di Micaela Barbotti *
Nell’esercizio dei compiti attribuiti dal D. Lgs. 81/2008, il medico competente tratta una pluralità di dati personali dei lavoratori, inclusi dati appartenenti alle categorie particolari ai sensi dell’art. 9 del Regolamento (UE) 2016/679. I trattamenti non si limitano alla raccolta delle informazioni in occasione delle visite e degli accertamenti clinici, ma comprendono la registrazione, l’aggiornamento e la conservazione delle cartelle sanitarie e di rischio.
La progressiva informatizzazione della sorveglianza sanitaria impone una rilettura sistematica del ruolo del medico competente ai fini della protezione dei dati personali. L’utilizzo di software gestionali dedicati, archivi digitali e soluzioni cloud per la gestione delle cartelle sanitarie e di rischio pone, infatti, questioni rilevanti in termini di misure di sicurezza, rapporti con il datore di lavoro e scelta dei fornitori tecnologici.
In tale contesto, la corretta qualificazione del medico competente rappresenta il presupposto per una corretta distribuzione delle responsabilità e per un adeguato governo degli strumenti informatici utilizzati nell’ambito della sorveglianza sanitaria.
Al riguardo, il Garante per la protezione dei dati personali, con nota del 19 marzo 2019, ha chiarito che il medico competente, nello svolgimento dei compiti attribuitigli in via esclusiva, opera quale titolare autonomo del trattamento. La sua funzione è distinta da quella del datore di lavoro, a cui competono obblighi differenti nell’ambito della salute e sicurezza sul lavoro. Ne consegue che il medico è l’unico soggetto legittimato ex lege a trattare i dati sanitari indispensabili per le finalità di sorveglianza sanitaria, non potendo il datore di lavoro accedere a informazioni relative alla diagnosi o all’anamnesi del lavoratore, se non nella misura del giudizio di idoneità alla mansione specifica e delle eventuali prescrizioni.
Tale impostazione risulta coerente:
con la disciplina prevenzionistica che attribuisce al medico competente compiti esclusivi connotati da autonomia tecnico-professionale. Il medico opera secondo criteri stabiliti dalla legge, nel rispetto dei principi deontologici, tra cui il segreto professionale. È la stessa normativa di settore, quindi, a delineare finalità e modalità del trattamento, riconoscendo al professionista un ambito decisionale proprio nell’esecuzione della sorveglianza sanitaria;
con l’impianto del Regolamento (UE) 2016/679, che distingue i trattamenti necessari per finalità di medicina del lavoro (art. 9, par. 2, lett. h) da quelli effettuati dal datore di lavoro per adempiere ai propri obblighi in materia di diritto del lavoro e sicurezza sociale (art. 9, par. 2, lett. b, e art. 88). Come ribadito anche dalle Linee guida 07/2020 dell’European Data Protection Board sui concetti di titolare e responsabile del trattamento, la titolarità può, infatti, discendere direttamente dalla legge quando questa attribuisce a un determinato soggetto competenze e poteri decisionali propri.
Anche il sistema sanzionatorio nazionale conferma tale impostazione. Si registrano, infatti, ancora di recente, pronunce del Garante Privacy che hanno delineato profili di responsabilità direttamente imputabili al medico competente per le violazioni connesse ai trattamenti di dati sanitari effettuati nell’ambito della sorveglianza sanitaria.
Analoghe osservazioni possono svolgersi con riferimento al Servizio di medicina del lavoro istituito nel contesto delle strutture sanitarie, seppur con alcune peculiarità: il Garante nel documento di indirizzo “Il ruolo del medico competente in materia di scurezza sui luoghi di lavoro, anche con riferimento al contesto emergenziale” del 14.05.2021 ha chiarito che qualora il Servizio eroghi prestazioni di sorveglianza sanitaria in favore di datori di lavoro pubblici o privati, la struttura sanitaria deve qualificarsi come titolare di trattamento che impiega proprio personale autorizzato (i singoli medici); qualora, invece, il servizio di medicina del lavoro “interno” è utilizzato dalla struttura stessa per assolvere agli obblighi in materia di igiene e sicurezza verso i propri dipendenti, il medico competente individuato dovrà svolgere le attività, certo con risorse della struttura sanitaria, ma in autonomia professionale agendo come titolare del trattamento dei dati personali dei dipendenti della struttura.
In considerazione di quanto brevemente esposto, si comprende come risulti fondamentale per il medico competente – sia professionista autonomo sia se addetto al Servizio di medicina del lavoro quando svolge l’attività per i dipendenti della struttura stessa – implementare tutti gli obblighi che il Regolamento (UE) 2016/679 e la normativa nazionale impongono ai titolari del trattamento.
In sintesi, dovrà (i) fornire ai lavoratori una informativa chiara e trasparente sulle finalità, basi giuridiche, categorie di dati, modalità di conservazione e diritti riconosciuti, (ii) istituire e mantenere aggiornato il Registro dei trattamenti, distinto da quello del datore di lavoro, (iii) garantire misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, (iv) regolare formalmente i rapporti con il datore di lavoro e nominare eventuali soggetti esterni coinvolti nel trattamento come responsabili ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (ad esempio fornitori di servizi IT).
Dovrà, inoltre, essere adeguatamente organizzato per gestire l’esercizio dei diritti privacy che spettano ai lavoratori, valutare la necessità di effettuare valutazioni di impatto (DPIA) in caso di rischi elevati (ad esempio in caso di utilizzo di sistemi digitali complessi), assicurare formazione e consapevolezza qualora si avvalga di personale e collaboratori, garantire adeguati sistemi di backup e conservazione sicura dei dati e aggiornare costantemente le proprie policy in base alla evoluzione normativa o tecnologica.
Quanto alla nomina Data Protection Officer (DPO), sarà anch’essa da valutare con attenzione, pur considerando che il Garante Privacy ha chiarito che il singolo professionista sanitario – che operi in regime di libera professione a titolo individuale – non debba essere tenuto alla designazione.
La qualificazione del medico competente come titolare autonomo incide direttamente anche sulla gestione degli strumenti informatici e dei software utilizzati per la tenuta delle cartelle sanitarie. Se il medico competente è titolare autonomo, è a lui che competono le scelte relative alle modalità di trattamento, alle misure di sicurezza e ai rapporti con eventuali fornitori di soluzioni gestionali, con evidenti riflessi organizzativi e contrattuali, soprattutto quando i sistemi informativi siano messi a disposizione dal datore di lavoro o ospitati su infrastrutture condivise. Soluzione, quest’ultima, che deve ritenersi consentita, come chiarito dal Ministero del lavoro e delle politiche sociali, a seguito di un interpello proposto da FNOMCeO nel 2019 (“… è consentito l’impiego di sistemi di elaborazione automatica dei dati per la memorizzazione di qualunque tipo di documentazione prevista dal D. Lgs. 81/2008. Per quanto concerne la custodia dei dati relativi alle cartelle sanitarie e di rischio inserite in un database aziendale, sarà necessario adottare soluzioni concordate tra datore di lavoro e medico competente che, nel rispetto del segreto professionale e della tutela della privacy, garantiscano l’accessibilità ai suddetti dati soltanto al medico competente e non permettano né al datore di lavoro né all’amministratore di sistema di potervi accedere”).
La preoccupazione evidente è dunque che tali soluzioni, se non correttamente configurate, possano determinare indebite commistioni tra gli ambiti di trattamento.
Occorre, quindi, garantire che il datore di lavoro e il personale IT aziendale non abbiano accesso, neppure potenziale, ai dati sanitari di dettaglio contenuti nelle cartelle. L’eventuale presenza di amministratori di sistema interni, la gestione centralizzata delle credenziali o l’accesso ai backup costituiscono profili che devono essere oggetto di specifica regolamentazione tecnica e contrattuale, alla luce del principio di integrità e riservatezza.
Particolare attenzione deve essere prestata anche alla segregazione logica dei dati, alla tracciatura degli accessi, alla cifratura, nonché alla distinzione tra archivi sanitari e altri archivi aziendali. L’adozione di strumenti informatici non può tradursi in una compressione dell’autonomia funzionale del medico né in un ampliamento dell’accesso del datore di lavoro a informazioni che l’ordinamento riserva esclusivamente alla sfera professionale del sanitario.
Attenzioni specifiche e cautele si impongono anche in caso di utilizzo di soluzioni cloud o di software forniti da terzi.
In tali ipotesi, il medico competente – in quanto titolare autonomo – è tenuto a verificare che il fornitore assuma il ruolo di Responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679, mediante un accordo che disciplini puntualmente le istruzioni, le misure di sicurezza, la localizzazione dei dati, i tempi di conservazione e le modalità di restituzione o cancellazione al termine del rapporto.
In conclusione, la digitalizzazione della sorveglianza sanitaria rappresenta un’opportunità in termini di efficienza, tracciabilità e qualità dei dati. Tuttavia, l’adozione di software gestionali e infrastrutture informatiche non può essere guidata da sole esigenze organizzative o di integrazione aziendale. La qualificazione del medico competente quale titolare autonomo del trattamento impone che ogni scelta tecnologica sia coerente con l’autonomia professionale riconosciuta dalla normativa vigente e con la rigorosa separazione tra sfera sanitaria e sfera datoriale.
In questo quadro, la corretta configurazione dei sistemi informativi non costituisce un adempimento meramente formale, ma uno strumento essenziale di tutela della riservatezza del lavoratore e di protezione della responsabilità del professionista. Governare consapevolmente i profili privacy connessi alla gestione digitale delle cartelle sanitarie significa, in definitiva, preservare l’equilibrio tra prevenzione, autonomia tecnica e garanzie fondamentali della persona.
*Founding Partner di A&A – Albè & Associati Studio Legale
