Quando un lavoratore ha bisogno di un certificato per giustificare un’assenza dovuta a una visita o a un ricovero ospedaliero, la tutela della sua privacy è un aspetto fondamentale. Il Garante privacy italiano si è recentemente espresso su questi documenti.

In un recente provvedimento sancito dal Garante privacy nei confronti di un’ATS, si è ribadito che i certificati di assenza dal lavoro non devono contenere informazioni che possano rivelare lo stato di salute della persona, il nome della struttura sanitaria o la specializzazione del medico curante.

L’Azienda Sanitaria Territoriale in questione aveva rilasciato certificati contenenti il nome del reparto ospedaliero in cui era stato ricoverato il lavoratore, violando di fatto il principio di minimizzazione dei dati previsto dal GDPR e vedendosi così comminare una sanzione di 17.000 euro.

Il principio di minimizzazione dei dati stabilisce che, affinché un certificato sia valido e conforme alla normativa, deve contenere solo le informazioni strettamente necessarie a giustificare l’assenza dal lavoro del lavoratore per motivi sanitari. In particolare, devono essere indicati:

	Il nome del paziente;
	La data e la durata dell’assenza dal lavoro;
	L’indicazione generica della struttura sanitaria (senza specificare il reparto);
	La firma del medico curante.

Non devono invece essere riportati:

• Il reparto o la specializzazione del medico;
• Il tipo di prestazione sanitaria ricevuta dal lavoratore;
• Qualsiasi altra informazione che possa far risalire allo stato di salute del paziente, precedente o successivo alla prestazione sanitaria.

Questo provvedimento impone alle aziende sanitarie di adeguare i loro moduli e formare il personale per garantire una corretta gestione dei dati personali in casi di rilascio dei certificati di assenza dal lavoro. Inoltre, richiama anche i datori di lavoro all’impossibilità di richiedere informazioni dettagliate sulla salute dei dipendenti.

Le strutture sanitarie devono rilasciare certificati conformi, evitando informazioni che possano esporre dati sensibili: in questo il concetto di privacy by design, ossia l’integrazione della protezione dei dati fin dalla progettazione dei moduli per il rilascio dei certificati medici, diventa sempre più importante.

Allo stesso tempo, le aziende devono ricordare che non hanno il diritto di conoscere i dettagli della condizione medica di un dipendente, ma solo di ricevere una giustificazione valida per la sua eventuale assenza. Crediamo che il recente caso sottolinei infatti l’importanza di trovare un equilibrio tra le esigenze aziendali e la tutela della privacy dei dipendenti: rispettare le normative non significa solo evitare sanzioni, ma anche garantire un ambiente di lavoro basato su fiducia e trasparenza.

Contattaci per verificare di essere in linea con le normative privacy