Les attestations attestant la présence à l’hôpital, pour justifier une absence du travail ou l’impossibilité de participer à un concours, ne doivent pas contenir les indications de la structure où le service de santé a été fourni, le cachet avec la spécialisation du médecin, ni des informations pouvant être attribuée à l’état de santé.

C’est ce qu’a réitéré le Garant en sanctionnant une autorité sanitaire locale pour 17 mille euros.

L’Autorité est intervenue à la suite d’une plainte d’un patient qui avait demandé à l’établissement de santé une attestation d’absence du travail.

Le certificat délivré indiquait le service qui avait fourni le service de santé, en violation des obligations de sécurité et du principe de minimisation des données personnelles.

Les données traitées doivent en effet être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

En outre, l’Autorité a constaté la violation du principe de confidentialité dès la conception, car la Société, responsable du traitement des données, n’a pas mis en œuvre, dès la conception, des mesures techniques et organisationnelles adéquates, visant à mettre en œuvre efficacement les principes de protection des données et à protéger les droits des parties intéressées.

L’entreprise de santé devra donc payer une amende de 17 mille euros car, bien qu’elle ait, suite à l’intervention du Garant, modifié les formulaires et effectué une formation spécifique du personnel sur la protection des données personnelles, la violation concernait un certain nombre de patients potentiellement élevé pendant une longue période. En définissant la sanction, l’Autorité a également considéré que la Société n’avait pas répondu à la demande d’informations du Garant, commettant ainsi une nouvelle violation du Code.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10086101