Con provvedimento n. 10 dello scorso 16 gennaio il Garante per la protezione dei dati personali è tornato ad esprimersi sul delicato ruolo del medico competente e sulle modalità di trattamento dei dati sanitari dei lavoratori.

Il caso trova origine dal reclamo presentato proprio da un lavoratore di una società, che ha lamentato l’illecito trattamento dei suoi dati personali da parte del medico competente. A detta del dipendente, il medico avrebbe infatti trasmesso al responsabile del personale della società presso cui era assunto, al RSPP ed alla specialista della salute e igiene industriale una relazione anamnestica in cui erano riportate le informazioni relative al suo stato di salute e le principali vicende mediche occorsegli nell’anno 2021.

All’esito dell’istruttoria svolta, il Garante per la protezione dei dati personali ha chiarito che:

  • il professionista era stato incaricato dalla società (datore di lavoro) di svolgere le attività di sorveglianza sanitaria presso la stessa;
  • nello svolgimento del predetto incarico e secondo la legge, il professionista era l’unico legittimato a trattare, in piena autonomia e competenza, i dati personali di natura sanitaria dei lavoratori. Le informazioni relative a diagnosi e/o anamnesi dei lavoratori non possono, però, essere in alcun modo trattate dal datore di lavoro, se non nella misura del mero giudizio di idoneità alla mansione specifica e delle prescrizioni che il professionista fissa come condizione di lavoro;
  • sempre nello svolgimento del predetto incarico, il professionista assumeva il ruolo di autonomo titolare, effettuando trattamenti volti a valutare l’idoneità alla mansione dei lavoratori per le finalità e nell’ambito di quanto indicato dal D. Lgs. 81/2008.

In considerazione di ciò, è risultato evidente che la comunicazione delle informazioni relative allo stato di salute del dipendente da parte del medico competente sia avvenuta al di fuori delle sue specifiche competenze e degli obblighi sanciti dalla normativa, configurando un illecito trattamento dei dati personali.

Il Garante per la protezione dei dati personali ha, quindi, comminato al medico una sanzione amministrativa di € 2.000,00.

Fermo quanto ribadito dall’Autorità Garante circa il ruolo privacy del medico competente e circa la necessità che il trattamento dei dati personali e particolari dei lavoratori avvenga nel rispetto dei principi sanciti dal Regolamento UE 2016/679 (GDPR), è necessario che lo stesso tenga altresì in considerazione le indicazioni contenute nel documento “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”.

Nello specifico, il medico competente, quale titolare autonomo del trattamento dei dati, ha anche l’onere di:

  • istituire e tenere un proprio registro delle attività del trattamento, considerato che tratta, in maniera non occasionale, categorie particolari di dati relativi allo stato di salute;
  • rendere l’informativa ai sensi dell’art. 14 del GDPR ai lavoratori, posto che i loro dati anagrafici gli sono stati precedentemente comunicati dal datore di lavoro, così come ogni ulteriore aggiornamento o rettifica;
  • identificare e adottare, in proprio, misure tecniche ed organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, fermo restando la possibilità di avvalersi della cooperazione e del supporto, anche economico, del datore di lavoro. Al riguardo, è importante rammentare che qualora il medico competente decida di fruire di applicativi informatici del datore di lavoro, sarà necessario garantire che il trattamento dei dati sia conforme alla normativa di settore in materia di salute e sicurezza sui luoghi di lavoro (ad esempio, garantendo che i dati personali relativi alla diagnosi dei lavoratori non entrino, anche accidentalmente, nella disponibilità del datore di lavoro). Occorrerà, infatti, implementare misure in grado di assicurare l’accesso selettivo ai dati o di rendere questi ultimi illeggibili ai soggetti non autorizzati (ad esempio, mediante il ricorso a tecniche di cifratura). A prescindere da ciò, sarà inoltre necessario che vengano disciplinati i ruoli privacy tra il medico competente e il datore di lavoro: il primo, infatti, dovrà provvedere alla nomina del secondo quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento.