Privacy e Medico Competente

Nel documento sul ruolo del medico competente in materia di sicurezza sul luogo di lavoro, pubblicato il 14 maggio 2021 [doc. web 9585367] il Garante Privacy ha inteso delineare il ruolo centrale del Medico competente relativamente al trattamento dei dati sulla salute e sicurezza nell’ambito dei rapporti di lavoro.

In particolare, il Garante ha operato un inquadramento generale del ruolo del Medico competente partendo dal D.Lgs. 81/2008, T.U. sulla Salute e Sicurezza nei luoghi di lavoro, secondo cui detto professionista riveste una funzione primaria di protezione della salute e sicurezza nei luoghi di lavoro, rapportando tale funzione alle previsioni di maggior tutela nel trattamento dei dati nei rapporti di lavoro, disposte dall’art. 88 GDPR e dall’art. 113 Codice Privacy Adeguato.

La funzione di medico competente è espressione di un interesse pubblico, sottratto alla sfera di competenza del datore di lavoro ed ai relativi poteri.

In tale contesto, il medico competente è quindi, per legge, l’unico soggetto legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro.

Visto questo contesto normativo, il medico competente non tratta i dati per conto del datore di lavoro, ma in qualità di titolare del trattamento.

Di conseguenza, gli eventuali flussi di dati personali tra datore di lavoro e medico competente devono intendersi quali “comunicazioni” di dati personali.

Particolare riguardo presenta il Garante per il tema della vaccinazione dei dipendenti. In sintesi, il medico competente, nell’ambito delle proprie attività di sorveglianza sanitaria, è l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori ed a verificare l’idoneità alla “mansione specifica” del lavoratore, anche in relazione alla vaccinazione.

Il datore di lavoro non può, per converso, acquisire, neanche con il consenso del dipendente o tramite il medico competente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali.

A tale proposito, il Garante evidenzia che il tema del trattamento dei dati relativi alla vaccinazione può allo stato essere inquadrato nell’ambito della verifica dell’idoneità alla mansione specifica, consentita al solo medico competente, per cui il datore di lavoro può venire a conoscenza del solo giudizio di idoneità alla mansione specifica e delle eventuali prescrizioni fissate dal medico competente come condizioni di lavoro.

Il Garante fa inoltre un cenno al tema dell’obbligo vaccinale previsto dall’art 4 del D.L. 44/2021, che alla data di redazione della presente è ancora soggetto alla conversione in legge: tema che prevede in realtà una prospettazione diversa e tuttora in esame.