Fin dalle origini della disciplina in materia di protezione di dati personali, luci ed ombre hanno segnato la figura del medico competente in ambito privacy.
Nonostante i molteplici tentativi di inquadrare in maniera chiara e esaustiva questa figura tra quelle istituzionalmente previste dalla disciplina in materia di trattamento di dati personali, permangono ancora molti dubbi e perplessità in merito a quale possa effettivamente essere la migliore e più corretta interpretazione delle disposizioni del Codice Privacy a riguardo.
La figura del medico competente oscilla e vacilla così tra il ruolo di Titolare e la posizione di Responsabile.
Non ricevendo conforto nemmeno dalle recenti linee guida dell'Autorità Garante in materia di trattamento di dati personali nei rapporto di lavoro, non rimane che analizzare comparativamente il D.Lgs 196/03 e il D.Lgs 626/94 alla ricerca di una possibile soluzione interpretativa sistemica.
I - IL DATORE DI LAVORO COME TITOLARE DEL TRATTAMENTO:
Per poter definire chi sia in primis il titolare del trattamento dei dati del personale dipendente in materia di igiene e sicurezza dei luoghi di lavoro è necessario analizzare le seguenti disposizioni normative:
• L'art. 2086 del Codice Civile che sancisce che "l'imprenditore è il capo dell'impresa e da lui dipendono gerarchicamente i suoi collaboratori."
• L'art. 2087 del Codice Civile che precisa che "L'imprenditore è tenuto ad adottare, nell'esercizio dell'impresa, le misure che, secondo la particolarità del lavoro, l'esperienza e la tecnica, sono necessarie a tutelare l'integrità fisica e la personalità morale dei prestatori di lavoro"
• L'art. 2.1.b del D.lgs 626/94 che individua come "datore di lavoro: il soggetto titolare del rapporto di lavoro con il lavoratore o, comunque, il soggetto che, secondo il tipo e l'organizzazione dell'impresa, ha la responsabilità dell'impresa stessa ovvero dell'unita' produttiva in quanto titolare dei poteri decisionali e di spesa."
• L'art 4.1.f del D.Lgs 196/03 che definisce "titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;"
Dall'interpolazione di queste disposizioni possiamo quindi ricavare la seguente definizione di titolare del trattamento dei dati del personale dipendente in ambito di igiene e sicurezza sul lavoro:
"Titolare del trattamento è il datore di lavoro ovvero la persona fisica, la persona giuridica o la pubblica amministrazione titolare del rapporto di lavoro con il lavoratore a cui competono, le decisioni in ordine alle finalità, alle modalità del trattamento, agli strumenti utilizzati e al profilo della sicurezza relativi ai dati personali dei dipendenti per le finalità previste per legge in materia di igiene e sicurezza dei luoghi di lavoro."
Pertanto possiamo affermare con certezza, che in ambito di igiene e sicurezza sul lavoro, il principale Titolare dei dati del personale dipendente è il datore di lavoro.
II - LA NOMINA DEL MEDICO COMPETENTE:
Il D.Lgs 626/94 all'art. 4.4.c prevede che il datore di lavoro provveda, nei casi previsti dalla legge, a nominare un medico competente al fine di adempiere agli obblighi in materia di igiene e sicurezza dei luoghi di lavoro:
• Art. 4.4.c: "Il datore di lavoro… nomina… il medico competente."
La nomina del medico competente è quindi un compito che la legge affida al datore di lavoro.
Questo fatto fa presupporre pertanto un rapporto di gerarchia tra le due figure. E' infatti il datore di lavoro (e non il lavoratore) che sceglie il medico competente, che gli affida l'incarico, che lo autorizza a trattare i dati dei dipendenti e che lo paga perché effettui le prestazioni contrattualmente prestabilite.
Una volta nominato il medico competente, nasce quindi il problema di capire a che titolo il medico è autorizzato a trattare i dati personali del personale dipendente.
III - IL MEDICO COMPETENTE COME RESPONSABILE:
L'ipotesi più semplice e diretta per risolvere il problema relativo al trattamento dei dati da parte del medico competente sembrerebbe quella di qualificare il medico come responsabile.
A sostegno di questa tesi possiamo addurre le seguenti argomentazioni deducibili da una semplice comparazione del D.Lgs 196/03 con il D.Lgs 626/94:
- Considerato che il Codice Privacy definisce Responsabile "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali". (art. 4.1.g - D.Lgs 196/03), ne consegue che il medico compente può essere inquadrato come responsabile in quanto soggetto preposto dal titolare (ovvero dal datore di lavoro) al trattamento dei dati personali del personale dipendente in ambito di igiene e sicurezza dei luoghi di lavoro.
- Relativamente ai criteri per la scelta del medico competente si ricava che"…il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza." (art. 29.2 - D.Lgs 196/03);
"Il medico competente è un medico in possesso di uno dei seguenti titoli: 1) specializzazione in medicina del lavoro o in medicina preventiva dei lavoratori e psicotecnica o in tossicologia industriale o in igiene industriale o in fisiologia ed igiene del lavoro o in clinica del lavoro ed altre specializzazioni… 2) docenza o libera docenza in medicina del lavoro o in medicina preventiva dei lavoratori e psicotecnica o in tossicologia industriale o in igiene industriale o in fisiologia ed igiene del lavoro; 3) autorizzazione di cui all'art. 55 - D.Lgs 277/91" (art. 2.1.d - D.Lgs 626/94);
"Il medico competente svolge la propria opera in qualità di: a) dipendente da una struttura esterna pubblica o privata convenzionata con l'imprenditore per lo svolgimento dei compiti…b) libero professionista; c) dipendente del datore di lavoro." (art. 17.5 - D.Lgs 626/94);
Da queste disposizioni si evince, che il medico competente può essere inquadrato come responsabile in quanto soggetto specializzato - selezionato dal datore di lavoro tra professionisti qualificati o strutture sanitarie pubbliche/private - in grado di garantire un idoneo trattamento dei dati personali dei dipendenti in ambito di igiene e sicurezza dei luoghi di lavoro.
Ø In tema di procedure e istruzioni per il trattamento si ha che "Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza…" (art. 29.5 - D.Lgs 196/03);
"Il datore di lavoro… richiede l'osservanza da parte del medico competente degli obblighi previsti…,informandolo sui processi e sui rischi connessi all'attività produttiva;" (art. 4.5.g - D.Lgs 626/94);
"Il medico competente…collabora con il datore di lavoro… sulla base della specifica conoscenza dell'organizzazione dell'azienda ovvero dell'unita' produttiva e delle situazioni di rischio, alla predisposizione dell'attuazione delle misure per la tutela della salute e dell'integrità psico-fisica dei lavoratori;" (art. 17.1.a - D.Lgs 626/94);
"I lavoratori… sono iscritti in un registro… Detto registro e' istituito ed aggiornato dal datore di lavoro che ne cura la tenuta per il tramite del medico competente." (art. 70.1 - D.Lgs 626/94);
"Il datore di lavoro… tramite il medico competente comunica ai lavoratori interessati le relative annotazioni individuali contenute nel registro… e nella cartella sanitaria e di rischio ed al rappresentante per la sicurezza i dati collettivi anonimi contenuti nel registro…" (art. 70.2.f - D.Lgs 626/94);
"Il datore di lavoro istituisce ed aggiorna il registro degli esposti e degli eventi accidentali e ne cura la tenuta tramite il medico competente." (art. 87.2 - D.Lgs 626/94);
Dall'analisi di queste norme ne consegue che il medico competente può essere qualificato come responsabile in quanto il titolare effettivamente provvede a delegargli alcuni obblighi legislativi e a impartirgli compiti ben specifici. Inoltre il titolare, in qualità di delegante, ha sempre il dovere e l'onere di supervisionare l'operato del medico delegato.
Ø Relativamente agli oneri economici in materia di igiene e sicurezza sui luoghi di lavoro abbiamo che: "Il medico competente può avvalersi, per motivate ragioni, della collaborazione di medici specialisti scelti dal datore di lavoro che ne sopporta gli oneri." (art. 17.2 - D.Lgs 626/94);
"Qualora il medico competente sia dipendente del datore di lavoro, questi gli fornisce i mezzi e gli assicura le condizioni necessarie per lo svolgimento dei suoi compiti." (art. 17.6 - D.Lgs 626/94)
Ne consegue che il medico competente può essere considerato un responsabile in quanto le decisioni relative agli impegni di spesa e la corresponsione dei correlati oneri economici sono sempre imputati in capo al datore di lavoro.
Ø In tema di adempimento del dovere di informazione si ha poi che:"Qualora il medico competente, a seguito degli accertamenti… esprima un giudizio sull'inidoneità parziale o temporanea o totale del lavoratore, ne informa per iscritto il datore di lavoro e il lavoratore." (art. 17.3 - D.Lgs 626/94);
"Il datore di lavoro provvede affinchè ciascun lavoratore riceva un'adeguata informazione su… il medico competente;" (art. 21.1.f - D.Lgs 626/94):
"Nel caso in cui la sorveglianza sanitaria riveli, in un lavoratore, l'esistenza di anomalie… il medico competente ne informa il datore di lavoro ed il lavoratore." (art. 49-decies comma 3 - D.Lgs 626/94);
"Ove gli accertamenti sanitari abbiano evidenziato…'esistenza di una anomalia…, il medico competente ne informa il datore di lavoro." (art. 69.4 e art. 80.2-bis - D.Lgs 626/94):
Il medico competente ha quindi precisi compiti di informare il datore di lavoro sui risultati dell'attività di trattamento delegatagli proprio come gli altri soggetti che in azienda ricoprono il ruolo di responsabile.
IV - IL MEDICO COMPETENTE COME TITOLARE:
Una seconda ipotesi per risolvere il problema del trattamento dei dati personali da parte del medico competente è quella di qualificarlo come un ulteriore soggetto Titolare distinto dal datore di lavoro.
Questa possibilità deriverebbe, per alcuni, direttamente dalla stessa definizione di Titolare presente nel Codice Privacy:
• "Titolare: la persona fisica…giuridica…qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;" (Art 4.1.f del D.Lgs 196/03)
Secondo i sostenitori di questa tesi: il datore di lavoro (titolare principale) avrebbe l'obbligo di trattare i dati in materia di igiene e sicurezza dei luoghi di lavoro unitamente al medico competente (titolare secondario).
Di conseguenza competerebbero unitamente ai due titolari (datore di lavoro e medico competente) sia le decisioni in ordine alle finalità e modalità del trattamento che quelle relative agli strumenti utilizzati e al profilo di sicurezza.
Tale tesi però non convince pienamente per i seguenti motivi:
§ le finalità e modalità del trattamento non vengono decise dal titolare, ma sono principalmente stabilite e predefinite per legge;
§ gli strumenti utilizzati non sembrano avere un impatto rilevante sulla qualificazione della titolarità;
§ le decisioni relative al profilo di sicurezza sono prevalentemente a carico del datore di lavoro; infatti "Il medico competente…istituisce ed aggiorna, sotto la propria responsabilità, per ogni lavoratore sottoposto a sorveglianza sanitaria, una cartella sanitaria e di rischio da custodire presso il datore di lavoro con salvaguardia del segreto professionale;" (art. 17.1.d - D.Lgs 626/94).
Dall'analisi del D.Lgs 626/94 possiamo poi estrarre una serie di articoli che possono essere, a seconda dei casi, utilizzati sia per supportare la tesi della cootitolarità sia per sostenere la tesi della nomina del medico competente come responsabile:
§ "Il datore di lavoro effettua la valutazione… ed elabora il documento… in collaborazione… con il medico competente nei casi in cui sia obbligatoria la sorveglianza sanitaria…" (art. 4.6 - D.Lgs 626/94)
§ "Nelle aziende… che occupano più di 15 dipendenti, il datore di lavoro… indice almeno una volta all'anno una riunione cui partecipano… il medico competente ove previsto;" (art. 11.1.c - D.Lgs 626/94)
§ "Il datore di lavoro… sentito il medico competente ove previsto, prende i provvedimenti necessari in materia di pronto soccorso e di assistenza medica di emergenza…" (art. 15.1 - D.Lgs 626/94)
§ "Il medico competente… collabora con il datore di lavoro… sulla base della specifica conoscenza dell'organizzazione dell'azienda ovvero dell'unita' produttiva e delle situazioni di rischio, alla predisposizione dell'attuazione delle misure per la tutela della salute e dell'integrità psico-fisica dei lavoratori;" (art. 17.1.a - D.Lgs 626/94)
§ "Il medico competente… collabora con il datore di lavoro alla predisposizione del servizio di pronto soccorso…" (art. 17.1.l - D.Lgs 626/94)
§ "collabora all'attività di formazione e informazione…" (art. 17.1.m - D.Lgs 626/94)
§ " …il datore di lavoro…tiene conto del parere del medico competente nell'attuazione delle misure necessarie per eliminare o ridurre il rischio;" (art. 49 decies comma 4.c - D.Lgs 626/94)
§ "Il datore di lavoro… comunica al medico competente i valori di esposizione individuali, al fine del loro inserimento nella cartella sanitaria e di rischio." (art. 59 sedecies comma 1 - D.Lgs 626/94)
§ "Il datore di lavoro… dispone, su conforme parere del medico competente, misure protettive particolari per quelle categorie di lavoratori per i quali l'esposizione a taluni agenti cancerogeni presenta rischi particolarmente elevati." (art. 64.1 - D.Lgs 626/94)
§ "Il datore di lavoro, su conforme parere del medico competente, adotta misure preventive e protettive per singoli lavoratori sulla base delle risultanze degli esami clinici e biologici effettuati." (art. 69.2 - D.Lgs 626/94)
§ "Il datore di lavoro, su conforme parere del medico competente, adotta misure protettive particolari…" (art. 80.2 - D.Lgs 626/94)
CONCLUSIONI:
Dall'analisi comparativa del D.Lgs 196/03 con il D.Lgs 626/94 risalta in maniera lampante una prevalente predisposizione del legislatore ad imputare doveri e responsabilità in ambito di in materia di igiene e sicurezza dei luoghi di lavoro e trattamento di dati personali in capo al datore di lavoro.
Al medico competente risulta conseguentemente affidato il ruolo secondario di collaboratore professionale, con il compito di svolgere attività riservate alla propria categoria per conto del titolare.
Risulta perciò immediata ed intuitiva la qualificazione del medico competente come responsabile esterno, a nulla rilevando il fatto che la legge riservi il trattamento di taluni dati personali sensibili esclusivamente al medico competente, in quanto la possibilità di delegare attività di trattamento a soggetti terzi è sempre esplicitamente prevista dal Codice Privacy.
Fonti: Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Falzone - Casa Editrice Hoepli Spa) - Decreto Legislativo 30 giugno 2003, n. 196 e Allegato B) - Decreto Legislativo del 19/09/1994 n. 626 - Provvedimenti del Garante Privacy del 23 novembre 2006: Linee-guida per il trattamento di dati dei dipendenti privati - Autorizzazione Generale del Garante Privacy del 21 dicembre 2005 n. 1/2005 - trattamento dei dati sensibili nei rapporti di lavoro
Autore: Eric Falzone
Nonostante i molteplici tentativi di inquadrare in maniera chiara e esaustiva questa figura tra quelle istituzionalmente previste dalla disciplina in materia di trattamento di dati personali, permangono ancora molti dubbi e perplessità in merito a quale possa effettivamente essere la migliore e più corretta interpretazione delle disposizioni del Codice Privacy a riguardo.
La figura del medico competente oscilla e vacilla così tra il ruolo di Titolare e la posizione di Responsabile.
Non ricevendo conforto nemmeno dalle recenti linee guida dell'Autorità Garante in materia di trattamento di dati personali nei rapporto di lavoro, non rimane che analizzare comparativamente il D.Lgs 196/03 e il D.Lgs 626/94 alla ricerca di una possibile soluzione interpretativa sistemica.
I - IL DATORE DI LAVORO COME TITOLARE DEL TRATTAMENTO:
Per poter definire chi sia in primis il titolare del trattamento dei dati del personale dipendente in materia di igiene e sicurezza dei luoghi di lavoro è necessario analizzare le seguenti disposizioni normative:
• L'art. 2086 del Codice Civile che sancisce che "l'imprenditore è il capo dell'impresa e da lui dipendono gerarchicamente i suoi collaboratori."
• L'art. 2087 del Codice Civile che precisa che "L'imprenditore è tenuto ad adottare, nell'esercizio dell'impresa, le misure che, secondo la particolarità del lavoro, l'esperienza e la tecnica, sono necessarie a tutelare l'integrità fisica e la personalità morale dei prestatori di lavoro"
• L'art. 2.1.b del D.lgs 626/94 che individua come "datore di lavoro: il soggetto titolare del rapporto di lavoro con il lavoratore o, comunque, il soggetto che, secondo il tipo e l'organizzazione dell'impresa, ha la responsabilità dell'impresa stessa ovvero dell'unita' produttiva in quanto titolare dei poteri decisionali e di spesa."
• L'art 4.1.f del D.Lgs 196/03 che definisce "titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;"
Dall'interpolazione di queste disposizioni possiamo quindi ricavare la seguente definizione di titolare del trattamento dei dati del personale dipendente in ambito di igiene e sicurezza sul lavoro:
"Titolare del trattamento è il datore di lavoro ovvero la persona fisica, la persona giuridica o la pubblica amministrazione titolare del rapporto di lavoro con il lavoratore a cui competono, le decisioni in ordine alle finalità, alle modalità del trattamento, agli strumenti utilizzati e al profilo della sicurezza relativi ai dati personali dei dipendenti per le finalità previste per legge in materia di igiene e sicurezza dei luoghi di lavoro."
Pertanto possiamo affermare con certezza, che in ambito di igiene e sicurezza sul lavoro, il principale Titolare dei dati del personale dipendente è il datore di lavoro.
II - LA NOMINA DEL MEDICO COMPETENTE:
Il D.Lgs 626/94 all'art. 4.4.c prevede che il datore di lavoro provveda, nei casi previsti dalla legge, a nominare un medico competente al fine di adempiere agli obblighi in materia di igiene e sicurezza dei luoghi di lavoro:
• Art. 4.4.c: "Il datore di lavoro… nomina… il medico competente."
La nomina del medico competente è quindi un compito che la legge affida al datore di lavoro.
Questo fatto fa presupporre pertanto un rapporto di gerarchia tra le due figure. E' infatti il datore di lavoro (e non il lavoratore) che sceglie il medico competente, che gli affida l'incarico, che lo autorizza a trattare i dati dei dipendenti e che lo paga perché effettui le prestazioni contrattualmente prestabilite.
Una volta nominato il medico competente, nasce quindi il problema di capire a che titolo il medico è autorizzato a trattare i dati personali del personale dipendente.
III - IL MEDICO COMPETENTE COME RESPONSABILE:
L'ipotesi più semplice e diretta per risolvere il problema relativo al trattamento dei dati da parte del medico competente sembrerebbe quella di qualificare il medico come responsabile.
A sostegno di questa tesi possiamo addurre le seguenti argomentazioni deducibili da una semplice comparazione del D.Lgs 196/03 con il D.Lgs 626/94:
- Considerato che il Codice Privacy definisce Responsabile "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali". (art. 4.1.g - D.Lgs 196/03), ne consegue che il medico compente può essere inquadrato come responsabile in quanto soggetto preposto dal titolare (ovvero dal datore di lavoro) al trattamento dei dati personali del personale dipendente in ambito di igiene e sicurezza dei luoghi di lavoro.
- Relativamente ai criteri per la scelta del medico competente si ricava che"…il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza." (art. 29.2 - D.Lgs 196/03);
"Il medico competente è un medico in possesso di uno dei seguenti titoli: 1) specializzazione in medicina del lavoro o in medicina preventiva dei lavoratori e psicotecnica o in tossicologia industriale o in igiene industriale o in fisiologia ed igiene del lavoro o in clinica del lavoro ed altre specializzazioni… 2) docenza o libera docenza in medicina del lavoro o in medicina preventiva dei lavoratori e psicotecnica o in tossicologia industriale o in igiene industriale o in fisiologia ed igiene del lavoro; 3) autorizzazione di cui all'art. 55 - D.Lgs 277/91" (art. 2.1.d - D.Lgs 626/94);
"Il medico competente svolge la propria opera in qualità di: a) dipendente da una struttura esterna pubblica o privata convenzionata con l'imprenditore per lo svolgimento dei compiti…b) libero professionista; c) dipendente del datore di lavoro." (art. 17.5 - D.Lgs 626/94);
Da queste disposizioni si evince, che il medico competente può essere inquadrato come responsabile in quanto soggetto specializzato - selezionato dal datore di lavoro tra professionisti qualificati o strutture sanitarie pubbliche/private - in grado di garantire un idoneo trattamento dei dati personali dei dipendenti in ambito di igiene e sicurezza dei luoghi di lavoro.
Ø In tema di procedure e istruzioni per il trattamento si ha che "Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza…" (art. 29.5 - D.Lgs 196/03);
"Il datore di lavoro… richiede l'osservanza da parte del medico competente degli obblighi previsti…,informandolo sui processi e sui rischi connessi all'attività produttiva;" (art. 4.5.g - D.Lgs 626/94);
"Il medico competente…collabora con il datore di lavoro… sulla base della specifica conoscenza dell'organizzazione dell'azienda ovvero dell'unita' produttiva e delle situazioni di rischio, alla predisposizione dell'attuazione delle misure per la tutela della salute e dell'integrità psico-fisica dei lavoratori;" (art. 17.1.a - D.Lgs 626/94);
"I lavoratori… sono iscritti in un registro… Detto registro e' istituito ed aggiornato dal datore di lavoro che ne cura la tenuta per il tramite del medico competente." (art. 70.1 - D.Lgs 626/94);
"Il datore di lavoro… tramite il medico competente comunica ai lavoratori interessati le relative annotazioni individuali contenute nel registro… e nella cartella sanitaria e di rischio ed al rappresentante per la sicurezza i dati collettivi anonimi contenuti nel registro…" (art. 70.2.f - D.Lgs 626/94);
"Il datore di lavoro istituisce ed aggiorna il registro degli esposti e degli eventi accidentali e ne cura la tenuta tramite il medico competente." (art. 87.2 - D.Lgs 626/94);
Dall'analisi di queste norme ne consegue che il medico competente può essere qualificato come responsabile in quanto il titolare effettivamente provvede a delegargli alcuni obblighi legislativi e a impartirgli compiti ben specifici. Inoltre il titolare, in qualità di delegante, ha sempre il dovere e l'onere di supervisionare l'operato del medico delegato.
Ø Relativamente agli oneri economici in materia di igiene e sicurezza sui luoghi di lavoro abbiamo che: "Il medico competente può avvalersi, per motivate ragioni, della collaborazione di medici specialisti scelti dal datore di lavoro che ne sopporta gli oneri." (art. 17.2 - D.Lgs 626/94);
"Qualora il medico competente sia dipendente del datore di lavoro, questi gli fornisce i mezzi e gli assicura le condizioni necessarie per lo svolgimento dei suoi compiti." (art. 17.6 - D.Lgs 626/94)
Ne consegue che il medico competente può essere considerato un responsabile in quanto le decisioni relative agli impegni di spesa e la corresponsione dei correlati oneri economici sono sempre imputati in capo al datore di lavoro.
Ø In tema di adempimento del dovere di informazione si ha poi che:"Qualora il medico competente, a seguito degli accertamenti… esprima un giudizio sull'inidoneità parziale o temporanea o totale del lavoratore, ne informa per iscritto il datore di lavoro e il lavoratore." (art. 17.3 - D.Lgs 626/94);
"Il datore di lavoro provvede affinchè ciascun lavoratore riceva un'adeguata informazione su… il medico competente;" (art. 21.1.f - D.Lgs 626/94):
"Nel caso in cui la sorveglianza sanitaria riveli, in un lavoratore, l'esistenza di anomalie… il medico competente ne informa il datore di lavoro ed il lavoratore." (art. 49-decies comma 3 - D.Lgs 626/94);
"Ove gli accertamenti sanitari abbiano evidenziato…'esistenza di una anomalia…, il medico competente ne informa il datore di lavoro." (art. 69.4 e art. 80.2-bis - D.Lgs 626/94):
Il medico competente ha quindi precisi compiti di informare il datore di lavoro sui risultati dell'attività di trattamento delegatagli proprio come gli altri soggetti che in azienda ricoprono il ruolo di responsabile.
IV - IL MEDICO COMPETENTE COME TITOLARE:
Una seconda ipotesi per risolvere il problema del trattamento dei dati personali da parte del medico competente è quella di qualificarlo come un ulteriore soggetto Titolare distinto dal datore di lavoro.
Questa possibilità deriverebbe, per alcuni, direttamente dalla stessa definizione di Titolare presente nel Codice Privacy:
• "Titolare: la persona fisica…giuridica…qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;" (Art 4.1.f del D.Lgs 196/03)
Secondo i sostenitori di questa tesi: il datore di lavoro (titolare principale) avrebbe l'obbligo di trattare i dati in materia di igiene e sicurezza dei luoghi di lavoro unitamente al medico competente (titolare secondario).
Di conseguenza competerebbero unitamente ai due titolari (datore di lavoro e medico competente) sia le decisioni in ordine alle finalità e modalità del trattamento che quelle relative agli strumenti utilizzati e al profilo di sicurezza.
Tale tesi però non convince pienamente per i seguenti motivi:
§ le finalità e modalità del trattamento non vengono decise dal titolare, ma sono principalmente stabilite e predefinite per legge;
§ gli strumenti utilizzati non sembrano avere un impatto rilevante sulla qualificazione della titolarità;
§ le decisioni relative al profilo di sicurezza sono prevalentemente a carico del datore di lavoro; infatti "Il medico competente…istituisce ed aggiorna, sotto la propria responsabilità, per ogni lavoratore sottoposto a sorveglianza sanitaria, una cartella sanitaria e di rischio da custodire presso il datore di lavoro con salvaguardia del segreto professionale;" (art. 17.1.d - D.Lgs 626/94).
Dall'analisi del D.Lgs 626/94 possiamo poi estrarre una serie di articoli che possono essere, a seconda dei casi, utilizzati sia per supportare la tesi della cootitolarità sia per sostenere la tesi della nomina del medico competente come responsabile:
§ "Il datore di lavoro effettua la valutazione… ed elabora il documento… in collaborazione… con il medico competente nei casi in cui sia obbligatoria la sorveglianza sanitaria…" (art. 4.6 - D.Lgs 626/94)
§ "Nelle aziende… che occupano più di 15 dipendenti, il datore di lavoro… indice almeno una volta all'anno una riunione cui partecipano… il medico competente ove previsto;" (art. 11.1.c - D.Lgs 626/94)
§ "Il datore di lavoro… sentito il medico competente ove previsto, prende i provvedimenti necessari in materia di pronto soccorso e di assistenza medica di emergenza…" (art. 15.1 - D.Lgs 626/94)
§ "Il medico competente… collabora con il datore di lavoro… sulla base della specifica conoscenza dell'organizzazione dell'azienda ovvero dell'unita' produttiva e delle situazioni di rischio, alla predisposizione dell'attuazione delle misure per la tutela della salute e dell'integrità psico-fisica dei lavoratori;" (art. 17.1.a - D.Lgs 626/94)
§ "Il medico competente… collabora con il datore di lavoro alla predisposizione del servizio di pronto soccorso…" (art. 17.1.l - D.Lgs 626/94)
§ "collabora all'attività di formazione e informazione…" (art. 17.1.m - D.Lgs 626/94)
§ " …il datore di lavoro…tiene conto del parere del medico competente nell'attuazione delle misure necessarie per eliminare o ridurre il rischio;" (art. 49 decies comma 4.c - D.Lgs 626/94)
§ "Il datore di lavoro… comunica al medico competente i valori di esposizione individuali, al fine del loro inserimento nella cartella sanitaria e di rischio." (art. 59 sedecies comma 1 - D.Lgs 626/94)
§ "Il datore di lavoro… dispone, su conforme parere del medico competente, misure protettive particolari per quelle categorie di lavoratori per i quali l'esposizione a taluni agenti cancerogeni presenta rischi particolarmente elevati." (art. 64.1 - D.Lgs 626/94)
§ "Il datore di lavoro, su conforme parere del medico competente, adotta misure preventive e protettive per singoli lavoratori sulla base delle risultanze degli esami clinici e biologici effettuati." (art. 69.2 - D.Lgs 626/94)
§ "Il datore di lavoro, su conforme parere del medico competente, adotta misure protettive particolari…" (art. 80.2 - D.Lgs 626/94)
CONCLUSIONI:
Dall'analisi comparativa del D.Lgs 196/03 con il D.Lgs 626/94 risalta in maniera lampante una prevalente predisposizione del legislatore ad imputare doveri e responsabilità in ambito di in materia di igiene e sicurezza dei luoghi di lavoro e trattamento di dati personali in capo al datore di lavoro.
Al medico competente risulta conseguentemente affidato il ruolo secondario di collaboratore professionale, con il compito di svolgere attività riservate alla propria categoria per conto del titolare.
Risulta perciò immediata ed intuitiva la qualificazione del medico competente come responsabile esterno, a nulla rilevando il fatto che la legge riservi il trattamento di taluni dati personali sensibili esclusivamente al medico competente, in quanto la possibilità di delegare attività di trattamento a soggetti terzi è sempre esplicitamente prevista dal Codice Privacy.
Fonti: Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Falzone - Casa Editrice Hoepli Spa) - Decreto Legislativo 30 giugno 2003, n. 196 e Allegato B) - Decreto Legislativo del 19/09/1994 n. 626 - Provvedimenti del Garante Privacy del 23 novembre 2006: Linee-guida per il trattamento di dati dei dipendenti privati - Autorizzazione Generale del Garante Privacy del 21 dicembre 2005 n. 1/2005 - trattamento dei dati sensibili nei rapporti di lavoro
Autore: Eric Falzone
Altri articoli che potrebbero interessarti:
In evidenza oggi: