Las certificaciones que acrediten la presencia en el hospital, para justificar una ausencia del trabajo o la imposibilidad de participar en una competencia, no deben contener las indicaciones de la estructura donde se prestó el servicio de salud, el sello con la especialización del médico, ni información que pueda debe atribuirse al estado de salud.
Así lo reiteró el Garante al sancionar a una autoridad sanitaria local por 17 mil euros.
La Autoridad intervino tras la denuncia de un paciente que había solicitado al centro sanitario un certificado de ausencia del trabajo.
En el certificado emitido se indicaba el departamento que había prestado el servicio sanitario, vulnerando las obligaciones en materia de seguridad y el principio de minimización de datos personales.
Los datos tratados, de hecho, deben ser adecuados, pertinentes y limitados a lo necesario con respecto a los fines para los que son tratados.
Además, la Autoridad determinó la violación del principio de privacidad desde el diseño, ya que la Compañía, responsable del tratamiento de datos, no implementó, desde la etapa de diseño, medidas técnicas y organizativas adecuadas, destinadas a implementar efectivamente los principios de protección de datos y proteger la derechos de los interesados.
Por tanto, la empresa sanitaria tendrá que pagar una multa de 17.000 euros porque, a pesar de haber, tras la intervención del Garante, modificado los formularios y realizado una formación específica del personal sobre la protección de datos personales, la infracción afectó a un número de pacientes potencialmente alto durante un largo período. Al definir la sanción, la Autoridad también consideró que la Compañía no respondió a la solicitud de información del Garante, cometiendo una violación adicional del Código.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10086101