Data protection

Il ruolo del Medico Competente in materia di igiene e sicurezza sul luogo di lavoro nel trattamento dei dati personali dei lavoratori.

Il Garante per la Protezione dei Dati Personali ha rilasciato un documento dal titolo “Il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, nel quale ha preso in esame, per quanto di interesse in questa sede, la fattispecie relativa al “servizio di medicina del lavoro presso le strutture sanitarie pubbliche e il (diverso) caso dell’individuazione del medico competente tra i dipendenti della struttura).[1]

Nel testo dell’Autorità si legge quanto di seguito riportato:

“È necessario tuttavia evidenziare il diverso caso in cui la struttura sanitaria pubblica, in qualità di datore di lavoro, dovendo assolvere agli obblighi in materia di igiene e sicurezza nei confronti dei lavoratori alle proprie dipendenze, si avvalga invece della facoltà prevista dalla legge, di impiegare, a tal fine, personale dipendente in possesso dei requisiti stabiliti dalla legge (art. 18, comma 1, lett. a) e 39 del d.lgs. n. 81/2018).

Il medico competente, così individuato, dovrà svolgere i propri compiti, nei limiti stabiliti e alle condizioni dettate dalla disciplina di settore e dalla disciplina di protezione dei dati personali, con le risorse fornite dall’ente/azienda (“a spese” del datore di lavoro), ma in piena autonomia professionale, agendo, anche in questo caso, quale titolare del trattamento dei dati personali dei dipendenti della struttura, nel rispetto di misure volte a assicurare l’indipendenza del servizio.”

In capo al medico competente, titolare del trattamento dei dati personali dei dipendenti della struttura,[2] sono previsti dal Regolamento UE 2016/679 (di seguito, “GDPR”) i seguenti obblighi:

1. Tenuta del Registro delle attività di trattamento (art 30 GDPR)

    Tale registro dovrà contenere le seguenti informazioni:

    a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

    b) le finalità del trattamento;

    c) una descrizione delle categorie di interessati e delle categorie di dati personali;

    d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

    e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

    f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

    g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

    Il registro è tenuto in forma scritta, anche in formato elettronico.

    Il Medico competente potrà avvalersi degli strumenti (ad es. applicativi informatici) già utilizzati dal datore di lavoro per assolvere all’obbligo di redazione e tenuta del registro.

    2. Informativa agli interessati (art. 14 GDPR)

    Il Medico competente dovrà fornire ai dipendenti le seguenti informazioni:

    a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

    b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

    c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

    d) le categorie di dati personali in questione;

    e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

    f ) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

    In aggiunta, il titolare del trattamento fornisce all’interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:

    a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

    b) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

    c) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

    d) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;

    e) il diritto di proporre reclamo a un’autorità di controllo;

    f) la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;

    g) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

    3. Il titolare del trattamento fornisce le informazioni sopra elencate:

    a) entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;

    b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure

    c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

    4. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.

    5. le sopra elencate informazioni (in tutto o in parte) non sono rilasciate dal medico competente se e nella misura in cui:

    a) l’interessato dispone già delle informazioni;

    b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato;

    in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento

    delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;

    c) l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato; oppure d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di

    segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.

    3. Sicurezza dei dati personali (artt. 32 – 34 GDPR)

    Il Medico competente, in qualità di titolare del trattamento, ha l’obbligo di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio di sicurezza.

    Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

    a) la pseudonimizzazione e la cifratura dei dati personali;

    b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

    c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

    d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

    2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

    3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

    4. Il titolare del trattamento fa sì che chiunque agisca sotto la propria autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

    4. Conservazione dei dati da parte del medico competente

    In capo al medico competente insiste anche l’obbligo di istituire, aggiornare e custodire, sotto la propria responsabilità, una cartella sanitaria e di rischio per ogni lavoratore sottoposto a sorveglianza sanitaria; tale cartella deve conservata con salvaguardia del segreto professionale e, salvo il tempo strettamente necessario per l’esecuzione della sorveglianza sanitaria e la trascrizione dei relativi risultati, presso il luogo di custodia concordato con il titolare del trattamento/datore di lavoro al momento della nomina del medico competente.

    In materia di conservazione dei dati, il TUSL impone al medico competente di consegnare al datore di lavoro, alla cessazione dell’incarico, la documentazione sanitaria in suo possesso, nel rispetto delle disposizioni rilevanti in materia di protezione dei dati, di consegnare al lavoratore, alla cessazione del rapporto di lavoro, copia della cartella sanitaria e di rischio e di fornirgli le informazioni necessarie relative alla conservazione della medesima; l’originale della cartella sanitaria e di rischio va conservata, nel rispetto di quanto disposto in materia di protezione dei dati, da parte del datore di lavoro, per almeno dieci anni, salvo il diverso termine previsto da altre disposizioni legislative.

    Inoltre, il TUSL impone al medico competente di comunicare per iscritto, in occasione delle riunioni periodiche, al datore di lavoro, al responsabile del servizio di prevenzione protezione dai rischi, ai rappresentanti dei lavoratori per la sicurezza, i risultati anonimi collettivi della sorveglianza sanitaria effettuata e di fornire indicazioni sul significato di detti risultati ai fini della attuazione delle misure per la tutela della salute e della integrità psico-fisica dei lavoratori. Misura da considerarsi come garantista della sicurezza dei dati trattati.

    Infine, la norma in materia di salute e sicurezza sul lavoro pone un ultimo baluardo a difesa del diritto alla protezione dei dati personali, imponendo un controllo sulle caratteristiche del medico, il quale deve comunicare all’autorità competente, mediante autocertificazione, il possesso dei titoli e requisiti previsti, sottostando altresì a un particolare obbligo formativo.

    La sorveglianza sanitaria è un trattamento che il titolare deve mettere in essere per raggiungere la finalità di tutelare la sicurezza e l’integrità fisica e morale dei suoi prestatori di lavoro, ma sovente deve necessariamente essere affidata a un soggetto terzo, ossia il medico competente, il quale deve presentare le garanzie richieste dal TUSL per poter operare. In questo senso la norma definisce in modo esplicito quali siano le garanzie minime.

    La sorveglianza sanitaria è un trattamento realizzato a opera del medico competente, secondo le disposizioni di legge in materia, che determina in modo esplicito la durata del trattamento al verificarsi di particolari eventi (cessazione dell’incarico e cessazione del rapporto di lavoro), la natura (obbligatoria o facoltativa, secondo i casi) e la finalità (tutela della salute, quale interesse pubblico rilevante), il tipo di dati personali (definiti dai protocolli sanitari), le categorie di interessati (chiunque presti la sua attività lavorativa, a prescindere dal rapporto contrattuale, nell’ambito dell’organizzazione del datore di lavoro), gli obblighi e i diritti del titolare (il datore di lavoro deve inviare i lavoratori alla visita medica entro le scadenze previste dal programma di sorveglianza sanitaria e richiedere al medico competente l’osservanza degli obblighi previsti a suo carico).

    5. Ruolo del Medico competente in materia di trattamento dei dati personali sanitari dei dipendenti dell’azienda/ente

    Alla luce della citata Linea guida dello EDPB (cfr. nota 2) e del documento adottato dal GPDP (cfr. nota 1), sul ruolo del Medico Competente, si ritiene che il medico competente non tratta i dati per conto del datore di lavoro ma agisce in qualità di autonomo titolare del trattamento, in base a specifiche disposizioni di legge finalizzate anzitutto al perseguimento dell’interesse pubblico di tutela della salute nei luoghi di lavoro e della collettività.

    [1] ” link: file:///C:/Users/giovanni.modesti/Downloads/Protezione%20dei%20dati%20-%20Il%20ruolo%20del%20medico%20competente%20in%20materia%20di%20sicurezza%20sul%20luogo%20di%20lavoro,%20anche%20con%20riferimento%20al%20contesto%20emergenziale.pdf

    [2] Si riportano i punti 21 e 22 delle Linee guida 07/2020 sui concetti di titolare del trattamento e responsabile del trattamento nel GDPR Versione 1.0.0 Adottato il 2 settembre 2020 ) Controllo derivante da disposizioni di legge

    21. Ci sono casi in cui il controllo può essere dedotto da un’esplicita competenza giuridica, ad esempio quando il titolare del trattamento oppure i criteri specifici per la sua nomina sono designati dal diritto nazionale o dell’Unione. In effetti, l’articolo 4, paragrafo 7 afferma che “laddove le finalità e i mezzi di tale trattamento siano determinati dall’Unione o dalla legge dello Stato Membro, il titolare del trattamento o i criteri specifici per la sua nomina possono essere previsti dall’Unione o dalla Legge dello Stato membro. ” Se il titolare del trattamento è stato specificamente identificato dalla legge, questo sarà determinante per stabilire chi funge da titolare del trattamento. Ciò presuppone che il legislatore abbia designato come titolare del trattamento l’entità che ha un’effettiva capacità di esercitare il controllo. In alcuni paesi, la legislazione nazionale prevede che le autorità pubbliche siano titolari del trattamento dei dati personali all’interno del contesto delle loro funzioni.

    22. Tuttavia, più comunemente, piuttosto che nominare direttamente il  titolare del trattamento o stabilire i criteri per la sua nomina, la legge stabilirà un compito o imporrà un dovere a qualcuno di raccogliere ed elaborare alcuni dati. In questi casi, lo scopo del trattamento è spesso determinato dalla legge. Il

    Titolare del trattamento sarà normalmente quello designato dalla legge per la realizzazione di tale finalità, questo pubblico compito. Ad esempio, questo sarebbe il caso di un’entità a cui sono affidati determinati compiti pubblici (ad esempio, sicurezza sociale) che non possono essere soddisfatte senza raccogliere almeno alcuni dati personali, impostare una banca dati o un registro per adempiere a tali compiti pubblici. In tal caso, la legge, anche se indirettamente, stabilisce chi è il titolare. Più in generale, la legge può anche imporre un obbligo al pubblico o soggetti privati per conservare o fornire determinati dati. Queste entità sarebbero quindi normalmente considerate come titolari del trattamento rispetto al trattamento necessario per eseguire tale obbligo.

    About Author /

    Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

    Segnalazione di non conformità
    Sicurezza informatica

    Lascia un commento

    Your email address will not be published.

    Potrebbe piacerti

    attacco ransomware
    Misure di sicurezza inadeguate: il Garante sanziona una Asl. La struttura sanitaria aveva subito un attacco ransomware.
    13 Maggio 2024
    agenzia investigativa
    L’utilizzo dei permessi sindacali ex legge n. 104 del 1992 e il controllo svolto, su richiesta del datore di lavoro, da una agenzia investigativa. Il vaglio della conformità alla norma sulla protezione dei dati in un recente arresto della Cassazione.
    7 Maggio 2025
    settori industriali
    Le realtà industriali nell’era dell’intelligenza artificiale. L’impatto della Intelligenza Artificiale nei settori industriali. Report di IBM.
    19 Aprile 2025

    Start typing and press Enter to search