L’Azienda Sanitaria sanzionata non solo ha rilasciato certificati che violavano il principio di minimizzazione, ma ha anche trascurato il principio di privacy by design. Questo principio prevede che le organizzazioni adottino, sin dalla fase di progettazione, misure tecniche e organizzative adeguate a garantire la protezione dei dati personali.
Nonostante l’intervento del Garante, che ha portato l’Azienda a modificare i moduli e a formare il personale sulla protezione dei dati, la violazione ha coinvolto un numero potenzialmente elevato di pazienti per un lungo periodo. Inoltre, l’Azienda non ha fornito una risposta completa alla richiesta di informazioni del Garante, configurando un’ulteriore violazione del Codice della privacy.
Questo caso rappresenta un monito per tutte le organizzazioni sanitarie, sottolineando l’importanza di rispettare le normative sulla protezione dei dati personali. Le strutture devono garantire che i certificati medici contengano solo i dati essenziali e implementare misure tecniche e organizzative adeguate per prevenire violazioni. In caso contrario, possono incorrere in sanzioni significative.
Il provvedimento del Garante evidenzia la necessità di maggiore attenzione nella gestione dei certificati medici, affinché siano conformi al GDPR e rispettino i diritti degli interessati. Le strutture sanitarie devono adottare protocolli chiari e formare adeguatamente il personale per garantire la protezione dei dati personali e ridurre il rischio di sanzioni.