PARTE II:
il Regolamento Privacy considera in via autonoma i trattamenti necessari per le finalità di “medicina del lavoro” (art. 9 lett. h del Regolamento stesso) nel quale ambito è riconducibile la funzione del medico competente prevista dall’ordinamento nazionale, che devono essere effettuati “sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli stati membri (…)” (art. 9, par. 3 del Regolamento Privacy; cfr. anche art. 2-sexies, comma 2, lett. u) del Codice “compiti di igiene e sicurezza sui luoghi di lavoro”). Tali trattamenti sono infatti disciplinati in maniera distinta rispetto a quelli posti in essere dal datore di lavoro e necessari per assolvere i propri obblighi normativi in materia di “salute e sicurezza sul lavoro”, art. 9 (lett. b) e 88 del Regolamento Privacy.
Stante la titolarità del trattamento dei dati del medico competente (artt. 4 (comma 7) e 24 del Regolamento Privacy), essendo questo l’unico legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla legge di settore, gli eventuali flussi di dati personali tra il datore di lavoro e il medico competente devono intendersi quali “comunicazioni” di dati personali (cfr. la definizione contenuta all’art. 2-ter, par. 4, lett. a, del Codice), i cui presupposti sono rinvenibili nel richiamato quadro normativo di settore.
Il medico competente prosegue e intensifica inoltre l’attività di sorveglianza sanitaria e le connesse visite mediche nei casi previsti dalla disciplina di settore (art. 41), nel rientro al lavoro dei dipendenti dopo la sospensione delle attività produttive, o in caso di progressivo ritorno allo svolgimento “in presenza” della prestazione lavorativa, o nei confronti del singolo dipendente per la riammissione in servizio dopo l’infezione da Covid-19.
Il tema del trattamento dei dati relativi alla vaccinazione può allo stato essere inquadrato nell’ambito della verifica dell’idoneità alla mansione specifica, che consente quindi al medico competente (e solo a lui), nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’efficacia e all’affidabilità medico-scientifica della somministrazione dei vaccini, di emettere giudizi di idoneità parziale e/o inidoneità temporanee per i lavoratori non vaccinati (salvo che il rischio non possa essere ridotto con misure di protezione e/o organizzative alternative e di eguale efficacia).
In tale quadro, le principali attività di trattamento dati – dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione – devono essere effettuate dal medico competente o da altro personale sanitario.
Dovrà essere assicurato il ruolo centrale del medico competente o chi ne esercita le funzioni, anche in questa attività affinché siano in concreto osservati i fondamentali principi, validi per tutti i contesti lavorativi, in base ai quali il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali e non siano acquisite e trattate dal datore di lavoro informazioni che attengono alla vita privata del dipendente o comunque non pertinenti rispetto allo svolgimento dell’attività lavorativa (cfr., 5, 6, 9, 88 del Regolamento Privacy) – quali ad esempio, l’intenzione o meno del lavoratore di aderire alla campagna, la somministrazione o meno del vaccino ovvero altri dati relativi alle condizioni di salute del lavoratore.
Le operazioni di trattamento dei dati personali poste in essere dal medico competente, richiedono l’adempimento degli obblighi che il Regolamento Privacy pone in capo ai titolari del trattamento e, in particolare:
– istituzione del registro delle attività di trattamento (art. 30 del Regolamento Privacy)
Con riferimento all’obbligo di tenere un registro delle attività di trattamento svolte dal titolare sotto la propria responsabilità (art. 30, par. 1 Regolamento Privacy), il medico competente dovrà istituire e tenere un proprio registro, distinto da quello del datore di lavoro che gli ha conferito l’incarico (anche nel caso in cui sia un dipendente che svolge il ruolo di medico competente per il proprio datore di lavoro), considerando che tratta in maniera non occasionale categorie particolari di dati relativi allo stato di salute.
– informativa agli interessati (art. 14 del Regolamento Privacy)
Il medico competente riceve i dati anagrafici dei lavoratori dal datore di lavoro (a seguito del conferimento dell’incarico ovvero in caso di nuove assunzioni di personale), i conseguenza potrà fornire le informazioni di cui ai paragrafi 1 e 2 dell’art. 14 al momento della prima comunicazione all’interessato (art. 14, comma 3, lett. b, del Regolamento Privacy).
– sicurezza dei dati personali (artt. 32-34 del Regolamento Privacy)
Il medico competente dovrà identificare e adottare tali misure in proprio, fermo restando che potrà avvalersi della cooperazione e del supporto, anche economico, del datore di lavoro.
– nomina del Responsabile della protezione dei dati (artt. 37-39 del Regolamento Privacy)
Il Garante ha recentemente chiarito che il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, non è tenuto alla designazione del responsabile della protezione dei dati (RPD) con riferimento allo svolgimento della propria attività.
Anno 7, n° 49, 8 settembre 2021
Ti ricordiamo che l’argomento sarà trattato nel corso Privacy in tempo di COVID-19, previsto per il 20 ottobre p.v. e nel corso per Datore di lavoro in partenza dal 21 settembre p.v.
[caldera_form id=”CF5f01f6f43a7d1″]