Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

privacy

Medico competente: come gestire i dati sanitari nel rispetto del Gdpr

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Il medico competente gestisce dati sanitari dei lavoratori come titolare autonomo del trattamento secondo Gdpr. Deve garantire protezione, riservatezza e sicurezza delle informazioni senza condividerle con il datore di lavoro

Pubblicato il 13 giu 2025
Simona Custer

A&A – Albè & Associati Studio Legale

Luca Giacomuzzo

A&A – Albè e Associati Studio Legale

cybersicurezza in sanità Meta fisco italiano audit sicurezza informatica ia nella cybersecurity medico competente GDPR ideah OAIS 2025 e Zero-Trust; truffa criptovalute; protectUE; hacker etico; Gestione degli incidenti informatici e sicurezza cybersecurity sanitaria cybersecurity Italia 2025

Il medico competente è quel professionista sanitario che, in possesso dei titoli e dei requisiti professionali richiesti dall’art. 38 del D. Lgs. 81/2008, collabora con il datore di lavoro nella valutazione dei rischi ed effettua la sorveglianza sanitaria finalizzata alla tutela della salute e della sicurezza dei lavoratori.

Nello svolgimento delle predette attività, il medico viene quindi a conoscenza di un’elevata mole di dati personali, anche di natura particolare, dei lavoratori che, in quanto tali, devono essere trattati nel massimo rispetto della normativa in materia di protezione dei dati personali vigente e con tutte le dovute cautele ivi previste.

GDPR e Sanità, tutte le sfide per la privacy dei dati sanitari

Quali sono, quindi, le responsabilità del medico nel trattamento dei dati predetti dati? E quali sono gli accorgimenti che deve tenere in considerazione per garantire un lecito trattamento di dati? Andiamo a vederli insieme, partendo anzitutto dall’analisi del ruolo privacy assunto dal medico.

Il ruolo privacy del medico competente

Nello svolgimento dei compiti sanciti dal D. Lgs. 81/2008, il medico competente viene a conoscenza di una serie di dati personali, anche di natura particolare, dei lavoratori. Tali dati non solo vengono raccolti dal predetto professionista nell’ambito delle visite, delle analisi e degli esami compiuti, ma vengono altresì registrati e conservati all’interno delle cartelle sanitarie, così che possano poi essere consultati.

Sono, quindi, molteplici i trattamenti di dati che vengono realizzati dal medico competente e che questi è autorizzato ad effettuare; ciò, proprio in considerazione del suo ruolo e degli obblighi imposti dal D. Lgs. 81/2008. È, infatti, la predetta norma a sancire esplicitamente le finalità e le modalità del trattamento, prevedendo che il medico operi: i) in modo autonomo, ii) nel rispetto della normativa in materia di protezione dei dati personali, iii) conformemente ai principi regolatori dell’attività diagnostica e iv) secondo le proprie regole deontologiche, tra cui spicca il segreto professionale.

Ma qual è il ruolo privacy assunto dal medico nella realizzazione dei predetti trattamenti?

Partendo proprio dalle considerazioni sopra elencate, con nota del 19.03.2019 il Garante della protezione dei dati personali ha sciolto ogni dubbio al riguardo affermando espressamente che il medico competente – nello svolgimento dei suoi compiti – operi quale titolare autonomo del trattamento, definendone altresì gli specifici obblighi e delineandone l’ambito del trattamento consentito.

Infatti, nell’esecuzione dei compiti e delle attività che la legge attribuisce al predetto professionista in via esclusiva (come l’attività di sorveglianza sanitaria e la tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), quest’ultimo è l’unico soggetto legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria dei lavoratori ed indispensabili per tale finalità.

Da ciò ne consegue, quindi, che per nessuna ragione il datore di lavoro possa avere accesso ai dati sanitari dei propri lavoratori e, nello specifico, alle rispettive diagnosi o all’anamnesi familiare, se non nella misura del mero giudizio di idoneità alla mansione specifica e delle eventuali prescrizioni che il professionista fissa come condizioni di lavoro.

Tale inquadramento è ormai consolidato, tanto che ha poi trovato ulteriore conferma anche nelle “Linee Guida 07/2020sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” emanate dallo European Data Protection Board (EDPB), ove è previsto che la titolarità possa “essere ricavata dalla competenza espressamente conferita per legge, ad esempio quanto il titolare del trattamento o i criteri specifici per la sua designazione sono determinati dal diritto nazionale o dell’Unione”.

Obblighi e cautele derivanti dal trattamento dei dati personali

    Il medico competente, quale titolare del trattamento, ha l’obbligo di operare nel rispetto delle disposizioni normative in materia di protezione dei dati personali, garantendo la massima sicurezza dei dati trattati.

    Nello specifico, il medico avrà l’onere di:

    • istituire e tenere un proprio registro delle attività del trattamento, distinto da quello del datore di lavoro che gli ha conferito l’incarico, considerando che tratta – in maniera non occasionale – categorie particolari di dati relativi allo stato di salute. Tale registro dovrà essere tenuto anche nel caso in cui sia un dipendente a svolgere il ruolo di medico competente per il proprio datore di lavoro. In questo caso, però, il medico si potrà avvalere di applicativi già utilizzati dal datore di lavoro per assolvere all’obbligo sancito dall’art. 30 del GDPR;
    • rendere l’informativa ai sensi dell’art. 14 del GDPR ai lavoratori, posto che i loro dati anagrafici gli sono stati precedentemente comunicati dal datore di lavoro. L’informativa dovrà prevedere – in modo chiaro e trasparente – tutti gli elementi richiesti dal predetto articolo, tra cui le finalità e le basi giuridiche del trattamento, le categorie di dati oggetto del trattamento, le modalità con cui verranno trattati e conservati i dati e i diritti riconosciuti.

    Con particolare riferimento all’individuazione della base giuridica, si segnala che questa dovrà essere rinvenuta nell’adempimento di un obbligo legale a cui è soggetto il titolare del trattamento (art. 6.1 lettera c) GDPR) con riferimento ai dati personali e nella finalità di medicina del lavoro e di valutazione della capacità lavorativa del dipendente (art. 9.2 lettera h) GDPR) con riferimento alle categorie particolari di dati personali;

    • identificare e adottare, in proprio, misure tecniche ed organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, fermo restando la possibilità di avvalersi della cooperazione e del supporto, anche economico, del datore di lavoro. Al riguardo, è importante rammentare che qualora il medico competente decida di fruire di applicativi informatici del datore di lavoro, sarà necessario garantire che il trattamento dei dati sia conforme a quanto sancito dal D. Lgs. 81/2008 (ad esempio, garantendo che i dati personali relativi alla diagnosi dei lavoratori non entrino, anche accidentalmente, nella disponibilità del datore di lavoro). Occorrerà, infatti, implementare misure in grado di assicurare l’accesso selettivo ai dati o di rendere questi ultimi illeggibili ai soggetti non autorizzati (ad esempio, mediante il ricorso a tecniche di cifratura). A prescindere da ciò, sarà inoltre necessario che vengano disciplinati i ruoli privacy tra il medico competente e il datore di lavoro: il primo, infatti, dovrà provvedere alla nomina del secondo quale responsabile del trattamento ai sensi dell’art. 28 del GDPR.
    • nominare quei soggetti esterni eventualmente coinvolti nel trattamento dei dati responsabili del trattamento ai sensi dell’art. 28del GDPR, sottoscrivendo specifici contratti in cui vengano ben identificati sia l’ambito del trattamento affidato, che i relativi obblighi e le rispettive responsabilità.

    Non sarà, invece, tenuto alla nomina di un Data Protection Officer (DPO). Al riguardo, infatti, il Garante per la protezione dei dati personali ha chiarito che il singolo professionista sanitario – che operi in regime di libera professione a titolo individuale – non debba essere tenuto alla designazione del DPO con riferimento allo svolgimento della propria attività.

    Analoga conclusione viene, altresì, rinvenuta all’interno delle Linee guida sui Responsabili della protezione dei dati emanate dal Gruppo di lavoro Art. 29 ove, tra gli esempi di trattamento da non considerarsi su larga scala, viene annoverato proprio quello svolto da un singolo professionista sanitario.

    Il servizio di medicina del lavoro nelle strutture sanitarie pubbliche

    Anche le strutture sanitarie pubbliche devono disporre di un proprio servizio di medicina del lavoro. Tale servizio può, però, erogare le prestazioni di sorveglianza sanitaria sia nell’interesse di società e di eventuali enti convenzionati, sia nell’interesse delle singole persone fisiche.

    Sorge, quindi, spontanea una domanda: la diversità del destinatario comporta una variazione del ruolo privacy di chi la eroga? La risposta ce la fornisce il Garante per la protezione dei dati personali nel documento intitolato “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, in cui vengono proprio analizzate le predette casistiche.

    La prima si riferisce al caso in cui le prestazioni di sorveglianza sanitaria vengano erogate in favore di datori di lavoro pubblici o privati da parte del servizio di medicina del lavoro della struttura sanitaria. In questo caso, non vi sono dubbi: la struttura sanitaria agirà quale titolare del trattamento, impiegando il proprio personale debitamente individuato, formato ed autorizzato al trattamento dei dati dei lavoratori.

    La seconda, invece, si riferisce al caso in cui tali prestazioni vengano erogate in favore del personale dipendente della struttura sanitaria pubblica presso cui il servizio di medicina del lavoro è istituito e proprio da parte del personale che compone il predetto servizio. In questo caso – sebbene non sia previsto alcun divieto per la struttura sanitaria di impiegare il proprio personale nell’erogazione delle predette prestazioni – è necessario che questo sia in possesso dei requisiti previsti dal D. Lgs. 81/2008. Il medico competente così individuato potrà, quindi, svolgere i propri compiti in piena autonomia professionale, agendo anch’esso quale titolare del trattamento dati ed utilizzando, però, le risorse fornite dalla struttura sanitaria (quale datore di lavoro).

    Gli insegnamenti del Garante per la protezione dei dati personali

      Diversi i provvedimenti emanati dal Garante per la protezione dei dati personali in cui sono stati sanzionati molteplici medici competenti per aver realizzato un trattamento di dati contrario ai principi sanciti dalla normativa in materia di protezione dei dati personali. Da ultimo si veda il provvedimento n. 10 dello scorso 16 gennaio con cui l’Autorità ha comminato ad un medico una sanzione amministrativa di € 2.000,00.

      Quali, quindi, gli insegnamenti da ricordare?

      È fondamentale che nello svolgimento dei propri compiti il medico presti la massima attenzione sia alla tipologia di informazioni trattate, sia alla conservazione delle stesse, mettendo in atto ogni misura necessaria a garantirne la dovuta protezione.

      Si rammenta, infatti, che nello svolgimento del proprio incarico il medico competente viene a conoscenza di numerosi dati personali, soprattutto di natura particolare, dei lavoratori e che solo lui è l’unico soggetto autorizzato a trattarli. Pertanto, è necessario che il medico adotti ogni opportuna cautela affinché tali informazioni: i) non vengano comunicate o condivise, per alcun motivo, con il datore di lavoro e/o con altri soggetti operanti per lo stesso e ii) vengano conservate in luoghi ove sono presenti tutte le adeguate misure di protezione fisiche e tecniche al fine di evitare accessi da parte di soggetti non autorizzati.

      @RIPRODUZIONE RISERVATA

      Valuta la qualità di questo articolo

      La tua opinione è importante per noi!

      C
      Simona Custer
      A&A – Albè & Associati Studio Legale
      Seguimi su
      G
      Luca Giacomuzzo
      A&A – Albè e Associati Studio Legale
      Seguimi su

      Leggi anche:

      guest

      0 Commenti
      Più recenti
      Più votati
      Inline Feedback
      Vedi tutti i commenti

      Argomenti

      Canali

      Con o Senza – Galaxy AI per il business

      Tutti
      Mobile security
      AI per il lavoro
      Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
      La soluzione
      Mobile Security by design: una sicurezza nativa e integrata nell’hardware
      Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
      scenari
      Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
      Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
      tecnologie
      Con o senza AI? L’intelligent workplace direttamente sullo smartphone
      Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
      La soluzione
      Mobile Security by design: una sicurezza nativa e integrata nell’hardware
      Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
      scenari
      Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
      Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
      tecnologie
      Con o senza AI? L’intelligent workplace direttamente sullo smartphone

      Articoli correlati

      • data protection officer

      • la guida

        DPO, chi è il data protection officer e perché è una figura controversa

        07 Apr 2025

        di Antonino Polimeni

        Condividi
      • email privacy (1)

      • protezione dei dati

        App mobili conformi al Gdpr: una guida pratica

        05 Dic 2024

        di Paola Zanellati

        Condividi