Quando un datore di lavoro, o un dirigente, designa un medico competente, quale ruolo va a ricoprire, quest’ultimo, in ambito privacy: responsabile o titolare autonomo?
Quanto segue, partendo da questa domanda, intende suggerire uno spunto di riflessione fondato sulla lettura e interpretazione dei testi normativi che regolano la questione, su tutti il GDPR e il Dlgs 81/2008 (Testo Unico sulla Sicurezza sul Lavoro), e osservando il processo che viene determinato per adempiere gli obblighi in capo ai vari soggetti.
Per procedere, anzitutto, è necessario comprendere che in questo contesto assistiamo a una scena in cui interagiscono sette figure, ciascuna definita in modo preciso e che tutti dovremmo conoscere: legislatore, titolare del trattamento, responsabile del trattamento, datore di lavoro, dirigente, medico competente e lavoratore.
La prima complicazione da segnalare è che una singola persona fisica può ricoprire anche più d’uno di questi ruoli, ma non tratteremo questa eventualità.
Nello scenario di riferimento abbiamo, inoltre, un attore occulto, il legislatore, che con i suoi atti normativi, indicando la salute e la sicurezza fisica e morale delle persone come un diritto fondamentale, le rende, di fatto, un obiettivo a cui tendere. In altre parole: chiunque organizzi qualsiasi lavoro deve fare in modo che questo lavoro non infici negativamente sulla salute e la sicurezza delle persone.
La qualità dell’organizzazione
Adottare tutte le soluzioni organizzative e tecniche che sono possibili, tenuto conto del progresso tecnologico, scientifico e culturale, per garantire che i diritti alla salute e alla sicurezza siano tutelati e rispettati è un obbligo del datore di lavoro o del dirigente. Per adempiere a tale obbligo, il Dlgs 81/2008 (“TUSL”) impone l’adozione di modelli organizzativi, richiamando espressamente la normativa sulla responsabilità amministrativa degli enti, che assume, in questo contesto, il valore di uno “standard” operativo di riferimento, al pari di normative ad adozione volontaria. Il punto in comune tra il Dlgs 81/2008, il Dlgs 231/2001 e le norme tecniche volontarie è, senza dubbio, l’organizzazione; meglio ancora, la qualità dell’organizzazione.
Ne consegue che, se il patrimonio informativo è fondamentale per una buona gestione dell’organizzazione, il datore di lavoro ha la necessità e l’obbligo di avere a disposizione informazioni esatte e pertinenti per poter disegnare i propri processi e le proprie attività, che farà eseguire dai suoi lavoratori. Tra queste informazioni, chiaramente, devono esserci quelle relative allo stato di salute psico-fisica dei suoi lavoratori, in modo da poter allocare coerentemente con essa le persone alle attività e ridurre al minimo accettabile l’esposizione dei lavoratori ai rischi correlati al loro lavoro.
Nei casi più classici, il datore di lavoro tipico, pur avendo la possibilità fattuale di ottenere le informazioni, non sempre ha la capacità, tecnica o professionale, di interpretarle adeguatamente, tralasciando il fatto che, in ragione dello spirito garantista della legge, sovente tali trattamenti gli sono formalmente preclusi ed espressamente vietati. A questo punto, di conseguenza, il datore di lavoro si trova, da un lato a voler (verbo usato in modo deliberato, muovendo dal presupposto che ciascuno è dotato di libero arbitrio, e che, pertanto, esiste sempre la potenzialità che si decida di non adempiere a un dovere di legge) raggiungere una finalità (rispettare l’obbligo di legge) e dall’altro ad avere dei limiti legali nell’adempiere.
Giova rammentare che la legge viene in soccorso dei datori di lavoro, prima con la Costituzione, che con l’art. 32 dispone che nessuno può essere obbligato a un determinato trattamento sanitario se non per disposizione di legge, poi con il TUSL, che obbliga i lavoratori, nell’adempimento dell’obbligo generale di prendersi cura della propria salute e sicurezza, a sottoporsi ai controlli sanitari previsti per legge o comunque disposti dal medico competente. Tali controlli medici costituiscono la cosiddetta “sorveglianza sanitaria”, cioè l’insieme degli atti medici finalizzati alla tutela dello stato di salute e sicurezza dei lavoratori, in relazione all’ambiente di lavoro, ai fattori di rischio professionali e alle modalità di svolgimento dell’attività lavorativa.
Sorveglianza sanitaria e trattamento dati
Si può affermare, quindi, che se la sorveglianza sanitaria è un insieme di controlli medici, ovvero un insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, essa non può che essere un trattamento di dati personali di categoria particolare, essendo relativi, per loro natura caratteristica, alla condizione di salute dei lavoratori.
I dati particolari dovrebbero essere trattati con particolare cautela, a pena di incorrere nell’illiceità e illegittimità del trattamento medesimo, con conseguente inutilizzabilità dei dati stessi e impossibilità di raggiungere adeguatamente, efficientemente ed efficacemente lo scopo superiore della tutela della salute e della sicurezza delle persone, tanto che il GDPR si premura di fornire, data l’importanza del diritto alla salute e alla sicurezza nei luoghi di lavoro, una debita eccezione al principio generale di divieto di trattamento dei dati sensibili, rendendo possibile il trattamento qualora sia necessario, tra le altre, per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, ossia per tutto ciò che è, di fatto l’attività delegata al medico competente.
In tal senso, ulteriore supporto normativo arriva dal fatto che, per l’ordinamento italiano, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico, o connessi all’esercizio di pubblici poteri, tra le altre, in materia di instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione. È indubbio che la tutela la salute sia considerata, in primis dalla Costituzione, come fondamentale diritto dell’individuo e interesse della collettività, cioè interesse pubblico. È altrettanto fuori discussione che è posto come obbligo ai datori di lavoro e ai dirigenti di prendere appropriati provvedimenti per evitare che le misure tecniche adottate nell’ambito dell’organizzazione del lavoro possano causare rischi per la salute della popolazione o deteriorare l’ambiente esterno.
Lo scenario oggetto di osservazione, quindi, è quello in cui un soggetto (il datore di lavoro), su cui grava un obbligo di legge (assicurare salute e sicurezza), vuole rispettarlo organizzandosi in un determinato modo (con il servizio di prevenzione e protezione), e deve necessariamente tenere conto del fatto che alcuni trattamenti di dati personali (la sorveglianza sanitaria) potrebbe non poterli svolgere in prima persona, ma con l’impiego di un soggetto appositamente indicato, in ragione della sua professionalità, e che svolge una funzione strumentale (il medico competente).
Chi è il medico competente dopo il Gdpr
Il medico competente è un medico in possesso di uno dei titoli e dei requisiti formativi e professionali previsti dal TUSL, che collabora con il datore di lavoro ai fini della valutazione dei rischi ed è nominato dallo stesso per effettuare la sorveglianza sanitaria e per tutti gli altri compiti di cui al medesimo atto normativo. La definizione fornita offre tre fondamentali spunti di analisi.
Anzitutto la legge si premura di definire i requisiti qualitativi che un soggetto deve avere perché possa dirsi che il trattamento dei dati sia stato affidato a qualcuno che presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato alla salute e alla sicurezza.
Secondariamente, si nota l’obbligo di collaborazione finalizzato alla valutazione dei rischi, che ricordiamo essere uno degli obiettivi del datore di lavoro. È quindi chiaro che, nella gestione complessiva del processo che sottostà al sistema di gestione della salute e della sicurezza sul lavoro (SGSL), la collaborazione del medico competente è un di cui.
In terza battuta, è emblematico l’impiego del verbo “è nominato”, che già da solo lascia intendere un rapporto di subordinazione rispetto al datore di lavoro per quanto riguarda la sorveglianza sanitaria. Subordinazione che appare ancora più lampante se si considera che la nomina può essere effettuata anche da un dirigente, ovvero una persona che, in ragione delle competenze professionali e di poteri gerarchici e funzionali adeguati alla natura dell’incarico conferitogli (tramite delega ai sensi del TUSL), attua le direttive del datore di lavoro organizzando l’attività lavorativa e vigilando su di essa, cioè un soggetto fisico che, ai sensi del Codice Privacy, ha ricevuto l’attribuzione di specifici compiti e funzioni e opera sotto l’autorità del datore di lavoro, il quale, oltre ad avere l’obbligo di inviare i lavoratori alla visita medica entro le scadenze previste dal programma di sorveglianza sanitaria, deve richiedere al medico competente l’osservanza degli obblighi previsti a suo carico.
Gli obblighi del medico competente
Tali obblighi sono analiticamente definiti dal TUSL e, alla luce di quanto disposto dal GDPR, potrebbero essere facilmente intesi come la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, ossia tutti gli elementi previsti per il contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincola il responsabile del trattamento al titolare del trattamento, cioè il medico competente al soggetto di cui il datore di lavoro è legale rappresentante.
Così, se si parte dal presupposto che la sorveglianza sanitaria sia un trattamento di dati affidato dal datore di lavoro o dal dirigente al medico competente, si può ragionevolmente affermare che tutti gli obblighi destinati al medico competente assumono lo status di istruzioni rivolte al responsabile del trattamento, non attraverso un contratto, bensì direttamente dalla legge, atto giuridico per eccellenza.
Tra gli obblighi del medico competente, alcuni assumono un aspetto particolarmente indicativo della natura, sotto il profilo della protezione dei dati, del rapporto tra il datore di lavoro e il medico competente. In particolare, il medico competente collabora con il datore di lavoro e con il servizio di prevenzione e protezione alla valutazione dei rischi, anche ai fini della programmazione, ove necessario, della sorveglianza sanitaria, alla predisposizione della attuazione delle misure per la tutela della salute e della integrità psico-fisica dei lavoratori, all’attività di formazione e informazione nei confronti dei lavoratori, per la parte di competenza, e alla organizzazione del servizio di primo soccorso considerando i particolari tipi di lavorazione ed esposizione e le peculiari modalità organizzative del lavoro. La parola su cui ci si dovrebbe concentrare è “anche”, che potrebbe lasciar intendere che la programmazione della sorveglianza sanitaria dovrebbe essere una conseguenza di scelte effettuate dal datore di lavoro nell’organizzare i processi e le attività lavorative, posto che non sempre è obbligatoria, ma lo diventa in situazioni specifiche.
Sulla base della collaborazione con il datore di lavoro o il dirigente, il medico competente programma ed effettua la sorveglianza sanitaria, attraverso protocolli sanitari definiti in funzione dei rischi specifici e tenendo in considerazione gli indirizzi scientifici più avanzati.
Conservazione dei dati da parte del medico competente
Inoltre, il medico competente è gravato altresì dell’obbligo di istituire, aggiornare e custodire, sotto la propria responsabilità, una cartella sanitaria e di rischio per ogni lavoratore sottoposto a sorveglianza sanitaria; tale cartella deve conservata con salvaguardia del segreto professionale e, salvo il tempo strettamente necessario per l’esecuzione della sorveglianza sanitaria e la trascrizione dei relativi risultati, presso il luogo di custodia concordato al momento della nomina del medico competente.
In materia di conservazione dei dati, il TUSL impone al medico competente di consegnare al datore di lavoro, alla cessazione dell’incarico, la documentazione sanitaria in suo possesso, nel rispetto delle disposizioni rilevanti in materia di protezione dei dati, di consegnare al lavoratore, alla cessazione del rapporto di lavoro, copia della cartella sanitaria e di rischio e di fornirgli le informazioni necessarie relative alla conservazione della medesima; l’originale della cartella sanitaria e di rischio va conservata, nel rispetto di quanto disposto in materia di protezione dei dati, da parte del datore di lavoro, per almeno dieci anni, salvo il diverso termine previsto da altre disposizioni legislative.
Inoltre, il TUSL impone al medico competente di comunicare per iscritto, in occasione delle riunioni periodiche, al datore di lavoro, al responsabile del servizio di prevenzione protezione dai rischi, ai rappresentanti dei lavoratori per la sicurezza, i risultati anonimi collettivi della sorveglianza sanitaria effettuata e di fornire indicazioni sul significato di detti risultati ai fini della attuazione delle misure per la tutela della salute e della integrità psico-fisica dei lavoratori. Misura da considerarsi come garantista della sicurezza dei dati trattati.
Infine, la norma in materia di salute e sicurezza sul lavoro pone un ultimo baluardo a difesa del diritto alla protezione dei dati personali, imponendo un controllo sulle caratteristiche del medico, il quale deve comunicare all’autorità competente, mediante autocertificazione, il possesso dei titoli e requisiti previsti, sottostando altresì a un particolare obbligo formativo.
Che l’attività del medico competente, nell’effettuare la sorveglianza sanitaria, non sia completamente libera, ma coerente con le limitazioni del GDPR, risulta chiaro anche dal divieto di trattare dati per effettuare visite mediche per accertare stati di gravidanza e negli altri casi vietati dalla normativa vigente.
Guardando gli obblighi e i divieti di cui il medico competente è destinatario per effetto del TUSL e confrontandoli con quanto richiesto dal GDPR, si riescono a individuare gli elementi caratteristici del contratto o dell’atto giuridico che vincola il responsabile del trattamento al titolare del trattamento.
La sorveglianza sanitaria è un trattamento che il titolare deve mettere in essere per raggiungere la finalità di tutelare la sicurezza e l’integrità fisica e morale dei suoi prestatori di lavoro, ma sovente deve necessariamente essere affidata a un soggetto terzo, ossia il medico competente, il quale deve presentare le garanzie richieste dal TUSL per poter operare. In questo senso la norma definisce in modo esplicito quali siano le garanzie minime.
La sorveglianza sanitaria è un trattamento realizzato a opera del medico competente, secondo le disposizioni di legge in materia, che determina in modo esplicito la durata del trattamento al verificarsi di particolari eventi (cessazione dell’incarico e cessazione del rapporto di lavoro), la natura (obbligatoria o facoltativa, secondo i casi) e la finalità (tutela della salute, quale interesse pubblico rilevante), il tipo di dati personali (definiti dai protocolli sanitari), le categorie di interessati (chiunque presti la sua attività lavorativa, a prescindere dal rapporto contrattuale, nell’ambito dell’organizzazione del datore di lavoro), gli obblighi e i diritti del titolare (il datore di lavoro deve inviare i lavoratori alla visita medica entro le scadenze previste dal programma di sorveglianza sanitaria e richiedere al medico competente l’osservanza degli obblighi previsti a suo carico).
Sulla base di questi presupposti, quindi, si potrebbe ragionevolmente affermare che, qualora un datore di lavoro si trovi nella condizione di affidare all’esterno della sua organizzazione la sorveglianza sanitaria, il medico competente che la prende in carico dovrebbe essere vincolato quale responsabile esterno del trattamento.
Nel caso in cui, invece, il datore di lavoro possa mantenere all’interno l’effettuazione della sorveglianza sanitaria, il medico competente dovrebbe essere delegato e appositamente responsabilizzato ai sensi del Codice Privacy.
Solo nel caso in cui stia trattando i dati dei lavoratori del datore di lavoro che gli ha affidato la sorveglianza sanitaria per rispettare l’obbligo di trasmissione, entro il primo trimestre dell’anno successivo all’anno di riferimento ed esclusivamente per via telematica, ai servizi competenti per territorio le informazioni, elaborate evidenziando le differenze di genere, relative ai dati collettivi aggregati sanitari e di rischio dei lavoratori, sottoposti a sorveglianza sanitaria secondo il modello in Allegato 3B del TUSL, il medico competente potrebbe essere considerato, con riferimento al rapporto con il datore di lavoro, un titolare autonomo, posto che la legge si premura di far anonimizzare i dati e aggregarli, rendendoli, di fatto, spersonalizzati dal momento in cui inizia la trasmissione telematica.
Resta fermo che, nell’ambito della sua propria organizzazione, ciascun medico competente potrebbe corrispondere al datore di lavoro e al titolare del trattamento, in modo del tutto simile e coerente con l’opinione del Garante fornita in risposta al quesito postogli dai consulenti del lavoro.