Con la Newsletter n. 530 del 23 dicembre 2024, il Garante per la protezione dei dati personali ha chiarito che le certificazioni mediche utilizzate per giustificare assenze lavorative o la mancata partecipazione a concorsi pubblici devono rispettare rigorosi standard di riservatezza. In particolare, non devono contenere informazioni che possano rivelare lo stato di salute del paziente, come l’indicazione della struttura sanitaria, il reparto che ha erogato la prestazione o il timbro con la specializzazione del medico.
Il caso che ha scatenato l’intervento
L’intervento del Garante è stato sollecitato dal reclamo di una paziente che aveva ricevuto un certificato medico riportante l’indicazione del reparto ospedaliero che aveva fornito la prestazione sanitaria. Questo dettaglio rappresentava una violazione del principio di minimizzazione dei dati personali, secondo cui le informazioni trattate devono essere strettamente pertinenti e limitate alle finalità per le quali sono necessarie.
Il principio di privacy by design è stato un altro punto critico individuato dal Garante. L’azienda sanitaria, titolare del trattamento dei dati, non aveva adottato fin dalla progettazione delle sue procedure misure tecniche e organizzative adeguate per garantire la protezione dei dati personali e tutelare i diritti degli interessati.
La sanzione e le conseguenze
L’azienda sanitaria, dopo l’intervento del Garante, ha aggiornato i moduli e formato il personale in materia di protezione dei dati personali. Tuttavia, queste azioni correttive non hanno evitato una sanzione amministrativa di 17mila euro. La decisione è stata motivata dal fatto che la violazione ha coinvolto un numero potenzialmente elevato di pazienti per un lungo periodo e dall’ulteriore aggravante che l’azienda non ha risposto tempestivamente alle richieste di informazioni del Garante, configurando una seconda infrazione al Codice della privacy.
Un monito per le strutture sanitarie
Il caso evidenzia l’importanza per tutte le strutture sanitarie di rispettare i principi di protezione dei dati fin dalla progettazione delle procedure interne. Il trattamento dei dati personali dei pazienti deve essere sempre limitato a quanto strettamente necessario, evitando che informazioni sensibili possano essere rivelate inutilmente.
Il Garante ha così ribadito che la tutela della privacy non è un’opzione ma un obbligo che deve permeare ogni aspetto della gestione dei dati personali, specialmente in ambiti delicati come quello sanitario. Questa vicenda rappresenta un chiaro avvertimento per tutte le aziende sanitarie: la non conformità alle normative sulla protezione dei dati personali può comportare conseguenze significative, sia in termini economici che reputazionali.
A cura di Nicola D’Auria
