Privacy, il medico competente è titolare del trattamento dei dati

Il medico competente non è responsabile del trattamento ex articolo 28 del Regolamento UE 2016/679, ma è titolare autonomo del trattamento dei dati per cui non occorre disciplinare i trattamenti dello stesso con un contratto che lo vincoli al datore di lavoro.

Questo è quanto emerge dalla relazione annuale 2019 del Garante per il trattamento dei dati personali, presentata al Parlamento il 23 giugno scorso.

Nello specifico, il Garante, richiamando i precedenti dell'Autorità, ha precisato che la disciplina di settore, ovvero il Testo Unico in materia di tutela della salute e della sicurezza nei luoghi di lavoro (Dlgs n. 81/2008), individua la funzione del medico competente come autonoma rispetto a quella che deve essere svolta dal datore di lavoro, assegnando specifici e distinti obblighi a ognuno dei due soggetti e delineando l'ambito del rispettivo trattamento consentito.

Il medico competente è, infatti, un professionista che non solo è tenuto a svolgere i compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), ma è l'unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità.

Stiamo parlando di tutte quelle informazioni "particolari" che il datore di lavoro non può assolutamente trattare (come le diagnosi o l'anamnesi familiare del lavoratore) se non con riferimento al solo giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni che il medico fissa come condizioni di lavoro.

D'altra parte – spiega nella sua relazione il Garante - anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando quest'ultimo opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro.

Come infatti è stato già chiarito in altri provvedimenti dal Garante, gli accertamenti per la verifica dell'idoneità alla mansione specifica del dipendente sono obbligatori ai sensi del Dlgs n. 81/2008 e a carico del datore di lavoro, ma vanno effettuati esclusivamente tramite il professionista, il quale è l'unico soggetto legittimato a trattare i dati sanitari dei lavoratori indispensabili ai fini dell'applicazione della normativa in materia di igiene e di sicurezza del lavoro in qualità di titolare del trattamento.

Ad ogni modo nella relazione viene ricordato che lo stesso Gdpr considera in via autonoma le funzioni del medico competente con riguardo ai trattamenti necessari per le finalità di medicina del lavoro (articolo 9, lett. h), diversamente dai trattamenti del datore di lavoro necessari per adempiere i propri obblighi normativi in materia di salute e sicurezza sul lavoro (articoli 9, lett. b), e 88).

Si rammenta inoltre che, in base all'articolo 25 del Dlgs n. 81/2008, fra gli altri compiti il medico competente ha quello di:
- istituire, aggiornare e custodire, sotto la propria responsabilità, la cartella sanitaria e di rischio per ogni lavoratore sottoposto a sorveglianza sanitaria che va conservata con salvaguardia del segreto professionale e, salvo il tempo strettamente necessario per l'esecuzione della sorveglianza sanitaria e la trascrizione dei relativi risultati, presso il luogo di custodia concordato al momento della nomina;
- consegnare al datore di lavoro, alla cessazione dell'incarico, la documentazione sanitaria in suo possesso, nel rispetto delle disposizioni privacy, e con salvaguardia del segreto professionale.