Privacy e Medico Competente

Cosa prevede la normativa GDPR per privacy e medico competente?

L’art. 18 del D.Lgs. 81/08 prevede l’obbligo per il datore di lavoro di nominare il Medico Competente per l’effettuazione della sorveglianza sanitaria nel caso i lavoratori svolgano attività che possono comportare rischi per la salute.

Di seguito un elenco non esaustivo di attività comuni per le quali si deve monitorare lo stato di salute dei lavoratori:

  • utilizzo di videoterminali (es. pc) per più di 20 ore a settimana;
  • attività di movimentazione manuale di carichi;
  • lavorazioni che comportano movimenti ripetuti;
  • esposizione ad agenti fisici, quali: rumore, vibrazioni, campi elettromagnetici, radiazioni ottiche artificiali;
  • esposizione ad agenti chimici e cancerogeni;
  • esposizione ad agenti biologici.

Compiti del Medico Competente

La legge attribuisce in via esclusiva al medico competente i seguenti compiti:

  • programmazione ed effettuazione della sorveglianza sanitaria attraverso protocolli sanitari definiti in funzione dei rischi specifici e tenendo in considerazione gli indirizzi scientifici più avanzati;
  • istituzione, aggiornamento e custodia, sotto la propria responsabilità, di una cartella sanitaria e di rischio per ogni lavoratore sottoposto a sorveglianza sanitaria;
  • consegna della cartella sanitaria e di rischio al datore di lavoro alla cessazione dell’incarico;
  • consegna copia della cartella sanitaria e di rischio al lavoratore che cessa il rapporto di lavoro;
  • informazione ai lavoratori sul significato e i risultati della sorveglianza sanitaria;
  • visita periodica degli ambienti di lavoro.
privacy e medico competente

Inoltre il medico competente è tenuto a:

  • collaborare con il datore di lavoro e con il servizio di prevenzione e protezione alla valutazione dei rischi;
  • partecipare alle riunioni periodiche con il datore di lavoro, RSPP, RLS fornendo i risultati anonimi collettivi della sorveglianza sanitaria;
  • partecipare alla programmazione del controllo dell’esposizione dei lavoratori.

Informativa Privacy Medico Competente

La gestione della cartella sanitaria e di rischio, che può essere predisposta su formato cartaceo o informatizzato, è un trattamento di dati molto importante e delicato in materia di privacy.

Il Medico Compente, secondo quanto previsto dall’art. 32 del Reg. UE 27 aprile 2016 n. 679 (GDPR), deve mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza idoneo al rischio.

Ad esempio, se il professionista sceglie di predisporre le cartelle sanitarie in formato elettronico deve assicurare che:

  • l’accesso alle funzioni del sistema sia consentito solo ai soggetti espressamente autorizzati e con l’uso di credenziali di autentificazioni;
  • le informazioni siano conservate almeno su due distinti supporti informatici di memoria e siano implementati programmi di protezione e di controllo del sistema da codici virali.


Vuoi saperne di più sull’informativa privacy e il trattamento dati del medico competente?

Trattamento di dati personali e Medico Competente

La funzione del medico competente è autonoma rispetto a quella svolta dal datore di lavoro; sono specificati precisi obblighi in capo all’una e all’altra figura, così da delineare il rispettivo di trattamento dei dati personali consentito.

Secondo quanto previsto dalla Relazione annuale del 2019 del Garante della Privacy, il Medico Competente nello svolgimento dei compiti è l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità; il datore di lavoro non può ad esempio trattare l’anamnesi familiare del lavoratore.

Il Testo Unico in materia di sicurezza sul lavoro distingue chiaramente le responsabilità che ricado sul datore di lavoro da quelle che sono imputabili al medico competente, prevedendo anche delle sanzioni specifiche per il solo professionista.

informativa privacy medico competente

Il Medico Competente è Titolare del trattamento dei dati

Il Garante della Privacy ha chiarito che il medico competente tratta dati personali di natura sanitaria indispensabili ai fini dell’applicazione della normativa in materia di igiene e di sicurezza del lavoro in qualità di titolare del trattamento, con particolare riguardo alla tenuta delle cartelle sanitarie e di rischio da parte del medico competente.

Tanto, anche in considerazione del fatto che lo stesso GDPR (art. 9, lett. h) considera in via autonoma le funzioni del medico competente con riguardo ai trattamenti necessari per le finalità di medicina del lavoro, diversamente dai trattamenti del datore di lavoro necessari per adempiere i propri obblighi normativi in materia di salute e sicurezza sul lavoro (artt. 9, lett. b) e 88 del GDPR).

Obblighi di Privacy e Medico Competente

Il Medico Compente, in qualità di professionista o di collaboratore di una struttura esterna pubblica o privata, deve adempiere agli obblighi previsti dal Regolamento UE 2016-679 – GDPR come titolare del trattamento dei dati, in particolare deve:

  • predisporre e fornire agli interessati (es. lavoratori sottoposti a sorveglianza sanitaria) un’informativa contente una serie di informazioni relative alle finalità e alle modalità di trattamento dei dati;
  • fornire alle persone autorizzate (es. collaboratori/dipendenti) le istruzioni operative necessarie al corretto svolgimento delle loro attività di trattamento;
  • indicare alle persone autorizzare gli obblighi inerenti alle misure di sicurezza;
  • provvedere alla formazione delle persone autorizzate;
  • redigere i contratti di nomina per responsabili esterni del trattamento (es. centro diagnostico);
  • redigere il registro delle attività di trattamento;
  • analizzare e valutare i rischi dei trattamenti effettuati.

Inoltre il Medico Competente deve essere istruito in materia di Privacy-GDPR, partecipando a corsi specifici avanzanti.

Contatta Studio Scudo per una Consulenza

Analizzeremo insieme la situazione per proporti la migliore soluzione per la tua azienda.

Informativa al trattamento dei dati personali privacy policy



Acconsento al trattamento dei dati personali per l’iscrizione alla mailing list – newsletter con finalità di marketing diretto come specificato nella privacy policy