Continuando quanto scritto sui Quaderni AiFOS, affronto la figura del medico competente nell’ambito della Protezione Dati Personali indotta dal Reg. 679/2016 noto come GDPR.

Il Medico Competente è presente all’interno della normativa sulla salute e sicurezza sul lavoro (Dlgs 81/08) che già dalle definizioni lo individua chiaramente:

• Il medico competente è UN MEDICO in possesso dei titoli e requisiti formativi e professionali (quali una specializzazione in medicina del lavoro o in igiene e medicina preventiva o medicina legale, od anche docente nelle specializzazioni appena citate) che collabora con il datore di lavoro nella valutazione dei rischi e viene NOMINATO per effettuare la sorveglianza sanitaria nelle varie forme e modalità previste dall’81/08;
• Il medico competente offre la propria collaborazione al datore di lavoro nella valutazione dei rischi e si occupa della sorveglianza sanitaria della forza lavoro presente in azienda.

Di fatto diventa elemento fondamentale del processo di tutela della salute dei lavoratori partendo dalla necessità di effettuare la sorveglianza sanitaria redigendo e mantenendo aggiornata la ”cartella sanitaria e di rischio” di ciascun dipendente. Questa attività viene fatta sotto la supervisione del Datore di Lavoro, ma in precisi ambiti di riservatezza, che implicano, fra gli altri, l’impossibilità di comunicare al datore di lavoro informazioni relative allo stato di salute del lavoratore dovendosi limitare a comunicare al Datore di lavoro uno dei 4 livelli ammissibili del giudizio di idoneità del lavoratore.

Il D.Lgs. 81/08 assegna al Medico Competente l’obbligo della tenuta delle cartelle sanitarie per ciascun dipendente in locali concordati con il Datore di Lavoro, avendo pieno ed assoluto controllo di questi locali (di fatto il Datore di lavoro non ha alcuna autorità sulla visibilità delle cartelle sanitarie dei dipendenti). Al termine del periodo lavorativo il D.Lgs. 81/08 assegna al medico competente il compito di consegnare una copia della cartella al dipendente, e originale sigillato al Datore di Lavoro. E’ quest’ultimo che dovrà garantire la conservazione della cartella sanitaria del dipendente per ulteriori 10 anni. In particolari casi (ove ci fossero possibilità di danni provenienti da esposizioni a rischi particolari, il Datore di lavoro dovrà conservare la cartella per 40 anni (ex. Art. 243 D.Lgs. 81/08)). A livello personale consiglio una conservazione per la vita lavorativa prevista, poiché in caso di particolari patologie è possibile che l’Autorità Giudiziaria richieda informazioni inerenti a un periodo lavorativo molto distante nel tempo.

Con il Regolamento sulla protezione dati personali (GDPR - Reg. EU 679/2016) questi concetti tipici del D.Lgs. 81/2008 vanno correttamente trasferiti alla Protezione Dati Personali (privacy). Il Codice Privacy (D.Lgs. 196/2003 che in questo periodo potrebbe essere fortemente rimaneggiato) disciplina nel Titolo V (art. da 75 a 84) il comportamento sui dati personali effettuato in ambito sanitario. L’Autorità Garante si è più volte interessata all’ambito sanitario rilasciando, con il provvedimento n.331 del 4 giugno 2015 sulla Linea Guida al Dossier Sanitario Elettronico che attribuisce al personale sanitario un ruolo chiave in termini di riservatezza e sicurezza dei trattamenti. Lo stesso Regolamento (GDPR) all’art. 9.2.h cita la possibilità di effettuare i trattamenti dei dati sanitari in ambito di salute e sicurezza sul lavoro senza esplicita richiesta di consenso purché i trattamenti siano effettuati da un professionista (o altra persona sottoposta agli stessi vincoli) soggetto al segreto professionale in modalità conforme alla legislazione o alle norme stabilite da uno stato membro.

In questo scenario un Datore di Lavoro (che nell’ambito del GDPR è il Titolare del Trattamento) può affidare i dati personali dei propri dipendenti ad un Medico Competente sapendo che il medico deve sottostare a protocolli di riservatezza e competenza sul trattamento di livello superiore ad altri professionisti. Il Regolamento, però, parla chiaro: se il Titolare si vuole tutelare ed affida trattamenti o parte di trattamenti ad altri professionisti che non operano sotto la sua autorità è utile e conveniente affidargli il trattamento sulla base di quanto disposto dall’art. 28 del GDPR cioè nominarli Responsabili del Trattamento.

A questo punto sorge un dubbio legittimo: il Titolare del Trattamento delega ad un Medico Competente delle attività obbligate dalla legge questo implica che posso trattare il professionista (che ripeto opera con un particolare profilo di riservatezza e tutela della sicurezza dei dati personali) come un Titolare Autonomo proprio per le sue caratteristiche e la sua esistenza disciplinata da disposizioni di legge. Siamo difronte alla domanda fondamentale: il Medico Competente (professionista autonomo) è un Titolare Autonomo o un Responsabile del Trattamento?

Come abbiamo visto da una lettura del solo Regolamento la posizione da scegliere per il Medico Competente dovrebbe essere quella di Responsabile del Trattamento che opera su dati forniti dal titolare. Il Titolare per tutelare il bene fondamentale dei propri dipendenti trasferisce un trattamento con una nomina formale per essere certo di delegare una responsabilità piena e trasferire quindi il rischio su un altro soggetto in modo formale. Invece, dalla lettura combinata della legislazione attuale, il Medico Competente potrebbe essere un Titolare Autonomo in quanto opera con un profilo di tutela sui dati personali basato sulla riservatezza e sul rispetto delle prescrizioni legislative che gli vengono attribuite a prescindere dell’esistenza del Regolamento. Nel passato mi sono pronunciato e scelto la strada del Medico Competente come Responsabile del Trattamento. Adesso vedo le opportunità dell’autonoma Titolarità. L’ICO (Autorità Garante Inglese) lo affronta in un documento di recente aggiornato individuando questa possibilità visto che il Medico Competente è un professionista che opera senza necessità di interagire con istruzioni del Titolare del Trattamento.

Quale sia la strada più corretta? Purtroppo, non so dirvelo con assoluta certezza, entrambe hanno dei pro e dei contro, entrambe sono però ugualmente difendibili in fase di eventuali anomalie.

È però certo che il Datore di Lavoro:

1. deve valutare le due strade e scegliere opportunamente sulla base del proprio scenario di rischio;
2. deve rispettare le prescrizioni del Dlgs 81/2008 e gestire la “cartella sanitaria”, se archiviata presso propri ambienti, come un bene sigillato in cui nessuno dei propri dipendenti e neppure il Datore di Lavoro potrà avere accesso;
3. deve fare in modo che (ed obbligare se il caso) il Medico Competente a interagire con i lavoratori senza riferire al Datore di Lavoro le motivazioni di un colloquio o di un supplemento di colloquio;
4. deve far si che il Medico Competente sia in grado di amministrare autonomamente gli spazi di archiviazione delle cartelle sanitarie senza possibilità per il datore di lavoro di interferire con quei particolari spazi;
5. deve pretendere dal medico un preciso passaggio di consegne ad un nuovo medico competente in caso di interruzione della prestazione.

Di fatto il Medico Competente può pure essere un titolare autonomo ma con un contratto che gli garantisca precise responsabilità organizzative, corretta autonomia ma anche precisi vincoli alle modalità di trattare ed assicurare i dati ricordando gli obblighi derivanti dalla deontologia professionale. Questo ci avvicina al caso di una Nomina a Responsabile Esterno dove gli obblighi vanno chiaramente esplicitati e definiti. Punto a favore della Nomina a Responsabile esterno è la possibilità di condurre audit di verifica sul corretto svolgimento dell’incarico. Tuttavia, mi sembra eccessivo controllare l’operato di un professionista che deve operare nel rispetto di precise regole deontologiche.

Mi auguro che lo scenario diventi più chiaro man mano che l’Autorità Garante emetterà provvedimenti esplicativi che faranno giurisprudenza, al momento le due strade sono divise da un solco sottile dove lo stare da una o dall’altra parte deve essere frutto di valutazioni ed opportunità. Ovviamente se il Datore di Lavoro si rivolge ad una società che mette a disposizione un medico competente ed è la società a raccogliere i dati dei dipendenti, Il Titolare del Trattamento (Datore di Lavoro) dovrà procedere ad una nomina a responsabile del trattamento secondo il disposto dell’art. 28 del GDPR per la società.