L’effetto sospensivo da parte dei certificati medici del rapporto di lavoro subordinato o comprovanti l’impossibilità di partecipare ad un concorso pubblico, benché mirante alla salvaguardia del fondamentale diritto alla salute dell’individuo (ex art. 32 Cost.), possono tuttavia prestarsi ad abusi nell’ufficializzazione dei dati sensibili (fra i quali un posto di primo piano spetta all’indicazione della struttura presso cui è stata effettuata la prestazione sanitaria, il timbro con la specializzazione del medico od altre informazioni che possano far risalire allo stato di salute).

Ebbene in siffatto contesto, l’Autorità Garante della privacy, con provvedimento n. 581 del 26 settembre 2024, intervenendo a seguito del reclamo di una paziente che aveva chiesto ad una struttura sanitaria un certificato per l’assenza dal lavoro, si espresse sulla legittimità dei dati sensibili riportati dal certificato rilasciato e cioè l’indicazione del reparto che aveva erogato la prestazione sanitaria, violando così gli obblighi in materia di sicurezza ed il principio di minimizzazione dai dati personali. In questo modo, precisamente, i dati trattati violando i rispettivi principi di adeguatezza, pertinenza e limitatezza a quanto necessario rispetto alle finalità per le quali sono trattati, ha ecceduto nel rilascio di informazioni che possano far risalire allo stato di salute.

Valutazioni del Dipartimento sul trattamento effettuato ed esito dell’attività istruttoria

In relazione ai fatti descritti nel reclamo, preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, viene osservato che:
  1. Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata od identificabile (“Interessato”) e, per “dati relativi alla salute” quelli attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par.1, nn. 1 e 15 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati”.
  2. In base all’art. 5, par. 1, lett c) ed f) del Regolamento, i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“Principio di minimizzazione dei dati”) e “trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distribuzione o dal danno accidentali.
  3. I dati personali ex art. 25 del Regolamento, devono essere, altresì, trattati nel rispetto del principio di protezione dei dati fin dalla progettazione (privacy by design) secondo il quale, “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento deve mettere in atto misure tecniche ed organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati ed a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.
  4. Ex artt. 5, par. 2 e 25 del Regolamento nonché punti 49, 51 e par. 3.5 delle linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, secondo il principio di responsabilizzazione, il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi che degli adempimenti previsti dal Regolamento. Ne consegue che il titolare risulta tenuto ad effettuare una valutazione in ordine alla pertinenza e non eccedenza delle informazioni trattate, al fine di garantire l’effettiva applicazione del principio di minimizzazione. Il titolare del trattamento risulta inoltre, tenuto ad adottare misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio, tenendo conto, in special modo, dei rischi che derivano dalla divulgazione non autorizzata o dall’accesso, in modo accidentale od illegale, a dati personali trasmessi, conservati o comunque trattati.

Rilievi conclusivi e correlati provvedimenti sanzionatori

In tal senso, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato come, chiunque in un procedimento dinanzi al Garante, dichiari od attesti falsamente notizie o circostanze o produca atti o documenti falsi, ne risponde ai sensi dell’art. 168 del Codice (c.d. “Falsità nelle dichiarazioni al Garante ed interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), gli elementi forniti dall’Azienda in qualità di titolare del trattamento, nelle memorie difensive e nel corso dell’audizione non sono stati ritenuti idonei ad accogliere le richieste di archiviazione, non avendo consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

Più in particolare, le diverse descritte occasioni nelle quali il Garante ha fornito un chiaro e specifico quadro di garanzie, hanno rappresentato, da molto tempo, un orientamento ben consolidato, che avrebbe dovuto essere conosciuto e tenuto in considerazione già prima delle modifiche del nuovo assetto organizzativo regionale, con le conseguenti difficoltà organizzative, aggravate dall’emergenza pandemica.

Inoltre, il rifluire in poco tempo di più responsabili della protezione dei dati, non esonera il titolare del trattamento dalla verifica del rispetto della normativa in materia di protezione dei dati, sia in relazione all’assolvimento dell’obbligo di fornire le informazioni richieste dal Garante, sia con riferimento alla predisposizione e all’adozione di misure volte a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute.

Inoltre, ed alla luce della considerazione secondo cui “la prassi di instaurare contatti, solo saltuari, tra il soggetto pubblico ed il proprio RPD, vanifica il senso della presenza del RPD e, con esso, l’approccio di privacy by design e by default agli enti stessi in termini di accountability e di inadempimento agli obblighi regolamentari”, si è riscontrato che tale atteggiamento può essere imputabile ad entrambe le parti e quindi a fortiori ancora al RPD, in quanto spesso portato a non proporre adeguatamente al titolare le attività necessarie per conformare i trattamenti alla disciplina in materia di protezione dei dati personali ed all’ente pubblico, per la tendenza a considerare la nomina del RPD solo come adempimento formale, non riconoscendo e soprattutto valorizzando i compiti e le potenzialità di siffatta figura (soprattutto nei punti 5 ed 8 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico).

Sulla base di queste premesse, si rileva che l’Azienda, omettendo di fornire riscontro alla richiesta di informazioni dell’Autorità, formulata ai sensi dell’art. 157 del Codice (“Richiesta di informazioni e di esibizione dei documenti”), ha posto in essere una violazione dell’art. 157 medesimo ed, indicando, nei moduli di certificazione richiesti dalla paziente per giustificare l’assenza dal lavoro, il reparto presso il quale l’interessata ha effettuato la prestazione sanitaria ed il timbro con la specializzazione del sanitario, ha effettuato un trattamento di dati sulla salute in violazione del principio di minimizzazione, di integrità e riservatezza dei dati e, non avendo adottato adeguate misure per garantire l’effettiva applicazione del richiamato principio di minimizzazione, non ha rispettato il principio di privacy by design e gli obblighi in materia di sicurezza del trattamento (ex. artt. 25 e 32 Regolamento cit.).

La necessità di garantire la continuità d'azione del data protection officer

All’interno del cit. provvedimento n. 581, particolare considerazione merita infine, l’obiter dictum dedicato all’importanza di garantire la continuità d’azione alla funzione del Data Protection Officer (DPO).

Ciò che è emerso nel corso dell’istruttoria ed oggetto di specifica contestazione, ha riguardato il mancato riscontro alla richiesta di informazioni formulata dal Garante con violazione dell’art. 157 Cod. Privacy. Testualmente è stato osservato come “nell’ambito dei poteri di cui all’art. 58 del Regolamento e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato od anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche dati”.

La censura mossa da parte del Garante Privacy all’interno del citato provvedimento, sebbene non rilevasse profili specifici di violazione, è stata comunque espressa in maniera icastica rilevando come “la prassi di instaurare contratti, solo saltuari, tra il soggetto pubblico ed il proprio RPD (sia interno che esterno) vanifica il senso della presenza del RDP e, con esso, l’approccio di privacy by design e by default promosso dal Regolamento, con conseguenze dirette in capo agli enti stessi in termini di accountability e di inadempimento agli obblighi regolamentari”.

Hai bisogno di consulenza specialistica sulla privacy in ambito sanitario e lavorativo?

Il nostro team di esperti in protezione dati sensibili ti offre:

Proteggi i dati sensibili della tua struttura sanitaria: contatta i nostri esperti in diritto della privacy per una consulenza personalizzata.