1. Home
  2. News e approfondimenti
  3. Norme e Diritto
  4. Certificati medici uso lavoro: per il Garante nessun dato sullo stato di salute del paziente
Articolo
23 gennaio 2025

Certificati medici uso lavoro: per il Garante nessun dato sullo stato di salute del paziente

23 gennaio 2025
Certificati medici per giustificare assenza dal lavoro: il Garante della Privacy esclude qualsiasi riferimento che possa condurre allo stato di salute.

Sommario

  1. Il reclamo del paziente
  2. Il trattamento dei dati personali e dati sanitari
  3. Le contestazioni del Garante
  4. La valutazione del caso concreto
  5. La condanna
  6. Il monito del Garante

Alcuni mesi fa, l’Autorità della Privacy è nuovamente intervenuta sulla questione dell’incongruo trattamento dei dati sanitari di un cittadino stabilendo, con il provvedimento n. 581/2024, che le certificazioni, che attestano la presenza in ospedale, per giustificare un’assenza dal lavoro o  l’impossibilità  di partecipare ad un concorso, non  devono riportare le indicazioni della struttura presso la quale è stata erogata la prestazione sanitaria, il timbro con la specializzazione del medico che se ne occupato, od altre  informazioni che possano consentire a terzi di risalire allo stato di salute del soggetto.

I dati trattati devono, infatti, mantenersi adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono gestiti.

Il reclamo del paziente

La questione decisa dall’Organo di controllo origina del reclamo, presentato da una paziente, che lamentava nei confronti di un’azienda sanitaria un’incongrua gestione dei propri dati sanitari, per averle rilasciato un attestato, da presentare al datore di lavoro per giustificare l’assenza, riportante il reparto presso cui aveva eseguito la prestazione sanitaria, in tal modo vanificando il suo diritto di non far sapere all’ufficio del personale in quale contesto avesse eseguito gli accertamenti clinici.

Nello specifico, veniva contestato che il certificato rilasciato riportava l’indicazione dell’area medica che aveva erogato la prestazione diagnostica richiesta, violando gli obblighi in materia di sicurezza e il principio di minimizzazione dei dati personali.

Il trattamento dei dati personali e dati sanitari

Occorre ricordare che, con il termine “dato personale”, si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, mentre per “dati relativi alla salute” si considerano quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.

Secondo la disciplina regolatoria applicabile, i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (cd. rispetto al principio di minimizzazione dei dati), nonché trattati in modo tale da fornire adeguata sicurezza, ivi compreso il ricorso a misure tecnico-organizzative idonee a proteggere l’interessato da potenziali trattamenti non autorizzati od illeciti.

Ciò significa che tali accorgimenti devono essere presenti già nella fase di progettazione del trattamento dei dati, venendo poi applicati in fase di attuazione, verificando poi che le misure tecniche attuate mantengano sempre un livello di adeguatezza ed efficacia rispetto ai requisiti richiesti dal Regolamento 2016/679 per la tutela dei diritti degli interessati.

Le contestazioni del Garante

A seguito dell’avvio del relativo procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, il Garante della Privacy notificava all’Azienda sanitaria la comunicazione prevista dall’art. 166, comma 5, del Codice, invitandola a controdedurre alle critiche mosse nel reclamo ricevuto.

Nello specifico, l’Ufficio osservava come l’Azienda sanitaria avesse effettuato un trattamento dei dati di salute della paziente non conforme alle disposizioni di cui agli artt. 5, par. 1, lett. c) e f), 25 e 32 del Regolamento, con conseguente violazione dei principi di minimizzazione, di integrità e riservatezza, di protezione dei dati fin dalla progettazione (privacy by design), nonché degli obblighi in materia di sicurezza del trattamento indicando, nei moduli di certificazione, il reparto presso il quale l’interessata aveva effettuato la prestazione sanitaria, oltre a riportare il timbro con la specializzazione del sanitario impegnato.

Leggi anche

La valutazione del caso concreto

Espletata l’istruttoria di rito, l’Ufficio ha quindi ricordato come gli enti sanitari siano tenuti a predisporre di procedure mirate allo scopo di impedire qualsiasi correlazione informativa fra l’interessato ed il reparto, da cui possa desumersi lo stato di salute del primo.

Questi accorgimenti debbono estendersi, secondo un consolidato orientamento del Garante,  anche ad eventuali certificazioni richieste per fini amministrativi, come ad esempio per giustificare un’assenza dal lavoro ovvero l’impossibilità a presenziare ad un concorso, non dovendo riportare né indicazioni sull’area tecnica, che ha erogato la prestazione sanitaria nei confronti del paziente, né il timbro con la specializzazione del professionista che si è occupato del caso, né qualsiasi altra informazione che possa condurre allo stato di salute del soggetto.

La condanna

Ritenute insufficienti le motivazioni opposte dall’amministrazione sanitaria a sostegno della violazione contestata, il Garante ha dunque accertato che sui moduli di certificazione, richiesti dall’interessato per giustificare l’assenza dal lavoro, era presente l’indicazione del reparto ed il timbro con la specializzazione del sanitario, che ha fornito la prestazione richiesta.

Pertanto, è stato effettuato un trattamento di dati sulla salute in violazione del principio di minimizzazione, di integrità e riservatezza dei dati (artt. 5, par. 1, lett. c) e f) del Regolamento) e, non avendo, fin dalla predisposizione dei predetti modelli di certificazione, adottato adeguate misure per garantire l’effettiva applicazione del richiamato principio di minimizzazione, non ha rispettato il principio di privacy by design e gli obblighi in materia di sicurezza del trattamento (artt. 25 e 32 del Regolamento).

Pur prendendo atto dell’intervenuta modifica da parte dell’azienda dei moduli predisposti con conseguente formazione impartita al personale impiegato, l’Autority ha comunque concluso dichiarando l’illiceità del trattamento di dati personali effettuato per violazione dei principi di cui all’art. 5, par. 1, lett. c) e f), 25 e degli obblighi di cui all’art. 32 del Regolamento, nonché dell’art. 157 del Codice, con conseguente condanna al pagamento di euro 17.000,00, a titolo di sanzione  amministrativa pecuniaria, con relativa pubblicazione del provvedimento.

Il monito del Garante

Di rilievo il monito che il Garante ha voluto sollevare – valido per tutti i soggetti che si dovessero affrontare la medesima questione – per cui nessuna giustificazione  potranno assumere le difficoltà organizzative del titolare del trattamento, venendo in rilievo un quadro normativo e provvedimentale ormai risalente e sul quale l’Autority si è espressa in modo chiaro ed univoco da molto tempo, per cui le indicazioni dovrebbero essere state da tutti gli interessati già attuate sia in fase di predisposizione degli strumenti di adeguamento, che di effettivo rilascio delle certificazioni richieste dagli interessati nel rispetto delle tutele prescritte.

Di: Francesco Del Rio, avvocato

Argomenti correlati

Privacy

News e approfondimenti che potrebbero interessarti

Vedi i contenuti
Vedi i contenuti

La soluzione digitale per i Professionisti Sanitari

Consulcesi Club

    Contatti

    Via G.Motta 6, Balerna CH
    PEC: consulcesisa@legalmail.it

    Social media

    Termini e condizioni

    • Consulcesi SA
    • Via G.Motta 6, Balerna CH
    • 259458377
    • +41 916952060
    • PEC: consulcesisa@legalmail.it