L’Autorità Garante per la protezione dei dati personali (il “Garante”) lo scorso 14 maggio ha pubblicato un documento sul ruolo del medico competente anche con riferimento alla realizzazione dei piani vaccinali per l’attivazione di punti straordinari di vaccinazione anti Covid-19, prevista dal Protocollo nazionale sottoscritto il 6 aprile 2021.
Con tale documento, il Garante chiarisce, innanzitutto, che i compiti assegnati al medico competente assumono la funzione di “misure di prevenzione di carattere generale” da attuare, tra le altre, nel rispetto della disciplina di settore in materia di sicurezza sul lavoro, dei principi di protezione dei dati personali, dei protocolli di sicurezza e delle indicazioni di volta in volta fornite dal Ministero della Salute.
Il medico competente deve collaborare costantemente con il datore di lavoro e con il servizio di prevenzione e protezione sanitario:
Considerata la situazione emergenziale ancora in corso, è opportuno che il medico competente prosegua e intensifichi l’attività di sorveglianza sanitaria anche prevedendo ulteriori visite mediche, ad esempio, in occasione del rientro al lavoro dei dipendenti dopo la sospensione delle attività produttive, o in caso di progressivo ritorno delle risorse “in presenza”.
Richiamando quanto già espressamente chiarito con le FAQ (“Frequently Asked Questions”) dello scorso 17 febbraio, il Garante ribadisce che il datore di lavoro deve assicurare che i dipendenti “non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità” tenendo conto, “delle capacità e delle condizioni degli stessi in rapporto alla loro salute e sicurezza” (art. 18, comma 1, lettera c), d.lgs. n. 81/2008). Nell’ambito delle proprie attività di sorveglianza sanitaria il medico competente è l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, D.Lgs. n. 81/2008).
Il rispetto del necessario riparto di ruoli e competenze tra datore di lavoro e medico competente, si legge nel documento condiviso, dovrà essere assicurato anche con riguardo alla vaccinazione nell’ambiente di lavoro che – pur avendo origine dalla duplice esigenza di concorrere alla rapida attuazione della campagna vaccinale a livello nazionale e di accrescere i livelli di sicurezza nelle realtà lavorative – resta una “iniziativa di sanità pubblica”, in relazione alla quale “la responsabilità generale e la supervisione dell’intero processo rimane in capo al servizio sanitario regionale, per il tramite dell’azienda sanitaria di riferimento”.
Lo scorso 23 giugno l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha pubblicato la “Relazione annuale 2019” (la “Relazione”) contenente il bilancio di tutte le attività svolte nel corso dell’anno solare precedente.
Con la pubblicazione della Relazione, il Garante ha confermato quanto già precedentemente espresso con la nota prot. n. 7797, del 27 febbraio 2019, in merito alla qualificazione soggettiva del Medico Competente (così come definito dall’art. 38 del D.lgs. 81/2008, il “Decreto”)
Per meglio comprendere la questione, è doveroso fare una brevissima premessa.
L’articolo 4 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”) definisce le figure del Titolare del trattamento di dati personali e del Responsabile del trattamento rispettivamente come (i) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e (ii) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Sin dalle prime interpretazioni ed applicazioni del Regolamento, la dottrina ha aperto un dibattito sulla corretta qualificazione soggettiva del Medico competente in relazione ai trattamenti dei dati personali svolti da quest’ultimo nell’esecuzione delle funzioni e dei compiti assegnatigli dal Decreto.
Una parte della dottrina configurava il Medico Competente come Responsabile del trattamento (ex art. 28 del Regolamento), inquadrando il datore di lavoro quale unico Titolare del trattamento e riconoscendogli il compito di determinare le finalità e i mezzi dei trattamenti effettuati dal professionista. La motivazione di tale tesi si fondava sul fatto che il rapporto tra il datore di lavoro e il Medico competente fosse regolato da uno specifico contratto con cui quest’ultimo veniva espressamente autorizzato dal primo ad effettuare i trattamenti di dati personali (ivi inclusi quelli appartenenti a categorie particolari, alias ex dati c.d. “sensibili”) dei dipendenti interessati.
Di contro, una diversa parte della dottrina qualificava il Medico competente quale autonomo Titolare del trattamento affermando che le finalità dei trattamenti effettuati fossero stabilite dal Decreto e non dal datore di lavoro.
Tale ultima tesi è stata espressamente confermata dal Garante che qualifica il Medico competente come un autonomo Titolare del trattamento. La tipologia di trattamenti svolti dal professionista (a titolo esemplificativo, la sorveglianza sanitaria o la creazione delle cartelle sanitarie), di fatto, sono una prerogativa di quest’ultimo e non del datore di lavoro.
Ed anche sotto il profilo sanzionatorio, secondo il Garante, il quadro normativo distingue puntualmente le responsabilità che ricadono sul datore di lavoro da quelle che ricadono sul Medico competente.
Altri Insights correlati: