Le certificazioni che attestano la presenza in ospedale, necessarie per giustificare un’assenza dal lavoro o l’impossibilità di partecipare a un concorso, non devono contenere riferimenti alla struttura sanitaria, il timbro con la specializzazione del medico o altri elementi che possano rivelare informazioni sullo stato di salute dell’interessato.
Il Garante per la protezione dei dati personali ha ribadito questo principio, comminando una sanzione di 17.000 euro a un’Azienda Sanitaria Territoriale. L’intervento è seguito al reclamo di una paziente che aveva richiesto un certificato per giustificare un’assenza lavorativa. Il documento fornito indicava il reparto sanitario coinvolto, violando così il principio di minimizzazione dei dati personali e le norme sulla sicurezza.
Secondo il Garante, i dati personali devono essere trattati in modo adeguato, pertinente e limitato alle finalità specifiche per cui sono raccolti. Inoltre, è stata riscontrata una violazione del principio di “privacy by design”, in quanto l’Azienda non aveva implementato, già in fase di progettazione, misure tecniche e organizzative idonee a garantire la protezione dei dati e i diritti degli interessati.
L’Azienda sanitaria è stata sanzionata anche perché, pur avendo successivamente aggiornato i moduli e formato il personale sulla protezione dei dati, la violazione ha potenzialmente coinvolto un numero significativo di pazienti per un periodo prolungato. La sanzione è stata aggravata dalla mancata risposta dell’Azienda alla richiesta di informazioni del Garante, configurando un’ulteriore infrazione al Codice.
