Avv. Giuseppe Croari – Dott.ssa Silvia Di Paola
Di recente, il Garante per la protezione dei dati personali ha ribadito che le certificazioni che attestano la presenza in ospedale, per giustificare un’assenza dal lavoro, non devono riportare: le indicazioni della struttura presso la quale è stata erogata la prestazione sanitaria, il timbro con la specializzazione del medico nonché tutte le informazioni che possono far risalire allo stato di salute.
- Il Garante della Privacy ha sanzionato un'azienda sanitaria per aver incluso dati sanitari sensibili in un certificato medico.
- I dati sanitari, come quelli relativi allo stato di salute, sono considerati sensibili e devono essere trattati secondo il GDPR.
- Il Garante ha stabilito che l'azienda sanitaria ha violato i principi di minimizzazione, integrità, riservatezza e privacy by design.
- Le strutture sanitarie devono adottare misure rigorose per proteggere i dati dei pazienti e garantire la loro privacy.
A tale riguardo il Garante è, infatti, intervenuto a sanzionare, con 17 mila euro, un’Azienda Sanitaria Territoriale, a seguito del reclamo di una paziente che aveva chiesto alla struttura sanitaria un certificato per assenza dal lavoro, in quanto lo stesso riportava l’indicazione del reparto che aveva erogato la prestazione sanitaria.
Il Garante ha, dunque, stabilito la violazione dei principi di minimizzazione, di integrità e di riservatezza, nonché di privacy by design e degli obblighi in materia di sicurezza del trattamento dei dati personali.
Dati sulla salute nei certificati medici: cosa vieta il Garante
Per “dato personale” si intende qualsiasi informazione che possa riguardare una persona, rendendola identificata o identificabile, direttamente o indirettamente.
Sono certamente dati personali, i dati relativi alla salute ossia quelli attinenti alla salute fisica o mentale di una persona fisica compresa la prestazione di servizi di assistenza sanitaria che rivelano informazioni relative al suo stato di salute.
Il trattamento di tali dati altrimenti definiti come dati sensibili deve avvenire nel rispetto dei principi sanciti dal Regolamento (Ue) n. 679/2016 sulla protezione dei dati personali (per saperne di più sul GDPR clicca qui).
Principio di minimizzazione dei dati, integrità e riservatezza
Nello specifico, secondo il principio di minimizzazione dei dati, i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; in altre parole, non si devono raccogliere, conservare o trattare più dati rispetto a quelli strettamente necessari.
I dati personali devono, altresì, essere trattati in modo da garantire una adeguata sicurezza, compresa la protezione mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti nonché dalla perdita, dalla distruzione, o dal danno accidentali.
I titolari del trattamento sono, quindi, tenuti a garantire il rispetto del principio di integrità e riservatezza ossia ad assicurare che i dati siano protetti da qualsiasi minaccia, accidentale o intenzionale, che potrebbe comprometterne la sicurezza.
Privacy by design: prevenzione e sicurezza a partire dalla progettazione
Nondimeno, i dati personali devono essere trattati nel rispetto del principio di protezione dei dati fin dalla progettazione – privacy by design- per cui il titolare del trattamento deve, sia al momento di determinare i mezzi, sia al momento del trattamento stesso, mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati nonché a integrare nel trattamento le necessarie garanzie al fine di tutelare i diritti degli interessati.
Più in generale, alla stregua del principio di responsabilizzazione, il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi che degli adempimenti previsti dal Regolamento sulla protezione dei dati personali.
La sicurezza dei dati sanitari: una sfida per il futuro del settore sanitario
La violazione dei dati personali da parte di aziende ospedaliere e operatori sanitari privati rappresenta una grave minaccia alla privacy dei pazienti e alla sicurezza delle informazioni sanitarie.
Le strutture sanitarie, sia pubbliche che private, gestiscono dati altamente sensibili, che, se non adeguatamente protetti, possono essere oggetto di furti, perdite o accessi non autorizzati.
Le conseguenze di tali violazioni vanno oltre i danni economici, coinvolgendo anche la fiducia dei pazienti nei sistemi sanitari e minando il principio fondamentale della riservatezza delle informazioni personali.
Inoltre, le aziende ospedaliere e i fornitori di servizi sanitari devono essere consapevoli delle rigorose normative, come il GDPR, che regolano il trattamento dei dati sensibili. La mancata osservanza di queste leggi non solo espone le organizzazioni a sanzioni pecuniarie, ma compromette anche la loro reputazione, con impatti negativi a lungo termine sul rapporto con i pazienti e la comunità.
In conclusione, è essenziale che le strutture sanitarie adottino politiche e pratiche rigorose in materia di protezione dei dati personali, garantendo la formazione continua del personale e l'implementazione di tecnologie avanzate per prevenire e affrontare tempestivamente le violazioni. Solo in questo modo sarà possibile tutelare i diritti dei pazienti e mantenere elevati standard di sicurezza e fiducia nel settore sanitario (per maggiori informazioni sulla circolazione dei dati in ambito sanitario clicca qui).
Se hai dubbi su quali misure giuridiche adottare per garantire la tutela dei dati personali e allo stesso tempo tutelare il tuo business, rivolgiti ai nostri partner dello Studio Legale FCLEX, operano in tutta Italia e potranno aiutarti ad individuare le soluzioni migliori per il tuo caso concreto.