Di seguito il commento al provvedimento pubblicato sul portale Altalex.
Con il Provvedimento 26 settembre 2024, n. 581 il Garante Privacy ha sanzionato un’azienda sanitaria per avere rilasciato un certificato medico riportante dati sensibili relativi alla salute di una paziente non necessari e non pertinenti alle finalità del rilascio (giustificare l’assenza dal lavoro): secondo l’autorità garante, tale condotta integra una violazione del principio di minimizzazione dei dati, e dei principi di accountability e di sicurezza del trattamento. Inoltre il Garante Privacy si esprime anche sul rapporto fra titolare del trattamento e DPO, evidenziando come una scarsa collaborazione fra queste due figure è spesso alla base della violazione della normativa privacy.
I fatti
La vicenda in esame prende origine dal reclamo presentato all’autorità garante da una paziente di una Ausl, la quale lamentava che la struttura sanitaria aveva rilasciato al suo datore di lavoro un certificato medico dove veniva riportato il reparto in cui era stata effettuata la prestazione, oltre al timbro del medico curante. Secondo la donna, tale condotta rappresentava una rivelazione non autorizzata di informazioni relative alla sua salute e vanificava il suo diritto alla riservatezza nei confronti del datore di lavoro in merito alla natura degli accertamenti medici a cui si era sottoposta.
Il Garante Privacy tentava quindi di mettersi in contatto con la struttura sanitaria, chiedendo informazioni utili alla valutazione del caso, ma senza ricevere alcun riscontro. La struttura sanitaria si attivava solamente a seguito della notifica dell’avvio del procedimento, facendo pervenire al Garante le proprie memorie difensive.
Innanzitutto l’Ausl giustificava il proprio mancato riscontro segnalando che era compito del DPO interno attivarsi per gestire la pratica e ottemperare alle richieste nelle tempistiche indicate, cosa che tuttavia non era avvenuta per negligenza. In secondo luogo la stessa tentava di valorizzare le circostanze attenuanti del caso, evidenziando come il timbro del medico curante fosse illeggibile in quanto sbiadito, e comunque rappresentando come si trattasse di un evento isolato relativo a una violazione minore. Manifestava poi l’intenzione di attivarsi per rimediare all’eventuale pregiudizio causato.
Infine l’azienda sanitaria tentava di dimostrare la propria diligenza nell’adempiere agli obblighi normativi in materia di privacy, menzionando la presenza di una specifica task force con il compito di adottare misure in materia di trattamento di dati personali conformi alla disciplina, nonché lo svolgimento di regolari corsi di formazioni per i dipendenti in materia privacy.
Le osservazioni del Garante Privacy
All’esito dell’attività istruttoria il Garante Privacy appurava che la condotta dell’azienda sanitaria integra una violazione di plurimi principi del GDPR. In primo luogo le informazioni riportate nel certificato medico rappresentano dati aggiuntivi e non necessari al perseguimento della finalità del rilascio del certificato (ovvero giustificare l’assenza dal lavoro), e la loro comunicazione non autorizzata rappresenta quindi una violazione del principio di minimizzazione e di integrità e riservatezza del dato personale (art. 5, par. 1, lett. c e f GDPR).
Peraltro l’indebita comunicazione di queste informazioni a terze parti rappresenta una evidente carenza sotto il profilo della accountability (art. 25 GDPR) e dell’adozione di misure tecniche e organizzative volte a garantire la sicurezza dei dati trattati (art. 32 GDPR).
Per quanto attiene al danno cagionato all’interessato, infine, la condotta dell’azienda sanitaria ha determinato una evidente lesione del diritto alla riservatezza della lavoratrice, in quanto dal certificato medico trasmesso al datore di lavoro si potevano dedurre informazioni relative al suo stato di salute.
A ben vedere, l’interpretazione del Garante Privacy è perfettamente in linea con i precedenti analoghi, come il provvedimento del 9 novembre 2005 [doc. web n. 1191411] e quello del 9 febbraio 2015 [doc. web n. 3710265]. In entrambi i casi il Garante Privacy ribadiva come gli organismi sanitari debbano mettere in atto procedure dirette a prevenire, nei confronti di estranei, un’esplicita correlazione tra l’interessato e reparti o strutture indicativa dell’esistenza di un particolare stato di salute, in particolare in quelle certificazioni richieste per fini amministrativi non correlate a quello di cura (ad esempio, per giustificare un’assenza dal lavoro).
Dette previsioni si possono ritrovare anche nelle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, dove viene ribadito che la documentazione medica giustificativa di un’assenza consiste in un certificato contenente solamente l’indicazione dell’inizio e della durata della presunta infermità (cosiddetta prognosi), e che in assenza di speciali disposizioni autorizzative il datore di lavoro non è legittimato a raccogliere certificazioni mediche contenenti anche l’indicazione della diagnosi.
Infine, nella seconda parte del provvedimento, il Garante rileva la violazione dell’art. 157 del Codice Privacy, per non avere l’Ausl tempestivamente riscontrato alla richiesta dell’autorità garante di fornire informazioni ed esibire documenti per le attività di accertamento e controlli. Non sono infatti accoglibili le giustificazioni in ordine alla presunta negligenza del DPO, in quanto la nomina di questa figura non esonera il titolare dalla verifica del rispetto della normativa, né tantomeno dall’adempimento del obbligo di fornire le informazioni richieste dal Garante Privacy nell’ambito di una procedura istruttoria.
Conclusioni
Alla luce delle proprie argomentazioni il Garante Privacy ha sanzionato il titolare del trattamento con una sanzione pari a € 17.000, di cui € 13.000 per le violazioni degli articoli 5, par. 1, lett. c) e f), 25 e 32 del GDPR e € 4.000 per la violazione del Codice Privacy in ordine al mancato tempestivo riscontro.
La vicenda in esame evidenzia due rilevanti problematiche relative ai corretti adempimenti privacy nelle strutture sanitarie pubbliche.
In primo luogo si deve appurare come vi sia una scarsa sensibilità in ordine al rispetto della riservatezza e della privacy degli interessati tale da determinare rivelazioni non autorizzate di dati personali sensibili, le quali, seppur spesso colpose o non volute, determinano una seria violazione dei diritti dell’interessato.
In secondo luogo viene sottolineata la prassi diffusa del titolare del trattamento di instaurare contatti solo saltuari con il DPO, vanificando di fatto il ruolo di quest’ultimo e con esso l’approccio di privacy by design e by default promosso dal Regolamento.
Tale atteggiamento può essere imputabile a entrambe le parti: da un lato il DPO non propone al titolare le attività necessarie per conformare i trattamenti alla disciplina; dall’altro i titolari del trattamento tendono a considerare la nomina del DPO solo come un adempimento formale, non riconoscendo e tantomeno valorizzando i compiti e le potenzialità di questa sfigura.
Redazione Nurse Times
Fonte: Altalex
Articoli correlati
- No all’invio massivo di dati degli infermieri agli Opi: lo dice il Garante per la privacy
- Privacy, l’esperto: gravi violazioni riservatezza dei pazienti
- Assistenza geriatrica, via libera del Garante privacy al dispositivo per controllare pazienti non autosufficienti
Scopri come guadagnare pubblicando la tua tesi di laurea su NurseTimes
Il progetto NEXT si rinnova e diventa NEXT 2.0: pubblichiamo i questionari e le vostre tesi
Carica la tua tesi di laurea: tesi.nursetimes.org
Carica il tuo questionario: https://tesi.nursetimes.org/questionari
Lascia un commento