IL MEDICO COMPETENTE: RUOLO PRIVACY E FOCUS SU VACCINAZIONI SUI LUOGHI DI LAVORO
La figura del Medico Competente è da sempre fra quelle più discusse in ambito privacy, e di conseguenza oggetto di varie richieste di chiarimento all’Autorità Garante.
C’è chi ritiene che Il Medico Competente vada inquadrato come Responsabile del Trattamento, in quanto soggetto scelto dal Titolare e che quindi dovrebbe sottostare alle direttive di quest’ultimo; chi invece ritiene che la figura del Medico Competente non sia sovrapponibile a quella, ad es., del Commercialista o del Consulente del Lavoro, godendo di una maggiore autonomia in materia di trattamento dati personali, ma fa comunque fatica a trovargli una collocazione all’interno del quadro normativo delineato dal GDPR e dalla normativa privacy nazionale.
Il Medico Competente è un Titolare autonomo
Il Medico Competente è un autonomo Titolare del Trattamento: occorre partire da questo assunto per chiarirci le idee su come tale figura vada inquadrata dal punto di vista privacy.
Non si tratta quindi di un soggetto che, in quanto scelto dal Datore di Lavoro, riceve le sue direttive e deve seguirle pedissequamente, ma al contrario il Medico Competente deve gestire i dati personali di cui viene a conoscenza nello svolgimento della sua funzione in piena autonomia.
Probabilmente richiamare la normativa di riferimento aiuterà a comprendere meglio perché il Medico Competente sia un autonomo Titolare del trattamento.
Il Medico Competente nel d.lgs. n. 81/2008
L’attività del Medico Competente è disciplinata dal d.lgs. n. 81/2008 (Attuazione dell’articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro); in particolare l’art. 39 fornisce alcuni spunti interessanti per approfondire e meglio comprendere la figura del Medico Competente in ambito privacy.
Esso prevede che il medico operi secondo i principi della medicina del lavoro e del Codice etico della Commissione internazionale di salute occupazionale. Non deve seguire invece le istruzioni del datore di lavoro, rispetto al quale deve, al contrario, mantenere autonomia e terzietà (l’art. 39, comma 4 prevede, infatti, che “il datore di lavoro assicuri le condizioni necessarie per lo svolgimento di tutti i suoi compiti garantendone l’autonomia”). Spetta, dunque, al Medico Competente stabilire, anche su richiesta del lavoratore, la periodicità delle visite mediche o la necessità di sottoporre i lavoratori a ulteriori indagini diagnostiche “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori sottoposti a sorveglianza (art. 41, commi 2 e 4).
Il Medico Competente “programma e effettuata la sorveglianza sanitaria” e “istituisce e aggiorna e custodisce sotto la propria responsabilità una cartella sanitaria e di rischio per ogni lavoratore” con la “salvaguardia del segreto professionale” e presso un luogo di custodia concordato con il datore di lavoro. La funzione di medico competente è espressione di un interesse pubblico (tutela del lavoratore e della collettività), individuato e disciplinato dalla legge e, in quanto tale, sottratta alla sfera di competenza del datore di lavoro e ai relativi poteri.
In tale quadro, quindi, il Medico Competente non tratta i dati per conto del datore di lavoro ma, in qualità di titolare del trattamento (artt. 4, n. 7 e 24 del Regolamento), in base a specifiche diposizioni di legge finalizzate anzitutto al perseguimento dell’interesse pubblico di tutela della salute nei luoghi di lavoro e della collettività.
Medico competente e trattamento dati personali inerenti alla vaccinazione dei dipendenti
Stabilito quindi che il Medico Compente sia un autonomo Titolare del trattamento, e per di più l’unico soggetto che possa trattare dati personali riguardanti la salute del dipendente, come ci si regola in azienda rispetto al dato personale relativo alla vaccinazione?
Anche in questo caso il datore di lavoro non può acquisire, neanche con il consenso del dipendente o
tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni
vaccinali; il consenso del dipendente, infatti, non sarebbe in tale situazione una base giuridica idonea e legittima.
Anche il tema del trattamento dei dati relativi alla vaccinazione può essere inquadrato nell’ambito della verifica dell’idoneità alla mansione ricoperta dal lavoratore, quindi solo il Medico Competente potrà trattare i dati personali relativi alla vaccinazione del dipendente ed esprimersi sulla idoneità parziale e/o inidoneità temporanee per i lavoratori non vaccinati.
Il datore di lavoro, potendo venire a conoscenza del solo giudizio di idoneità alla mansione e delle eventuali prescrizioni fissate dal Medico Competente come condizioni di lavoro, potrà solo attuare le misure indicate da quest’ultimo e, qualora venga espresso un giudizio di inidoneità alla mansione specifica, adibire il lavoratore, ove possibile, a mansioni equivalenti o inferiori garantendo il trattamento corrispondente alle mansioni di provenienza (art. 42 d.lgs. n. 81/2008).