GDPR e dati sanitari dei lavoratori: chi può sapere cosa

La sorveglianza sanitaria genera dati sulla salute dei lavoratori, la categoria di informazioni più protetta dal GDPR. Il datore di lavoro deve garantirne il trattamento corretto, ma non può conoscere diagnosi ed esiti clinici: vediamo esattamente chi può accedere a cosa, come si gestisce la cartella sanitaria e cosa arriva legittimamente in azienda.

Perché i dati sanitari sono "categorie particolari" di dati

L'art. 9 del Regolamento UE 2016/679 (GDPR) classifica i dati relativi alla salute tra le categorie particolari di dati personali: il loro trattamento è vietato, salvo eccezioni tassative. Per la sorveglianza sanitaria l'eccezione rilevante è l'art. 9, par. 2, lett. b): il trattamento è necessario per assolvere obblighi in materia di diritto del lavoro — nel nostro caso gli artt. 25 e 41 del D.Lgs. 81/08.

Una conseguenza pratica spesso ignorata: per le visite mediche obbligatorie non serve il consenso del lavoratore al trattamento dei dati. La base giuridica è l'obbligo di legge, non il consenso, che in ambito lavorativo il Garante considera comunque una base fragile per lo squilibrio tra le parti. Il lavoratore va però sempre informato (artt. 13-14 GDPR) su chi tratta i suoi dati, per quali finalità e per quanto tempo.

Attenzione a non confondere i piani: l'obbligo di sottoporsi alla visita discende dal D.Lgs. 81/08 (il rifiuto ha conseguenze disciplinari e sull'idoneità), mentre il GDPR disciplina come i dati raccolti durante la visita possono circolare. I due binari convivono e questa guida riguarda il secondo.

Chi può sapere cosa: la mappa dei ruoli

La regola d'oro è la separazione tra dato clinico e giudizio di idoneità. Il dato clinico (diagnosi, referti, anamnesi) resta nella sfera esclusiva del medico competente; all'azienda arriva solo la sintesi funzionale, cioè il giudizio. Ecco la mappa completa:

SoggettoCosa può conoscereCosa NON può conoscere
Medico competenteTutto il quadro clinico del lavoratore sorvegliato
Datore di lavoroGiudizio di idoneità, prescrizioni e limitazioni, scadenze visiteDiagnosi, esiti di esami, motivi clinici del giudizio
RSPPDati anonimi e aggregati per la valutazione dei rischiDati sanitari individuali
RLSDati anonimi e collettivi comunicati in riunione periodicaDati sanitari individuali
Ufficio HR / pagheAssenze e giustificativi senza diagnosi, giudizi da attuareCertificati con diagnosi, documentazione clinica
Organo di vigilanza (ASL)Cartelle sanitarie e documentazione, su richiesta ispettiva

Il medico competente comunica inoltre ogni anno i dati aggregati e anonimi della sorveglianza sanitaria (Allegato 3B del D.Lgs. 81/08) e li discute nella riunione periodica ex art. 35: è l'unico modo legittimo in cui l'andamento sanitario aziendale entra nel sistema di prevenzione, come spieghiamo nella guida agli obblighi del datore di lavoro.

La cartella sanitaria e di rischio: custodia e conservazione

Per ogni lavoratore sottoposto a sorveglianza sanitaria il medico competente istituisce, aggiorna e custodisce la cartella sanitaria e di rischio (art. 25, comma 1, lett. c, D.Lgs. 81/08), con salvaguardia del segreto professionale. La custodia va concordata con il datore di lavoro al momento della nomina: può avvenire presso l'azienda in luogo a esclusivo accesso del medico (armadio o archivio chiuso) oppure presso lo studio del professionista. In nessun caso il datore, l'HR o l'RSPP possono aprirla o farne copia.

I momenti chiave del ciclo di vita della cartella:

  • Cessazione del rapporto di lavoro: il medico consegna copia della cartella al lavoratore e gli fornisce le informazioni sulla necessità di conservarla;
  • Cessazione dell'incarico del medico: la documentazione passa al datore di lavoro, che deve conservarla nel rispetto del GDPR e trasmetterla al nuovo medico, senza consultarla;
  • Rischi particolari: per gli esposti ad agenti cancerogeni e mutageni la cartella, alla cessazione del rapporto, va trasmessa all'INAIL, che la conserva per almeno 40 anni; obblighi analoghi di lunga conservazione valgono per il rischio biologico e per l'amianto.

Contenuto, modello (Allegato 3A) e casi pratici sono approfonditi nell'articolo dedicato alla cartella sanitaria e di rischio.

Il giudizio di idoneità: cosa arriva davvero al datore di lavoro

Al termine di ogni visita il medico competente esprime il giudizio di idoneità alla mansione specifica e lo comunica per iscritto sia al datore di lavoro sia al lavoratore (art. 41, comma 6-bis). Il documento che arriva in azienda contiene: dati identificativi del lavoratore, mansione, tipo di visita, esito (idoneo, idoneo con prescrizioni o limitazioni, inidoneo temporaneo o permanente), eventuale scadenza. Non contiene, e non deve mai contenere, la motivazione clinica.

Questo crea un equilibrio delicato quando il giudizio prevede prescrizioni: il datore sa cosa deve fare (ad esempio "non movimentare carichi superiori a 10 kg") ma non perché. È corretto così: per organizzare il lavoro serve la limitazione funzionale, non la patologia. Chiedere al lavoratore o al medico la diagnosi sottostante è un trattamento illecito di dati sanitari. Le tipologie di giudizio e i margini di ricorso sono spiegati nella guida al giudizio di idoneità alla mansione.

Anche la conservazione in azienda va curata: i giudizi vanno archiviati con accesso limitato alle sole funzioni che devono attuarli, e le prescrizioni comunicate a preposti e colleghi solo nella misura strettamente necessaria all'organizzazione del lavoro.

Gli errori più comuni (e le sanzioni privacy)

Nelle ispezioni e nei provvedimenti del Garante ricorrono sempre gli stessi errori:

  • Certificati con diagnosi in HR: il lavoratore che consegna certificati medici dettagliati va invitato a produrre solo l'attestazione di malattia senza diagnosi; se il documento clinico arriva comunque, non va archiviato nel fascicolo del personale;
  • Richieste dirette di informazioni sanitarie: chiedere al dipendente "che problema hai?" per decidere turni o mansioni è illegittimo — il canale corretto è la visita a richiesta del medico competente;
  • Giudizi di idoneità diffusi via e-mail a destinatari non necessari o appesi in bacheca;
  • Cartelle sanitarie accessibili all'azienda, per esempio in archivi condivisi o gestionali HR senza segregazione;
  • Mancata informativa ai lavoratori sul trattamento dei dati nella sorveglianza sanitaria.

Le violazioni delle regole sulle categorie particolari di dati rientrano nella fascia più alta delle sanzioni GDPR (art. 83, par. 5): fino a 20 milioni di euro o il 4% del fatturato annuo mondiale. A queste si sommano le responsabilità civili verso il lavoratore e, nei casi più gravi, i profili penali.

Checklist pratica per mettersi in regola

Cinque azioni concrete per un datore di lavoro:

  1. Mappa il trattamento: inserisci la sorveglianza sanitaria nel registro dei trattamenti, indicando basi giuridiche (art. 9.2.b GDPR e D.Lgs. 81/08) e tempi di conservazione;
  2. Formalizza i ruoli: il medico competente tratta i dati clinici in autonomia per obbligo di legge; definisci per iscritto le modalità di custodia della cartella al momento della nomina;
  3. Consegna l'informativa privacy specifica ai lavoratori sorvegliati, ad esempio in occasione della prima visita;
  4. Segrega gli archivi: giudizi di idoneità con accesso limitato, nessun documento clinico nei fascicoli del personale;
  5. Forma HR e preposti su cosa possono chiedere, ricevere e comunicare.

Un medico competente organizzato semplifica tutto: gestione documentale conforme, giudizi trasmessi su canali sicuri, cartelle custodite a norma. Se devi ancora nominarlo o vuoi cambiare fornitore, richiedi un preventivo online: ricevi una proposta in giornata e la nomina è attiva in 48 ore.

Domande frequenti

Il datore di lavoro può conoscere la diagnosi del lavoratore?

No, mai. Il datore di lavoro riceve solo il giudizio di idoneità con eventuali prescrizioni o limitazioni (art. 41, c. 6-bis, D.Lgs. 81/08). Diagnosi, referti ed esiti degli esami restano nella cartella sanitaria custodita dal medico competente con segreto professionale.

Serve il consenso del lavoratore per la sorveglianza sanitaria?

No: la base giuridica del trattamento è l'obbligo di legge in materia di lavoro (art. 9, par. 2, lett. b GDPR insieme agli artt. 25 e 41 del D.Lgs. 81/08), non il consenso. Il lavoratore deve però ricevere un'informativa chiara su finalità, soggetti coinvolti e tempi di conservazione dei dati.

Chi custodisce la cartella sanitaria e di rischio?

Il medico competente, con salvaguardia del segreto professionale (art. 25 D.Lgs. 81/08). Può custodirla presso l'azienda solo in un luogo ad accesso esclusivo del medico, concordato al momento della nomina. Il datore di lavoro, l'RSPP e l'ufficio HR non possono consultarla.

L'RSPP e l'RLS possono accedere ai dati sanitari dei lavoratori?

No, non ai dati individuali. Ricevono solo dati anonimi e aggregati: il medico competente li comunica nella riunione periodica ex art. 35 e tramite l'Allegato 3B, perché servono a orientare la valutazione dei rischi, non a conoscere la salute del singolo lavoratore.

Cosa rischia l'azienda che tratta male i dati sanitari?

Le violazioni sulle categorie particolari di dati rientrano nella fascia massima delle sanzioni GDPR: fino a 20 milioni di euro o al 4% del fatturato annuo mondiale (art. 83, par. 5), oltre al risarcimento del danno al lavoratore e a possibili profili penali nei casi più gravi.

Richiedi un preventivo per la nomina del medico competente