Nella Newsletter n. 530 del 23 dicembre 2024, il Garante per la protezione dei dati personali ha fornito chiarimenti sulle regole relative alle certificazioni mediche utilizzate per giustificare assenze dal lavoro o l’impossibilità di partecipare a concorsi. In particolare, tali certificati non devono includere informazioni che possano indirettamente rivelare lo stato di salute del paziente.
Le informazioni sensibili da evitare
Il Garante ha chiarito che i certificati non devono riportare:
- La denominazione della struttura sanitaria presso cui si è ricevuta la prestazione;
- Il timbro che indica la specializzazione del medico;
- Altri dettagli che possano ricondurre alle condizioni di salute del paziente.
Questa precisazione segue una sanzione di 17mila euro imposta a un’Azienda Sanitaria Territoriale, responsabile di violare il principio di minimizzazione dei dati personali.
Il caso della sanzione: una violazione dei diritti del paziente
L’Autorità ha agito dopo il reclamo di una paziente che aveva richiesto un certificato per giustificare un’assenza lavorativa. Il documento fornito includeva l’indicazione del reparto medico che aveva erogato la prestazione, in contrasto con gli obblighi di sicurezza e di protezione dei dati personali.
Secondo il principio di minimizzazione, i dati trattati devono essere:
- Adeguati;
- Pertinenti;
- Limitati a quanto strettamente necessario rispetto alle finalità per cui vengono utilizzati.
Privacy by Design: un principio disatteso
Un ulteriore rilievo del Garante riguarda la mancata applicazione del principio di privacy by design. Questo principio richiede che il titolare del trattamento dei dati – in questo caso l’Azienda Sanitaria Territoriale – adotti misure tecniche e organizzative adeguate già durante la progettazione dei processi. Queste misure servono a:
- Garantire l’efficace applicazione dei principi di protezione dei dati;
- Tutelare i diritti degli interessati e prevenire violazioni.
Implicazioni per le strutture sanitarie e i datori di lavoro
Questo caso offre un monito importante per le aziende sanitarie e, più in generale, per tutti i titolari del trattamento dei dati personali. La tutela della privacy non rappresenta solo un obbligo normativo, ma è una garanzia fondamentale per i diritti dei cittadini.
Le strutture devono garantire che i certificati rilasciati rispettino i principi di minimizzazione e sicurezza dei dati, evitando qualsiasi elemento che possa rivelare indirettamente lo stato di salute del paziente. La mancata conformità a queste disposizioni può comportare sanzioni significative e danni alla reputazione.
La decisione del Garante evidenzia l’importanza di un approccio responsabile al trattamento dei dati personali, specialmente in ambito sanitario. Le aziende devono rivedere le proprie procedure per assicurarsi che i certificati medici siano conformi alla normativa vigente, proteggendo la privacy dei cittadini e mantenendo la conformità legale.
Inoltre, è cruciale adottare strumenti e pratiche che favoriscano una gestione sicura ed efficiente dei dati, garantendo così la fiducia dei pazienti e la tutela dei loro diritti.