Il medico competente tratta dati personali in applicazione della disciplina in materia di igiene e sicurezza sul luogo di lavoro. Con una nota del 19 marzo 2019, ili Garante ha chiarito che il medico competente è un titolare autonomo del trattamento. A proposito del suo status «privacy», il Garante ha individuato la funzione del medico competente come autonoma rispetto a quella che, pure in tale ambito, deve essere svolta dal datore di lavoro, assegnando specifici e distinti obblighi in capo all’una e all’altra figura, così delineando l’ambito del rispettivo trattamento consentito. In particolare, nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro. Anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro. Sulla base di tali valutazioni, il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro, essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla disciplina di settore, come chiarito dal Garante in un provvedimento nel quale è stato precisato che il medico competente tratta dati personali di natura sanitaria indispensabili ai fini dell’applicazione della normativa in materia di igiene e di sicurezza del lavoro in qualità di titolare del trattamento (provvedimento dl 27 aprile 2016, n. 194; le linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro, provvedimento del 5 giugno 2019, n. 146). Tanto, anche in considerazione del fatto che lo stesso regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr) considera in via autonoma le funzioni del medico competente con riguardo ai trattamenti necessari per le finalità di medicina del lavoro (art. 9, lett. h) diversamente dai trattamenti del datore di lavoro necessari per adempiere i propri obblighi normativi in materia di salute e sicurezza sul lavoro (artt. 9, lett. b), e 88 del Rgpd). Fonte Fonte: Italia Oggi Sette del 6 luglio 2020 – A cura di Antonio Ciccia Messina • Pubblicato su Federprivacy Martedì, 07 Luglio 2020
2
Sulla Base Di quanto sopra citato Consigliamo di Raccogliere Nuovamente la Nomina del Medico Competente, nominandolo Titolare autonomo del Dato e Revocando la Nomina di Responsabile Esterno del Dato .