Gentile Interessato,
di seguito le forniamo alcune informazioni che è necessario portare alla sua conoscenza, non solo per ottemperare agli obblighi di legge, ma anche perché la trasparenza e la correttezza nei confronti degli interessati è parte fondante della nostra attività.
La presente informativa, consultabile direttamente all’interno del portale EDOCS, descrive le modalità di trattamento dei suoi dati personali in relazione all’utilizzo del portale stesso, piattaforma Ecloga finalizzata alla consegna digitale dei documenti relativi alla sorveglianza sanitaria (referti di visite ed esami medici, giudizi di idoneità alla mansione) e alla formazione in materia di salute e sicurezza sul lavoro (attestati, erogazione corsi in videoconferenza sincrona). La raccolta dei dati anagrafici necessari alla creazione del profilo avviene in un momento distinto, a cura della segreteria dell’area medicina, sulla base di apposito modulo di iscrizione corredato da separata informativa.
TITOLARE DEL TRATTAMENTO E RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD)
Il Titolare del Trattamento dei suoi dati personali è Ecloga Italia S.p.A., con sede operativa principale in via Brescia, 23 – 20063 Cernusco sul Naviglio (MI), responsabile nei suoi confronti del legittimo e corretto uso dei suoi dati personali e che potrà contattare per qualsiasi informazione o richiesta all’indirizzo e-mail privacy@consulentiecloga.it.
La struttura del Titolare è dotata di un Responsabile per la Protezione dei Dati (“DPO”, “RPD”), a disposizione per qualunque informazione sui trattamenti svolti, tra cui l’elenco dei responsabili che trattano dati per conto del Titolare. È possibile contattare l’RPD scrivendo a: rpd@consulentiecloga.it.
FINALITÀ DEL TRATTAMENTO E BASE GIURIDICA
I suoi dati personali sono raccolti e trattati per le seguenti finalità:
| Finalità | Dati trattati | Base giuridica |
| Creazione e gestione dell’account personale di accesso al portale EDOCS | Dati anagrafici identificativi, codice fiscale, numero di telefono | Esecuzione di obblighi contrattuali connessi all’erogazione del servizio (art. 6 par. 1 lett. b GDPR) |
| Consegna digitale di referti di visite ed esami medici | Dati anagrafici; dati particolari di natura medica (art. 9 GDPR) | Esecuzione di compiti di medicina del lavoro e valutazione della capacità lavorativa (art. 9 par. 2 lett. h GDPR) |
| Adempimento di obblighi di legge (art. 6 par. 1 lett. c GDPR – art. 25 D. Lgs 81/2008) | ||
| Consegna digitale dei giudizi di idoneità alla mansione | Dati anagrafici; dati di idoneità alla mansione | Esecuzione di compiti di medicina del lavoro e valutazione della capacità lavorativa (art. 9 par. 2 lett. h GDPR) |
| Adempimento di obblighi di legge (art. 6 par. 1 lett. c GDPR – art. 41 D. Lgs 81/2008) | ||
| Consegna digitale di attestati di formazione e aggiornamento in materia di salute e sicurezza sul lavoro | Dati anagrafici; dati relativi al percorso formativo | Adempimento di obblighi di legge (art. 6 par. 1 lett. c GDPR – art. 37 D. Lgs 81/2008 e Accordo Stato-Regioni 17/04/2025, Rep. atti n. 59/CSR) |
| Erogazione di corsi di formazione in modalità videoconferenza sincrona; tracciamento presenze e orari di collegamento; verifica della comprensione linguistica e dell’apprendimento finale | Dati anagrafici; log di connessione (orari di ingresso/uscita, durata); esiti delle verifiche | Adempimento di obblighi di legge (art. 6 par. 1 lett. c GDPR – art. 37 D. Lgs 81/2008 e ASR 17/04/2025) |
| Esecuzione del contratto di servizi formativi (art. 6 par. 1 lett. b GDPR) | ||
| Registrazione audio/video delle sessioni di formazione in videoconferenza, per finalità di accountability del soggetto formatore e controllo della qualità didattica | Immagine e voce del partecipante | Legittimo interesse del Titolare (art. 6 par. 1 lett. f GDPR – LIA documentato) |
| Invio di SMS di servizio per la notifica della disponibilità di nuovi documenti (referti, giudizi di idoneità, attestati) | Numero di telefono; evento associato | Adempimento di obblighi di legge (art. 6 par. 1 lett. c GDPR) ed esecuzione del contratto di servizi (art. 6 par. 1 lett. b GDPR) |
| Invio di SMS di promemoria degli appuntamenti di sorveglianza sanitaria e formazione | Numero di telefono; evento associato | Esecuzione del contratto di servizi (art. 6 par. 1 lett. b GDPR) |
| Legittimo interesse del Titolare e del datore di lavoro alla corretta esecuzione del servizio (art. 6 par. 1 lett. f GDPR – LIA documentato). Diritto di opposizione ex art. 21 GDPR esercitabile tramite il toggle dedicato nel profilo EDOCS | ||
| Conservazione dei referti medici oltre il termine ordinario di 45 giorni, su richiesta dell’interessato | Dati di cui alla finalità “consegna referti” | Consenso esplicito dell’interessato (art. 9 par. 2 lett. a + art. 6 par. 1 lett. a GDPR), rilasciato e revocabile in qualsiasi momento direttamente dal profilo EDOCS tramite apposito toggle |
Il conferimento dei dati per le finalità relative alla creazione dell’account, alla consegna dei documenti sanitari e formativi e all’invio delle notifiche di disponibilità è facoltativo ma necessario per l’utilizzo del portale: in difetto non sarà possibile creare l’account EDOCS e usufruire dei servizi. Il conferimento per la registrazione delle sessioni di videoconferenza è necessario per la partecipazione ai corsi erogati tramite EDOCS; il lavoratore che non intenda essere registrato potrà fruire della formazione in modalità alternativa (in presenza) concordata tra Ecloga e il datore di lavoro cliente. Il conferimento del consenso per la conservazione estesa dei referti è puramente facoltativo e revocabile in qualsiasi momento.
MODALITÀ DI FUNZIONAMENTO DI EDOCS
L’iscrizione a EDOCS comporta:
- (i) la consegna digitale dei documenti (referti, giudizi di idoneità, attestati) tramite il portale;
- (ii) la ricezione di SMS di servizio per la notifica della disponibilità dei documenti e per i promemoria degli appuntamenti; (iii) la partecipazione ai corsi di formazione in videoconferenza direttamente tramite il portale, con registrazione delle sessioni;
- (iv) la cancellazione automatica del profilo decorsi 30 giorni dalla comunicazione della cessazione del rapporto di lavoro, previa notifica al lavoratore via SMS e/o e-mail.
L’accesso al portale avviene mediante autenticazione a due fattori: all’inserimento delle credenziali, il sistema invia un token OTP (One-Time Password) al numero di telefono del lavoratore, necessario per completare l’accesso. Tale modalità costituisce misura di sicurezza ai sensi dell’art. 32 GDPR ed è parte integrante e indismissibile del servizio.
SCELTA DEL CANALE DI CONSEGNA DEI DOCUMENTI SANITARI
Il lavoratore può in qualsiasi momento, scrivendo a privacy@consulentiecloga.it, richiedere il passaggio al canale cartaceo per la consegna dei documenti sanitari (referti e giudizi di idoneità). In tal caso, i documenti successivi alla richiesta saranno consegnati in formato cartaceo con modalità che garantiscono la riservatezza ai sensi della normativa vigente.
La scelta del canale cartaceo non si estende agli attestati di formazione e alla partecipazione ai corsi in videoconferenza: quest’ultima modalità costituisce canale di erogazione vincolato ai sensi dell’Accordo Stato-Regioni 17/04/2025, che impone specifici requisiti tecnici alla piattaforma di videoconferenza (tracciamento presenze, verifica della comprensione linguistica, verifica dell’apprendimento). Il lavoratore che non intenda partecipare ai corsi tramite videoconferenza potrà fruire della formazione in modalità in presenza, concordata tra Ecloga e il datore di lavoro cliente.
GESTIONE DEI PROMEMORIA VIA SMS
Le notifiche di disponibilità dei documenti (referti, attestati, giudizi di idoneità) sono parte integrante del servizio EDOCS e non sono disattivabili, in quanto strumentali all’adempimento degli obblighi di consegna in capo al Titolare.
I promemoria degli appuntamenti di sorveglianza sanitaria e formazione sono fondati sull’esecuzione del contratto e sul legittimo interesse del Titolare alla corretta esecuzione del servizio. Il lavoratore può esercitare in qualsiasi momento il diritto di opposizione ex art. 21 GDPR disattivando la relativa preferenza nel proprio profilo EDOCS. Tale preferenza è impostata di default su attiva.
MANCATA ATTIVAZIONE DELL’ACCOUNT ENTRO 30 GIORNI
Qualora il lavoratore non completi la procedura di attivazione dell’account entro 30 giorni dalla sottoscrizione del modulo di iscrizione, i dati raccolti saranno cancellati e sarà necessario ripetere l’iscrizione; nel frattempo, i documenti saranno consegnati in formato cartaceo.
CESSAZIONE DEL RAPPORTO DI LAVORO E CANCELLAZIONE DEL PROFILO EDOCS
In caso di cessazione del rapporto di lavoro tra il lavoratore e il datore di lavoro cliente, il profilo EDOCS del lavoratore viene cancellato automaticamente decorsi 30 giorni dalla comunicazione della cessazione effettuata dal datore di lavoro a Ecloga.
All’attivazione della finestra dei 30 giorni, Ecloga invia al lavoratore una notifica via SMS e/o e-mail per avvisarlo della cancellazione imminente e per consentirgli di accedere al portale e scaricare i documenti di proprio interesse, anche ai fini dell’esercizio del diritto di portabilità ex art. 20 GDPR.
Resta salva la conservazione della documentazione in capo ad altri Titolari o ad altri archivi di Ecloga secondo le rispettive normative applicabili: in particolare, il medico competente conserva la cartella sanitaria e di rischio ai sensi dell’art. 25 D. Lgs 81/2008, ed Ecloga conserva il fascicolo del corso di formazione per 10 anni ai sensi dell’ASR 17/04/2025 come soggetto formatore, in archivi distinti dalla piattaforma EDOCS e non accessibili al lavoratore tramite la stessa.
ORIGINE DEI DATI
I dati anagrafici e i recapiti sono forniti direttamente dal lavoratore in sede di iscrizione.
I referti di visite ed esami medici e i giudizi di idoneità alla mansione sono trasmessi a Ecloga dal medico competente, che opera in qualità di Titolare autonomo del trattamento per la cartella sanitaria e di rischio ai sensi del provvedimento del Garante per la protezione dei dati personali n. 13/2005 e della normativa successiva. Il lavoratore riceve dal medico competente un’informativa autonoma relativa al trattamento svolto nello studio medico.
DESTINATARI DEL TRATTAMENTO
I suoi dati potranno essere comunicati a: persone fisiche autorizzate dal Titolare al trattamento previa sottoscrizione di accordo di riservatezza (dipendenti e collaboratori di Ecloga); fornitori di servizi tecnologici nominati Responsabili del trattamento ex art. 28 GDPR, tra cui in particolare Zoom Video Communications, Inc. per la gestione della piattaforma di videoconferenza integrata in EDOCS; datore di lavoro del lavoratore, esclusivamente per la comunicazione degli attestati di formazione ai fini dei propri adempimenti ex art. 37 D. Lgs 81/2008 (il datore di lavoro opera come Titolare autonomo del trattamento); soggetti, enti o autorità a cui sia obbligatorio comunicare i dati personali in forza di disposizioni di legge, di regolamento o di ordini delle autorità.
TRASFERIMENTO EXTRA EUROPEO
Nell’ambito dell’erogazione dei corsi di formazione in videoconferenza e della registrazione delle relative sessioni, i dati possono essere trattati sull’infrastruttura tecnica di Zoom Video Communications, Inc., con sede negli Stati Uniti d’America. Il trasferimento avviene sulla base della decisione di adeguatezza della Commissione Europea del 10 luglio 2023 relativa al EU-US Data Privacy Framework (cui Zoom aderisce) e, in via sussidiaria, sulla base delle Clausole Contrattuali Tipo approvate dalla Commissione Europea ex art. 46 par. 2 lett. c) GDPR, integrate da misure supplementari tecniche e organizzative valutate nell’ambito del Transfer Impact Assessment condotto dal Titolare. Per gli altri trattamenti, il Titolare non trasferisce dati al di fuori dello Spazio Economico Europeo.
MODALITÀ DEL TRATTAMENTO
I dati personali saranno trattati dal Titolare e da personale previamente autorizzato, nel rispetto dei principi di cui agli artt. 5 e 32 del GDPR, mediante procedure manuali e strumenti elettronici, informatici e telematici idonei a garantire la sicurezza, la riservatezza, l’integrità e la disponibilità dei dati trattati. Il trattamento avverrà nel rispetto delle misure tecniche e organizzative adeguate, finalizzate a prevenire la perdita dei dati, usi illeciti o non corretti, accessi non autorizzati, divulgazioni non consentite, modifiche o distruzioni accidentali o illegittime.
Il trattamento dei dati particolari (quali quelli relativi alla salute e all’idoneità alla mansione) è effettuato nel rispetto dell’art. 9 GDPR e della normativa nazionale applicabile, esclusivamente da personale autorizzato o dal medico competente, e solo per le finalità previste dalla legge e strettamente necessarie all’adempimento degli obblighi in materia di diritto del lavoro, sicurezza e protezione sociale. Non sono previste attività di profilazione né processi decisionali automatizzati ai sensi dell’art. 22 GDPR.
PERIODO DI CONSERVAZIONE
I periodi di conservazione applicati a ciascuna categoria di dati sono riepilogati nella tabella che segue:
| Finalità / documento | Periodo di conservazione |
| Account EDOCS | Durata dell’iscrizione; cancellazione entro 30 giorni dalla comunicazione di cessazione del rapporto di lavoro |
| Referti medici | 45 giorni dalla pubblicazione, prorogabili su consenso dell’interessato |
| Giudizi di idoneità alla mansione | Durata del rapporto di lavoro del lavoratore con il datore di lavoro cliente |
| Attestati di formazione (copia in EDOCS) | Durata del rapporto di lavoro del lavoratore |
| Fascicolo del corso (archivio Ecloga, non accessibile al lavoratore) | 10 anni ex ASR 17/04/2025 |
| Log di connessione videoconferenza (copia in EDOCS) | Durata del rapporto di lavoro del lavoratore |
| Registrazioni audio/video (archivio Ecloga, non accessibili al lavoratore) | 24 mesi dalla data del corso |
| SMS di servizio e promemoria | Tempo strettamente necessario all’invio |
| Conservazione estesa referti su consenso | Fino a revoca del consenso o cessazione dell’iscrizione a EDOCS |
DIRITTI DELL’INTERESSATO
Ha il diritto di chiedere al Titolare, in qualunque momento, l’accesso ai suoi dati personali (art. 15 GDPR), la rettifica o la cancellazione degli stessi (artt. 16 e 17 GDPR), la limitazione del trattamento (art. 18 GDPR), la portabilità dei dati (art. 20 GDPR), nonché di opporsi al trattamento nei casi previsti dall’art. 21 GDPR, in particolare rispetto ai trattamenti fondati sul legittimo interesse. Ha inoltre il diritto di revocare in qualsiasi momento il consenso prestato per la conservazione estesa dei referti oltre 45 giorni, senza pregiudizio della liceità del trattamento fondato sul consenso prestato prima della revoca (art. 7 par. 3 GDPR).
Le richieste possono essere indirizzate a privacy@consulentiecloga.it o rpd@consulentiecloga.it. In ogni caso lei ha sempre diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) qualora ritenga che il trattamento dei suoi dati personali sia contrario alla normativa in vigore.
Ultima revisione: 19/05/2026