Garante privacy: chiarimenti su medico competente e rilevazione dei dati biometrici

Data pubblicazione: 10/07/2020

In seguito ad un quesito formulato dalla Società italiana di medicina del lavoro (SIML) in merito al trattamento dei dati personali da parte del medico competente ai sensi della disciplina in materia di igiene e sicurezza sul luogo di lavoro, il Garante ha precisato che la disciplina di settore (D.Lgs 9 aprile 2008, n. 81) individua la funzione del medico competente come autonoma rispetto a quella che, pure in tale ambito, deve essere svolta dal datore di lavoro, assegnando specifici e distinti obblighi in capo all’una e all’altra figura, così delineando l’ambito del rispettivo trattamento consentito.

In particolare, nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità.

Il Garante ha quindi considerato il medico competente un autonomo titolare. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla disciplina di settore, come chiarito dal Garante stesso in un provvedimento nel quale è stato precisato che il medico competente tratta dati personali di natura sanitaria indispensabili ai fini dell’applicazione della normativa in materia di igiene e di sicurezza del lavoro in qualità di titolare del trattamento.

Con la recente pubblicazione della Relazione annuale sull’attività svolta nell’anno 2019, inoltre, il Garante si è pronunciato in modo inconfutabile su di un tema sensibile e attuale per molte aziende, ovvero la possibilità di utilizzare i dati biometrici dei dipendenti (ad es. impronte digitali, riconoscimento facciale, ecc.) per registrare il loro orario di ingresso e di uscita dal posto di lavoro.

Tale metodo è stato valutato dal Garante come sproporzionato ed eccessivamente invasivo rispetto alle reali esigenze dei datori di lavoro, siano essi pubblici che privati.

La Relazione riporta espressamente: “…. i rilievi formulati dal Garante non possono essere superati neanche dall’eventuale consenso dei dipendenti che, peraltro, non costituisce un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro”.

E ancora: “Per tali ragioni è stato rappresentato che, allo stato, il quadro normativo non consente al datore di lavoro il trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze”.

(Fonte: Garante per la privacy)