Lo scorso 23 giugno l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha pubblicato la “Relazione annuale 2019” (la “Relazione”) contenente il bilancio di tutte le attività svolte nel corso dell’anno solare precedente.
Con la pubblicazione della Relazione, il Garante ha confermato quanto già precedentemente espresso con la nota prot. n. 7797, del 27 febbraio 2019, in merito alla qualificazione soggettiva del Medico Competente (così come definito dall’art. 38 del D.lgs. 81/2008, il “Decreto”)
Per meglio comprendere la questione, è doveroso fare una brevissima premessa.
L’articolo 4 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”) definisce le figure del Titolare del trattamento di dati personali e del Responsabile del trattamento rispettivamente come (i) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e (ii) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Sin dalle prime interpretazioni ed applicazioni del Regolamento, la dottrina ha aperto un dibattito sulla corretta qualificazione soggettiva del Medico competente in relazione ai trattamenti dei dati personali svolti da quest’ultimo nell’esecuzione delle funzioni e dei compiti assegnatigli dal Decreto.
Le tesi della dottrina
Una parte della dottrina configurava il Medico Competente come Responsabile del trattamento (ex art. 28 del Regolamento), inquadrando il datore di lavoro quale unico Titolare del trattamento e riconoscendogli il compito di determinare le finalità e i mezzi dei trattamenti effettuati dal professionista. La motivazione di tale tesi si fondava sul fatto che il rapporto tra il datore di lavoro e il Medico competente fosse regolato da uno specifico contratto con cui quest’ultimo veniva espressamente autorizzato dal primo ad effettuare i trattamenti di dati personali (ivi inclusi quelli appartenenti a categorie particolari, alias ex dati c.d. “sensibili”) dei dipendenti interessati.
Di contro, una diversa parte della dottrina qualificava il Medico competente quale autonomo Titolare del trattamento affermando che le finalità dei trattamenti effettuati fossero stabilite dal Decreto e non dal datore di lavoro.
La posizione del Garante
Tale ultima tesi è stata espressamente confermata dal Garante che qualifica il Medico competente come un autonomo Titolare del trattamento. La tipologia di trattamenti svolti dal professionista (a titolo esemplificativo, la sorveglianza sanitaria o la creazione delle cartelle sanitarie), di fatto, sono una prerogativa di quest’ultimo e non del datore di lavoro.
Ed anche sotto il profilo sanzionatorio, secondo il Garante, il quadro normativo distingue puntualmente le responsabilità che ricadono sul datore di lavoro da quelle che ricadono sul Medico competente.
Altri Insights correlati: