Nell’ambito della tutela della salute e sicurezza nei luoghi di lavoro, la figura del medico competente riveste un ruolo centrale e strategico. Disciplinato dal D.Lgs. 81/2008, il medico competente non solo collabora con il datore di lavoro nella valutazione dei rischi e nella sorveglianza sanitaria, ma è anche tenuto al rispetto rigoroso delle normative sulla protezione dei dati personali, in particolare del GDPR.
Questo articolo intende offrire una sintesi chiara e aggiornata dei compiti, delle responsabilità e delle implicazioni giuridiche che caratterizzano questa figura professionale, con uno sguardo attento all’equilibrio tra tutela della salute e rispetto della privacy dei lavoratori.
Indice
Chi è il medico competente?
Il medico competente (MC) è quel professionista sanitario dotato degli specifici titoli e dei requisiti formativi richiesti dal D.lgs. n. 81/2008 (di seguito anche solo T.U), e che deve essere obbligatoriamente nominato dal datore di lavoro (o dal soggetto da lui delegato) ai fini dell’effettuazione della sorveglianza sanitaria.
Sinteticamente è obbligatorio nominare il MC in 3 specifici casi:
Al fine della nomina, si segnala l’istituzione presso il Ministero della salute dell’elenco dei medici competenti che sono in possesso dei predetti requisiti, disponibile al seguente link: elenco medici competenti
Principali compiti e funzioni
La principale attività svolta dal MC è la sorveglianza sanitaria (art 25 co. 1 lett. b che richiama l‘art. 41 del TU), che consiste in visite volte ad accertare l’idoneità del lavoratore allo svolgimento della mansione in rapporto al rischio specifico.
Il MC non controlla se il lavoratore è ammalato o meno, ma verifica solamente se lo stato di salute e le condizioni psicofisiche del lavoratore sono compatibili con le mansioni alle quali è stato adibito.
In generale, il medico competente è chiamato ad esercitare 3 funzioni fondamentali:
Sul grado di collaborazione che il MC deve obbligatoriamente adottare, la Suprema Corte in Cass. Pen., Sez. IV, 09.02.2021, n. 21521 ha precisato che:
[…] il Medico competente non deve limitarsi a un ruolo meramente passivo, ma deve dedicarsi a un’attività propositiva e informativa in relazione al proprio ambito professionale. Ne consegue che il medico competente è titolare di una propria sfera di competenza, trattandosi di un garante a titolo originario e non derivato, sicché sulla sua posizione non influiscono le vicende che riguardano gli altri soggetti della sicurezza”
GDPR e adempimenti connessi
Sulla scorta interpretativa della Suprema Corte, il Garante per la Protezione dei dati specifica che:
Il medico tratta i dati in qualità di titolare del trattamento, in base a specifiche diposizioni di legge finalizzate anzitutto al perseguimento dell’interesse pubblico di tutela della salute nei luoghi di lavoro e della collettività.
La sua autonomia emerge, altresì, dalla circostanza che avverso i giudizi di idoneità è ammesso ricorso all’organo di vigilanza territorialmente competente. Anche sotto il profilo sanzionatorio, il TU distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente.
Pertanto, il MC dovrà osservare le specifiche disposizioni previste dal GDPR:
Il MC è invece esonerato dalla designazione del DPO con riferimento allo svolgimento della propria attività.
Gestione dei dati sanitari in azienda
La conservazione e gestione delle cartelle sanitarie dei lavoratori è rimessa alla responsabilità del MC, come anche previsto dall’art. 25 lett. c) del T.U. secondo il quale: “Il medico competente è tenuto al segreto professionale e al rispetto del codice privacy in relazione alla protezione dei dati sanitari dei lavoratori”
Ciò significa che, tenuto conto anche del divieto generale di cui all’art. 5 dello Statuto dei Lavoratori, il datore di lavoro non può conoscere o trattare le diagnosi dei lavoratori se non nella misura del mero giudizio di idoneità alla mansione specifica e delle eventuali prescrizioni che il MC fissa come condizioni di lavoro.
Il medico competente è tenuto a conservare le cartelle sanitarie e di rischio sia quando le redige, sia quando le riceve dai lavoratori in relazione al precedente rapporto di lavoro. Quest’ultime, infatti, devono essere richieste durante la visita medica preventiva o in fase pre-assuntiva da parte del MC (salvo impossibilità oggettiva di reperirle). Alla cessazione del rapporto di lavoro, il MC deve infine consegnarne copia al lavoratore, fornendo anche le istruzioni per la loro conservazione.
Alla luce della mole di dati “particolari” trattati dal MC, per il rispetto del principio di responsabilizzazione, esso dovrà adottare tutte le misure tecniche e organizzative necessarie affinché i dati personali relativi alla diagnosi dei dipendenti non entrino, anche accidentalmente, nella disponibilità del datore di lavoro, predisponendo a tal fine misure che assicurino l’accesso selettivo ai dati o che li rendano non comprensibili ai soggetti non autorizzati, ad esempio mediante ricorso alla cifratura degli stessi dati.
Le implicazioni per i datori di lavoro
Seppur vero che l’obbligo di conservazione e custodia delle cartelle sanitarie è in capo al MC, ciò non impedisce allo stesso di utilizzare strumenti tecnologici/informatici di proprietà del datore di lavoro.
Questo concetto è stato chiarito dal Ministero del lavoro e delle politiche sociali, attraverso l’Interpello 31.05.2019, n. 4/2019: è certamente consentito l’impiego di sistemi di elaborazione automatica dei dati per la memorizzazione di qualunque tipo di documentazione prevista dal Testo Unico, dunque anche mediante un data base aziendale, specificando però che in questi casi è necessario adottare delle soluzioni concordate tra datore di lavoro e medico competente, al fine di garantire l’accesso ai suddetti dati solo al medico competente ed in modo tale da non consentire né al datore di lavoro né all’amministrazione del sistema di potervi accedere, lasciando solo ed esclusivamente al medico competente il diritto di accesso.
Questa specificazione modifica leggermente i ruoli disciplinati dal GDPR: nonostante datore di lavoro e MC siano rispettivamente dei titolari autonomi del trattamento, in tali casi dovrà essere regolamentato, limitatamente a tali profili, il rapporto tra le parti ai sensi dell’art. 28 del GDPR. La nomina dovrà prevedere specifiche misure organizzative volte ad escludere l’accesso ai dati da parte del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro.
Obblighi specifici per i datori di lavoro
Pur non potendo prenderne visione, alla cessazione dell’incarico con il medico competente, la documentazione sanitaria in suo possesso deve essere consegnata al datore di lavoro, nel rispetto della normativa in materia di protezione dei dati personali e con salvaguardia del segreto professionale (art. 25, comma 1, lett. d).
Mentre, in caso di cessazione del rapporto di lavoro con un proprio lavoratore, l’originale della cartella sanitaria e di rischio deve essere conservata da parte del datore di lavoro per almeno dieci anni (art. 25, comma 1, lett. e).
Dal momento che è a carico del MC l’obbligo di consegnare al lavoratore, alla cessazione del rapporto di lavoro, copia della cartella sanitaria e di rischio, Il datore di lavoro ha il solo l’obbligo di comunicare tempestivamente al medico competente l’effettiva cessazione del rapporto di lavoro.
Casi rilevanti affrontati dal Garante
In merito alla gestione dei dati sanitari in azienda, è rilevante il Provvedimento del 16 gennaio 2025, attraverso il quale Garante ha accertato un illecito trattamento di dati personali, da parte del Dott. E. G. in qualità di medico competente e quindi di titolare del trattamento dei dati personali.
In particolare, è emerso che il MC trasmetteva a determinate funzioni aziendali (interne ed esterne) una relazione avente ad oggetto “Sintesi anamnestica del sig. XX” con cui informava dello stato di salute del reclamante e delle indagini cliniche eseguite anche dal medico competente nel frattempo subentrato. Con riferimento a questa comunicazione illecita, il Garante ha ribadito il divieto del datore di lavoro di conoscere le diagnosi dei lavoratori, applicando nei confronti del MC una sanzione amministrativa pari alla somma di 2.000,00 euro.
Con il Provvedimento del 31 agosto 2023 invece, il Garante si è espresso sul principio di trasparenza, ribadendo l’obbligo in capo al MC di fornire l’informativa privacy ai lavoratori visitati ai sensi dell’art. 14 del GDPR.
Considerazioni finali
Nell’applicazione delle diverse discipline, tutte le autorità coinvolte (Ministero del Lavoro, Garante per la protezione dei dati, Ispettorato del lavoro e giurisprudenza) hanno da sempre ribadito la necessità di creare un’effettiva collaborazione tra datore di lavoro e medico competente, non solo ai fini della corretta programmazione ed esecuzione della sorveglianza sanitaria ma anche per la gestione dei relativi dati sanitari.
Ciò significa che, alla luce delle moderne tecnologie di protezione e prevenzione (per un esempio si veda: I dispositivi indossabili intelligenti: tra sicurezza sul lavoro e GDPR), se il datore di lavoro e il medico competente vogliono perseguire l’obbiettivo della massima sicurezza tecnologicamente possibile, devono necessariamente adottare un approccio integrato che li renda consapevoli non solo del riparto di obblighi e responsabilità derivanti dal T.U. ma anche di quelle disposizioni specifiche che riguardano il GDPR e il Codice Privacy.
