Il Garante per la protezione dei dati personali ha ribadito un principio fondamentale per la tutela della privacy: i certificati medici utilizzati per giustificare assenze dal lavoro o altre esigenze non devono riportare informazioni che possano rivelare dettagli sullo stato di salute del lavoratore. La questione, affrontata nella newsletter del 23 dicembre 2024, pone un forte accento sulla minimizzazione dei dati personali, richiamando l’attenzione su un’errata gestione delle informazioni da parte di alcune aziende sanitarie.
Questo intervento si inserisce in un contesto di crescente sensibilizzazione sul rispetto della privacy nel trattamento dei dati personali. La sanzione inflitta ad un’Azienda Sanitaria Territoriale sottolinea l’importanza di adottare misure adeguate per garantire la conformità al Regolamento Generale sulla Protezione dei Dati (GDPR), proteggendo i diritti degli interessati e prevenendo violazioni che possano compromettere la loro dignità.
Cos’è e come funziona il certificato di malattia telematico
Il certificato di malattia telematico è uno strumento indispensabile per i lavoratori dipendenti che devono giustificare un’assenza per motivi di salute. Rilasciato dal medico curante o da una struttura sanitaria, viene trasmesso direttamente all’INPS in formato elettronico. Al datore di lavoro viene inviato invece un codice per recuperare il certificato sul sito dell’Istituto. Questa modalità permette una gestione più efficiente e sicura dei dati, evitando la necessità per il lavoratore di consegnare manualmente il documento al datore di lavoro.
Il certificato contiene esclusivamente le informazioni necessarie, come la durata prevista dell’assenza e la diagnosi (solo per l’INPS), senza indicare dettagli sullo stato di salute visibili al datore di lavoro. Questo sistema è stato pensato per garantire riservatezza e semplificare le procedure, consentendo un rapido controllo da parte dell’ente previdenziale e il rispetto della normativa sulla privacy.
Leggi anche: Certificato di malattia, come funziona e quali sono diritti ed obblighi del lavoratore
Certificati per l’assenza dal lavoro: il monito del Garante
Nella newsletter del 23 dicembre 2024, il Garante della Privacy ha ricordato che le certificazioni per giustificare assenze dal lavoro non devono riportare informazioni che possano far risalire allo stato di salute del lavoratore. Il caso analizzato riguarda una paziente che aveva ricevuto un certificato contenente l’indicazione del reparto ospedaliero in cui era stata assistita, violando così il principio di minimizzazione dei dati.
La violazione ha portato a una sanzione di 17.000 euro per l’Azienda Sanitaria Territoriale coinvolta. L’Autorità ha evidenziato che l’azienda non aveva adottato misure tecniche e organizzative adeguate per garantire la protezione dei dati personali, in violazione del principio di privacy by design previsto dal GDPR. Nonostante l’intervento successivo per correggere i moduli e formare il personale, il danno era già stato fatto, coinvolgendo un numero potenzialmente elevato di pazienti per un lungo periodo.
Il principio di diritto del rispetto della privacy
Il caso mette in luce un aspetto fondamentale della gestione dei dati sanitari: la necessità di trattare solo le informazioni strettamente necessarie per la finalità dichiarata. Inserire dettagli come il reparto o la specializzazione del medico sul certificato non è solo superfluo, ma costituisce una grave violazione dei diritti alla riservatezza del paziente. Questo comportamento può esporre i lavoratori a discriminazioni o stigmatizzazioni, contravvenendo ai principi fondamentali della protezione dei dati.
Inoltre, il Garante ha sottolineato che le aziende sanitarie devono adottare sin dalla progettazione misure adeguate per garantire il rispetto della privacy, evitando di dover intervenire a posteriori con correzioni che, seppur efficaci, non cancellano l’illecito già commesso. Questo principio, noto come privacy by design, è fondamentale per prevenire violazioni e sanzioni.
Cos’è il principio di privacy by design
Il principio di privacy by design impone che la protezione dei dati personali sia considerata fin dalla fase di progettazione di qualsiasi processo o sistema che preveda il trattamento di informazioni. Questo significa adottare misure tecniche e organizzative adeguate per garantire che i dati siano trattati in modo sicuro ed evitare violazioni, minimizzando i rischi per gli interessati.
L’obiettivo è integrare la tutela della privacy in ogni fase del trattamento, rendendola parte integrante del funzionamento del sistema. In questo modo, si previene l’uso improprio dei dati e si garantisce il rispetto del GDPR, proteggendo i diritti e le libertà delle persone sin dal principio.
Conclusioni
Il monito del Garante rappresenta un richiamo importante per tutte le realtà coinvolte nella gestione dei dati personali, in particolare quelli sanitari. Le aziende devono garantire che i certificati medici rispettino il principio di minimizzazione, evitando informazioni non necessarie che possano compromettere la privacy dei lavoratori.
Il rispetto di queste norme non solo tutela i diritti dei cittadini, ma rafforza la fiducia nei confronti delle istituzioni e delle imprese coinvolte. Un passo fondamentale per una società che ambisce a un trattamento dei dati etico e conforme alla legge.
Articoli correlati:
Il dipendente può accedere sempre ai propri dati personali? Il Garante Privacy chiarisce
Controllo dei lavoratori con il riconoscimento facciale: si può fare?
Il datore di lavoro può accedere alle email dei dipendenti? Ecco cosa dice il Garante della Privacy
Assegno di inclusione, ok del Garante Privacy ai controlli da parte di INPS
