Il Garante Privacy sanziona un’azienda sanitaria marchigiana per aver citato troppi dati personali nei certificati di malattia: violazione del principio di minimizzazione e privacy by design.
La vicenda
Una paziente di una struttura sanitaria marchigiana ha formulato un reclamo al Garante a seguito della sua richiesta all’azienda di un certificato per l’assenza dal lavoro. Questo perché il certificato fornito riportava dati sensibili, quali il reparto presso cui la paziente aveva effettuato la prestazione e il timbro con la specializzazione del sanitario. Invadendo, quindi, il suo diritto di non voler far sapere al datore di lavoro in quale ambito si stanno facendo accertamenti, visite o trattamenti.
L’istruttoria del Garante e la difesa dell’azienda sanitaria in merito ai certificati di malattia
Durante l’istruttoria, il Garante ha ritenuto necessario richiedere informazioni all’azienda utili alla valutazione del caso. A tale richiesta, però, inizialmente non è pervenuto alcun riscontro. Successivamente, a seguito di un’accettazione di “differimento” del termine per il riscontro, l’Azienda ha fornito una risposta alla richiesta di informazioni, spiegando le difficoltà organizzative dovute alla ristrutturazione regionale, al commissariamento e al periodo post-pandemia. Ha dichiarato di aver adottato misure correttive per conformarsi alla normativa sulla privacy, tra cui:
- creazione di una task-force per la revisione delle procedure.
- adozione di modulistica conforme alle disposizioni del Garante.
- sensibilizzazione dei responsabili e verifica dell’adeguamento dei software.
- formazione continua dei dipendenti in materia di GDPR.
Le violazioni riscontrate nei certificati di malattia da parte del Garante
L’Ufficio ha rilevato che l’Azienda ha trattato i dati sanitari della reclamante in modo non conforme al Regolamento, violando:
- il principio di minimizzazione, integrità, riservatezza e sicurezza del trattamento. Il principio afferma che i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
In questo caso specifico, sono stati riportati nei moduli di certificazione dettagli non necessari, come il reparto e la specializzazione del medico. - il principio di protezione dei dati fin dalla progettazione (privacy by design).
L’azienda ha omesso di mettere in atto le misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a tutelare i diritti degli interessati.
Il Garante, all’interno del provvedimento, si è riferito anche ad un precedente caso, risalente a un decennio fa, in cui aveva specificato a chiare lettere che
“nelle certificazioni rilasciate ai pazienti o ai loro accompagnatori per attestare la presenza in ospedale e giustificare ad es. l’assenza dal lavoro, non devono essere riportate indicazioni della struttura presso la quale è stata erogata la prestazione, il timbro con la specializzazione del sanitario, o comunque informazioni che possano far risalire allo stato di salute”.
Per approfondire > Medici di base: step base per la conformità al GDPR
Il Garante sanziona l’azienda sanitaria con 17.000 euro
Nonostante l’azienda sanitaria abbia modificato i moduli e effettuato una specifica formazione del personale in materia di protezione dei dati personali, il Garante ha comunque optato per la sanzione amministrativa.
La decisione del Garante si basa su diversi elementi:
- violazione prolungata e diffusa: la non conformità ha potenzialmente coinvolto un numero significativo di pazienti per un lungo periodo.
- mancata collaborazione: l’azienda inizialmente non ha risposto alla richiesta di informazioni del Garante, commettendo un’ulteriore violazione normativa.
Questi fattori hanno contribuito alla determinazione della sanzione pecuniaria di 17.000 euro.
Il provvedimento completo è disponibile qui.
Hai bisogno di supporto nella gestione della conformità al GDPR? Il nostro team di esperti è a tua disposizione!