Vaccinazioni e Privacy: il GDPR per il medico competente I principali adempimenti del medico competente in materia di Privacy

17 Mag - 2021

Vaccinazioni Covid19: I principali adempimenti del medico competente in materia di Privacy

Le  operazioni  di  trattamento  dei  dati  personali  poste  in  essere  dal  medico  competente nell’ambito della vaccinazione sui luoghi di lavoro, richiedono l’adempimento degli obblighi che il Regolamento GDPR 679/16 pone in capo ai titolari del trattamento e, in particolare:

- Istituzione del registro delle attività di trattamento (art. 30 del Regolamento)

Il medico competente dovrà istituire e tenere un proprio registro, distinto da quello del datore di lavoro che gli ha conferito l’incarico (anche nel caso in cui sia un dipendente che svolge il ruolo di medico competente per il proprio datore di lavoro), considerando che tratta in maniera non occasionale categorie particolari di dati relativi allo stato di salute (cfr. art. 30, paragrafo 5 del Regolamento).

-  Informativa agli interessati (art. 14 del Regolamento)

Per quanto attiene agli obblighi informativi nei confronti degli interessati, si evidenzia che, di regola, il medico competente riceve i dati anagrafici dei lavoratori dal datore di lavoro (a seguito del conferimento dell’incarico ovvero in caso di nuove assunzioni di personale). Di conseguenza,  il  medico  competente  potrà  fornire  le informazioni  di  cui  ai  paragrafi  1  e  2  dell’art.  14  al  momento  della  prima  comunicazione all’interessato (art. 14, comma 3, lett. b) del Regolamento).

-  Sicurezza dei dati personali (artt. 32-34 del Regolamento)

Nei casi in cui vengano utilizzati strumenti (ad es. applicativi informatici) del datore di lavoro, nel rispetto del principio di responsabilizzazione, dovranno essere adottate le misure tecniche e organizzative affinché il trattamento sia conforme alla normativa di settore in materia di salute e sicurezza sui luoghi di lavoro (cfr. artt. 24 e 25 del Regolamento), garantendo, ad esempio, che i dati  personali  relativi  alla  diagnosi  dei  dipendenti  non  entrino,  anche  accidentalmente,  nella disponibilità del datore di lavoro, predisponendo a tal fine misure che assicurino l’accesso selettivo ai dati o che li rendano non comprensibili ai soggetti non autorizzati.

- Nomina del Responsabile della protezione dei dati (artt. 37-39 del Regolamento)

Il Garante ha recentemente chiarito che il singolo professionista sanitario che operi in regime di  libera  professione  a  titolo  individuale,  non  è  tenuto  alla  designazione  del  responsabile  della protezione dei dati (RPD) con riferimento allo svolgimento della propria attività (cfr. Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – n. 55 del 7 marzo 2019, doc. web. n. 9091942