Sicurezza sul lavoro e privacy GDPR: come integrarle in un unico sistema aziendale

A cura di: BCO Consulting – team Salute e Sicurezza sul Lavoro

Norme citate: 

Sicurezza sul lavoro (D.Lgs. 81/08) e privacy GDPR non sono due adempimenti separati ma sono due facce della stessa medaglia, quella della compliance. Un infortunio, una visita medica, la consegna di un DPI – ogni evento genera dati personali che ricadono contemporaneamente sia sotto il Testo Unico in materia di sicurezza sia sotto il Regolamento europeo per la protezione dei dati.

Con l’entrata in vigore della Legge 34/2026 (dal 7 aprile), che ha introdotto l’obbligo sanzionato penalmente di consegnare ai lavoratori in smart working un’informativa annuale sulla sicurezza coerente con il Documento di Valutazione dei Rischi (o DVR) aggiornato, la conformità normativa richiede ora un passo decisivo sul fronte della tutela della salute.

Tuttavia, è importante precisare che la nuova legge si concentra esclusivamente sui rischi legati alla sicurezza sul lavoro. Per quanto riguarda la privacy e il GDPR, la normativa non prevede che l’informativa debba obbligatoriamente trattare anche la gestione dei dati personali nello smart working: l’integrazione di questi aspetti all’interno dello stesso documento resta, pertanto, una scelta organizzativa della singola azienda.

1. Perché sicurezza sul lavoro e privacy GDPR devono parlare la stessa lingua

La gestione separata di sicurezza e privacy espone l’azienda a tre rischi concreti.

Sanzioni doppie: Una gestione illecita o superficiale delle informazioni sanitarie dei dipendenti può attivare contemporaneamente due diversi procedimenti sanzionatori indipendenti. Da un lato, gli organi di vigilanza sulla sicurezza puniscono la violazione delle norme del D.Lgs. 81/08; dall’altro, il Garante Privacy può comminare le pesanti sanzioni previste dal GDPR per il trattamento illecito di dati particolari (sanitari). È importante ricordare che l’Ispettorato del Lavoro non interviene nelle violazioni dei dati in sé, ma la stessa condotta aziendale scorretta può far scattare ispezioni e sanzioni da parte delle rispettive autorità competenti.

Incongruenza documentale: Un DVR dove non sono dettagliati i rischi specifici dei lavoratori (compresi coloro che lavorano in modalità “agile)  o un registro dei trattamenti dove non è descritto il lavoro agile rende entrambi i documenti contestabili in caso di ispezione.

Inefficienza operativa: Duplicare i database e conservare gli stessi dati con retention period diversi moltiplica il rischio di data breach senza alcun vantaggio normativo.

La soluzione BCO: supportiamo le PMI nella gestione coordinata di questi adempimenti. In ambito sicurezza ci assicuriamo che il DVR riporti correttamente i riferimenti del Medico Competente nominato (segnalando partner affidabili per il servizio di medicina del lavoro); mentre, in ambito privacy, mappiamo nel dettaglio come e dove vengono conservate le cartelle sanitarie e provvediamo alla corretta nomina della società di medicina del lavoro come Responsabile Esterno del Trattamento.

2. DVR smart working 2026: cosa cambia con la Legge 34 dal 7 aprile

Dal 7 aprile 2026 la Legge 34/2026 ha introdotto per tutte le imprese con lavoratori in smart working l’obbligo di consegnare un’informativa annuale scritta al lavoratore e all’RLS, con modalità tracciabili (firma dell’interessato, PEC, firma digitale, piattaforma con log).

L’obbligo diretto sanzionato è l’invio dell’informativa, Inoltre l’informativa deve essere coerente con il DVR: se il DVR non include i rischi del lavoro agile, l’informativa non è conforme. Il mancato adempimento è un illecito penale con arresto da due a quattro mesi o ammenda da 1.708,61 a 7.403,96 euro (sanzioni alternative).

DVR e registro dei trattamenti GDPR devono essere coerenti. Le  attività che vengono descritte nel DVR se riguardano dati personali devono  trovare corrispondenza nel registro dei trattamenti con base giuridica, finalità e retention period corretti.

3. Sorveglianza sanitaria e GDPR: qual è il confine tra medico competente e datore di lavoro?

Il Garante Privacy ha chiarito con nota del 19 marzo 2019 che il medico competente è titolare autonomo del trattamento nella sorveglianza sanitaria – non un responsabile esterno nominato dall’azienda.

Cosa significa per il datore di lavoro:

• Può ricevere solo il giudizio di idoneità alla mansione (idoneo, idoneo con prescrizioni, non idoneo). Qualsiasi informazione su diagnosi o anamnesi che raggiunga il datore costituisce una violazione penale e amministrativa.
• Non deve nominare il professionista che ricopre il ruolo di medico competente come responsabile esterno ai sensi dell’Art. 28 GDPR per la sorveglianza sanitaria.
• Le cartelle sanitarie se custodite dal medico devono essere conservate  con misure adeguate ai sensi dell’Art. 32 GDPR.

Le soluzioni BCO:

• Per i clienti d’ambito Sicurezza: segnaliamo i nominativi di società di medicina del lavoro qualificate per l’erogazione del servizio, senza intervenire nell’atto di nomina medica o nelle attività interne del medico.
• Per i clienti d’ambito Privacy: prepariamo la documentazione necessaria per nominare la società di medicina del lavoro quale Responsabile Esterno del Trattamento (Art. 28 GDPR) e verifichiamo la conformità della documentazione privacy che perviene alla società cliente. Inoltre, su specifica richiesta, supportiamo l’azienda nella redazione della Data Protection Impact Assessment (DPIA) per l’introduzione di particolari tecnologie o sistemi digitali.

4. Il DVR e la privacy by design: come proteggere i dati nei documenti di sicurezza

Il principio di Privacy by Design (Art. 25 GDPR) stabilisce che la protezione dei dati deve essere integrata fin dalla progettazione di qualsiasi attività aziendale. Nel contesto della sicurezza sul lavoro, questo principio non si applica tanto alla redazione del DVR standard, quanto al momento in cui l’azienda decide di introdurre nuove tecnologie o attrezzature di lavoro.

Il principio di privacy by design applicato alla sicurezza  significa:

• Strutturare l’accesso al DVR con livelli di accesso differenziati per ruolo, garantendo che la documentazione sia consultabile solo dalle figure aziendali che ne hanno effettiva necessità.
• Condurre una DPIA prima di introdurre qualsiasi tecnologia che raccoglie dati sui lavoratori (IoT, esoscheletri, wearable), senza tralasciare gli aspetti legati alla normativa giuslavoristica (come l’accordo sindacale o l’istanza di autorizzazione all’Ispettorato Nazionale del Lavoro per le attrezzature che possono comportare un controllo a distanza).

I dispositivi wearable che rilevano parametri biometrici – postura, frequenza cardiaca o affaticamento – trattano dati particolari ai sensi dell’Art. 9 GDPR. In questo caso la DPIA non è opzionale: è la condizione normativa da ottemperare prima di procedere al loro utilizzo in azienda.

5. Il fascicolo digitale del dipendente: accessi granulari e conformità integrata

Un sistema organizzato per integrare sicurezza e privacy può prevedere l’adozione del cosiddetto “fascicolo digitale del dipendente“, in cui centralizzare la documentazione relativa al personale: contrattualistica, nomine, attestati di formazione, giudizi di idoneità e verbali di consegna dei DPI. È opportuno precisare che la creazione di questo fascicolo non costituisce un adempimento obbligatorio per legge, ma rappresenta una modalità di corretta ed efficiente gestione aziendale.

Per le aziende che scelgono di adottare questo tipo di strumento, la conformità integrata si realizza impostando all’interno della piattaforma degli accessi differenziati e granulari in base al ruolo:

• Il Responsabile del Servizio di Prevenzione e Protezione (RSPP) vede le scadenze dei corsi di sicurezza per pianificare i rinnovi, ma non i giudizi medici.
• Il Consulente per la Privacy o il Consulente Legale verifica la presenza delle nomine e delle informative privacy, non i dati retributivi.
• Il Medico Competente accede alle cartelle sanitarie di sua pertinenza senza esporre il resto del fascicolo amministrativo.

Questo livello di granularità, supportato da sistemi che automatizzano le autorizzazioni e producono log degli accessi verificabili in caso di controllo, protegge l’azienda dal rischio che la visualizzazione di documenti riservati da parte di personale non autorizzato si trasformi in una violazione dei dati (data breach).

6. La formazione integrata sicurezza e privacy è possibile?

La normativa  impone due percorsi separati: formazione sulla sicurezza (D.Lgs. 81/08) e formazione sulla privacy (Art. 32 GDPR). La formazione integrata sicurezza e privacy li unisce in un unico modulo partendo dai contesti operativi reali. Un addetto alla logistica istruito sull’uso di un terminale apprende contemporaneamente postura corretta (sicurezza), protezione delle credenziali (privacy) e gestione dei dati clienti (GDPR) – tre obblighi, un’unica sessione.

Dal 2 febbraio 2025 si aggiunge l’obbligo di AI literacy (Art. 4 AI Act), relativa all’impiego degli strumenti di intelligenza artificiale integrabile nello stesso percorso.

BCO progetta percorsi di formazione integrata sicurezza e privacy per PMI, in aula o e- learning, con attestati validi per tutti gli obblighi normativi.

7. La sicurezza informatica fa parte della sicurezza sul lavoro? Il DPI digitale

Un attacco ransomware che blocca i sistemi di gestione della produzione non mette a rischio solo i dati: può causare incidenti fisici se i sistemi di controllo dei macchinari vengono compromessi. Le misure di sicurezza informatica previste dall’Art. 32 GDPR – cifratura, autenticazione, log, backup – sono anche misure di prevenzione degli infortuni quando i sistemi governano macchinari o ambienti pericolosi.

Le procedure di Business Continuity devono includere i sistemi di gestione della sicurezza sul lavoro tra le infrastrutture critiche da proteggere.

8. Quali sono i vantaggi economici dell’integrazione?

Riduzione del premio INAIL tramite OT23. Le aziende che dimostrano una gestione superiore dei rischi possono richiedere una riduzione del tasso medio INAIL con sconti tra il 5% e il 28% a seconda del numero di dipendenti.

Accesso alle gare d’appalto. I grandi committenti richiedono sempre più spesso ai fornitori evidenza della solidità dei processi privacy, non solo la certificazione sulla sicurezza.

Facilità nei controlli. DVR allineato al registro dei trattamenti, fascicolo digitale con log tracciati, formazione documentata: un sistema coerente riduce il rischio sanzionatorio in qualsiasi ispezione congiunta.

FAQ – Domande frequenti su sicurezza sul lavoro e privacy GDPR 2026

Il DVR deve essere protetto dalla privacy? Sì. È necessario strutturare la propria architettura informatica in modo tale che il DVR e in generale tutta la documentazione in materia di salute e sicurezza sia accessibile alle sole figure aziendali che ne hanno effettiva necessità.

Posso usare i dati delle visite mediche per spostare un dipendente di reparto? Solo se il medico competente ha espresso un giudizio di idoneità parziale o non idoneità alla mansione. Qualsiasi dato clinico che raggiunga il datore al di là del giudizio di idoneità costituisce una violazione penale.

La formazione sulla sicurezza e quella sulla privacy possono essere fatte insieme? Sì. Un percorso integrato copre D.Lgs. 81/08, Artt 29 e . 32 GDPR nonché l’Art. 4 AI Act in un unico modulo operativo, riducendo l’impatto sul calendario aziendale.

Chi è responsabile se il software di gestione della sicurezza subisce un attacco hacker? Il Titolare del Trattamento – l’azienda. Il fornitore deve essere nominato Responsabile Esterno del Trattamento (Art. 28 GDPR). In caso di data breach, l’azienda ha 72 ore per notificare la violazione al Garante.

Dal 7 aprile 2026 cosa devo aggiornare? Tutte le imprese con lavoratori in smart working devono consegnare un’informativa annuale sui rischi al lavoratore e all’RLS con modalità tracciabili. L’informativa deve essere coerente con il DVR aggiornato. Il mancato adempimento è un illecito penale (arresto fino a 4 mesi o ammenda fino a 7.403,96 euro).

Cos’è la DPIA e quando è obbligatoria in ambito sicurezza? È la valutazione di impatto (o Data protection Impact Assessment) una valutazione specifica che deve essere  obbligatoriamente effettuata  prima di attivare sistemi ad alto rischio: videosorveglianza intelligente, wearable biometrici, GPS sui veicoli, esoscheletri, sensori IoT.

Il medico competente può condividere i dati sanitari con l’HR? No. Può comunicare solo il giudizio di idoneità alla mansione. L’accesso dell’HR alle cartelle sanitarie costituisce violazione penale

Cosa deve fare l’RSPP riguardo al GDPR? Collaborare con l’azienda e con i consulenti privacy  per allineare DVR e registro dei trattamenti. L’utilizzo di attrezzature o dispositivi intelligenti deve essere dettagliato nel registro dei trattamenti e devono essere portati avanti gli ulteriori adempimenti privacy e di diritto del lavoro.

Cos’è il fascicolo digitale del dipendente e perché serve? Un archivio unico con accessi differenziati per ruolo. Senza granularità negli accessi, qualsiasi visualizzazione non autorizzata è un data breach, quindi una violazione dei dati.

Conclusione: dalla compliance frammentata all’azienda resiliente

Sicurezza sul lavoro e privacy GDPR sono due facce dello stesso sistema di gestione del rischio. Nel 2026, con la Legge 34/2026 e l’AI Act, la consulenza integrata sicurezza e privacy non è più un valore aggiunto – è il requisito minimo per operare senza esposizione sanzionatoria.

BCO costruisce sistemi integrati per PMI: dall’allineamento DVR – registro dei trattamenti, alla formalizzazione del rapporto con il medico competente, al fascicolo digitale del dipendente, fino alla formazione integrata sicurezza e privacy per tutto il personale.

Richiedi un check- up integrato per la tua azienda: sicurezza, medicina e privacy in un’unica soluzione