GPDP
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

COVID-19
CORONAVIRUS E PROTEZIONE DEI DATI


Protezione dei dati
Il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale
 

1. Premessa.
Considerate le numerose richieste di chiarimenti inviate al Garante, anche da parte di responsabili della protezione dei dati di enti e aziende pubbliche e private, si ritiene opportuno fornire indicazioni generali sul ruolo del medico competente in materia di igiene e sicurezza sul luogo di lavoro nel trattamento dei dati personali dei lavoratori e richiamare le condizioni per assicurare che i trattamenti effettuati, rispettivamente, dal datore di lavoro e dal medico competente, avvengano nel rispetto della normativa in materia di protezione dei dati, della disciplina nazionale di settore e delle norme più specifiche e di maggior tutela che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento e 113 del Codice) nonché di quelle emanate nel contesto dell’emergenza epidemiologica in corso.
La disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro (d.lgs. 9 aprile 2008, n. 81) individua la funzione del medico competente come autonoma rispetto a quella che deve essere svolta dal datore di lavoro, prevedendo specifici e distinti obblighi nonché le diverse responsabilità di ciascuno e delineando, sotto il profilo della protezione dei dati, l’ambito del rispettivo trattamento.
Nell’evoluzione del quadro nazionale legato all’emergenza epidemiologica la figura del medico competente assume una posizione di maggiore centralità nel contrasto e nel contenimento della diffusione del virus SARS-CoV-2 nel contesto lavorativo. Anche i “nuovi” trattamenti di dati personali, originati dall’emergenza in atto, devono essere effettuati nel rispetto di quel tradizionale riparto di competenze e separazione di ruoli tra il medico competente e il datore di lavoro, in cui risiede il principale elemento di garanzia delle norme che ne disciplinano i compiti e le funzioni¹.

2. Il datore di lavoro
Il datore di lavoro adotta le misure che, secondo la particolarità del lavoro, l'esperienza e la tecnica, sono necessarie a tutelare l'integrità fisica e la personalità morale dei lavoratori (art. 2087 c.c.)
Il d.lgs. 81/2008 individua gli specifici obblighi del datore di lavoro (art. 18) che, quando comportano il trattamento di dati personali, legittimano il trattamento di dati personali dei dipendenti da parte dello stesso (art. 6, par. 1, lett. c), 9, par. 2, lett. b) e 88 Regolamento, che si riferisce espressamente a “norme più specifiche [...] nell'ambito dei rapporti di lavoro, in particolare per finalità di [...] salute e sicurezza sul lavoro”) e possono essere posti in essere mediante il personale che opera sotto la sua diretta autorità, e che deve essere “autorizzato” e debitamente “istruito” in merito all’accesso ai dati (artt. 4, par. 10, 29, 32 par. 4 Regolamento; v. art. 2-quaterdecies del Codice).
Il datore di lavoro ha, di regola, l’obbligo di conferire a un medico - che abbia i requisiti professionali stabiliti dalla legge - specifico mandato o incarico (anche mediante apposito ordine di servizio, nei casi in cui adibisca propri dipendenti, artt. 38 e 39 d.lgs. n. 81/20018), affinché questi eserciti, all’interno della propria realtà organizzativa, quella funzione di protezione della salute e sicurezza dei luoghi di lavoro che la legge ha previsto che debba essere obbligatoriamente presente nelle realtà produttive e nei luoghi di lavoro in generale, attribuendone il compito specificamente a figure professionali.
In tale ambito, a titolo esemplificativo, il datore di lavoro “vigila affinché i lavoratori [...] non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità”; effettua le comunicazioni obbligatorie ai soggetti istituzionali competenti e fornisce al servizio di prevenzione e protezione e al medico competente tutte le informazioni necessarie allo svolgimento dei rispettivi compiti (es. art. 18 d.lgs. n. 81/2008).

3. Il medico competente
La richiamata disciplina individua, analogamente, gli obblighi del medico competente (art. 25 d.lgs. n. 81/2008).
Le finalità e le operazioni del trattamento che devono essere poste in essere dal medico sono determinate dalla legge² che stabilisce anche le modalità del trattamento: il professionista deve trattare i dati in modo autonomo, nel rispetto della disciplina di protezione dei dati e dei principi che regolano l’attività diagnostica, delle regole di deontologia professionale, con particolare riguardo al segreto. Peraltro, le sue valutazioni non possono, per definizione, risentire o essere condizionate dalle scelte organizzative e gestionali dell’ente/datore di lavoro (ancorché in quella struttura organizzativa tale figura sia funzionalmente inserita).
L’art. 39 prevede che il medico operi secondo i principi della medicina del lavoro e del Codice etico della Commissione internazionale di salute occupazionale. Non deve seguire invece le istruzioni del datore di lavoro, rispetto al quale deve, al contrario, mantenere autonomia e terzietà (l’art. 39, comma 4 prevede, infatti, che “il datore di lavoro assicura le condizioni necessarie per lo svolgimento di tutti i suoi compiti garantendone l’autonomia”).
Spetta, dunque, al medico competente stabilire, anche su richiesta del lavoratore, la periodicità delle visite mediche o la necessità di sottoporre i lavoratori a ulteriori indagini diagnostiche “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori sottoposti a sorveglianza (art. 41, commi 2 e 4). Il medico “programma e effettuata la sorveglianza sanitaria” e “istituisce e aggiorna e custodisce sotto la propria responsabilità una cartella sanitaria e di rischio per ogni lavoratore” con la “salvaguardia del segreto professionale” e presso un luogo di custodia concordato con il datore di lavoro.
La funzione di medico competente è espressione di un interesse pubblico (tutela del lavoratore e della collettività), individuato e disciplinato dalla legge e, in quanto tale, sottratta alla sfera di competenza del datore di lavoro e ai relativi poteri.
Nello svolgimento di tali compiti che la legge gli attribuisce in via esclusiva, in particolare l’attività di sorveglianza sanitaria e la tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori, il medico competente è, per legge, l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro, non potendo informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore essere in alcun modo trattate dal datore di lavoro, se non nella misura del mero giudizio di idoneità alla mansione specifica e delle eventuali prescrizioni che il professionista fissa come condizioni di lavoro (arg. art. 25, comma 1, lett. i ) che prevede che il medico “ comuni [chi] al datore di lavoro [...] i risultati anonimi collettivi della sorveglianza sanitaria”).
In tale prospettiva la disciplina della conservazione della documentazione sanitaria, volta ad assicurare la continuità della funzione del medico competente e la segregazione del contenuto della documentazione sanitaria rispetto al datore di lavoro, prevede che alla cessazione dell’incarico del medico competente, la documentazione sanitaria in suo possesso deve essere consegnata al datore di lavoro, nel rispetto della normativa in materia di protezione dei dati personali e con salvaguardia del segreto professionale (art. 25, comma 1, lett. d)), non potendo il datore di lavoro avere conoscenza del contenuto di tale documentazione; in caso di cessazione di un rapporto di lavoro, l'originale della cartella sanitaria e di rischio deve essere conservata da parte del datore di lavoro, per almeno dieci anni (art. 25, comma 1, lett. e)); in caso di cessazione di attività dell'azienda, il datore di lavoro deve consegnare le cartelle sanitarie e di rischio a uno specifico soggetto pubblico, che svolge istituzionalmente compiti di vigilanza in materia di salute e sicurezza nei luoghi di lavoro, ovvero l’Istituto nazionale per l'assicurazione contro gli infortuni sul lavoro (INAIL), che sotto questo profilo ha acquisito anche le competenze dell’Istituto superiore per la prevenzione e la sicurezza del lavoro (ISPESL) (art. 243, comma 5); la legge inoltre attribuisce specifici obblighi di comunicazione del medico competente in favore di altri soggetti istituzionali che perseguono finalità di sanità pubblica e di prevenzione come, ad esempio, la trasmissione di dati aggregati relativi all’attività di sorveglianza sanitaria svolta per ciascun datore di lavoro alle ASL territorialmente competenti per il tramite della piattaforma informatica istituita presso l’INAIL (art. 40, comma 1).
Sebbene gli accertamenti volti a verificare l’idoneità alla “mansione specifica” del dipendente siano obbligatori per legge e siano svolti “a spese” e “a cura” del datore di lavoro (artt. 39, comma 5 e 41, comma 4 d.lgs. n. 81/2008, cit.), essi devono essere posti in essere esclusivamente per il tramite del medico competente. Il quadro normativo stabilisce, quindi, anche le modalità di impiego dei mezzi e delle risorse strumentali all’attività posta in essere dal medico competente e dei conseguenti trattamenti, facendo ricadere sul datore di lavoro i costi della relativa funzione (sul piano economico ma, in alcuni casi e per alcuni profili, sul piano organizzativo), senza che ciò si traduca, tuttavia, nella titolarità dello specifico trattamento di dati personali posto in essere dal medico.
L’autonoma sfera di competenza e di responsabilità del medico competente rispetto al datore emerge, altresì, dalla circostanza che avverso i giudizi del medico competente, ivi compresi quelli formulati in fase preassuntiva, è ammesso ricorso, entro trenta giorni dalla data di comunicazione del giudizio medesimo, all'organo di vigilanza territorialmente competente che dispone, dopo eventuali ulteriori accertamenti, la conferma, la modifica o la revoca del giudizio stesso (art. 41, comma 9 del d.lgs. n. 81/2008, cit.).
Anche sotto il profilo sanzionatorio il quadro normativo distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro³.
In tale quadro, quindi, il medico non tratta i dati per conto del datore di lavoro ma, in qualità di titolare del trattamento (artt. 4, n. 7 e 24 del Regolamento), in base a specifiche diposizioni di legge finalizzate anzitutto al perseguimento dell’interesse pubblico di tutela della salute nei luoghi di lavoro e della collettività⁴
Lo stesso Regolamento considera in via autonoma i trattamenti necessari per le finalità di “medicina del lavoro” (art. 9 lett. h) del Regolamento), nel quale ambito è riconducibile la funzione del medico competente prevista dall’ordinamento nazionale, che devono essere effettuati “sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'unione o degli stati membri [...]”” (art. 9, par. 3 del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u) del Codice “compiti di igiene e sicurezza sui luoghi di lavoro”). Tali trattamenti sono infatti disciplinati in maniera distinta rispetto a quelli posti in essere dal datore di lavoro e necessari per assolvere i propri obblighi normativi in materia di “salute e sicurezza sul lavoro” (art. 9, lett. b) e 88 del Regolamento).
Stante la titolarità del trattamento dei dati del medico competente (artt. 4, n. 7 e 24 del Regolamento), essendo questo l’unico legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla legge di settore, gli eventuali flussi di dati personali tra il datore di lavoro e il medico competente devono intendersi quali “comunicazioni” di dati personali (cfr. la definizione contenuta all’art. 2-ter, par. 4, lett. a) del Codice), i cui presupposti sono rinvenibili nel richiamato quadro normativo di settore.

4. Il ruolo del medico competente nel contesto dell’emergenza epidemiologica da virus SARS-CoV-2
Fin dalle prime settimane dell’emergenza, alla luce del quadro normativo di settore e di quello progressivamente delineatosi, tenuto conto dei principi di protezione dei dati e di quelle disposizioni più specifiche che, nell’ordinamento nazionale, tutelano la dignità e la sfera privata degli interessati sul luogo di lavoro (es. art.113 del Codice), il Garante ha sottolineato la funzione di garanzia del medico competente nel trattamento dei dati dei lavoratori (cfr., FAQ relative al trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria- doc. web n. 9337010, spec. FAQ nn. 4, 7 e 8 e, da ultimo, FAQ sul “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo”, doc. web n. 9543615).
Nel contesto dell’emergenza epidemiologica le amministrazioni e le imprese nello svolgimento dei propri compiti datoriali in materia di sicurezza nei luoghi di lavoro (artt. 6, 9, par. 2 lett. b) e 88 del Regolamento), sono tenute a rispettare i contenuti del Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid- 19 negli ambienti di lavoro sottoscritto il 24 aprile 2020 (aggiornato il 6 aprile 2021) fra il Governo e le Parti sociali, di cui all’allegato 6 del D.p.c.m. 26 aprile 2020⁵ e degli analoghi protocolli per le attività pubbliche non differibili e i servizi pubblici essenziali⁶, il cui contenuto è vincolante per i datori di lavoro pubblici e privati⁷. Tale impianto regolatorio è stato confermato nel tempo e, da ultimo, con il dpcm del 2 marzo 2021 il cui allegato n. 12 recepisce il citato protocollo.
I compiti che la disciplina di settore assegna tradizionalmente al medico competente nella tutela della salute e sicurezza delle attività lavorative⁸, assumono, nell’evoluzione del quadro normativo nazionale legato all’emergenza, la funzione di “misure di prevenzione di carattere generale” (cfr. FAQ n. 4, cit.) da attuare, in ogni caso, nel rispetto della disciplina di settore in materia di sicurezza sul lavoro, dei principi di protezione dei dati personali, dei citati protocolli di sicurezza e delle indicazioni del Ministero della Salute (cfr. sul punto, circolare del Ministero della Salute del 29 aprile 2020, n. 0014915).
In tale quadro il medico competente - o altro professionista sanitario che in base alle disposizioni relative all’emergenza epidemiologica svolge le funzioni di medico del lavoro (con riguardo, ad esempio, alla “sorveglianza sanitaria eccezionale per i lavoratori maggiormente esposti a rischio di contagio” che può essere richiesta dai datori di lavoro pubblici o privati “ai servizi territoriali dell'INAIL che vi provvedono con propri medici del lavoro”⁹) - collabora con il datore di lavoro e con il servizio di prevenzione e protezione, anzitutto, nella valutazione dei rischi, nell’individuazione, attuazione e perfezionamento delle misure e nell’osservanza dei protocolli anti-contagio, nell’informazione e formazione dei lavoratori sul rischio di contagio da SARS-CoV-2 (arg. art. 25 del citato D.lgs. 81/2008 e s.m.i.), nell’esame dei rischi riguardanti gruppi di lavoratori maggiormente esposti al contagio (es. operatori sanitari, forze dell’ordine) o in particolari situazioni di “fragilità” legata a fattori quali l’età anagrafica o a situazioni di pregressa morbilità (FAQ 4 e paragrafo 12 del Protocollo condiviso).
Il medico competente prosegue e intensifica inoltre l’attività di sorveglianza sanitaria e le connesse visite mediche nei casi previsti dalla disciplina di settore (art. 41), ad esempio in occasione del rientro al lavoro dei dipendenti dopo la sospensione delle attività produttive, o in caso di progressivo ritorno allo svolgimento “in presenza” della prestazione lavorativa (svolta “a distanza” per un periodo prolungato), o nei confronti del singolo dipendente per la riammissione in servizio dopo l’infezione da Covid-19 (cfr. circolare Ministero della Salute del 12 aprile 2021, prot. n. 0015127). In tale contesto, inoltre, è particolarmente utile il coinvolgimento del medico competente nella precoce identificazione dei contatti in ambito lavorativo (c.d. contact tracing) e nel loro isolamento in ragione della collaborazione qualificata che può fornire ai medici di medicina generale e ai dipartimenti di prevenzione per la corretta gestione e presa in carico del lavoratore con sintomatologia sospetta (cfr., par. 11 del Protocollo cit; FAQ n. 8).
Nell’ambito della valutazione dei rischi e della sorveglia sanitaria (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008), il medico competente in qualità di professionista sanitario potrà suggerire l’adozione di eventuali mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori, ponderando la necessità, “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori, di sottoporre i lavoratori a ulteriori indagini diagnostiche, che possono consistere anche in “esami clinici e biologici”(art. 41, commi 2 e 4 d.lgs. 81/2008) o test sierologici¹°, nel rispetto delle disposizioni generali che vietano al datore di lavoro di trattare informazioni relative alla diagnosi del lavoratore o di effettuare direttamente esami diagnostici sui dipendenti¹¹.

5. Trattamenti di dati personali inerenti la vaccinazione dei dipendenti
Con specifico riguardo ai trattamenti di dati personali inerenti la vaccinazione di dipendenti si osserva che, nel quadro generale, in un contesto finalizzato a mantenere un livello elevato di salute e sicurezza del dipendente, degli altri lavoratori e dei terzi, il datore di lavoro deve assicurare che i dipendenti “non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità” (es. art. 18 comma 1, lett. g) e bb) d.lgs. n. 81/2008) e di tenere conto, nell'affidare i compiti ai lavoratori, “delle capacità e delle condizioni degli stessi in rapporto alla loro salute e sicurezza” (art. 18, comma 1, lettera c), d.lgs. n. 81/2008). Il medico competente, nell’ambito delle proprie attività di sorveglianza sanitaria, è invece l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).
In tale quadro, il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali (cfr. FAQ 1 e 2 sul “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo”, doc. web n. 9543615). Ciò anche per l’impossibilità di considerare il consenso dei dipendenti, una valida condizione di liceità per il trattamento dei dati personali in ambito lavorativo, specie quando il datore di lavoro sia un’autorità pubblica (considerando 43 del Regolamento), e per le specifiche disposizioni nazionali che vietano al datore di trattare dati “non pertinenti” e “non attinenti alla valutazione dell’attitudine professionale del lavoratore” (cfr., art.113 del Codice).
Il tema del trattamento dei dati relativi alla vaccinazione può allo stato essere inquadrato nell’ambito della verifica dell’idoneità alla mansione specifica, che consente quindi al medico competente (e solo a lui), nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’efficacia e all’affidabilità medico-scientifica della somministrazione dei vaccini, di emettere giudizi di idoneità parziale e/o inidoneità temporanee per i lavoratori non vaccinati (salvo che il rischio non possa essere ridotto con misure di protezione e/o organizzative alternative e di eguale efficacia).
Il datore di lavoro a propria volta potendo venire a conoscenza del solo giudizio di idoneità alla mansione specifica e delle eventuali prescrizioni fissate dal medico competente come condizioni di lavoro dovrebbe, in base al quadro normativo sopra delineato, attuare le misure indicate dal medico competente e, qualora venga espresso un giudizio di inidoneità alla mansione specifica, adibire il lavoratore, ove possibile, a mansioni equivalenti o inferiori garantendo il trattamento corrispondente alle mansioni di provenienza (art. 42 d.lgs. n. 81/2008).
Eventuali trattamenti di dati personali inerenti alla vaccinazione di dipendenti sono allo stato consentiti esclusivamente nei limiti e alle condizioni delle richiamate disposizioni, che ne costituiscono la base giuridica.
Nei casi di esposizione diretta ad "agenti biologici" durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008). Anche in tale quadro, solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica. Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del d.lgs. n.81/2008) (FAQ n. 3).
Tenuto conto delle specificità legate al contesto lavorativo sanitario - in considerazione dell’esposizione a un maggior rischio di contagio per gli operatori sanitari e, seppur in diversa misura, per il personale operante all’interno di strutture sanitarie o residenze assistenziali e in considerazione degli elevati rischi per i terzi destinatari delle prestazioni sanitarie e degli altri soggetti che interagiscono con l’ambiente di lavoro (pazienti, familiari, fornitori) - , era stato auspicato un intervento del legislatore nazionale che valutasse se porre la vaccinazione quale requisito per lo svolgimento di determinate professioni o mansioni.
L’art. 4 del d.l. 1° aprile 2021, n. 44 (Misure urgenti per il contenimento dell'epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici. (GU Serie Generale n.79 del 01-04-2021) ha successivamente previsto che “al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza nell'erogazione delle prestazioni di cura e assistenza, gli esercenti le professioni sanitarie e gli operatori di interesse sanitario che svolgono la loro attività nelle strutture sanitarie, sociosanitarie e socio-assistenziali, pubbliche e private, nelle farmacie, parafarmacie e negli studi professionali sono obbligati a sottoporsi a vaccinazione gratuita per la prevenzione dell'infezione da SARS-CoV-2. La vaccinazione costituisce requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative rese dai soggetti obbligati” (commi 1 e 2).

6. La vaccinazione nei luoghi di lavoro
Il rispetto del necessario riparto di ruoli e competenze tra datore di lavoro e medico competente dovrà essere assicurato inoltre anche con riguardo alla vaccinazione nell'ambiente di lavoro che, pur avendo origine dalla duplice esigenza di concorrere alla rapida attuazione della campagna vaccinale a livello nazionale e di accrescere i livelli di sicurezza nelle realtà lavorative pubbliche e private, resta una "iniziativa di sanità pubblica”, in relazione alla quale “la responsabilità generale e la supervisione dell'intero processo rimane in capo al Servizio sanitario regionale, per il tramite dell'Azienda sanitaria di riferimento"(cfr. “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro” sottoscritto tra il Governo e le parti sociali, il 6 aprile 2021, che stabilisce i requisiti e la procedura per l'attivazione dei punti vaccinali territoriali destinati ai lavoratori, e le allegate “Indicazioni ad interim per la vaccinazione anti-SARS-CoV-2/COVID-19 nei luoghi di lavoro”).
In tale quadro, le principali attività di trattamento dati - dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione- devono essere effettuate dal medico competente o da altro personale sanitario (il citato Protocollo prevede infatti il necessario coinvolgimento dei medici competenti o di altri operatori sanitari convenzionati ovvero il ricorso ai servizi territoriali di INAIL, cfr. parr.7, 9,10, 11, 13, 14).
Dovrà essere assicurato il ruolo centrale del medico competente o chi ne esercita le funzioni, anche in questa attività affinché siano in concreto osservati i fondamentali principi, validi per tutti i contesti lavorativi, in base ai quali il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali e non siano acquisite e trattate dal datore di lavoro informazioni che attengono alla vita privata del dipendente o comunque non pertinenti rispetto allo svolgimento dell’attività lavorativa (cfr., 5, 6, 9, 88 del Regolamento e 113 del Codice) - quali ad esempio, l’intenzione o meno del lavoratore di aderire alla campagna, la somministrazione o meno del vaccino ovvero altri dati relativi alle condizioni di salute del lavoratore¹².

7. Il servizio di medicina del lavoro presso le strutture sanitarie pubbliche e il (diverso) caso dell’individuazione del medico competente tra i dipendenti della struttura
Le strutture sanitarie dispongono, per legge, di un proprio servizio di medicina del lavoro, che eroga le proprie prestazioni sia nei confronti di persone fisiche che di aziende e amministrazioni convenzionate (cfr. art. 7-quater, d.lgs. 30 dicembre 1992, n. 502; artt. 14 e 19, l. 23 dicembre 1978, n. 833).
Tale servizio infatti può erogare le prestazioni di sorveglianza sanitaria in favore di datori di lavoro pubblici o privati (ai sensi dell’art. 39, comma 1 lett. a) d.lgs. n. 81/2008). In tal caso, la struttura sanitaria, in qualità di titolare del trattamento, impiega, proprio personale “autorizzato” (sempre che non ricorrano le specifiche ipotesi di incompatibilità per i dipendenti di strutture pubbliche, che siano assegnati a uffici che svolgono attività di vigilanza, di cui all’art. 39, comma 3 d.lgs. n. 81/2008; sul punto, si veda Ispettorato del lavoro, interpello n. 27 del 31.12.2014) per i trattamenti di dati personali dei lavoratori dipendenti delle imprese o degli enti convenzionati.
È necessario tuttavia evidenziare il diverso caso in cui la struttura sanitaria pubblica, in qualità di datore di lavoro, dovendo assolvere agli obblighi in materia di igiene e sicurezza nei confronti dei lavoratori alle proprie dipendenze, si avvalga invece della facoltà, prevista dalla legge, di impiegare, a tal fine, personale dipendente in possesso dei requisiti stabiliti dalla legge (artt. 18, comma 1, lett. a) e 39 del d.lgs. n. 81/2008).
Il medico competente, così individuato, dovrà svolgere i propri compiti, nei limiti stabiliti e alle condizioni dettate dalla disciplina di settore e dalla disciplina di protezione dei dati personali, con le risorse fornite dall’azienda (“a spese” del datore di lavoro), ma in piena autonomia professionale, agendo, anche in questo caso, quale titolare del trattamento dei dati personali dei dipendenti della struttura, nel rispetto di misure volte a assicurare l’indipendenza del servizio.

8. I principali adempimenti del medico competente in materia di protezione dei dati personali
Le operazioni di trattamento dei dati personali poste in essere dal medico competente, richiedono l’adempimento degli obblighi che il Regolamento pone in capo ai titolari del trattamento e, in particolare:
- istituzione del registro delle attività di trattamento (art. 30 del Regolamento)
Con riferimento all’obbligo di tenere un registro delle attività di trattamento svolte dal titolare sotto la propria responsabilità (art. 30, par. 1 Regolamento), il medico competente dovrà istituire e tenere un proprio registro, distinto da quello del datore di lavoro che gli ha conferito l’incarico (anche nel caso in cui sia un dipendente che svolge il ruolo di medico competente per il proprio datore di lavoro), considerando che tratta in maniera non occasionale categorie particolari di dati relativi allo stato di salute (cfr. art. 30, paragrafo 5 del Regolamento).
In tale caso, il medico potrà avvalersi degli strumenti (ad es. applicativi informatici) già utilizzati dal datore di lavoro per assolvere all’obbligo di redazione e tenuta del registro.
- informativa agli interessati (art. 14 del Regolamento)
Per quanto attiene agli obblighi informativi nei confronti degli interessati, si evidenzia che, di regola, il medico competente riceve i dati anagrafici dei lavoratori dal datore di lavoro (a seguito del conferimento dell’incarico ovvero in caso di nuove assunzioni di personale) così come ogni utile aggiornamento o rettifica dei dati. Di conseguenza, il medico competente potrà fornire le informazioni di cui ai paragrafi 1 e 2 dell’art. 14 al momento della prima comunicazione all’interessato (art. 14, comma 3, lett. b) del Regolamento).
- sicurezza dei dati personali (artt. 32-34 del Regolamento)
In relazione all’obbligo di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento), il medico competente dovrà identificare e adottare tali misure in proprio, fermo restando che potrà avvalersi della cooperazione e del supporto, anche economico, del datore di lavoro.
Nei casi in cui vengano utilizzati strumenti (ad es. applicativi informatici) del datore di lavoro, nel rispetto del principio di responsabilizzazione, dovranno essere adottate le misure tecniche e organizzative affinché il trattamento sia conforme alla normativa di settore in materia di salute e sicurezza sui luoghi di lavoro (cfr. artt. 24 e 25 del Regolamento), garantendo, ad esempio, che i dati personali relativi alla diagnosi dei dipendenti non entrino, anche accidentalmente, nella disponibilità del datore di lavoro, predisponendo a tal fine misure che assicurino l’accesso selettivo ai dati o che li rendano non comprensibili ai soggetti non autorizzati, ad esempio mediante ricorso alla cifratura degli stessi dati. In tali casi dovrà essere regolamentato, limitatamente a tali profili, il rapporto tra le parti ai sensi dell’art. 28 del Regolamento, tenuto conto delle forme di cooperazione tra titolare e responsabile e dei rispettivi obblighi previsti dal Regolamento (v. artt. 28, par. 2, lett. c) e f) nonché 32, 33, 34, 35 e 36 del Regolamento), prevedendo specifiche misure organizzative volte a escludere l’accesso ai dati da parte del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro.
- nomina del Responsabile della protezione dei dati (artt. 37-39 del Regolamento)
Il Garante ha recentemente chiarito che il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, non è tenuto alla designazione del responsabile della protezione dei dati (RPD) con riferimento allo svolgimento della propria attività (cfr. Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario - n. 55 del 7 marzo 2019, doc. web. n. 9091942; nonché Considerando n. 91 del Regolamento; sul punto anche il Gruppo di lavoro Art. 29 per la protezione dei dati (ora Comitato europeo per la protezione dei dati di cui all’art. 68 del Regolamento) indica, tra gli esempi di trattamento da non considerare su larga scala, quelli svolti da un singolo professionista sanitario (Linee guida sui Responsabili della protezione dei dati, cit., punto 2.1.3.)¹³.

____
¹ Tale quadro, con particolare riferimento alle distinte competenze del medico compente e del datore di lavoro è stato da ultimo richiamato dalla Circolare del Ministero del lavoro e delle politiche sociali e del Ministero della salute del 04 settembre 2020, n. 28877, spec. parr. 1 e 2.
² cfr. EDPB, Guidelines 7/2020 on the concepts of controller and processor in the GDPR, in particolare, par. 2.1.2. (punti. 21 e 22 sulla titolarità derivante da una competenza giuridica esplicita o da specifiche disposizioni di legge)
³ cfr. artt. 55 e 58 d.lgs. n. 81/2008; a tal fine rileva altresì che con riguardo alle sanzioni nei confronti del “preposto”, che opera sotto il potere direttivo del datore - definito come colui che “in ragione delle competenze professionali e nei limiti di poteri gerarchici e funzionali adeguati alla natura dell'incarico conferitogli, sovrintende alla attività lavorativa e garantisce l'attuazione delle direttive ricevute, controllandone la corretta esecuzione da parte dei lavoratori ed esercitando un funzionale potere di iniziativa” art. 2, lett. e) e i cui compiti sono enumerati all’art. 19- il decreto, all’ art. 56, specifica che le relative responsabilità sussistono “nei limiti delle proprie attribuzioni e competenze” assegnate dal datore, mentre tale specificazione non ricorre con riguardo alle responsabilità del medico competente.
⁴ cfr. anche circolare del Ministero della Salute del 29 aprile 2020, n. 0014915, recante “Indicazioni operative relative alle attività del medico competente nel contesto delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2 negli ambienti di lavoro e nella collettività”.
⁵ Ciò anche in base dall’art. 29-bis (Obblighi dei datori di lavoro per la tutela contro il rischio di contagio da COVID-19) della legge 5 giugno 2020 n. 40 di conversione del d.l. 8 aprile 2020, n. 23 che, nello stabilire gli obblighi dei datori di lavoro per la tutela contro il rischio di contagio da COVID-19, ha previsto che: “Ai fini della tutela contro il rischio di contagio da COVID-19, i datori di lavoro pubblici e privati adempiono all'obbligo di cui all'articolo 2087 del codice civile mediante l'applicazione delle prescrizioni contenute nel protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del COVID-19 negli ambienti di lavoro, sottoscritto il 24 aprile 2020 tra il Governo e le parti sociali, e successive modificazioni e integrazioni, e negli altri protocolli e linee guida di cui all'articolo 1, comma 14, del decreto-legge 16 maggio 2020, n. 33, nonché' mediante l'adozione e il mantenimento delle misure ivi previste [...]””.
⁶ v. Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020, stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione; v. anche Ministro per la pubblica amministrazione direttiva n. 2/2020 e circolare n. 2/2020
⁷ art. 1, commi 14 e 15 del d.l. 16 maggio 2020, n. 33 .
d.lg. n. 81/2008; art. 9 par 2 lett. h) par. 3 del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u) del Codice
⁹ originariamente previsto per i datori di lavoro che non sono tenuti alla nomina del medico contente (es. le scuole, in taluni casi) dall’ art. 83 del Decreto-Legge 19 maggio 2020, n. 34, convertito con modificazioni dalla L. 17 luglio 2020, n. 77, ferma in ogni caso la possibilità per tali soggetti di nominare un medico compente per il periodo emergenziale; sul punto, a fronte dell’evoluzione del quadro normativo (per effetto del d.l. n. 83 del 30 luglio 2020 che non ha confermato le disposizioni sulla sorveglianza sanitaria eccezionale per i lavoratori esposti a maggiori rischi) è intervenuta a fare chiarezza, da ultimo, la Circolare Ministero del lavoro e delle politiche sociali e del Ministero della salute n. 28877 del 04 settembre 2020-DGPREDGPRE-P “Aggiornamenti e chiarimenti con riguardo alle lavoratici e ai lavoratori “fragili”).
¹° Tra tali “esami clinici e biologici” potrebbero, pertanto, essere ricompresi anche i test sierologici, nel rispetto delle indicazioni fornite dalle autorità sanitarie (FAQ n.7), anche in merito alla loro affidabilità e appropriatezza (http://www.salute.gov.it/portale/nuovocoronavirus/archivioNormativaNuovoCoronavirus.jsp) e secondo quanto previsto dall’Organizzazione Mondiale della Sanità (Rational use of personal protective equipment for coronavirus disease 2019 (COVID-19) WHO 27 febbraio 2020) e richiamate all’art. 34 del Decreto legge 02 marzo 2020, n. 9.
¹¹ art. 5 l. 300/1970 e disposizioni analoghe nel settore pubblico, art. 55 ss. d.lgs. n.165/2001; v. anche Comitato europeo per la protezione dei dati, Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19, del 19 marzo 2020, punto 4; v. anche FAQ n. 7, cit.).
¹² cfr., Corte di Giustizia, Grande Sezione, sentenza 11 settembre 2018, causa C-68/17: “il principio della parità di trattamento in materia di occupazione e di condizioni di lavoro [..] trova la sua fonte in diversi atti internazionali e nelle tradizioni costituzionali comuni agli Stati membri, ma ha il solo obiettivo di stabilire, in queste stesse materie, un quadro generale per la lotta alle discriminazioni fondate su diversi motivi, tra i quali la religione o le convinzioni personali”; v. le specifiche disposizioni nazionali che vietano al datore di lavoro trattare dati “non pertinenti” e “non attinenti alla valutazione dell’attitudine professionale del lavoratore” , art. 8 della l. 20 maggio 1970, n. 300 e art. 10 del d.lgs. 10 settembre 2003, n. 276, fatte salve dall’art.113 del Codice
¹³ ai fini della individuazione del parametro relativo alla “larga scala” del trattamento occorre prendere in considerazione, tra l’altro, la quantità degli incarichi conferiti, il numero lavoratori sottoposti a controlli, l’ambito all’interno del quale sono svolte le funzioni di medico competente e il contesto geografico di riferimento.