Il Garante Privacy fa chiarezza: il medico competente è un titolare autonomo del trattamento e l'amministratore di condominio è un responsabile esterno
Il medico competente è un titolare autonomo del trattamento. Lo stesso vale per la compagnia di assicurazione che gestisce i sinistri di un ente pubblico appaltante. Invece l'amministratore di condominio è un responsabile esterno e i condomini sono contitolari. Sono i chiarimenti forniti dal Garante della privacy, che si possono leggere nella Relazione dell'attività svolta nell'anno 2019 (presentata al Parlamento il 23 giugno 2020). Non è sempre facile individuare il ruolo privacy rivestito da soggetti, società, professionisti. Per questo diventa decisivi i provvedimenti del Garante, che fanno chiarezza. Passiamo in rassegna, dunque, le soluzioni offerte nel 2019 dall'autorità garante.
Medico competente. Il medico competente tratta dati personali in applicazione della disciplina in materia di igiene e sicurezza sul luogo di lavoro. Con una nota del 19 marzo 2019, ili Garante ha chiarito che il medico competente è un titolare autonomo del trattamento. A proposito del suo status «privacy», il Garante ha individuato la funzione del medico competente come autonoma rispetto a quella che, pure in tale ambito, deve essere svolta dal datore di lavoro, assegnando specifici e distinti obblighi in capo all'una e all'altra figura, così delineando l'ambito del rispettivo trattamento consentito.
In particolare, nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l'unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all'anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro.
Anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro.
Sulla base di tali valutazioni, il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l'idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro, essi devono essere effettuati esclusivamente tramite il professionista.
Egli è, infatti, l'unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla disciplina di settore, come chiarito dal Garante in un provvedimento nel quale è stato precisato che il medico competente tratta dati personali di natura sanitaria indispensabili ai fini dell'applicazione della normativa in materia di igiene e di sicurezza del lavoro in qualità di titolare del trattamento (provvedimento dl 27 aprile 2016, n. 194; le linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro, provvedimento del 5 giugno 2019, n. 146). Tanto, anche in considerazione del fatto che lo stesso regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr) considera in via autonoma le funzioni del medico competente con riguardo ai trattamenti necessari per le finalità di medicina del lavoro (art. 9, lett. h) diversamente dai trattamenti del datore di lavoro necessari per adempiere i propri obblighi normativi in materia di salute e sicurezza sul lavoro (artt. 9, lett. b), e 88 del Rgpd).
Condominio. I condomini sono contitolari e l'amministratore di condominio è responsabile esterno. Questa la precisazione del Garante della privacy, che ha sottolineato che le informazioni personali riferibili a ciascun condomino possono essere trattate per la finalità di gestione e amministrazione del condominio. Per questa finalità le informazioni possono essere condivise all'interno della compagine condominiale, tenendo anche conto che i condomini devono essere considerati contitolari di un medesimo trattamento dei dati di cui l'amministratore, agendo in eventuale veste di responsabile del trattamento, ha la concreta gestione. L'amministratore, in base a quanto previsto dagli articoli 28, par. 3, lett. b), e 29 del Gdpr, può individuare persone autorizzate al trattamento dei dati personali che agiscono sotto la sua autorità, purché si siano impegnate alla riservatezza e siano state loro fornite le relative istruzioni. Il Garante ha fatto presente che la conoscibilità delle informazioni concernenti i partecipanti alla compagine condominiale deve restare impregiudicata qualora ciò sia conforme alla disciplina civilistica o comunque sia prevista in base ad altre norme stabilite nell'ordinamento: si vedano le disposizioni introdotte con la legge 220/2012, ed in particolare, quelle contenute negli articoli 1130, comma 1, numeri 6 e 7, 1129, comma 2, e 1130-bis, comma 1, codice civile.
Servizi assicurativi. Le compagnie di assicurazioni sono titolari autonome del trattamento.
Il Garante ha fornito un parere in merito al ruolo di titolare o responsabile del trattamento rivestito dalle società che offrono servizi assicurativi a soggetti pubblici.
Nel caso specifico, una compagnia assicuratrice si è rivolta al Garante esponendo che nei bandi di gara promossi da alcuni enti pubblici e società controllate o partecipate per l'affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, ecc.) era previsto che la compagnia assicuratrice aggiudicataria assumesse il ruolo di responsabile del trattamento ai sensi dell'articolo 28 del Gdpr.
Il Garante ha chiarito che la compagnia assicurativa aggiudicataria assume la posizione di titolare autonomo del trattamento non realizzando un trattamento di dati per conto dell'ente aggiudicante rispetto al quale persegue interessi separati e distinti. L'attività delle compagnie assicuratrici, che operano sotto la vigilanza di un'autorità di controllo di settore, è disciplinata da specifica normativa (dlgs n. 209/05, codice delle assicurazioni) che definisce tutti gli aspetti dell'attività assicurativa, individuando gli obblighi che ricadono su ognuna delle parti contraenti.
Fonte: Italia Oggi Sette del 6 luglio 2020 - A cura di Antonio Ciccia Messina