Assenza dal lavoro: nel certificato medico vanno tutelati i dati sanitari

Il Garante della Privacy, nella newsletter del 23 dicembre 2024, ha precisato che un certificato, che attesta la presenza in Ospedale, per giustificare l’assenza dal lavoro o l'impossibilità di partecipare a un concorso, non deve contenere dati personali in eccesso rispetto alle finalità dello stesso.

In particolare, l’Autorità ha sanzionato per 17mila euro l’Azienda Sanitaria Territoriale di Ascoli Piceno per aver richiesto certificazioni giustificative dell’assenza dal lavoro con indicazioni di dati personali sovrabbondanti, come la struttura presso la quale era stata erogata la prestazione sanitaria, il timbro con la specializzazione del medico o altre informazioni che consentivano di risalire allo stato di salute della lavoratrice.

Secondo il Garante, infatti, si tratterebbe di dati che devono rimanere riservati poiché eccedono la finalità stessa del certificato, in violazione del principio di minimizzazione e della privacy by design.

Il reclamo della lavoratrice

Il Garante Privacy è intervenuto a seguito del reclamo presentato da una lavoratrice che aveva chiesto alla struttura sanitaria un certificato per assenza dal lavoro. Il certificato, in particolare, conteneva una serie di dati sanitari (tra cui il reparto presso cui era stata effettuata la prestazione) che avrebbero dovuto rimanere riservati.

La difesa dell’Azienda sanitaria

L’Azienda Sanitaria marchigiana si è difesa precisando di aver messo in atto una serie di misure e procedure finalizzate a prevenire la conoscenza, presente e futura, da parte di terzi estranei, dello stato di salute di un paziente/lavoratore, derivante dalla correlazione tra la sua identità e l’indicazione della struttura o del reparto in cui è stato visitato o ricoverato.

Inoltre, l’Azienda ha precisato di aver messo in atto misure correttive urgenti, necessarie a garantire che i certificati, rilasciati a fini amministrativi, in occasione di ricovero e/o prestazioni ambulatoriali, non contenessero, per il futuro, dati personali e riservati riguardanti lo stato di salute del paziente.

La risposta del Garante Privacy

Le difese addotte dall’Azienda sanitaria marchigiana, tuttavia, non sono bastate a scongiurare l’applicazione di un'ingente sanzione.

Infatti, il Garante, dopo aver precisato che i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento stesso, ha evidenziato la necessità che le strutture sanitarie adottino specifiche procedure volte a prevenire la correlazione, da parte di terzi estranei, tra l’interessato e reparti o strutture ospedaliere, da cui possa desumersi l’esistenza di uno specifico stato di salute degli interessati stessi.

L’Azienda sanitaria dovrà quindi pagare una sanzione di 17mila euro perché, pur avendo, a seguito dell’intervento del Garante, modificato i moduli ed effettuato una specifica formazione del personale in materia di protezione dei dati personali, la violazione ha riguardato un numero di pazienti potenzialmente elevato per un lungo periodo.