La figura del medico competente rappresenta un punto di equilibrio tra tutela della salute dei lavoratori e rispetto della riservatezza dei dati personali.
Il Dlgs 81/08 ne definisce i compiti nell’ambito della sorveglianza sanitaria, mentre il Regolamento UE 2016/679 (GDPR) e il Dlgs 196/2003 stabiliscono le regole per il trattamento dei dati di natura sanitaria. La gestione corretta di queste informazioni è essenziale per garantire la conformità normativa, evitare violazioni della privacy e rafforzare la fiducia all’interno dell’organizzazione.
Ruoli e responsabilità nel trattamento dei dati
Il medico competente, nell’esercizio delle sue funzioni, tratta dati appartenenti a categorie particolari, come informazioni sullo stato di salute e sull’idoneità alla mansione. È considerato titolare autonomo del trattamento e risponde personalmente della correttezza e sicurezza dei dati raccolti.
Il datore di lavoro, invece, può conoscere esclusivamente il giudizio di idoneità espresso dal medico, senza accedere a diagnosi o dettagli clinici. Questo equilibrio tra diritto alla riservatezza e obblighi di prevenzione è alla base della tutela del lavoratore, che deve essere informato sulle modalità di trattamento dei propri dati e sulle misure di protezione applicate.
Misure di sicurezza e gestione operativa
Le cartelle sanitarie e di rischio devono essere custodite direttamente dal medico competente, in formato cartaceo o digitale, in un archivio protetto da accessi non autorizzati. Le comunicazioni al datore di lavoro devono limitarsi alle informazioni necessarie per adempiere agli obblighi di legge.
In presenza di strumenti informatici, devono essere applicate misure di sicurezza tecniche e organizzative adeguate, come la cifratura dei dati, la gestione controllata degli accessi e la conservazione dei documenti per tempi conformi alla normativa. Ogni trattamento deve rispettare i principi di liceità, trasparenza e minimizzazione, garantendo che vengano raccolti solo i dati strettamente indispensabili alle finalità sanitarie.
Cultura della privacy e responsabilità aziendale
Per le imprese, integrare la protezione dei dati sanitari nella gestione della sicurezza significa rafforzare la cultura della prevenzione e della fiducia. La collaborazione tra datore di lavoro, medico competente e servizio di prevenzione e protezione deve essere formalizzata tramite procedure chiare che definiscano ruoli, modalità di trasmissione delle informazioni e misure di sicurezza.
Promuovere una cultura della privacy non è solo un adempimento normativo, ma un elemento di credibilità e responsabilità sociale. La riservatezza dei dati dei lavoratori diventa così parte integrante del sistema di gestione della sicurezza, contribuendo a creare un ambiente di lavoro etico, sicuro e conforme.