Con l’introduzione del regolamento Europeo 2016/679 si sono ampliati i contrapposti spunti riflessivi e interpretativi circa i delicati ruoli dei soggetti “coinvolti” a vario titolo nella necessità di trattare i dati personali. Riguardo alla figura del medico competente, già prima dell’entrata in vigore del GDPR molto si è discusso sul suo ruolo rispetto al trattamento dei dati effettuati nell’ambito delle competenze attribuite dal Testo Unico in materia di salute e sicurezza nei luoghi di lavoro come previsto dal D.lg. n. 81/2008 art. 38.
Indice degli argomenti
Il parere del Garante della privacy
Una tesi da molti condivisa riteneva che il professionista avrebbe dovuto essere inquadrato alla stregua di un qualsiasi responsabile esterno del trattamento (art. 28 GDPR), sotto l’autorità del titolare del trattamento ovvero del datore di lavoro, basandosi sull’esistenza di un rapporto di natura contrattuale con il datore di lavoro che autorizzava, in maniera chiara, il medico ad accedere ai dati – anche alle categorie particolari – dei propri lavoratori dipendenti, e disciplinava gli obblighi del professionista.
Il Garante della Privacy ha cercato di fare chiarezza su tale vexata questio e in punto ha esposto nella sua relazione del 2019 come il professionista debba essere individuato quale titolare autonomo del trattamento, con specifici compiti imposti dal Testo Unico in materia di salute e sicurezza nei luoghi di lavoro (D.lg. n. 81/2008).
L’autorità sostiene infatti l’indipendenza del professionista rispetto al datore di lavoro dal momento che il trattamento dei dati sanitari dei dipendenti rientra nell’ambito delle competenze esclusive del medico competente e non già del datore di lavoro, e quindi l’accesso a questi dati è una sua esclusiva competenza, funzionale al suo ruolo.
È la stessa norma che autorizza il professionista a questa peculiare attività, e non il rapporto contrattuale con l’imprenditore.
I compiti attribuiti dalla legge
Più precisamente, nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato per legge a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, quali ad esempio, la diagnosi o l’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro.
Le responsabilità che si ravvisano vengono nettamente distinte dalla normativa italiana tra quelle che ricadono sul datore di lavoro e quelle che sono direttamente imputabili al medico competente, sia se eserciti la sua libera professione o per conto di strutture convenzionate, o quando opera nella qualità di dipendente del datore di lavoro.
Il medico competente è un autonomo titolare
In definitiva, il Garante della Privacy ha considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro (svolgimento dell’attività del medico competente art. 39, comma 5 e sorveglianza sanitaria art. 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista, ribadendo così quanto analizzato e statuito in altri provvedimenti, quali ad esempio il provvedimento n. 146 del 2019 in materia di prescrizioni relative al trattamento di categorie particolari di dati ovvero il provvedimento n. 194 del 2016 relativo al trattamento di dati sanitari del personale navigante da parte del medico competente del vettore aereo.
Si ricorda infine che a seguito di richiesta da parte della Società Italiana di Medicina del Lavoro (SIML) di chiarimenti in relazione al ruolo e agli obblighi del medico competente rispetto a quanto previsto dal GDPR, il Garante per la protezione dei dati personali ha risposto che il medico competente debba essere considerato titolare autonomo dei dati.
Nonostante la dianzi illustrata strada segnata più volte dal nostro Garante, sembra che il tema non stia trovando una condivisa e unanime applicazione in ambito di aziende pubbliche e private, lasciando quindi aperte ondivaghe interpretazioni discordanti, che si ritiene dovranno sempre più uniformarsi ai provvedimenti emessi in punto dall’Autorità di controllo.
