Privacy e cartelle sanitarie: regole e responsabilità

La cartella sanitaria e di rischio è prevista dall’art. 25 del D.Lgs. 81/08 ed è il fascicolo individuale del lavoratore in cui il medico competente raccoglie i dati relativi alla sorveglianza sanitaria: anamnesi, esami, giudizi di idoneità, esposizioni ai rischi. Contiene dati particolari ai sensi dell’art. 9 del GDPR, sottoposti a tutela rafforzata. La sua corretta gestione è un tassello centrale della sorveglianza sanitaria e della tutela della riservatezza del lavoratore.

Il Garante per la protezione dei dati personali ha chiarito che il medico competente tratta i dati sanitari del lavoratore in qualità di titolare autonomo del trattamento per le finalità sanitarie, non come responsabile del datore di lavoro. La cartella resta in custodia al medico, anche fisicamente, e viene consegnata al medico subentrante in caso di cessazione dell’incarico. Il datore di lavoro non ha accesso alle informazioni cliniche contenute nella cartella.

Al datore di lavoro è consegnato esclusivamente il giudizio di idoneità, con indicazione di eventuali prescrizioni o limitazioni. Non sono comunicate diagnosi, terapie, esami specifici o altri dati clinici. Questo principio, ribadito più volte dal Garante, vale anche per il personale HR e per i superiori gerarchici: l’unica informazione rilevante per l’organizzazione del lavoro è la conclusione del medico sull’idoneità.

Il lavoratore ha diritto in qualsiasi momento di accedere alla propria cartella sanitaria e di rischio, di richiederne copia e di chiederne aggiornamento o rettifica. Il medico competente è tenuto a fornire l’accesso in tempi ragionevoli e senza oneri economici. Anche al termine del rapporto di lavoro il lavoratore può richiedere copia della cartella, nei limiti dei tempi di conservazione previsti.

I tempi di conservazione delle cartelle sono determinati dalla normativa di settore e dipendono dal tipo di rischio. Per esposizioni a cancerogeni, mutageni e amianto i tempi sono significativamente più lunghi (anche decennali oltre la cessazione del rapporto) per consentire la sorveglianza sanitaria di lungo periodo. In tutti i casi la conservazione deve essere proporzionata e tracciabile, con misure organizzative e tecniche adeguate.

Le cartelle, sia in formato cartaceo sia digitale, devono essere protette con misure di sicurezza adeguate: armadi chiusi a chiave per il cartaceo, sistemi gestionali con autenticazione forte, cifratura e tracciamento degli accessi per il digitale. L’uso della cartella elettronica è ammesso a condizione che siano garantite integrità, riservatezza e disponibilità del dato nel tempo, in coerenza con il GDPR.

In caso di cambio del medico competente, il professionista uscente consegna le cartelle al subentrante, garantendo la continuità della sorveglianza. Il passaggio è tracciato con un verbale e non costituisce comunicazione di dati a terzi non autorizzati, perché entrambi i medici trattano i dati per le stesse finalità sanitarie. È buona prassi informare i lavoratori del cambio e del trasferimento delle loro cartelle.

Al lavoratore va fornita un’informativa chiara sul trattamento dei dati sanitari effettuato dal medico competente. La base giuridica è normalmente l’adempimento di obblighi e l’esercizio di diritti specifici in materia di diritto del lavoro, previdenza e protezione sociale, ai sensi dell’art. 9, par. 2, lett. b) del GDPR. Non è richiesto il consenso, che peraltro sarebbe difficilmente libero nel contesto di subordinazione lavorativa.