Si ringrazia il Collega Dott. Marcello Grosso, Dirigente Psicologo ASL 3 Genova Liguria, per la segnalazione del provvedimento.

Il Garante per la Protezione dei Dati Personali ha recentemente sanzionato l’Azienda Sanitaria Territoriale (AST) di Ascoli Piceno per aver violato i principi di minimizzazione dei dati, integrità e riservatezza, nonché gli obblighi in materia di sicurezza del trattamento. La violazione è avvenuta a seguito di un reclamo presentato da una paziente, la quale ha lamentato che l’AST avrebbe fornito un attestato che riportava il reparto presso cui la paziente aveva effettuato la prestazione sanitaria, vanificando il suo diritto alla privacy.

Qui il provvedimento.

Il reclamo e l’attività istruttoria

Il reclamo, presentato dalla signora XX, riguardava la fornitura da parte dell’AST di un attestato che indicava il reparto presso cui la paziente aveva effettuato la prestazione sanitaria. Tale indicazione, secondo la reclamante, avrebbe violato il suo diritto alla privacy, in quanto avrebbe permesso al datore di lavoro di conoscere informazioni relative al suo stato di salute.

A seguito del reclamo, il Garante ha avviato un’attività istruttoria, richiedendo all’AST di fornire elementi di informazione utili alla valutazione del caso. L’AST, tuttavia, non ha risposto alla richiesta del Garante, violando l’art. 157 del Codice in materia di protezione dei dati personali.

Le valutazioni del Garante

Il Garante, dopo aver esaminato il caso, ha rilevato che l’AST ha violato i principi di minimizzazione dei dati, integrità e riservatezza, nonché gli obblighi in materia di sicurezza del trattamento. In particolare, l’AST ha indicato nei moduli di certificazione il reparto presso il quale la paziente aveva effettuato la prestazione sanitaria, violando il principio di minimizzazione dei dati.

Il Garante ha inoltre rilevato che l’AST non ha adottato misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, violando gli obblighi in materia di sicurezza del trattamento.

6. Con specifico riferimento alla fattispecie in esame, si evidenzia che gli organismi sanitari devono mettere in atto specifiche procedure dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute (cfr. art. 83 del Codice e art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101 nonché provvedimento generale del Garante del 9 novembre 2005, doc. web n. 1191411, nel quale il Garante aveva espressamente previsto che “tali cautele devono essere orientate anche alle eventuali certificazioni richieste per fini amministrativi non correlati a quelli di cura (ad es., per giustificare un’assenza dal lavoro o l’impossibilità di presentarsi ad una procedura concorsuale)” (par. 3, lett. g) del citato provvedimento; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018). Il predetto orientamento è stato, altresì, ribadito nella Newsletter n. 398 del 9 febbraio 2015, doc. web n. 3710265, nella quale il Garante ha precisato che “nelle certificazioni rilasciate ai pazienti o ai loro accompagnatori per attestare la presenza in ospedale e giustificare ad es. l’assenza dal lavoro, non devono essere riportate indicazioni della struttura presso la quale è stata erogata la prestazione, il timbro con la specializzazione del sanitario, o comunque informazioni che possano far risalire allo stato di salute (…) Tali cautele devono essere osservate anche nella stesura delle certificazioni richieste per fini amministrative (ad es. per giustificare un’assenza dal lavoro o l’impossibilità di partecipare ad un concorso)” (sul tema, cfr., altresì, il punto 8.2. delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” – 14 giugno 2007, doc. web n. 1417809, nel quale è stato precisato che, con specifico riguardo al trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la sussistenza di specifici obblighi normativi nei riguardi del lavoratore per consentire al datore di lavoro di verificare le sue reali condizioni di salute nelle forme di legge, giustifica che venga fornita all’amministrazione di appartenenza un’apposita documentazione a giustificazione dell’assenza, consistente in un certificato medico contenente la sola indicazione dell’inizio e della durata presunta dell’infermità: c.d. “prognosi”. In assenza di speciali disposizioni di natura normativa, che dispongano diversamente per specifiche figure professionali, il datore di lavoro pubblico non è legittimato a raccogliere certificazioni mediche contenenti anche l’indicazione della diagnosi).

La sanzione

Per le violazioni riscontrate, il Garante ha sanzionato l’AST con una sanzione amministrativa pecuniaria di 17.000 euro. Il Garante ha inoltre disposto la pubblicazione del provvedimento sul proprio sito web.

Conclusioni

Il provvedimento del Garante della Privacy contro l’AST di Ascoli Piceno rappresenta un importante richiamo al rispetto dei principi di minimizzazione dei dati, integrità e riservatezza, nonché degli obblighi in materia di sicurezza del trattamento. Le aziende sanitarie, in particolare, sono tenute a garantire la massima protezione dei dati sanitari dei pazienti, evitando di fornire informazioni che possano rivelare il loro stato di salute a terzi.

Ricevi aggiornamenti via WhatsApp e Facebook.

Condividi questo post

Leave A Comment

Post correlati

Total Views: 242Daily Views: 2