanza dell’attività dei lavoratori (stipula di un accordo con le rappresentanze sindacali o ottenimento dell’autorizzazione rilasciata da parte della sede competente dell’Ispettorato Nazionale del Lavoro), il titolare deve, poi, concentrarsi sugli adempimenti in materia di protezione dei dati personali.
Prima che il trattamento dei dati abbia inizio, infatti, il titolare deve autonomamente valutarne la conformità ai principi sanciti dalla normativa vigente, mediante la realizzazione di una valutazione d’impatto (DPIA), che contiene oltre che una descrizione del trattamento, anche una sua analisi sotto il profilo del rischio per i diritti e le libertà degli interessati con previsione delle misure di sicurezza tecniche ed organizzative idonee a contenente il predetto rischio. Attenzione, però, che qualora le misure indicate non dovessero risultare adeguate ad eliminare o, quantomeno, contenere il rischio, il titolare dovrà preventivamente consultare il Garante per la protezione dei dati personali.
Il titolare del trattamento, inoltre, deve:
- aggiornare il registro delle attività di trattamento, inserendo anche detto trattamento.
- fornire un’informativa minima (cd. di primo livello), ovvero prevedere in prossimità del raggio di azione delle telecamere e in modo ben visibile un segnale di avvertimento, che avvisi della presenza del sistema di videosorveglianza. Attenzione, però, che il segnale di avvertimento deve contenere una serie di informazioni ben precise, tra cui l’identità del titolare del trattamento, la finalità e la base giuridica, i diritti riconosciuti all’interessato, il periodo di conservazione dei dati e se questi vengono trasmessi a terzi, oltre che oltre che il riferimento alle informazioni di secondo livello;
- rendere un’informativa estesa (cd. di secondo livello), che contenga tutti gli elementi richiamati dall’art. 13 del GDPR, in cui dovranno essere dettagliatamente riportate tutte le informazioni richieste dalla normativa privacy. Tale informativa dovrà essere resa ai terzi che possono accedere alle aree sorvegliate (ad esempio, mediante affissione), ai lavoratori coinvolti nelle riprese, nonché agli utenti, nel caso di strutture sanitarie;
- stabilire un periodo di conservazione dei dati rispettoso dei principi di minimizzazione e di limitazione della conservazione. Nello specifico, la conservazione deve essere limitata a poche ore (24 o 48 ore); l’ulteriore conservazione è, infatti, consentita in pochi casi ben determinati ed individuati dal Garante per la protezione dei dati personali. In ogni caso, quanto più prolungato è il periodo di conservazione, tanto più dettagliata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione stessa;
- adottare misure di sicurezza tecniche e organizzative proporzionate ai rischi per i diritti e le libertà delle persone riprese (ad esempio, l’utilizzo di sistemi che mascherino le zone irrilevanti per la sorveglianza, l’assegnazione di credenziali di autenticazione per accedere alle immagini, la cancellazione automatica allo scadere del termine previsto, ecc.);
- definire i rapporti con coloro che – esternamente alla sua organizzazione – trattano dati per suo conto (ad esempio, la società che si occupa della manutenzione del sistema, la società che effettua il servizio di vigilanza collegandosi da remoto al sistema, ecc.), stipulando specifici contratti di nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR;
- autorizzare al trattamento dei dati il personale interno, mediante la consegna di lettere contenenti precise istruzioni circa le modalità del trattamento dei dati, nonché organizzare dei momenti formativi e di sensibilizzazione circa i principi privacy;