Garante Privacy: i certificati di malattia non devono contenere dati sulla salute. Sanzionata un'Azienda

Le certificazioni che attestano la presenza in Ospedale, per giustificare un’assenza dal lavoro o l’impossibilità di partecipare ad un concorso, non devono riportare le indicazioni della struttura presso la quale è stata erogata la prestazione sanitaria, il timbro con la specializzazione del medico, o informazioni che possano far risalire allo stato di salute. È quanto ha ribadito il Garante per la protezione dei dati personali nel provvedimento n. 581/2024 sanzionando per 17mila euro un’Azienda Sanitaria Territoriale. L’Autorità è intervenuta a seguito del reclamo di una paziente che aveva chiesto alla struttura sanitaria un certificato per assenza dal lavoro.

Il certificato rilasciato riportava l’indicazione del reparto che aveva erogato la prestazione sanitaria, violando gli obblighi in materia di sicurezza e il principio di minimizzazione dei dati personali.

I dati trattati, infatti, devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Inoltre l’Autorità ha accertato la violazione del principio di privacy by design in quanto l’Azienda, titolare del trattamento, ha omesso di mettere in atto, fin dalla progettazione, misure tecniche ed organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a tutelare i diritti degli interessati. Nella newsletter del 23 dicembre 2024, il Garante della Privacy ha ricordato che le certificazioni per giustificare assenze dal lavoro non devono riportare informazioni che possano far risalire allo stato di salute del lavoratore. Il caso analizzato riguarda una paziente che aveva ricevuto un certificato contenente l’indicazione del reparto ospedaliero in cui era stata assistita, violando così il principio di minimizzazione dei dati.

L’Azienda sanitaria dovrà quindi pagare una sanzione di 17mila euro perché, pur avendo, a seguito dell’intervento del Garante, modificato i moduli e effettuato una specifica formazione del personale in materia di protezione dei dati personali, la violazione ha riguardato un numero di pazienti potenzialmente elevato per un lungo periodo. Nel definire la sanzione l’Autorità ha inoltre considerato che l’Azienda non ha fornito riscontro alla richiesta di informazioni del Garante, commettendo un’ulteriore violazione del Codice.. L’Autorità ha evidenziato, inoltre, che l’azienda non aveva adottato misure tecniche e organizzative adeguate per garantire la protezione dei dati personali, in violazione del principio di privacy by design previsto dal GDPR. Nonostante l’intervento successivo per correggere i moduli e formare il personale, il danno era già stato fatto, coinvolgendo un numero potenzialmente elevato di pazienti per un lungo periodo.

Insomma, il caso mette in luce un aspetto fondamentale della gestione dei dati sanitari: la necessità di trattare solo le informazioni strettamente necessarie per la finalità dichiarata. Inserire dettagli come il reparto o la specializzazione del medico sul certificato non è solo superfluo, ma costituisce una grave violazione dei diritti alla riservatezza del paziente. Questo comportamento può esporre i lavoratori a discriminazioni o stigmatizzazioni, contravvenendo ai principi fondamentali della protezione dei dati. Inoltre, il Garante ha sottolineato che le aziende sanitarie devono adottare sin dalla progettazione misure adeguate per garantire il rispetto della privacy, evitando di dover intervenire a posteriori con correzioni che, seppur efficaci, non cancellano l’illecito già commesso. Questo principio, noto come privacy by design, è fondamentale per prevenire violazioni e sanzioni.

Il principio di privacy by design impone che la protezione dei dati personali sia considerata fin dalla fase di progettazione di qualsiasi processo o sistema che preveda il trattamento di informazioni. Questo significa adottare misure tecniche e organizzative adeguate per garantire che i dati siano trattati in modo sicuro ed evitare violazioni, minimizzando i rischi per gli interessati. L’obiettivo è integrare la tutela della privacy in ogni fase del trattamento, rendendola parte integrante del funzionamento del sistema. In questo modo, si previene l’uso improprio dei dati e si garantisce il rispetto del GDPR, proteggendo i diritti e le libertà delle persone sin dal principio. Il monito del Garante rappresenta un richiamo importante per tutte le realtà coinvolte nella gestione dei dati personali, in particolare quelli sanitari. Le aziende devono garantire che i certificati medici rispettino il principio di minimizzazione, evitando informazioni non necessarie che possano compromettere la privacy dei lavoratori. Il rispetto di queste norme non solo tutela i diritti dei cittadini, ma rafforza la fiducia nei confronti delle istituzioni e delle imprese coinvolte. Un passo fondamentale per una società che ambisce a un trattamento dei dati etico e conforme alla legge.