Il Garante per la protezione dei dati personali è recentemente intervenuto, con un duplice provvedimento (26 settembre 2024, n. 581 e 14 novembre 2024, n. 710), a circoscrivere gli elementi che possono essere inseriti nei certificati medici rilasciati per giustificare un’assenza lavorativa, evidenziando l’importanza del principio della minimizzazione dei dati.
I provvedimenti offrono un quadro dettagliato dell’approccio del Garante al tema e permettono di tracciare il perimetro della condotta richiesta all’azienda sanitaria nella gestione dei dati sanitari.
Il Garante e i certificati di lavoro: la fattispecie oggetto dei provvedimenti
Sono pervenute al Garante due segnalazioni con cui si è lamentata la presunta violazione della disciplina in materia di protezione dei dati personali da parte di un’azienda sanitaria territoriale e un Policlinico con riferimento alla compilazione dei certificati richiesti dai pazienti per giustificare l’assenza lavorativa. In entrambi i casi, nel modulo da consegnare al datore di lavoro era stato indicato il reparto dove era stata erogata la prestazione sanitaria. I pazienti avevano, quindi, lamentato la lesione del rispettivo diritto di non rendere noto, in ambiente lavorativo, l’ambito sanitario nel quale stavano svolgendo accertamenti, visite ovvero trattamenti.
Nel corso dell’attività istruttoria condotta dal Garante, le aziende sanitarie territoriali hanno assunto una condotta profondamente diversa che ha contribuito a influenzare l’esito dell’attività procedimentale.
In particolare, facendo riferimento al provvedimento n. 710, il Policlinico si è mostrato collaborativo lungo tutta la sequenza procedimentale e si è prontamente attivato per attenuare gli effetti della violazione nonché per evitare che si potessero produrre in futuro eventi analoghi. In particolare, è stata disposta la rettifica del modulo, in modo conforme alle indicazioni del Garante, previo coinvolgimento del DPO, ed è stata inviata a tutti i reparti apposita comunicazione con cui si invitava il personale all’impiego della modulistica rettificata, con divieto di utilizzare e/o diffondere eventuali certificati diversi da quella presente su banca dati aziendale. Inoltre, è stata programmata una significativa attività formativa che coinvolgerà non solo i nuovi assunti ma, a rotazione, tutti i dipendenti sul rispetto del principio di minimizzazione dei dati personali e sul corretto uso della modulistica aziendale.
Una condotta divergente rispetto a quella tenuta dall’Azienda Sanitaria Territoriale, destinataria del provvedimento n. 581, che invece si è limitata a produrre, in sede istruttoria, le proprie difese e si è attivata, in maniera meno incisiva, per ridurre le conseguenze della propria condotta.
Privacy by design e minimizzazione dei dati: le regole del Garante sui dati sanitari nei certificati
Non è la prima volta che il Garante della privacy si esprime in materia di protezione dei dati personali in ambito sanitario e sul suo rapporto con i certificati.
Nel 2005, era stato adottato dall’Autorità un provvedimento a carattere generale, con cui era stata prescritta, a carico delle aziende sanitarie, l’adozione di specifiche procedure preventive, volte a evitare che soggetti estranei potessero evincere informazioni sullo stato di salute del paziente in forza della correlazione tra l’identità del soggetto e l’indicazione della struttura o del reparto/dipartimento presso cui si è recato o è stato ricoverato. Tali cautele, nell’ottica del Garante, debbono essere tenute anche con riferimento alle «eventuali certificazioni richieste per fini amministrativi non correlati a quelli di cura (ad es., per giustificare un’assenza dal lavoro o l’impossibilità di presentarsi ad una procedura concorsuale)».
Il predetto orientamento è stato ribadito anche più di recente, nel 2015, con l’esplicita precisazione che nelle certificazioni rilasciate ai pazienti o ai loro accompagnatori per attestare la presenza in ospedale e giustificare, per esempio, l’assenza dal lavoro ovvero la mancata partecipazione a un concorso, non devono essere riportate «indicazioni della struttura presso la quale è stata erogata la prestazione, il timbro con la specializzazione del sanitario, o comunque informazioni che possano far risalire allo stato di salute».
Similmente, la Corte di Cassazione (sez. III civ., ord. 31 gennaio 2018, n. 2367), con riferimento alla refertazione del medico fiscale, ha statuito che non debba essere riportata sulla copia per il datore di lavoro la diagnosi del paziente, ma unicamente della conferma della prognosi da parte del medico. Parimenti, si deve considerare lesiva del diritto alla riservatezza anche la prescrizione nel referto di una visita specialistica da cui si possa desumere lo stato di salute del lavoratore.
Con riferimento ai provvedimenti in commento, il Garante ha riconosciuto, nella condotta dell’ente, la violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, del Regolamento UE 2016/679), nella misura in cui l’indicazione del reparto presso cui è stata erogata la cura esula dalle finalità per cui il certificato viene rilasciato.
In secondo luogo, è stata sanzionata la violazione del principio di protezione dei dati a partire dalla progettazione (privacy by design), non avendo l’azienda sanitaria territoriale, fin dalla predisposizione del predetto modello di certificazione, adottato adeguate misure per garantire l’effettiva applicazione del richiamato principio di minimizzazione prevedendo che la quantità di dati personali indicati nel predetto modulo fosse limitata e pertinente rispetto a quanto necessario per la specifica finalità perseguita.
La diversa decisione del Garante e la rilevanza della condotta dell’ente
Il Garante evidenzia, quindi, che le strutture sanitarie debbono adottare un approccio privacy by design, progettando la modulistica in coerenza con il principio di minimizzazione, limitando le informazioni al solo fatto dell’accesso a una struttura sanitaria, senza ulteriori dettagli.
È importante osservare che l’esito dell’attività procedimentale è stato condizionato dalla condotta del destinatario in sede istruttoria. Infatti, da una parte, l’ente che ha dimostrato prontezza nella rettifica della modulistica contraria alle prescrizioni normative e del Garante, una chiara volontà di cooperazione nonché un atteggiamento volto a attenuare le conseguenze negative derivanti dalla violazione è stato destinatario di un ammonimento, mentre l’ente che si è limitato alla difesa, senza alcun proposito collaborativo, è stato oggetto di sanzione.