Dati sulla salute nei certificati per l’assenza dal lavoro: il Garante privacy dice no

Il Garante privacy manda un altro segnale deciso, sanzionando per 17mila euro un’Azienda Sanitaria Territoriale di Ascoli Piceno. Basta certificazioni giustificative dell’assenza dal lavoro con indicazioni di dati personali sovrabbondanti come la struttura presso la quale la prestazione sanitaria è stata erogata, il timbro con la specializzazione del medico, o altre informazioni tali da (poter) far risalire allo stato di salute del paziente/lavoratore, vanificando lo scopo che invece dovrebbe restare assolutamente riservato.

È quanto ribadisce l’Autorità per la protezione dei dati personali nel provvedimento che andremo di seguito ad analizzare.

Dati sulla salute nei certificati per l’assenza dal lavoro

Nella nota del 23 dicembre 2024 il Garante per la Protezione dei Dati Personali, tra gli altri, rende noto che un certificato per l’assenza dal lavoro non deve contenere dati personali in eccesso rispetto alle finalità dello stesso.

In caso contrario, viola la privacy in almeno un paio di principi dalla privacy by design alla minimizzazione. Ma andiamo con ordine.

Il caso e il successivo reclamo

Partiamo dai fatti. Il caso nasce a seguito di un reclamo presentato da una donna/lavoratrice, la quale si è rivolta all’Autorità per lamentarsi del fatto che l’Azienda Sanitaria Territoriale di Ascoli Piceno, ha fornito un certificato per il lavoro attestante una serie di dati, tra cui il reparto presso cui era stata effettuata la prestazione (neurologia, ginecologia, ortopedia) che avrebbero dovuto, nello spirito del certificato, rimanere riservati, e quindi vanificando del tutto quanto la medesima di certo non voleva far sapere al datore di lavoro/ufficio del personale il motivo della sua assenza lavorativa.

La difesa dell’Azienda sanitaria

L’Azienda Sanitaria Territoriale – AST marchigiana nell’attività istruttoria si è difesa ampiamente. Nella sostanza questa AST di Ascoli Piceno, dopo aver addotto una serie di argomentazioni tese a dimostrare un’accountability un po’ debole, puntava a dire di aver messo in atto una serie di misure volte da un lato a creare “una task-force con i responsabili degli uffici aziendali, al fine di adottare/predisporre misure atte a conformare il trattamento dei dati personali” consistenti nell’adozione di “specifiche procedure per prevenire la conoscenza presente e futura, da parte di estranei, dello stato di salute di un paziente, attraverso la semplice correlazione tra la sua identità e l’indicazione della struttura o del reparto, in cui è stato visitato o ricoverato.

Dall’altro lato, una “messa in atto di urgenti misure correttive, necessarie al fine di garantire che i certificati, rilasciati a fini amministrativi, in occasione di ricovero/prestazioni ambulatoriali, non contengano [più] indicazioni che possano ricondurre il certificato alla disciplina di erogazione della prestazione e comunque allo stato di salute del paziente”.

Oltre a una buona dose di formazione rappresentando che “fatto salvo il periodo della pandemia COVID-19, la formazione obbligatoria privacy di base è [stata] proseguita” tramite un corso e-learning in modalità FAD asincrona vedendo coinvolti bene 623 dipendenti, prevedendo anche e con continuità un piano di aggiornamento formativo.

Insomma, tanti buoni propositi a garanzia della riservatezza, dell’integrità e della disponibilità dei dati personali.

La risposta del Garante privacy

Il Garante parte dalle definizioni e dai principi cardine per tornare a ribadire che “i dati trattati, infatti, devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Con specifico riferimento al caso di specie, il Garante evidenzia come le strutture sanitarie in primis debbano “mettere in atto specifiche procedure dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute.

Nel precisare ciò richiama un precedente risalente a un decennio in cui già allora (ante GDPR) veniva detto a chiare lettere che “nelle certificazioni rilasciate ai pazienti o ai loro accompagnatori per attestare la presenza in ospedale e giustificare ad es. l’assenza dal lavoro, non devono essere riportate indicazioni della struttura presso la quale è stata erogata la prestazione, il timbro con la specializzazione del sanitario, o comunque informazioni che possano far risalire allo stato di salute”.

Per questi motivi, tra gli altri a cui si rinvia, l’Azienda sanitaria in questione è chiamata a pagare una sanzione di 17mila euro e, “pur avendo, a seguito dell’intervento del Garante, modificato i moduli ed effettuato una specifica formazione del personale in materia”, come si legge nel provvedimento la sanzione si impone dal momento che “la violazione ha riguardato un numero di pazienti potenzialmente elevato per un lungo periodo”.

Il cuore del provvedimento

Dovrebbe essere ormai “storia vecchia”, o meglio sarebbe auspicabile che a distanza di quasi nove anni dall’entrata in vigore del GDPR chi tratta dati particolari (ex sensibili) dovrebbe sapere alla perfezione i principi che animano il Regolamento dalla minimizzazione, alla by design.

È interessante notare invece come il Garante in questo provvedimento torna sull’argomento, invocando il rispetto del principio di protezione dei dati fin dalla progettazione (privacy by design) non solo con riferimento – come si sarebbe soliti pensare – a un applicativo informatico. Niente affatto, il principio in questione si applica a tutto ciò che riguarda la protezione del dato personale. Non a caso è “fona dalla progettazione”, e non solo delle misure tecniche ma anche organizzative.

Nel precisarlo poi afferma testualmente che “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati” (art. 25 – GDPR).

Ma non è tutto. Secondo il principio di accountability, “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi che degli adempimenti previsti dal Regolamento (artt. 5, par. 2 e 24 del Regolamento). Il titolare è, pertanto, tenuto ad effettuare una valutazione in ordine alla pertinenza e non eccedenza delle informazioni trattate, al fine di garantire l’effettiva applicazione del principio di minimizzazione”.

Tanto basta dunque per sperare che d’ora in avanti le strutture sanitarie – ma non solo loro a dimostrazione del fatto che queste non sono le sole nell’occhio del Ciclone – si rendano pienamente conformi alla normativa in materia di protezione dati a tutela degli interessati, e nel pieno rispetto dei principi basilari del Regolamento.