Il certificato che attesta la presenza in ospedale al fine di giustificare un’assenza dal lavoro non deve contenere indicazioni sulla struttura presso la quale è stata erogata la prestazione sanitaria, il timbro con la specializzazione del medico o informazioni che possano far risalire allo stato di salute.
Il Garante della privacy, come si legge nell’ultima newsletter pubblicata sul sito ufficiale, nel sanzionare un’azienda sanitaria territoriale per aver trattato in maniera illecita i dati sulla salute, ha evidenziato tali principi.
Il Garante ha ricordato, in primo luogo, che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e, per “dati relativi alla salute” quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15, del Regolamento).
In base al Regolamento, i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («principio di minimizzazione dei dati»)” e “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («principio di integrità e riservatezza»)” (art. 5, par. 1, lett. c) e f) del Regolamento).
I dati personali, poi, devono essere trattati nel rispetto del principio di protezione dei dati fin dalla progettazione (privacy by design) secondo il quale, “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati” (art. 25 del Regolamento).
Inoltre – si legge nel provvedimento -, secondo il principio di responsabilizzazione, il titolare del trattamento deve conformarsi, ed essere in grado di comprovare, il rispetto dei principi e degli adempimenti previsti dal Regolamento (artt. 5, par. 2 e 24 del Regolamento). Il titolare è, pertanto, tenuto ad effettuare una valutazione in ordine alla pertinenza e non eccedenza delle informazioni trattate, al fine di garantire l’effettiva applicazione del principio di minimizzazione.
Il titolare del trattamento è del pari tenuto ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, tenendo conto, in particolare, dei rischi che derivano dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Con specifico riferimento alla fattispecie esaminata, il Garante ha evidenziato che gli organismi sanitari devono mettere in atto specifiche procedure dirette “a prevenire, nei confronti di estranei, un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute”.
Tali cautele – ha concluso il Garante - devono essere osservate anche nella stesura delle certificazioni richieste per fini amministrativi, ad esempio, e appunto, per giustificare un’assenza dal lavoro o l’impossibilità di partecipare ad un concorso.