Un recente provvedimento sanzionatorio del 10 luglio 2025 (doc. web 10154148) del Garante Privacy ha risollevato un tema particolarmente insidioso per le aziende, quello relativo al trattamento dei dati sanitari del lavoratore.
Indice degli argomenti
Il caso sanzionato dal Garante e le prassi aziendali vietate
Il Provvedimento ha riguardato il trattamento dei dati dei lavoratori da parte di una società, con particolare riferimento alla prassi di condurre dei colloqui ai dipendenti di rientro al lavoro e ai moduli utilizzati dopo assenze dovute a malattia, ricovero o infortunio.
La ricostruzione dei fatti indicava come la società sottoponesse i dipendenti, al momento del rientro, a un’intervista con il proprio responsabile, formalizzata in un modulo successivamente trasmesso alle Risorse Umane e talvolta condiviso con il medico competente. L’intento dichiarato era quello di favorire il reinserimento lavorativo e monitorare eventuali difficoltà, ma il Garante Privacy sanzionando la società per la condotta tenuta, ha chiarito come – al netto di altre violazioni più formali, quali ad esempio l’assenza di un’adeguata informativa– un simile trattamento violasse il principio di liceità ai sensi del Regolamento Generale UE sulla Protezione dei Dati 2016/679 – Gdpr.
In effetti, la specificità della normativa nazionale in materia di salute e sicurezza sul lavoro ossia il d.lgs. 81/2008 e, più in generale, in materia di tutela della sfera privata e personale del lavoratore– si pensi alla legge no. 300 del 1970, ossia lo Statuto dei Lavoratori –pongono un argine netto rispetto a prassi che si vanno diffondendo anche in Italia, soprattutto da parte di gruppi multinazionali: quella dei colloqui di rientro post-malattia o infortunio condotti direttamente dal datore di lavoro o dai responsabili gerarchici.
Il quadro normativo di riferimento per la tutela dei dati sanitari
Argine sancito reiteratamente dal Garante Privacy a partire dalle Linee Guida del 23 novembre 2006 che disciplinavano in maniera composita e generale il trattamento dei dati dei lavoratori nel contesto aziendale (doc. web 1364939) (Linee Guida 2006), inclusi quelli sensibili, ovvero le categorie particolari di dati ai sensi dell’articolo 9 del RGPD e, più di recente, anche dal Provvedimento del Garante Privacy del 5 giugno 2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 – Codice Privacy (doc web 9124510) emesso dopo l’adeguamento del Codice Privacy al RGPD, come aggiornato dal successivo Provvedimento del 13 febbraio 2025 (doc. web n. 10112364), nei quali si trova una parte dedicata proprio al trattamento dei dati sanitari del lavoratore.
I limiti del datore di lavoro nel trattamento dei dati sulla salute
Il datore di lavoro, può generalmente trattare dati personali dei dipendenti soltanto nei limiti strettamente necessari per adempiere obblighi contrattuali o legali ma non può raccogliere, direttamente o tramite i propri responsabili, informazioni sullo stato di salute del lavoratore.
Infatti, né il consenso del dipendente, né il generico richiamo all’art. 2087 del codice civile relativo al dovere di tutela in capo all’imprenditore delle condizioni di lavoro, o al legittimo interesse del datore possono costituire base giuridica valida per raccogliere e trattare informazioni relative allo stato di salute dei lavoratori che trascendano le esigenze di legge e/o obblighi contrattuali specifici, quali, ad esempio: (i) la gestione delle assenze; (ii) l’applicazione delle norme in materia di salute e sicurezza; (iii) il riconoscimento di permessi o agevolazioni; (iv) comunicazioni obbligatorie a INPS e INAIL, (v) documentazioni necessarie per aspettative o benefici previsti dalla legge (disabilità, tossicodipendenza, invalidità, etc.).
In altre parole, il datore di lavoro – pubblico o privato – nel trattare i dati personali del dipendente deve rispettare i principi di liceità, minimizzazione e proporzionalità nel trattamento (art. 5 RGPD), e anche gli stessi certificati in parola, dovranno esclusivamente contenere la prognosi o la diagnosi dovuta, ma mai i dettagli clinici del lavoratore.
Non può quindi svolgere alcuna attività di sorveglianza sanitaria, né delegarla a figure interne come i responsabili HR, né sostituirsi al medico competente nell’analisi delle condizioni psicofisiche del lavoratore.
L’articolo 5 dello Statuto dei Lavoratori vieta peraltro ed esplicitamente al datore di lavoro di effettuare indagini sulle opinioni, sull’attività sindacale o, per estensione, sullo stato di salute dei dipendenti, salvo quanto strettamente necessario e nei limiti previsti dalla legge.
Divieti specifici e il ruolo centrale del medico competente
Rimane quindi vietato acquisire o utilizzare dati sanitari in via generale o preventiva, così come trattare dati genetici per valutare l’idoneità professionale o comunque a scopi occupazionali. Il trattamento di informazioni genetiche, tra l’altro e per inciso, è consentito solo per finalità mediche, di ricerca scientifica o giudiziaria, con forti garanzie di sicurezza, cifratura, pseudonimizzazione e con l’obbligo del consenso informato, salvo rare eccezioni previste dalla legge.
Particolare rilievo assume quindi la figura del medico competente, cui spetta in via esclusiva la sorveglianza sanitaria: egli gestisce cartelle cliniche e di rischio, alle quali il datore di lavoro non può accedere.
La sorveglianza sanitaria: compiti e responsabilità del medico competente
La sorveglianza sanitaria, come disciplinata dagli articoli 25 e 41 del d.lgs. 81/2008, consiste in un insieme di atti medici finalizzati a tutelare la salute e la sicurezza dei lavoratori in relazione ai rischi professionali. Essa è effettuata dal medico competente, il quale la programma e la esegue attraverso protocolli sanitari specifici, tenendo conto dei rischi connessi all’attività lavorativa e degli indirizzi scientifici più avanzati. Le cartelle sanitarie relative ai lavoratori devono essere predisposte, aggiornate e custodite sotto la sua responsabilità, garantendo il segreto professionale (art. 25, co. 1, lett. c) d.lgs. 81/2008).
Il ruolo del medico competente è disciplinato anche dal Codice Privacy, che qualifica la sua attività come esercizio di un compito di interesse pubblico ai sensi dell’art. 2-sexies, co. 2, lett. u), ed è quindi una figura autonoma, titolare del trattamento dei dati sanitari, legittimato a trattare tali informazioni in base a una previsione di legge.
Comunicazione degli esiti e autonomia del medico competente
Al datore di lavoro e/o al responsabile di competenza a seconda dell’organizzazione aziendale, sarà comunicato solo l’esito sintetico relativo al giudizio di idoneità (“idoneo”, “idoneo con prescrizioni/limitazioni”, “inidoneo”) senza condividere diagnosi o dettagli sanitari, tanto è vero che il 16 gennaio 2025 il Garante Privacy ha emesso un Provvedimento sanzionatorio (doc. web. 10111106) nei confronti di un medico del lavoro per illecito trattamento dei dati, in quanto lo stesso aveva trasmesso la sintesi anamnestica di un lavoratore al responsabile del personale, all’RSPP e ad altra funzione aziendale.
Oltre a ciò, il medico competente deve esercitare la propria funzione senza subire condizionamenti del datore di lavoro (art. 39 d.lgs. 81/2008), né tanto meno può svolgere attività consulenziali basate su documenti sanitari ricevuti dal datore di lavoro come indicato nel Provvedimento del Garante Privacy del 31 agosto 2023 (doc. web. 9965614), che ha censurato l’uso improprio da parte di un medico di dati sanitari per finalità di consulenza a favore dell’impresa.
Modalità e luoghi di conservazione delle cartelle sanitarie
Come dunque appurato, i dati sanitari sono conservati sotto la responsabilità del medico competente. Il luogo di conservazione deve essere stabilito all’inizio dell’incarico e nella lettera di incarico, e l’accesso alla cartella deve essere riservato esclusivamente al medico competente stesso.
Le cartelle sanitarie possono essere conservate in formato cartaceo o elettronico, con modalità che garantiscano in ogni caso la riservatezza e l’accesso selettivo. È vietato, pertanto, l’inserimento indiscriminato in archivi aziendali condivisi: le cartelle devono essere custodite in banche dati dedicate e protette, accessibili solo al medico competente. Se si opterà per la conservazione elettronica presso la società, l’accesso alla relativa banca dati dovrà essere impedito a tutto il personale e consentito solo al medico competente, fatti salvi, gli accessi dell’amministratore di sistema nominato, per esigenze manutentive e affini.
Conservazione dopo la cessazione del rapporto di lavoro
Alla cessazione del rapporto di lavoro, come previsto dall’articolo 25 del d.lgs. 81/2008 il medico consegnerà al lavoratore copia della cartella sanitaria; l’originale della cartella sanitaria è invece conservata, da parte del datore di lavoro, per almeno dieci anni, salvo disposizioni diverse specifichi rischi (si pensi alle malattie professionali per la cui manifestazione è necessario un lungo periodo di latenza).
Se la cartella sanitaria era già custodita presso la società, l’impresa dovrà mantenere tutte le accortezze e tutele già implementate per garantire la riservatezza e l’inaccessibilità dei contenuti, altrimenti se questa viene consegnata dal medico al datore di lavoro solo al momento della cessazione del rapporto di lavoro di un dipendente, la società dovrà preoccuparsi di implementare le dovute misure di sicurezza.
Trattamento dei dati sanitari lecitamente acquisiti dal datore di lavoro
Per quanto riguarda invece il trattamento e la conservazione degli esiti della sorveglianza sanitaria comunicabili al datore di lavoro e/o al personale delegato, così come altri dati personali relativi alla salute del lavoratore e collegati ad adempimenti di legge e/o specifici obblighi contrattuali e raccolti in virtù di tali lecite finalità dalla società, già Le Linee Guida 2006 sancivano le modalità di trattamento di tali categorie di dati: i documenti che contengono informazioni sulla salute devono circolare solo tra uffici strettamente competenti, se cartacei, devono essere trasmessi in plico chiuso o tramite canali individualizzati, e non devono riportare più dati di quelli indispensabili. Ad esempio, nella gestione dei turni o delle presenze, il datore di lavoro non può indicare causali dalle quali sia desumibile lo stato di salute o l’appartenenza sindacale del dipendente.
La conservazione dei dati in formato elettronico impone altrettante protezioni di accesso quali il doppio fattore di autenticazione e registrazione del log di accesso, nonché di natura organizzativa, che impediscano la divulgazione e/o gli accessi accidentali e che identifichino i soggetti e/o le funzioni che possono avere accesso al relativo database. Anche la formazione del personale è considerata fondamentale per evitare divulgazioni involontarie.
Durata della conservazione e diritti dei lavoratori
In questo caso, la durata della conservazione delle informazioni sanitarie del lavoratore conoscibili dal datore di lavoro e/o dai suoi delegati o responsabili risorse umane, non è la medesima prevista per la conservazione della cartella sanitaria, ma è di norma inferiore e valutata caso per caso a seconda dell’effettiva necessità e relativi obblighi di legge considerati i termini di decadenza e prescrizione per eventuali contestazioni da parte del lavoratore e/o degli enti competenti (INPS, INAIL, Ispettorati), in virtù del principio di minimizzazione stabilito dal RGPD e dai Provvedimenti citati.
Infine, per quanto riguarda l’esercizio dei diritti da parte dei lavoratori, il datore deve garantire il diritto di accesso, aggiornamento, rettifica, cancellazione o opposizione, per quanto compatibili con eventuali rapporti di lavoro in corso e/ altre situazioni specifiche. Le richieste vanno soddisfatte comunicando i dati detenuti in modo chiaro, anche tramite messa a disposizione del fascicolo personale, pur senza dover garantire automaticamente accesso a tutti i documenti o la creazione di nuovi archivi.
Il necessario equilibrio tra salute e riservatezza
Il quadro normativo, ribadito con forza dal recente Provvedimento sanzionatorio del Garante del 10 luglio 2025, chiarisce che la gestione dei dati sanitari dei lavoratori non può essere ricondotta a logiche di controllo o di prassi organizzative di derivazione manageriale. La sorveglianza sanitaria è compito esclusivo del medico competente, che opera come soggetto autonomo, titolare del trattamento per la parte sanitaria, nel rispetto del principio di interesse pubblico e della dignità del lavoratore.
Il datore di lavoro, dal canto suo, resta tenuto a garantire le condizioni organizzative e logistiche necessarie affinché il medico possa svolgere in autonomia le proprie funzioni, ma non può mai accedere direttamente a diagnosi o informazioni cliniche. La corretta separazione di ruoli e responsabilità, oltre a rappresentare un presidio di legalità, è la condizione essenziale per bilanciare due valori fondamentali: la tutela della salute e la protezione della riservatezza.
