Medico in tempo COVID è responsabile o titolare del trattamento dei dati?

Finanziamenti Start UP -ARCHE’ 2020
7 Settembre 2020
A che cosa servono i fondi interprofessionali?
14 Settembre 2020
Finanziamenti Start UP -ARCHE’ 2020
7 Settembre 2020
A che cosa servono i fondi interprofessionali?
14 Settembre 2020

Lo scorso 23 giugno il Garante per la protezione dei dati personali ha presentato la Relazione annuale sulle attività svolte nel 2019. 

Si parte dai numeri e si scende poi nei dettagli con paragrafi descrittivi di approfondimento. Il n. 13.14, intitolato 

I trattamenti di dati da parte del medico competente” 

affronta in modo esplicito e definitivo la questione della posizione del medico competente nell’ambito del sistema di gestione della privacy aziendale. Tra chi considerava il medico competente un responsabile esterno al trattamento e chi lo riteneva un titolare del trattamento sono i secondi a ricevere la conferma espressa da parte del Garante.

Il medico competente come autonomo titolare

Il Garante lo dice chiaramente:

“il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla disciplina di settore…”

La questione, in sostanza, non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che “nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili

per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro“.

E non è la tipologia di rapporto tra professionista sanitario e datore di lavoro a influire sulla posizione del medico competente come titolare del trattamento:

“Anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro.”

Quindi non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo ed è opportuno eliminarla, aggiornando anche la documentazione che descrive la modalità di gestione dalla privacy in azienda che dovesse contenere riferimenti al ruolo del medico competente e lo citasse come responsabile esterno anziché come titolare (ex. DPIA o registro dei trattamenti).
Confermato questo dubbio anche in operatività Covid-19

I luoghi di lavoro saranno uno snodo cruciale nel contrasto al contagio ed i Medici Competenti vi svolgeranno una funzione centrale. 

Il loro supporto ai lavoratori ed ai datori di lavoro sarà determinante nel progettare le misure preventive e nel contribuire a che la loro applicazione possa mantenersi integrale. 

Il contenimento della ri-circolazione virale richiede anche uno scambio regolare di informazioni tra: aziende – autorità e sanitaria.

 

Il medico competente è la figura chiamata a supportare il datore di lavoro nella valutazione del rischio e a operare la sorveglianza sanitaria in un contesto peculiare quale quello del rientro al lavoro in un periodo pandemico.

Nel ricordare che l’atto finale della valutazione del rischio è il Dvr , obbligo in capo al datore di lavoro, il documento specifica che(Documento di Valutazione del Rischio) “sarà necessario adottare una serie di azioni che andranno a integrare il Dvr, atte a prevenire il rischio di infezione da SARS-CoV-2 nei luoghi di lavoro, contribuendo altresì alla prevenzione della diffusione dell’epidemia”.