Data protection

Certificati per l’assenza dal lavoro, Garante: no ai dati sulla salute

La presenza di dati sulla salute (es. la Unità Operativa presso la quale l’assistito ha effettuato la prestazione sanitaria e il timbro con la specializzazione del sanitario) nel certificato rilasciato dalla ASL per l’assenza dal lavoro, rende il trattamento di dati sulla salute non conforme alle disposizioni di cui agli artt. 5, par. 1, lett. c) e f)[1], 25[2] e 32[3] del Regolamento[4], in quanto viola i principi di minimizzazione, di integrità e riservatezza, di protezione dei dati fin dalla progettazione (privacy by design) nonché gli obblighi in materia di sicurezza del trattamento.
Il Garante a conclusione della istruttoria condotta a seguito di un reclamo fatto da una assistita ha sancito quanto segue:

1. Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e, per “dati relativi alla salute” quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”.

2. In base al Regolamento, i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («principio di minimizzazione dei dati»)” e “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («principio di integrità e riservatezza»)” (art. 5, par. 1, lett. c) e f) del Regolamento).

3. I dati personali, devono essere, altresì, essere trattati nel rispetto del principio di protezione dei dati fin dalla progettazione (privacy by design) secondo il quale, “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati” (art. 25 del Regolamento).

4. Secondo il principio di responsabilizzazione, il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi che degli adempimenti previsti dal Regolamento (artt. 5, par. 2 e 24 del Regolamento). Il titolare è, pertanto, tenuto ad effettuare una valutazione in ordine alla pertinenza e non eccedenza delle informazioni trattate, al fine di garantire l’effettiva applicazione del principio di minimizzazione.[5]

5. Il titolare del trattamento è, inoltre, tenuto ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, tenendo conto, in special modo, dei rischi che derivano dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (art. 32 del Regolamento).

6. Con specifico riferimento alla fattispecie in esame, si evidenzia che gli organismi sanitari devono mettere in atto specifiche procedure dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute[6] (par. 3, lett. g) del citato provvedimento; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018).

Il predetto orientamento è stato, altresì, ribadito nella Newsletter n. 398 del 9 febbraio 2015, doc. web n. 3710265,[7] nella quale il Garante ha precisato che “nelle certificazioni rilasciate ai pazienti o ai loro accompagnatori per attestare la presenza in ospedale e giustificare ad es. l’assenza dal lavoro, non devono essere riportate indicazioni della struttura presso la quale è stata erogata la prestazione, il timbro con la specializzazione del sanitario, o comunque informazioni che possano far risalire allo stato di salute (…) Tali cautele devono essere osservate anche nella stesura delle certificazioni richieste per fini amministrativi (ad es. per giustificare un’assenza dal lavoro o l’impossibilità di partecipare ad un concorso)”.[8]

7. L’art. 157 del Codice, prevede che “Nell’ambito dei poteri di cui all’articolo 58 del Regolamento e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati”.

[1] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

(omissis)

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

(omissis)

f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

[2] Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare,

dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

[3] Articolo 32 Sicurezza del trattamento (C83)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

[4] REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

[5] Artt. 5, par. 2 e 25 del Regolamento; cfr. anche punti 49, 51 e par. 3.5 delle Linee guida 4/2019 sull’articolo 25, Protezione dei dati fin dalla progettazione e per impostazione predefinita, adottate il XX.

[6] Cfr. art. 83 del Codice e art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101 nonché provvedimento generale del Garante del 9 novembre 2005, doc. web n. 1191411, nel quale il Garante aveva espressamente previsto che “tali cautele devono essere orientate anche alle eventuali certificazioni richieste per fini amministrativi non correlati a quelli di cura (ad es., per giustificare un’assenza dal lavoro o l’impossibilità di presentarsi ad una procedura concorsuale”.

[7] https://www.garanteprivacy.it/home/docweb/-/docweb-display/print/3710265

[8] Sul tema, cfr., altresì, il punto 8.2. delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” – 14 giugno 2007, doc. web n. 1417809, nel quale è stato precisato che, con specifico riguardo al trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la sussistenza di specifici obblighi normativi nei riguardi del lavoratore per consentire al datore di lavoro di verificare le sue reali condizioni di salute nelle forme di legge, giustifica che venga fornita all’amministrazione di appartenenza un’apposita documentazione a giustificazione dell’assenza, consistente in un certificato medico contenente la sola indicazione dell’inizio e della durata presunta dell’infermità: c.d. “prognosi”. In assenza di speciali disposizioni di natura normativa, che dispongano diversamente per specifiche figure professionali, il datore di lavoro pubblico non è legittimato a raccogliere certificazioni mediche contenenti anche l’indicazione della diagnosi.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

accesso ai dati personali
email docenti

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

governance-sicurezza-digitale
Una guida alla governance delle migliori pratiche per la sicurezza digitale e la relativa gestione del rischio, ad uso delle organizzazioni; pubblicata dalla Governance Institute of Australia.
11 Febbraio 2025
accountability
L’attuazione di politiche adeguate quale misura per dimostrare il rispetto dell’accountability.
8 Aprile 2025
Cybersecurity
Nomina del referente cybersicurezza: ACN indica alle amministrazioni le modalità di comunicazione. Comunicazione n. 56/24 resa ai sensi dell’art. 39 GDPR.
29 Novembre 2024

Start typing and press Enter to search