Il Medico Competente è un Titolare autonomo del trattamento
Il Garante ha pubblicato il 23 giugno scorso la propria Relazione annuale in cui conferma il proprio indirizzo interpretativo.
Lo scorso 23 Giugno, come ogni anno, l’Autorità italiana deputata alla protezione dei dati personali ha pubblicato la propria Relazione[1]. Il documento riassume le attività poste in essere durante tutto il 2019, indicando, e approfondendo, i temi di maggiore intervento.
Il paragrafo 14, del Capitolo 13, è dedicato ai trattamenti effettuati dal Medico Competente (Art. 38 D.lgs. n. 81/2008). Ribadendo quanto già espresso nella nota prot. n. 7797, del 27 febbraio 2019[2], il Garante ha affermato l’autonomia dei trattamenti effettuati dal professionista.
Ripercorriamo la questione.
Con l’entrata in vigore del GDPR si era aperto il dibattito sul ruolo del Medico Competente rispetto ai trattamenti effettuati nell’ambito delle competenze attribuite dal Testo Unico in materia di salute e sicurezza nei luoghi di lavoro (D.lg. n. 81/2008).
Secondo una prima corrente interpretativa, il professionista doveva essere inquadrato alla stregua di un qualsiasi Responsabile Esterno del trattamento (art. 28 GDPR), sotto l’autorità del Titolare del trattamento (datore di lavoro).
Tale conclusione si reggeva sulla presenza di un rapporto di natura contrattuale con il datore di lavoro che espressamente autorizzava il medico ad accedere ai dati comuni, e particolari, dei propri dipendenti, e disciplinava gli obblighi del professionista.
Secondo, invece, l’opinione fatta propria dal Garante, si tratta di un Titolare autonomo del trattamento, con specifici compiti imposti dal Testo Unico.
L’Autorità è arrivata a questa conclusione sulla base dell’indipendenza del professionista rispetto al datore di lavoro: il trattamento dei dati sanitari dei dipendenti, infatti, è una prerogativa esclusiva del Medico Competente e non del datore di lavoro, e l’accesso a questi dati è una sua esclusiva competenza, funzionale al suo ruolo. È la normativa di riferimento ad autorizzare questa specifica attività, e non il rapporto contrattuale con l’imprenditore.
Pertanto: “[…] nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro.
Anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro. Sulla base di tali valutazioni, il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista”[3].
Il precedente ragionamento è stato ribadito anche in altri provvedimenti tra i quello del 5 giugno 2019, n. 146[4] in materia di “Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101” o nel provvedimento del 27 aprile 2016, n. 194, relativo al “Trattamento di dati sanitari del personale navigante da parte del medico competente del vettore aereo”[5].
Si consolida, pertanto, l’interpretazione sostenuta dal 2016.
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9427952
[2] https://www.siml.it/post/nota-del-garante-della-privacy-relativamente-agli-obblighi-del-medico-competente-gdpr
[3] p. 147, Relazione 2020 Garante Privacy.
[4] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9124510
[5] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5149198