Certificazioni mediche e privacy: sanzione ad Azienda Sanitaria Territoriale

Certificazioni mediche di assenza: no a indicazioni su struttura sanitaria, reparto, specialista o dettagli sullo stato di salute dell’interessato.

Le certificazioni rilasciate per giustificare un’assenza dal lavoro o l’impossibilità di partecipare a un concorso pubblico non devono contenere indicazioni che consentano di risalire alla struttura sanitaria erogante, al reparto specifico, allo specialista curante o a dettagli relativi allo stato di salute dell’interessato. Tali certificazioni devono rispettare il principio di minimizzazione dei dati, limitandosi alle informazioni strettamente necessarie per la finalità dichiarata. Per approfondire, abbiamo organizzato il corso di formazione Le nuove regole per l’uso primario e secondario dei dati sanitari: il nuovo Regolamento europeo (EHDS)

Indice

1. I fatti: le certificazioni mediche


Il Garante (di seguito anche “Autorità”),  per la protezione dei dati personali, con il provvedimento del 26 settembre 2024 ha ordinato all’Azienda Sanitaria Territoriale di Ascoli Piceno (di seguito anche “Azienda) di pagare la somma di euro 17.000,00 (diciassettemila/00) a titolo di sanzione amministrativa pecuniaria, ribadendo il principio della minimizzazione dei dati intervenendo a seguito del reclamo di una paziente. La ricorrente aveva segnalato che il certificato richiesto per giustificare un’assenza lavorativa riportava il reparto sanitario in cui era stata erogata la prestazione, configurando così una violazione delle disposizioni in materia di protezione dei dati personali.
L’Autorità ha rilevato che il certificato, così formulato, violava il principio di sicurezza e il principio di minimizzazione dei dati, sancito dall’art. 5 del Regolamento (UE) 2016/679 (GDPR). I dati trattati devono essere infatti adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono raccolti e utilizzati.
Inoltre, è stata accertata la violazione del principio di “privacy by design”, poiché l’Azienda, titolare del trattamento non aveva implementato, fin dalla progettazione, misure tecniche e organizzative adeguate a garantire la protezione dei dati e la tutela dei diritti degli interessati.
Nonostante l’Azienda abbia successivamente adeguato i moduli e fornito una formazione specifica al personale, la sanzione è stata determinata considerando:

  • Il numero potenzialmente elevato di pazienti coinvolti;
  • La durata prolungata della violazione;
  • L’omissione di riscontro alle richieste di informazioni formulate dal Garante, configurando così un’ulteriore violazione del Codice in materia di protezione dei dati personali.

L’intervento del Garante riafferma l’importanza del rispetto delle normative sulla protezione dei dati personali, sottolineando l’obbligo per le strutture sanitarie di adottare misure che garantiscano la sicurezza e la riservatezza dei dati trattati, anche in quanto trattasi di dati meritevoli di una particolare attenzione.

Potrebbero interessarti anche:

2. Il reclamo e l’attività istruttoria


Un interessato ha formulato un reclamo al Garante con il quale ha lamentato che l’Azienda Sanitaria Territoriale di Ascoli Piceno avrebbe fornito “all’utente che ne fa richiesta un attestato[1] che riporta il reparto presso cui il paziente ha effettuato la prestazione[2], vanificando in tal modo il diritto dell’utente di non voler far sapere al datore di lavoro e al relativo ufficio del personale in quale ambito si stanno facendo accertamenti, visite o trattamenti”.
Nell’ambito dell’attività istruttoria il Garante ha ritenuto necessario richiedere all’Azienda elementi di informazione utili alla valutazione del caso nonché le iniziative assunte per conformare il trattamento dei dati personali alla disciplina rilevante in materia, non risultando, tuttavia, alcun riscontro da parte dell’Azienda al Garante.
Pertanto, l’Autorità, non avendo l’Azienda ottemperato alla richiesta di fornire gli elementi richiesti nel termine indicato, ha notificato alla medesima Azienda la violazione dell’art. 157 del Codice, comunicando, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento.
Con una successiva nota trasmessa a seguito dell’accoglimento dell’istanza volta ad ottenere un “differimento” del termine previsto per il riscontro alla richiesta di informazioni, l’Azienda ha fornito riscontro alla richiesta di informazioni, dichiarando, tra l’altro, che “pur non costituendo una giustificazione in ordine al mancato adempimento di alcuni obblighi normativi in materia di privacy, il commissariamento di n. 7 mesi in capo all’AST di AP e la recente conclusione del periodo pandemico da SARS-COV-2 non hanno facilitato l’avvio delle procedure previste. Ad oggi l’acquisizione della personalità giuridica con decorrenza dal XX da parte delle Aziende Sanitarie Territoriali[3] della Regione Marche contestuale alla soppressione della ex ASUR Marche e agli avvicendamenti nei commissariamenti e DPO non hanno consentito di poter attuare con immediatezza tutte le attività a tutela della protezione dei dati”.

3. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice


In relazione ai fatti descritti nel reclamo, il Garante ha notificato all’Azienda[4] l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità[5].
In particolare, il Garante ha ritenuto che l’Azienda ha effettuato un trattamento di dati sulla salute della reclamante non conforme alle disposizioni[6] del Regolamento, in violazione dei principi di minimizzazione, di integrità e riservatezza, di protezione dei dati fin dalla progettazione (privacy by design) nonché degli obblighi in materia di sicurezza del trattamento, indicando, nei moduli di certificazione, richiesti dalla paziente per giustificare l’assenza dal lavoro, il reparto presso il quale l’interessata ha effettuato la prestazione sanitaria e il timbro con la specializzazione del sanitario.
A seguito della notifica del Garante, l’Azienda Sanitaria Territoriale di Ascoli Piceno ha trasmesso le proprie memorie difensive evidenziando, riassumendo, quanto segue:

  • La pratica oggetto del reclamo era stata assegnata al DPO interno, il quale non ha fornito riscontro nei termini richiesti, anche a causa della sua cessazione dal servizio, avvenuta successivamente;
  • A seguito della mancata risposta, il Direttore della UOC Affari Generali e Contenzioso ha avviato un’istruttoria interna per raccogliere le informazioni necessarie;
  • Specifiche raccomandazioni sulla privacy e relativa modulistica erano già state fornite dal Direttore medico del Presidio Ospedaliero di San Benedetto del Tronto e condivise con la Direzione medica di Ascoli Piceno;
  • Non vi era intenzione di arrecare pregiudizio all’interessata, e l’entità della violazione è considerata lieve. Si segnala un utilizzo imprudente di un timbro medico quasi illeggibile in un caso e, in un altro, l’indicazione del reparto sull’attestazione;
  • L’Azienda ha adottato misure urgenti per migliorare l’organizzazione e prevenire futuri errori, qualificando la condotta come una “violazione minore” e un evento isolato che ha coinvolto un solo interessato;
  • L’Azienda ha espresso l’intenzione di scusarsi con l’interessata e di adottare ulteriori iniziative per sensibilizzare il personale al rispetto della normativa sulla protezione dei dati personali.

4. Esito dell’attività istruttoria e conclusione


Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice[7], gli elementi forniti dall’Azienda, in qualità di titolare del trattamento, nelle memorie difensive sopra richiamate e nel corso dell’audizione non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio preposto del Garante con il citato atto di avvio del procedimento. Il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento dei dati sanitari da parte dell’Azienda Sanitaria Territoriale di Ascoli Piceno, rilevando diverse violazioni del Regolamento (UE) 2016/679 (GDPR) e del Codice in materia di protezione dei dati personali, tra le quali:

  • Mancata risposta alla richiesta di informazioni: L’Azienda ha omesso di fornire riscontro a una richiesta dell’Autorità, violando l’art. 157 del Codice.
  • Violazione del principio di minimizzazione di integrità e riservatezza dei dati: Nei moduli di certificazione, richiesti per giustificare assenze lavorative, sono stati indicati il reparto sanitario e la specializzazione del medico, rendendo identificabile lo stato di salute dell’interessata, in violazione degli artt. 5, par. 1, lett. c) e f) del GDPR.
  • Mancanza di misure adeguate: L’Azienda non ha implementato fin dalla progettazione dei modelli di certificazione misure per garantire il principio di privacy by design e la sicurezza del trattamento, come previsto dagli artt. 25 e 32 del GDPR.

Nonostante queste violazioni, il Garante ha preso atto che l’Azienda:

  • Ha modificato i moduli di certificazione per conformarli alla normativa;
  • Ha verificato la corretta applicazione delle nuove procedure;
  • Ha organizzato una formazione specifica per il personale sulla protezione dei dati.

Considerato che la condotta illecita ha esaurito i suoi effetti e che sono stati adottati interventi correttivi, non si ritiene necessario applicare ulteriori misure sanzionatorie previste dall’art. 58, par. 2, del GDPR.
In conclusione, il Garante con il provvedimento del 26 settembre 2024 ha dichiarato l’illiceità del trattamento di dati personali effettuato dall’Azienda Sanitaria Territoriale di Ascoli Piceno, per la violazione dei principi di cui all’art. 5, par. 1, lett. c) e f), 25 e degli obblighi di cui all’art. 32 del Regolamento, nonché dell’art. 157 del Codice, e ordinato all’Azienda Sanitaria Territoriale di Ascoli Piceno di pagare la somma di euro 17.000,00 (diciassettemila/00) a titolo di sanzione amministrativa pecuniaria[8] per le violazioni commesse.

Formazione in materia


Le nuove regole per l’uso primario e secondario dei dati sanitari: il nuovo Regolamento europeo (EHDS)
Il corso si propone di approfondire le novità introdotte dal nuovo Regolamento sullo Spazio Europeo dei Dati Sanitari (EHDS), dandone una lettura critica e pratica: nel primo modulo sono analizzati gli aspetti legati all’uso primario dei dati (inclusi i diritti di accesso e portabilità, e i requisiti stabiliti per le cartelle cliniche elettroniche); nel secondo modulo gli aspetti relativi all’uso secondario e ai fini di ricerca. Saranno approfondite le interazioni con il GDPR e con la normativa in materia di intelligenza artificiale e di dispositivi medici.
Il corso si rivolge ad avvocati e DPO che assistono enti operanti nel settore sanitario, direttori sanitari, professionisti e manager operanti nel settore della sanità pubblica e privata.
>>>Per info ed iscrizioni<<<

Note


[1] da presentare al datore di lavoro come giustificazione dell’assenza.
[2] neurologia, ginecologia, ortopedia.
[3] ex Aree Vaste territoriali dipendenti dall’ASUR Marche.
[4] ai sensi dell’art. 166, comma 5, del Codice.
[5] art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981.
[6] In particolare, artt. 5, par. 1, lett. c) e f), 25 e 32.
[7] “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
[8] ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento,.

Armando Pellegrino

Scrivi un commento

Accedi per poter inserire un commento