Il recente chiarimento del Garante Privacy che sancisce che i Consulenti del lavoro – “nonché da coloro che siano iscritti negli albi degli avvocati […], dei dottori commercialisti, dei ragionieri e periti commerciali” (v. legge n. 12/1979 cit.)” – sono da considerarsi Responsabili del trattamento, mi fa riflettere circa la figura del medico competente prevista dal D. Lgs. 81/08 e smi.

Siamo in presenza di un mandato con cui il Datore di lavoro (e il dirigente) nomina il medico competente per l’effettuazione della sorveglianza sanitaria.
Appare chiaro che il medico competente sussiste in quanto a lui l’Organizzazione ricorre per l’effettuazione di trattamenti per proprio conto annoverandosi, così, fra i Responsabili del trattamento ex art. 28/679/2016.

Occorre ricordare, però, che l’elemento fondante del regolamento è la protezione delle persone fisiche con riguardo al trattamento dei dati personali e non la sussistenza di un rapporto contrattuale, o altro atto giuridico, fra le parti. Ciò che prevale, nella corretta attribuzione dei ruoli in ambito data protection, è l’oggetto del trattamento, nella fattispecie, il dato particolare.

Sebbene il medico competente sia in azienda a svolgere i propri compiti in quanto nominato dal Titolare, prevale il fatto che questi non si limita a raccogliere i dati personali dei dipendenti che gli sono stati forniti bensì che estrae (in occasione delle visite mediche), organizza e struttura dati relativi alla salute. Il medico competente effettua trattamenti di dati necessari per finalità di medicina del lavoro, per la valutazione della capacità lavorativa del dipendenti. E questi sono dati che il Titolare non è legittimato a trattare.

Il medico competente tratta questi dati non per conto del Titolare ma per disposizione legislativa.

Il rapporto contrattuale con il Titolare e l’esclusiva nel trattamento di dati particolari in capo al medico competente consente allora di identificare quest’ultimo contitolare ex art. 26/679/2016. Siamo in presenza di Contitolari che determinano congiuntamente le finalità e i mezzi del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal regolamento con particolare riguardo all’esercizio dei diritti dell’interessato. Accordo di cui l’interessato deve essere debitamente edotto.

E quando il medico competente è un dipendente del datore di lavoro? È un Responsabile? No. È sempre un contitolare.

Sebbene i dipendenti rientrino ragionevolmente nella definizione di persone autorizzate di cui all’art. 29/679 in quanto agiscono sotto l’autorità del Titolare del trattamento, il medico competente non effettua il trattamento dei dati particolari sotto l’autorità del Titolare bensì in ottemperanza alle specifiche disposizioni di legge che ne disciplinano il ruolo e i compiti.

Il medico competente tratta dati personali particolari in quanto lo richiede il diritto dello Stato membro e non il Titolare.

Se quella sopra enunciata è la prospettiva da prendere in considerazione c’è da chiedersi quanto ne siano a conoscenza, i medici competenti.
In termini di responsabilità non cambia molto, rispetto al ruolo di Responsabile, vigendo il disposto ex art. 82/679. Rispetto al ruolo di persona autorizzata, però, si; eccome!

C’è poi il fatto che il medico competente, quale contitolare e con riferimento esclusivo alle sue finalità e i mezzi del trattamento, deve essere pronto all’interazione diretta con gli interessati e rispondere ai diritti che questi volessero esercitare nei suoi confronti.
Nulla di nuovo rispetto al Responsabile, ma per il resto?

Marcello Colaianni 

Fonte: Colaianni Blog