SCENARIO NORMATIVO

Il medico competente nel sistema privacy aziendale: quale ruolo per la compliance GDPR

Sull’inquadramento della figura del medico competente nel sistema privacy aziendale la dottrina non è univoca, propendendo da un lato a favore di una qualificazione come titolare del trattamento e dall’altro come responsabile esterno. Facciamo il punto cercando di colmare le incertezze interpretative

25 Set 2019
A
Roserita Antonucci

Avvocato, Consulente privacy


Si dibatte molto su quale debba essere l’inquadramento del medico competente nel sistema privacy aziendale. Il nuovo Regolamento UE 679/2016 (GDPR), infatti, si interseca sempre di più con diverse normative e investe molteplici aspetti tra cui quello della sicurezza nei luoghi di lavoro.

Uno dei profili di analogia tra le due discipline è quello relativo alla presenza o meno della figura del DPO (responsabile della protezione dei dati), che coadiuva il titolare nella gestione del sistema privacy aziendale, alla stessa stregua in cui il medico competente concorre all’elaborazione del progetto aziendale di sorveglianza sanitaria sui lavoratori.

Il medico competente nel sistema privacy aziendale: le norme

Ed è proprio sulla figura del medico competente che si dibatte molto non essendo univoca neppure la dottrina. Gli operatori del Diritto sono divisi tra orientamenti che propendono a favore di una qualificazione come titolare del trattamento ad orientamenti che vedono il medico competente come un responsabile esterno del trattamento in ossequio ai principi dettati dagli artt. 4 e 28 del GDPR.

La normativa vigente sulla sicurezza e la salute dei lavoratori, di cui al D.lgs. 9 aprile 2008 n. 81 (Testo unico sulla sicurezza del lavoro in sostituzione delle disposizioni contenute nel D.lgs. 626/1994) impone che ogni lavoratore sia sottoposto a sorveglianza sanitaria in funzione dei rischi lavorativi valutati dal proprio datore di lavoro.

In particolare, è il D.lgs. 81/08 che, all’art.2, comma 1 lettera B), individua nel datore di lavoro il soggetto titolare del rapporto di lavoro con il lavoratore o, comunque, il soggetto che ha la responsabilità dell’organizzazione dell’impresa stessa o dell’unità produttiva in quanto esercita i poteri decisionali e di spesa.

In tal senso la giurisprudenza di legittimità lo definisce come colui che ha la responsabilità dell’impresa e su cui incombono poteri decisionali: “alla titolarità dei poteri di organizzazione e gestione del datore di lavoro corrisponde simmetricamente il dovere di predisporre le necessarie misure di sicurezza” (Cass. Pen. Sez. IV, 1.4.2010 n. 17581).

Non vi è dubbio che in ambito privacy questa figura si collochi come titolare del trattamento dei dati del personale dipendente. Ad egli spettano le decisioni in ordine alle finalità, alle modalità del trattamento, agli strumenti utilizzati e al profilo della sicurezza relativi ai dati personali dei dipendenti.

Il datore di lavoro è responsabile dell’organizzazione dell’impresa e su di esso incombono l’effettuazione della valutazione dei rischi, la redazione del relativo documento, la nomina dell’RSPP (responsabile del servizio prevenzione e protezione), nonché la nomina del medico competente.

Il medico competente nel GDPR

Il legislatore comunitario accenna al medico competente all’articolo 9 del GDPR laddove sancisce come principio di carattere generale il divieto di trattare dati personali “particolari” (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), operando al contempo una deroga (comma 2, lettera h) qualora il trattamento venga effettuato in condizioni di necessità e tutela per finalità di medicina preventiva o di medicina del lavoro al fine di una valutazione della capacità lavorativa del dipendente, per la diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità.

La Legge 81/08 individua il medico competente come un professionista esterno che concorre nella gestione degli adempimenti in materia di sicurezza ed igiene dei lavoratori dipendenti. La stessa Legge impone al datore di lavoro di affidargli il compito di svolgere le funzioni previste dagli artt. 25 e 41 del D.lgs. 81/2008 dettagliate e contenute nell’atto di “Nomina”.

È il legislatore ad aver stabilito, tra l’altro, che:

  • il datore di lavoro deve inviare i lavoratori alle visite mediche e che il medico competente deve effettuare queste ultime entro le scadenze previste dal programma di sorveglianza sanitaria;
  • il medico competente deve recarsi alle riunioni periodiche indette in azienda;
  • il medico competente collabori con il datore di lavoro nella predisposizione dell’attuazione delle misure per la tutela della salute e dell’integrità psico-fisica dei lavoratori;
  • il medico competente curi e aggiorni l’elenco dei lavoratori istituito dal datore di lavoro;
  • il medico competente effettui con il datore di lavoro la valutazione dei rischi;
  • il medico competente rediga e aggiorni la “cartella sanitaria e di rischio” di ciascun dipendente.

Gli obblighi che il medico competente si assume al momento della sottoscrizione dell’incarico sono stabiliti dalla legge e non vengono decisi in autonomia dal medico, ma dettagliati in una lettera di incarico compatibilmente con i limiti legali e con la cornice normativa.

Il medico competente nel sistema privacy aziendale: quale ruolo

Dunque, il medico competente è un soggetto espressamente autorizzato a trattare i dati sanitari sulla base di uno specifico “contratto” con istruzioni e compiti ben definiti dalla normativa che, a parere di chi scrive, lo qualificherebbe ai sensi degli articoli 28 e 29 del Regolamento quale “responsabile esterno del trattamento”.

Analogamente a quanto dettato dall’art. 28 del GDPR, il medico competente deve possedere i titoli di cui agli art. 2 e 38 del D.lgs.81/2008 che gli consentano di fornire al datore di lavoro sufficienti garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di sicurezza e salute dei lavoratori.

Il medico competente tratta i dati solo sulla base dell’incarico ricevuto dal titolare del trattamento, procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate in rapporto alle finalità e modalità del trattamento stabilite.

Inoltre, come stabilito dalla Giurisprudenza citata, le decisioni relative agli impegni di spesa sono sempre imputati in capo al datore di lavoro che ha sempre il dovere e l’onere di supervisionare l’operato del medico, ferma restando la responsabilità di quest’ultimo per il mancato ottemperamento agli obblighi indicati nella lettera d’incarico.

Un’altra corrente dottrinale, invece, propende per l’individuazione della figura del medico competente quale autonomo titolare ponendo l’accento sull’attività del medico che non sarebbe etero determinata ma basata sulla riservatezza e sul rispetto delle prescrizioni legislative (cit. Information Commissioner’s Office, l’Autorità Garante inglese per la protezione dei dati personali).

In tal senso si è espressa recentemente, in risposta ad un quesito posto dalla Società Italiana di Medicina del Lavoro, anche la nostra Autorità Garante qualificando il medico competente come autonomo titolare con tutti gli “oneri” che la normativa impone.

ZeroCoda - Il servizio di prenotazione facile ed efficace

@RIPRODUZIONE RISERVATA