Il Garante per la privacy, nella sua “Relazione 2019”, ha recentemente chiarito come sia il medico competente che la compagnia che fornisce servizi assicurativi a un ente pubblico debbano essere definiti “titolari autonomi del trattamento”.
La figura del medico del lavoro (che anche la scuola in qualità di pubblica amministrazione deve obbligatoriamente designare) ha spesso oscillato negli scorsi anni fra il ruolo di titolare e quello di responsabile.
Spesso infatti noi di “GDPR Scuola” abbiamo notato come i centri medici del lavoro abbiano chiesto alle scuole la nomina a “responsabili del trattamento”.
Ma perché ciò è accaduto?
Andiamo con ordine e cerchiamo di capire quali sono state le diverse interpretazioni della normativa.
Il datore di lavoro è obbligato per legge (d.lgs. 9 aprile 2008, n. 81) a nominare un medico competente, al fine di adempiere agli obblighi previsti in materia di igiene e di sicurezza.
A una prima disamina pare dunque che il legislatore imputi doveri e responsabilità in tal senso solo al datore di lavoro, affidando invece al medico un ruolo di collaboratore secondario.
Ciò ha dato luogo a un’interpretazione che ha ipotizzato l’esistenza di un rapporto gerarchico tra queste due figure.
A capo il titolare del trattamento, che sceglie il medico competente, gli affida l’incarico, lo autorizza a trattare i dati dei dipendenti e lo retribuisce per le prestazioni svolte.
C’è stato quindi chi ha considerato il medico “responsabile del trattamento” (a cui fornire specifiche istruzioni per gestire i dati sanitari dei dipendenti), e il datore di lavoro “titolare del trattamento”.
Tuttavia un diverso filone già in passato ha considerato il medico del lavoro “titolare autonomo del trattamento”, in quanto obbligato (anche da proprie norme deontologiche) alla tutela dei dati personali, alla riservatezza e al rispetto delle prescrizioni legislative.
Inoltre, tale attività viene condotta da questa figura professionale in maniera totalmente indipendente, nonostante sia svolta per conto del datore di lavoro.
Noi di “GDPR Scuola” appoggiamo questa seconda interpretazione che considera il medico “titolare autonomo del trattamento”, in quanto unica figura legittimata a gestire i dati sanitari dei dipendenti, nonché soggetto indispensabile ai fini dell’applicazione della normativa in materia di igiene e di sicurezza sul lavoro.
Oggi quindi ne abbiamo la certezza: il medico è “titolare autonomo del trattamento”, e ciò lo si evince anche dal contenuto della “Relazione 2019” appena pubblicata.
Il Garante, a un quesito formulato dalla “Società italiana di medicina del lavoro” (SIML) in ordine al trattamento dei dati personali posto in essere da parte del medico competente, ha infatti individuato la funzione di tale figura come “autonoma rispetto a quella che, pure in tale ambito, deve essere svolta dal datore di lavoro”.
In particolare, ha affermato che: “nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro”.
Passiamo ora alle assicurazioni: anche relativamente a questo tipo di servizi ci sono stati dubbi e incomprensioni.
Dubbi risolti sempre dal Garante nella sua recente relazione, nella quale ha affermato che la compagnia assicurativa aggiudicataria di un bando di gara promosso da enti pubblici per l’affidamento dei servizi assicurativi “assume la posizione di titolare autonomo del trattamento non ponendo in essere un trattamento di dati per conto dell’ente aggiudicante rispetto al quale persegue interessi separati e distinti. L’attività delle compagnie assicuratrici, che operano sotto la vigilanza di un’autorità di controllo di settore, è disciplinata da una specifica normativa (artt. 1882 ss. c.c.; d.lgs. n. 209/2005, codice delle assicurazioni; regolamento Ivass n. 40/2018) che definisce in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individuando gli obblighi che ricadono su ognuna delle parti contraenti”.
In conclusione, possiamo quindi affermare come la scuola – nel momento in cui si trovi a dover stipulare un contratto con il medico del lavoro o con una compagnia di assicurazioni – non debba designare tali soggetti “responsabili del trattamento”, dato che gli stessi vanno considerati in tutto e per tutto “titolari autonomi del trattamento”.