Privacy e GDPR delle Cartelle Sanitarie del Medico Competente

Cosa dice la norma

Si applicano congiuntamente il GDPR (Reg. UE 2016/679), il Codice Privacy (D.Lgs. 196/2003 come modificato) e il D.Lgs. 81/08. Il medico competente è soggetto al segreto professionale; il datore di lavoro non accede ai dati clinici.

A chi si applica

A tutti i titolari del trattamento (datore di lavoro) e responsabili (medico competente o struttura sanitaria) che gestiscono cartelle sanitarie aziendali.

Obblighi pratici

Definire base giuridica e finalità del trattamento.
Nominare il medico competente come responsabile o titolare autonomo secondo il modello organizzativo.
Custodia sicura (fisica e/o informatica) con accesso riservato.
Informativa al lavoratore ex artt. 13–14 GDPR.
Conservazione per 10 anni o termini diversi previsti per rischi specifici.
Registro dei trattamenti aggiornato.

Cosa fa il medico competente

Garantisce riservatezza, custodia e accesso esclusivo. Comunica al datore di lavoro esclusivamente il giudizio di idoneità e i dati aggregati.

Sanzioni / conseguenze

Violazioni del GDPR sono sanzionate dal Garante; violazioni degli obblighi del Testo Unico ricadono nel sistema sanzionatorio del D.Lgs. 81/08.

Domande frequenti

Il datore di lavoro può vedere la cartella?

No, non può accedere ai dati clinici: riceve solo il giudizio di idoneità.

Per quanto tempo si conserva la cartella?

Almeno 10 anni dalla cessazione del rapporto di sorveglianza, salvo termini specifici (es. cancerogeni: 40 anni).

Serve una DPIA?

La valutazione d’impatto va effettuata quando il trattamento presenta rischio elevato, secondo le linee guida del Garante.

Fonti

Le fonti citate riguardano normativa primaria, documenti istituzionali e linee guida.

Regolamento UE 2016/679 (GDPR) — art. 9 — Eur-Lex

D.Lgs. 196/2003 (Codice Privacy) — Gazzetta Ufficiale

D.Lgs. 81/08 — art. 25 — Gazzetta Ufficiale

Garante per la protezione dei dati personali — garanteprivacy.it

Obblighi pratici

Definire base giuridica e finalità del trattamento.
Nominare il medico competente come responsabile o titolare autonomo secondo il modello organizzativo.
Custodia sicura (fisica e/o informatica) con accesso riservato.
Informativa al lavoratore ex artt. 13–14 GDPR.
Conservazione per 10 anni o termini diversi previsti per rischi specifici.
Registro dei trattamenti aggiornato.

Domande frequenti

Il datore di lavoro può vedere la cartella?

No, non può accedere ai dati clinici: riceve solo il giudizio di idoneità.

Per quanto tempo si conserva la cartella?

Almeno 10 anni dalla cessazione del rapporto di sorveglianza, salvo termini specifici (es. cancerogeni: 40 anni).

Serve una DPIA?

La valutazione d’impatto va effettuata quando il trattamento presenta rischio elevato, secondo le linee guida del Garante.

Fonti

Le fonti citate riguardano normativa primaria, documenti istituzionali e linee guida.

Regolamento UE 2016/679 (GDPR) — art. 9 — Eur-Lex

D.Lgs. 196/2003 (Codice Privacy) — Gazzetta Ufficiale

D.Lgs. 81/08 — art. 25 — Gazzetta Ufficiale

Garante per la protezione dei dati personali — garanteprivacy.it

Privacy e GDPR delle Cartelle Sanitarie

Risposta rapida

Copertura nazionale

Medici iscritti elenco

Conformità D.Lgs. 81/08

Gestione scadenze inclusa

Trasparenza su costi

Cosa dice la norma

A chi si applica

Obblighi pratici

Cosa fa il medico competente

Sanzioni / conseguenze

Domande frequenti

Fonti

Richiedi un preventivo per la tua azienda

Privacy e GDPR delle Cartelle Sanitarie

Risposta rapida

Copertura nazionale

Medici iscritti elenco

Conformità D.Lgs. 81/08

Gestione scadenze inclusa

Trasparenza su costi

Cosa dice la norma

A chi si applica

Obblighi pratici

Cosa fa il medico competente

Sanzioni / conseguenze

Domande frequenti

Fonti

Richiedi un preventivo per la tua azienda