NEWS

 

Certificati medici e privacy: spunti di riflessione per un corretto trattamento

Di recente è stato da più parti divulgato e analizzato il Provvedimento del Garante per la protezione dei dati personali del 26 settembre 2024 (doc. web 10079346) incentrato sulla tutela della riservatezza dei dati sanitari con riguardo a un aspetto che può apparire secondario – le certificazioni rilasciate in occasione della fruizione di prestazioni sanitarie – ma che a pieno titolo rientrano nell’esigenza di disegnare by design e by default il trattamento dei dati sanitari.

In relazione a diverse circostanze l’interessato-paziente (o lavoratore che sia accompagnatore di familiari) può necessitare di una tale certificazione anche solo per giustificare ad esempio una assenza dal lavoro, oraria o giornaliera che sia, per la fruizione di cure.

Nel caso in parola, il Garante ha irrogato una sanzione di 17.000 euro a una Azienda Sanitaria Territoriale – AST per il rilascio di una attestazione della specie ritenuta non compliant, anche in considerazione del fatto che durante l’istruttoria l’AST si è impegnata per la revisione del trattamento di dati personali interessato.

La vicenda ha preso il via da un reclamo in cui la persona interessata lamentava che sul certificato richiesto vi erano informazioni sul reparto presso cui era stata fruita una prestazione, “vanificando in tal modo il diritto dell'utente di non voler far sapere al datore di lavoro e al relativo ufficio del personale in quale ambito si stanno facendo accertamenti, visite o trattamenti”.

L’istruttoria del Garante, aldilà del caso specifico, è molto utile:

i) per il puntuale richiamo alle specifiche previsioni da considerare in materia: in particolare oltre al Regolamento UE 679/2016 (GDPR), il Codice privacy pre (in particolare gli artt. 22 e 83) e post GDPR, alcuni Provvedimenti del Garante (doc. web n.1191411 del 2005 e doc. web n.3710265 del 2015);

ii) perché fa emergere come, debolezze nell’approccio privacy by design e by default, possano riguardare non solo aspetti “macro” come procedure IT e procedure amministrative ma anche aspetti “micro” fatti puntuali come la compilazione di un modulo standard per la certificazione di presenza presso la struttura sanitaria.

Va sottolineato che già con il Provvedimento del 2005, il Garante aveva fornito una sorta di decalogo (una guida alla corretta lettura dell’allora vigente art. 83 del Codice privacy) sulle procedure da seguire nel trattamento dei dati personali dei pazienti. Quindi molto tempo è passato per metabolizzare tali criteri che, in genere, quando ci ritroviamo nelle vesti di pazienti vediamo rispettati (talora, peraltro, con qualche correntezza quando, ad esempio, ci viene rilasciato un codice di chiamata ma poi a volte veniamo chiamati per nome per andare dal dott….. noto specialista in…).

Ma, a GDPR ormai a regime, la questione sollecita alcune riflessioni sul fatto che applicare erga omnes criteri generali a volte comporta come effetti collaterali scoperture nella protezione dei dati personali presso talune coorti di titolari e interessati. Come emblematicamente emerge in questo caso.

Infatti, presso una grande struttura, pubblica o privata che sia, che copre diverse specialità, la soluzione è presto identificabile nel rilascio di certificazioni che fanno riferimento alla sola denominazione della struttura, senza riportare l’ambulatorio e/o il medico presso cui la prestazione è stata fruita. Ma la soluzione non appare estensibile al caso di strutture dedicate a una specifica branca di patologie o ad ambulatori afferenti a un solo medico specialista.

Un vanto dell’Italia è la presenza di una sanità pubblica di valore con molte eccellenze e ciò anche nel settore privato. Una espressione di ciò è la presenza di strutture monospecializzate in particolari settori, fra questi merita citare l’oncologia, in ordine al quale vige ora anche in Italia il diritto all’oblio oncologico, o la dermatologia o la neurologia e varie altre specialità diffusi sul territorio.

Ebbene come garantire analoga riservatezza per chi si rechi presso queste strutture – magari anche solo per accertamenti di tipo preventivo - dove ad es. una certificazione come quella sopra menzionata dovrebbe recare l’intestazione di Istituto oncologico di…

Che può fare allora ognuna di queste strutture per essere non solo compliant alla legge ma anche e soprattutto per tutelare la gente che vi si reca in cura? E che può fare l’interessato per vedere rispettata la sua privacy se non chiedere (come pure a volte mi è capitato di rilevare fra conoscenti) permessi a valere su istituti quali il congedo frazionabile o la banca delle ore anziché chiedere di fruire quelli per visite mediche contrattualmente previsti?

È una questione aperta e che deve tener conto anche dell’esigenza di tutelare le controparti (in primis i datori di lavoro, pubblici o privati che siano) di poter supervisionare la concessione di permessi per motivi di salute.

Non è agevole fornire una soluzione che possa valere per tali situazioni ma non si può neanche avallare una situazione con due pesi e due misure (garanzia della riservatezza solo dove la multidisciplinarietà della Struttura consente di non fornire informazioni indirette sulla potenziale natura di una patologia): l’applicazione della norma deve poter essere omogenea per dare un senso a eventuali misure correttive e/o sanzioni volte a incentivare comportamenti corretti.

Allora che fare? Escludendo di porre in capo a personale medico collegato al datore di lavoro (il medico competente) o al lavoratore (il medico di medicina generale) la gestione di queste certificazioni (rischierebbe di sommergerli in attività di mero tenore amministrativo) una delle ipotesi potrebbe essere di prevedere il rilascio dell’attestazione su modulistica numerata che rechi i soli dati afferenti a: nominativo del paziente, durata della permanenza presso la Struttura (senza citarla), località della prestazione (città – cap).

Tale modulistica dovrebbe essere definita su base territoriale (ad es. regionale o nazionale) e recare una codifica di riferimento la cui sequenza sia gestita presso istituti come le ASL o l’INPS).

La predisposizione potrebbe essere centralizzata presso tali Istituzioni che terrebbero un Registro dei modulari numerati prodotti e rilasciati oppure gestita top-down, per cui ciascuna Struttura o singolo professionista procede alla stampa secondo lotti di numeri identificativi rilasciati dalle citate Istituzioni che, in ogni caso, conserverebbero i dati per l’accoppiamento Struttura/professionista e modulati rilasciati).

Eventuali accertamenti che il datore di lavoro intendesse disporre verrebbero triangolati con gli Istituti citati che raccoglierebbero le richieste e provvederebbero per la conferma della veridicità dell’attestato dietro accertamento presso la Struttura sanitaria o il professionista interessato.

Questa è una ipotesi ma, ovviamente, le soluzioni potrebbero essere anche altre.

Il suggerimento che si vuole dare è di ricercarne una quanto prima per far si che nella privacy non si debba sottostare all’idea che ciò che è reale è anche razionale (in questo caso un richiamo all’ordine che rischia di essere, come abbiamo visto, solo parziale) ma, piuttosto, far sì che ciò che è razionale sia anche reale.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Articoli correlati

Prev I princìpi cardine del Gdpr mettono la privacy al centro
Next Telemarketing e inadeguatezza del consenso acquisito

Galleria Video

Il presidente di Federprivacy al TG1 Rai

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su Linkedin

Argomenti in evidenza