home / Archivio / 231 e Compliance raccolta del 2025 / Le certificazioni rilasciate ai pazienti per giustificare l´assenza dal lavoro o per ..

indietro stampa contenuto


Le certificazioni rilasciate ai pazienti per giustificare l´assenza dal lavoro o per attestare la presenza in ospedale, non devono riportate indicazioni relative alla struttura presso la quale è stata erogata la prestazione, il timbro con la specializzazione del sanitario ed altre informazioni che possano far risalire allo stato di salute nel rispetto del principio di minimizzazione, di integrità e riservatezza dei dati personali

Marco Miglietta

Con il provvedimento n. 581 del 26 settembre 2024, il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa di 17.000 euro nei confronti di un’Azienda sanitaria territoriale, a seguito di un reclamo presentato da una paziente in merito a un trattamento non corretto dei suoi dati personali.

La segnalazione riguardava il rilascio di un certificato medico utilizzato per giustificare un’assenza lavorativa: nel documento, la struttura sanitaria aveva indicato il reparto che aveva erogato la prestazione, fornendo così un'informazione potenzialmente idonea a rivelare lo stato di salute della paziente, ritenuta del tutto superflua ai fini del certificato e lesiva della sua riservatezza.

L’attività istruttoria ha confermato le criticità evidenziate nel reclamo. In particolare, l’Azienda sanitaria ha trattato dati eccedenti rispetto a quelli strettamente necessari, violando il principio di minimizzazione, uno dei cardini del Regolamento Generale sulla Protezione dei Dati (GDPR). Inoltre, è emersa l’assenza di misure tecniche e organizzative adeguate per garantire la protezione dei dati fin dalla progettazione dei processi interni, configurando così anche una violazione del principio di privacy by design.

Sebbene, in seguito, l’Azienda abbia adottato azioni correttive, tra cui la revisione dei moduli utilizzati e attività formative rivolte al personale, il Garante ha rilevato che la violazione aveva interessato un numero potenzialmente elevato di pazienti e si era protratta per un periodo di tempo significativo.

Nel definire l'entità della sanzione, il Garante ha tenuto conto della gravità della violazione, della sua estensione temporale, del mancato rispetto dei principi fondamentali di protezione dei dati personali – tra cui la sicurezza e la pertinenza delle informazioni trattate – e della scarsa collaborazione mostrata dall’Azienda nel corso dell’istruttoria. Alla luce di questi elementi, l’Autorità ha deciso di irrogare una sanzione amministrativa pari a 17.000 euro.

 

Argomento: Privacy
Sezione:

(GPDP, 26 settembre 2024, n. 581)

Stralcio a cura di Francesca Saveria Sofia

 

Keywords: minimizzazione dati - garante privacy - GDPR - 2024

“(…) In data XX la signora XX ha formulato un reclamo, corredato da specifica documentazione, con il quale ha lamentato che l’Azienda Sanitaria Territoriale di Ascoli Piceno, di seguito “Azienda”, avrebbe fornito “all'utente che ne fa richiesta un attestato (da presentare al datore di lavoro come giustificazione dell’assenza) che riporta il reparto presso cui il paziente ha effettuato la prestazione (neurologia, ginecologia, ortopedia), vanificando in tal modo il diritto dell'utente di non voler far sapere al datore di lavoro e al relativo ufficio del personale in quale ambito si stanno facendo accertamenti, visite o trattamenti”. (…)  l’Ufficio, nel predetto atto, ha ritenuto che l’Azienda ha effettuato un trattamento di dati sulla salute della reclamante non conforme alle disposizioni di cui agli artt. 5, par. 1, lett. c) e f), 25 e 32 del Regolamento, in violazione dei principi di minimizzazione, di integrità e riservatezza, di protezione dei dati fin dalla progettazione (privacy by design) nonché degli obblighi in materia di sicurezza del trattamento, indicando, nei moduli di certificazione, richiesti dalla paziente per giustificare l’assenza dal lavoro, il reparto presso il quale l’interessata ha effettuato la prestazione sanitaria e il timbro con la specializzazione del sanitario. (…) la medesima struttura sanitaria ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, oltre a ribadire quanto già indicato nella nota del XX, ha evidenziato che: (…) il Direttore medico del Presidio Ospedaliero di San Benedetto del Tronto aveva fornito specifiche raccomandazioni in merito al rispetto della privacy con specifico riferimento alle certificazioni richieste all’utenza fornendo all’uopo idonea modulistica, comunicata ai Direttori delle UU.OO.CC. ospedaliere afferenti al predetto nosocomio. Nell’ottica del processo di integrazione tra le articolazioni organizzative afferenti alla medesima Area Vasta, detta nota veniva trasmessa alla Direzione medica del Presidio ospedaliero di Ascoli Piceno e al Referente privacy unico di Area Vasta (...)”; - “dalla dinamica dei fatti si deduce che il personale medico interessato non aveva alcuna intenzione di cagionare alcun pregiudizio alla Sig.ra XX. L’entità della gravità è qualificabile nel suo complesso come lieve, in [continua ..]

» Per l'intero contenuto effettuare il login inizio