La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.
Il ruolo del medico competente all’interno dell’organigramma privacy di un’azienda non è sempre questione di immediata risoluzione, nonostante il recente intervento del Garante volto proprio a fare chiarezza sul tema.
Il grado di complessità nell’individuazione della qualifica di tale figura può dipendere dalla tipologia di rapporto contrattuale instauratosi tra i principali attori coinvolti a diverso titolo nell’attività di sorveglianza sanitaria in favore dei dipendenti.
Una particolare casistica
In ambito di medicina del lavoro, infatti, non di rado accade che ai tipici soggetti coinvolti nell’attività di sorveglianza sanitaria (datore di lavoro e medico competente, ciascuno entro i limiti stabiliti dalla normativa) se ne aggiunga un terzo, con un ruolo di primaria importanza nel trattamento dei dati personali riferibili ai dipendenti sottoposti a sorveglianza sanitaria: la struttura sanitaria privata/società specializzata in erogazione di servizi di medicina del lavoro, che offre al datore di lavoro una più o meno vasta gamma di servizi di consulenza nell’ambito della medicina del lavoro, e nella cui organizzazione si inserisce il medico competente, quest’ultimo formalmente nominato dal datore di lavoro ma contrattualmente legato alla struttura sanitaria.
Casi del genere possono presentare alcune peculiarità, tra le quali si evidenziano le seguenti:
- i medici competenti possono operare all’interno dell’organizzazione di una struttura sanitaria privata/società specializzata privata (di seguito, la “Struttura”), utilizzando locali, strumentazione informatica, software e strumenti sanitari di proprietà della stessa struttura per svolgere le attività di sorveglianza sanitaria ex d.lgs. 81/08 in favore dei lavoratori delle aziende clienti della Struttura, nonché usufruendo di una serie di servizi effettuati dalla struttura sanitaria quali ad esempio la calendarizzazione delle visite mediche e l’effettuazione di alcuni accertamenti clinici;
- in tale contesto, i medici competenti sono legati contrattualmente alla struttura sanitaria, solitamente da un contratto di prestazione d’opera professionale, sono dunque liberi professionisti;
- dall’altra parte, le aziende (datori di lavoro):
- conferiscono alla Struttura l’incarico di svolgere varie attività rientranti nella o comunque connesse alla medicina del lavoro,
- contestualmente, nominano formalmente il medico competente, solitamente individuandoli tra i professionisti che collaborano con la Struttura.
Ebbene, in casi analoghi a quello ipotetico – ma non troppo – sopra descritto, il governo dei dati personali riferibili al lavoratore ben può essere, di fatto, in capo alla Struttura che, mediante propri dipendenti, ricopre un ruolo primario nella gestione delle informazioni, dalla fase di ricezione dei dati personali a quella di trasmissione della cartella sanitaria del lavoratore ai soggetti legittimati a riceverla secondo la normativa.
L’inserimento del medico competente in una struttura organizzata che offre servizi correlati alla medicina del lavoro, d’altra parte, consente al medico competente di concentrarsi sullo svolgimento delle attività strettamente medico-sanitarie, demandando alla struttura gli adempimenti burocratici e gestionali.
Le linee guida del Garante
Le citate linee guida del Garante hanno evidenziato che in via generale i medici competenti nominati sono titolari del trattamento dei dati dei lavoratori sottoposti a sorveglianza sanitaria, sottolineando la circostanza che tale qualifica non deve essere ricoperta dall’azienda datore di lavoro.
Solo in un caso eccezionale, ossia quello del medico competente operante presso una struttura sanitaria pubblica che svolge sorveglianza sanitaria presso le aziende, si configurerebbero ruoli diversi, e cioè: struttura sanitaria pubblica titolare del trattamento e medico competente soggetto autorizzato.
Tale eccezione, però, non sarebbe fondata sulla diversa organizzazione del soggetto che svolge attività di sorveglianza sanitaria, bensì sulle circostanze che i) tale organizzazione faccia riferimento ad un soggetto di natura pubblica, e che ii) vi sia una legge di riferimento che attribuisce alle strutture sanitarie pubbliche un proprio servizio di medicina del lavoro. Per tali motivi, difficile poter ragionare per analogia applicando la medesima soluzione alle strutture private specializzate in medicina del lavoro.
Quali opzioni alternative?
Ci si chiede, dunque, se il criterio fattuale e il ruolo delle parti nel governo dei dati personali del lavoratore possano giustificare un (parziale) discostamento da quanto indicato dal Garante, attribuendo alla struttura/società privata specializzata in medicina del lavoro un ruolo preminente nel trattamento dei dati dei lavoratori sottoposti a sorveglianza sanitaria, non per forza coincidente con quello di responsabile del trattamento per conto del medico competente, soluzione quest’ultima la cui implementazione potrebbe dar luogo a difficoltà pratiche nella gestione dei rapporti.
A seconda delle circostanze del caso concreto, si ritiene che la risposta possa essere affermativa. Fermo restando che trattasi di un ambito in cui le modalità di trattamento dei dati personali sono pressoché individuate dalla normativa applicabile.