Ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale
GPDP 14 Maggio 2021
Considerate le numerose richieste di chiarimenti inviate al Garante, anche da parte di responsabili della protezione dei dati di enti e aziende pubbliche e private, si ritiene opportuno fornire indicazioni generali sul ruolo del medico competente in materia di igiene e sicurezza sul luogo di lavoro nel trattamento dei dati personali dei lavoratori e richiamare le condizioni per assicurare che i trattamenti effettuati, rispettivamente, dal datore di lavoro e dal medico competente, avvengano nel rispetto della normativa in materia di protezione dei dati, della disciplina nazionale di settore e delle norme più specifiche e di maggior tutela che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento e 113 del Codice) nonché di quelle emanate nel contesto dell’emergenza epidemiologica in corso.
La disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro (d.lgs. 9 aprile 2008, n. 81) individua la funzione del medico competente come autonoma rispetto a quella che deve essere svolta dal datore di lavoro, prevedendo specifici e distinti obblighi nonché le diverse responsabilità di ciascuno e delineando, sotto il profilo della protezione dei dati, l’ambito del rispettivo trattamento.
Nell’evoluzione del quadro nazionale legato all’emergenza epidemiologica la figura del medico competente assume una posizione di maggiore centralità nel contrasto e nel contenimento della diffusione del virus SARS-CoV-2 nel contesto lavorativo.
Anche i “nuovi” trattamenti di dati personali, originati dall’emergenza in atto, devono essere effettuati nel rispetto di quel tradizionale riparto di competenze e separazione di ruoli tra il medico competente e il datore di lavoro, in cui risiede il principale elemento di garanzia delle norme che ne disciplinano i compiti e le funzioni.
Il datore di lavoro
Il datore di lavoro adotta le misure che, secondo la particolarità del lavoro, l'esperienza e la tecnica, sono necessarie a tutelare l'integrità fisica e la personalità morale dei lavoratori (art. 2087 c.c.)
Il d.lgs. 81/2008 individua gli specifici obblighi del datore di lavoro (art. 18) che, quando comportano il trattamento di dati personali, legittimano il trattamento di dati personali dei dipendenti da parte dello stesso (art. 6, par. 1, lett. c), 9, par. 2, lett. b) e 88 Regolamento, che si riferisce espressamente a “norme più specifiche [...] nell'ambito dei rapporti di lavoro, in particolare per finalità di [...] salute e sicurezza sul lavoro”) e possono essere posti in essere mediante il personale che opera sotto la sua diretta autorità, e che deve essere “autorizzato” e debitamente “istruito” in merito all’accesso ai dati (artt. 4, par. 10, 29, 32 par. 4 Regolamento; v. art. 2-quaterdecies del Codice).
Il datore di lavoro ha, di regola, l’obbligo di conferire a un medico - che abbia i requisiti professionali stabiliti dalla legge - specifico mandato o incarico (anche mediante apposito ordine di servizio, nei casi in cui adibisca propri dipendenti, artt. 38 e 39 d.lgs. n. 81/2008), affinché questi eserciti, all’interno della propria realtà organizzativa, quella funzione di protezione della salute e sicurezza dei luoghi di lavoro che la legge ha previsto che debba essere obbligatoriamente presente nelle realtà produttive e nei luoghi di lavoro in generale, attribuendone il compito specificamente a figure professionali.
In tale ambito, a titolo esemplificativo, il datore di lavoro “vigila affinché i lavoratori [...] non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità”; effettua le comunicazioni obbligatorie ai soggetti istituzionali competenti e fornisce al servizio di prevenzione e protezione e al medico competente tutte le informazioni necessarie allo svolgimento dei rispettivi compiti (es. art. 18 d.lgs. n. 81/2008).
Il medico competente
La richiamata disciplina individua, analogamente, gli obblighi del medico competente (art. 25 d.lgs. n. 81/2008).
Le finalità e le operazioni del trattamento che devono essere poste in essere dal medico sono determinate dalla legge che stabilisce anche le modalità del trattamento: il professionista deve trattare i dati in modo autonomo, nel rispetto della disciplina di protezione dei dati e dei principi che regolano l’attività diagnostica, delle regole di deontologia professionale, con particolare riguardo al segreto. Peraltro, le sue valutazioni non possono, per definizione, risentire o essere condizionate dalle scelte organizzative e gestionali dell’ente/datore di lavoro (ancorché in quella struttura organizzativa tale figura sia funzionalmente inserita).
L’art. 39 prevede che il medico operi secondo i principi della medicina del lavoro e del Codice etico della Commissione internazionale di salute occupazionale. Non deve seguire invece le istruzioni del datore di lavoro, rispetto al quale deve, al contrario, mantenere autonomia e terzietà (l’art. 39, comma 4 prevede, infatti, che “il datore di lavoro assicura le condizioni necessarie per lo svolgimento di tutti i suoi compiti garantendone l’autonomia”).
Spetta, dunque, al medico competente stabilire, anche su richiesta del lavoratore, la periodicità delle visite mediche o la necessità di sottoporre i lavoratori a ulteriori indagini diagnostiche “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori sottoposti a sorveglianza (art. 41, commi 2 e 4). Il medico “programma e effettuata la sorveglianza sanitaria” e “istituisce e aggiorna e custodisce sotto la propria responsabilità una cartella sanitaria e di rischio per ogni lavoratore” con la “salvaguardia del segreto professionale” e presso un luogo di custodia concordato con il datore di lavoro.
La funzione di medico competente è espressione di un interesse pubblico (tutela del lavoratore e della collettività), individuato e disciplinato dalla legge e, in quanto tale, sottratta alla sfera di competenza del datore di lavoro e ai relativi poteri.
Nello svolgimento di tali compiti che la legge gli attribuisce in via esclusiva, in particolare l’attività di sorveglianza sanitaria e la tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori, il medico competente è, per legge, l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro, non potendo informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore essere in alcun modo trattate dal datore di lavoro, se non nella misura del mero giudizio di idoneità alla mansione specifica e delle eventuali prescrizioni che il professionista fissa come condizioni di lavoro (arg. art. 25, comma 1, lett. i ) che prevede che il medico “ comuni [chi] al datore di lavoro [...] i risultati anonimi collettivi della sorveglianza sanitaria”).
In tale prospettiva la disciplina della conservazione della documentazione sanitaria, volta ad assicurare la continuità della funzione del medico competente e la segregazione del contenuto della documentazione sanitaria rispetto al datore di lavoro, prevede che alla cessazione dell’incarico del medico competente, la documentazione sanitaria in suo possesso deve essere consegnata al datore di lavoro, nel rispetto della normativa in materia di protezione dei dati personali e con salvaguardia del segreto professionale (art. 25, comma 1, lett. d)), non potendo il datore di lavoro avere conoscenza del contenuto di tale documentazione; in caso di cessazione di un rapporto di lavoro, l'originale della cartella sanitaria e di rischio deve essere conservata da parte del datore di lavoro, per almeno dieci anni (art. 25, comma 1, lett. e)); in caso di cessazione di attività dell'azienda, il datore di lavoro deve consegnare le cartelle sanitarie e di rischio a uno specifico soggetto pubblico, che svolge istituzionalmente compiti di vigilanza in materia di salute e sicurezza nei luoghi di lavoro, ovvero l’Istituto nazionale per l'assicurazione contro gli infortuni sul lavoro (INAIL), che sotto questo profilo ha acquisito anche le competenze dell’Istituto superiore per la prevenzione e la sicurezza del lavoro (ISPESL) (art. 243, comma 5); la legge inoltre attribuisce specifici obblighi di comunicazione del medico competente in favore di altri soggetti istituzionali che perseguono finalità di sanità pubblica e di prevenzione come, ad esempio, la trasmissione di dati aggregati relativi all’attività di sorveglianza sanitaria svolta per ciascun datore di lavoro alle ASL territorialmente competenti per il tramite della piattaforma informatica istituita presso l’INAIL (art. 40, comma 1).
Sebbene gli accertamenti volti a verificare l’idoneità alla “mansione specifica” del dipendente siano obbligatori per legge e siano svolti “a spese” e “a cura” del datore di lavoro (artt. 39, comma 5 e 41, comma 4 d.lgs. n. 81/2008, cit.), essi devono essere posti in essere esclusivamente per il tramite del medico competente. Il quadro normativo stabilisce, quindi, anche le modalità di impiego dei mezzi e delle risorse strumentali all’attività posta in essere dal medico competente e dei conseguenti trattamenti, facendo ricadere sul datore di lavoro i costi della relativa funzione (sul piano economico ma, in alcuni casi e per alcuni profili, sul piano organizzativo), senza che ciò si traduca, tuttavia, nella titolarità dello specifico trattamento di dati personali posto in essere dal medico.
L’autonoma sfera di competenza e di responsabilità del medico competente rispetto al datore emerge, altresì, dalla circostanza che avverso i giudizi del medico competente, ivi compresi quelli formulati in fase preassuntiva, è ammesso ricorso, entro trenta giorni dalla data di comunicazione del giudizio medesimo, all'organo di vigilanza territorialmente competente che dispone, dopo eventuali ulteriori accertamenti, la conferma, la modifica o la revoca del giudizio stesso (art. 41, comma 9 del d.lgs. n. 81/2008, cit.).
Anche sotto il profilo sanzionatorio il quadro normativo distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro.
In tale quadro, quindi, il medico non tratta i dati per conto del datore di lavoro ma, in qualità di titolare del trattamento (artt. 4, n. 7 e 24 del Regolamento), in base a specifiche diposizioni di legge finalizzate anzitutto al perseguimento dell’interesse pubblico di tutela della salute nei luoghi di lavoro e della collettività.
Lo stesso Regolamento considera in via autonoma i trattamenti necessari per le finalità di “medicina del lavoro” (art. 9 lett. h) del Regolamento), nel quale ambito è riconducibile la funzione del medico competente prevista dall’ordinamento nazionale, che devono essere effettuati “sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'unione o degli stati membri [...]”” (art. 9, par. 3 del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u) del Codice “compiti di igiene e sicurezza sui luoghi di lavoro”). Tali trattamenti sono infatti disciplinati in maniera distinta rispetto a quelli posti in essere dal datore di lavoro e necessari per assolvere i propri obblighi normativi in materia di “salute e sicurezza sul lavoro” (art. 9, lett. b) e 88 del Regolamento).
Stante la titolarità del trattamento dei dati del medico competente (artt. 4, n. 7 e 24 del Regolamento), essendo questo l’unico legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla legge di settore, gli eventuali flussi di dati personali tra il datore di lavoro e il medico competente devono intendersi quali “comunicazioni” di dati personali (cfr. la definizione contenuta all’art. 2-ter, par. 4, lett. a) del Codice), i cui presupposti sono rinvenibili nel richiamato quadro normativo di settore.
Il ruolo del medico competente nel contesto dell’emergenza epidemiologica da virus SARS-CoV-2
Fin dalle prime settimane dell’emergenza, alla luce del quadro normativo di settore e di quello progressivamente delineatosi, tenuto conto dei principi di protezione dei dati e di quelle disposizioni più specifiche che, nell’ordinamento nazionale, tutelano la dignità e la sfera privata degli interessati sul luogo di lavoro (es. art.113 del Codice), il Garante ha sottolineato la funzione di garanzia del medico competente nel trattamento dei dati dei lavoratori (cfr., FAQ relative al trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria, spec. FAQ nn. 4, 7 e 8 e, da ultimo, FAQ sul “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo”).
Nel contesto dell’emergenza epidemiologica le amministrazioni e le imprese nello svolgimento dei propri compiti datoriali in materia di sicurezza nei luoghi di lavoro (artt. 6, 9, par. 2 lett. b) e 88 del Regolamento), sono tenute a rispettare i contenuti del Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid- 19 negli ambienti di lavoro sottoscritto il 24 aprile 2020 (aggiornato il 6 aprile 2021) fra il Governo e le Parti sociali, di cui all’allegato 6 del D.p.c.m. 26 aprile 2020 e degli analoghi protocolli per le attività pubbliche non differibili e i servizi pubblici essenziali, il cui contenuto è vincolante per i datori di lavoro pubblici e privati⁷. Tale impianto regolatorio è stato confermato nel tempo e, da ultimo, con il dpcm del 2 marzo 2021 il cui allegato n. 12 recepisce il citato protocollo.
I compiti che la disciplina di settore assegna tradizionalmente al medico competente nella tutela della salute e sicurezza delle attività lavorative, assumono, nell’evoluzione del quadro normativo nazionale legato all’emergenza, la funzione di “misure di prevenzione di carattere generale” (cfr. FAQ n. 4, cit.) da attuare, in ogni caso, nel rispetto della disciplina di settore in materia di sicurezza sul lavoro, dei principi di protezione dei dati personali, dei citati protocolli di sicurezza e delle indicazioni del Ministero della Salute (cfr. sul punto, circolare del Ministero della Salute del 29 aprile 2020, n. 0014915).
In tale quadro il medico competente - o altro professionista sanitario che in base alle disposizioni relative all’emergenza epidemiologica svolge le funzioni di medico del lavoro (con riguardo, ad esempio, alla “sorveglianza sanitaria eccezionale per i lavoratori maggiormente esposti a rischio di contagio” che può essere richiesta dai datori di lavoro pubblici o privati “ai servizi territoriali dell'INAIL che vi provvedono con propri medici del lavoro”) - collabora con il datore di lavoro e con il servizio di prevenzione e protezione, anzitutto, nella valutazione dei rischi, nell’individuazione, attuazione e perfezionamento delle misure e nell’osservanza dei protocolli anti-contagio, nell’informazione e formazione dei lavoratori sul rischio di contagio da SARS-CoV-2 (arg. art. 25 del citato D.lgs. 81/2008 e s.m.i.), nell’esame dei rischi riguardanti gruppi di lavoratori maggiormente esposti al contagio (es. operatori sanitari, forze dell’ordine) o in particolari situazioni di “fragilità” legata a fattori quali l’età anagrafica o a situazioni di pregressa morbilità (FAQ 4 e paragrafo 12 del Protocollo condiviso).
Il medico competente prosegue e intensifica inoltre l’attività di sorveglianza sanitaria e le connesse visite mediche nei casi previsti dalla disciplina di settore (art. 41), ad esempio in occasione del rientro al lavoro dei dipendenti dopo la sospensione delle attività produttive, o in caso di progressivo ritorno allo svolgimento “in presenza” della prestazione lavorativa (svolta “a distanza” per un periodo prolungato), o nei confronti del singolo dipendente per la riammissione in servizio dopo l’infezione da Covid-19 (cfr. circolare Ministero della Salute del 12 aprile 2021, prot. n. 0015127). In tale contesto, inoltre, è particolarmente utile il coinvolgimento del medico competente nella precoce identificazione dei contatti in ambito lavorativo (c.d. contact tracing) e nel loro isolamento in ragione della collaborazione qualificata che può fornire ai medici di medicina generale e ai dipartimenti di prevenzione per la corretta gestione e presa in carico del lavoratore con sintomatologia sospetta (cfr., par. 11 del Protocollo cit; FAQ n. 8).
Nell’ambito della valutazione dei rischi e della sorveglia sanitaria (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008), il medico competente in qualità di professionista sanitario potrà suggerire l’adozione di eventuali mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori, ponderando la necessità, “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori, di sottoporre i lavoratori a ulteriori indagini diagnostiche, che possono consistere anche in “esami clinici e biologici”(art. 41, commi 2 e 4 d.lgs. 81/2008) o test sierologici, nel rispetto delle disposizioni generali che vietano al datore di lavoro di trattare informazioni relative alla diagnosi del lavoratore o di effettuare direttamente esami diagnostici sui dipendenti.
[...] Segue in allegato
Fonte: GPDP
Collegati