Con un recente provvedimento, il Garante per la Protezione dei Dati Personali ha fornito alcune precisazioni di rilievo in merito al ruolo del medico del lavoro competente e ai suoi obblighi in materia di tutela dei dati personali.

Il Garante si era già pronunciato su questo tema, facendo seguito alla richiesta di parere pervenuta dalla Società Italiana di Medicina del Lavoro proprio con riferimento al ruolo rivestito del medico competente nel trattamento di dati personali dei dipendenti in base alla disciplina in materia di igiene e sicurezza sul luogo di lavoro (D.Lgs.81/2008, c.d. “TU Sicurezza”).

Ulteriori precisazioni sul punto, poi, sono state rese dall’Autorità in diverse altre occasioni, come, ad esempio, con la pubblicazione di un “documento di indirizzo” durante il periodo della pandemia da COVID-19, a seguito delle numerose richieste di delucidazioni ricevute in merito rapporto tra la figura del medico competente e il datore di lavoro rispetto al trattamento delle categorie particolari di dati dei dipendenti.

Il recente provvedimento del Garante, tuttavia, rivela come il tema in esame presenti ancora alcuni profili di incertezza in ordine al quadro normativo di riferimento e ai confini tra il ruolo dal punto di vista data protection del datore di lavoro e quello del medico competente.

Il datore di lavoro può infatti trattare i dati sanitari dei dipendenti solo al fine di esprimere il giudizio di idoneità dei lavoratori alla mansione specifica e alle prescrizioni che il professionista fissa come condizione di lavoro, giudizio al quale è tenuto ai sensi all’art. 25, comma 1, lett. i) del TU Sicurezza.

A tal fine, il datore di lavoro deve necessariamente avvalersi di un medico competente, alla cui nomina è tenuto, ai sensi del TU Sicurezza, per garantire la tutela della salute e della sicurezza del luogo di lavoro.

Il medico competente, invece, è l’unico soggetto legittimato a trattare i dati sanitari dei dipendenti in autonomia, anche in considerazione del fatto che le finalità e le attività di trattamento poste in essere da quest’ultimo non sono liberamente determinate dal datore di lavoro, bensì sono specificamente individuate dalla legge (in particolare dall’art. 25 del TU Sicurezza sopra richiamato).

Spetta sempre al medico, poi, definire gli aspetti più pratici delle attività di trattamento di sua competenza – quali, ad esempio, la periodicità delle visite o la necessità di sottoporre i lavoratori a specifici e ulteriori esami – nonostante i costi della sua attività ricadano interamente sul datore di lavoro.

La figura del medico competente, seppur inserita nella realtà aziendale, mantiene quindi un carattere di indipendenza rispetto al datore di lavoro, necessario per garantire l’effettivo ed efficace svolgimento della propria funzione (i.e. quella di garantire la sicurezza e la salute dei lavoratori).

Appare quindi evidente come il medico debba configurarsi quale autonomo titolare del trattamento, in relazione ai dati relativi alla salute dei lavoratori dipendenti e, quindi, quale figura distinta e autonoma rispetto al datore di lavoro.

La struttura data protection sopra riportata ha quindi delle importanti implicazioni in merito al flusso di dati – inevitabile e, anzi, necessario – tra il medico competente e il datore di lavoro.

Proprio su questa tematica si è pronunciato il Garante con il provvedimento sopra richiamato, nel quale ha specificato che gli scambi di dati personali tra medico e datore di lavoro devono intendersi come vere e proprie “comunicazioni” di dati personali ex art. 2-ter, par. 4, lett. a) del d.lgs. 30 giugno 2003, n. 196 e s.m.i. (c.d. Codice Privacy) e, quindi, da effettuarsi solo in presenza dei presupposti previsti dalla normativa di riferimento.

Con particolare riguardo ai dati sanitari dei lavoratori, trattandosi di dati appartenenti alle c.d. categorie particolari di dati, il Garante ha quindi sottolineato che il loro trattamento è consentito solo se “necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria […]” ai sensi dell’art. 9, par. 2, lett. h) del Regolamento (UE) 2016/679) (“Regolamento”).

A conferma di ciò, si riporta un punto già sottolineato dal Garante nel documento d’indirizzo precedentemente menzionato in merito alla cessazione dell’incarico del medico competente. In particolare, l’art. 25, comma 1, lett. d) del TU Sicurezza prevede che in tale eventualità il medico sia tenuto a consegnare la documentazione sanitaria relativa ai dipendenti al datore di lavoro, fermo restando che, nel rispetto nella normativa in tema di tutela dei dati personali, nonché del segreto professionale, quest’ultimo non potrà venire a conoscenza del contenuto di detta documentazione.

Al di fuori delle casistiche delineate della normativa, è quindi fatto divieto al medico di comunicare al datore di lavoro i dati personali inerenti alla salute dei lavoratori, configurandosi, in caso contrario, un trattamento di dati illecito in quanto effettuato in assenza di un idoneo presupposto di liceità di cui agli artt. 6 e 9, par. 2, del Regolamento, con conseguente violazione degli obblighi previsti a suo carico in qualità di titolare del trattamento, passibile, come nel caso in esame, di una sanzione da parte del Garante.

Alla luce di quanto sopra esposto, la pronuncia in esame fornisce un’utile ricognizione delle disposizioni normative e dei provvedimenti dell’Autorità Garante rilevanti in materia di trattamento dei dati sanitari nel contesto lavorativo.

Si tratta quindi di una preziosa occasione per ricordare ai datori di lavoro che il loro accesso ai dati sanitari dei dipendenti può avvenire solo se legittimato da una necessità contemplata dal Regolamento e/o dal TU Sicurezza (primo tra tutti l’obbligo di valutazione dell’idoneità lavorativa dei dipendenti).