La data del 25 maggio 2018 ha segnato, nel nostro ordinamento giuridico, lo spartiacque in tema di applicazione della protezione dei dati personali. Vediamo, quindi, di stigmatizzare i contenuti del Regolamento Europeo evidenziando lâimpatto che la nuova disciplina avrĂ sul comparto della Sicurezza sul Lavoro.
Dobbiamo innanzitutto sottolineare che il fulcro della nuova disciplina mette al centro la responsabilizzazione del Datore di Lavoro quale soggetto giuridico degli obblighi di garanzia del trattamento dati, chiamandolo ad adottare una concreta politica per la realizzazione di misure finalizzate a escludere (o quantomeno a ridurre al minimo) i rischi per i diritti e la libertĂ degli interessati. Rischi potenziali che, nella sintesi, consistono nella:
⢠Distruzione parziale o integrale dei dati trattati (anche accidentale),
⢠Accesso non autorizzato da parte di soggetti diversi,
⢠Trattamento non consentito oppure non conforme alle previste finalità di raccolta.
Ma quali sono le sostanziali differenze che caratterizzano il nuovo Regolamento Europeo rispetto al precedente Codice della Privacy? In estrema sintesi possiamo dire che nel âvecchio sistemaâ la sicurezza era garantita dalla conformitĂ alla norma, mentre oggi è la conformitĂ alla norma che garantisce la sicurezza con un passaggio dalla concezione formale alla concezione sostanziale e che nella sua applicazione pratica significa: è necessario dimostrare di avere attentamente valutato tutti i rischi dei trattamenti effettuati oltre naturalmente di avere predisposto le opportune misure tecniche ed organizzative idonee alla eliminazione (o quantomeno alla riduzione) dei rischi individuati proprio con lo stesso principio applicato nella valutazione dei rischi del D.Lgs. 81/2008. Il titolare del trattamento dei dati (il Datore di Lavoro) dovrĂ , quindi, essere in grado di dimostrare lâapplicazione del processo di valutazione adottato e complessivo di misure giuridiche, organizzative e tecniche per la protezione dei dati personali in conformitĂ al Regolamento Europeo.
Nella fattispecie, e come noto, in ottemperanza alla normativa sulla sicurezza lavoro (nei casi previsti dalla legge), ogni lavoratore deve essere sottoposto a sorveglianza sanitaria in funzione dei fattori di rischio a cui è esposto a seguito della valutazione dei rischi prodotta dal Datore di Lavoro (vedi Documento di Valutazione dei Rischi artt. 28 e 29 D.Lgs. 81/2008) per la redazione della propria personale cartella sanitaria che rappresenterĂ elemento di accompagnamento per lâintero arco lavorativo. Nella cartella sanitaria saranno raccolti dati personali costituiti da:
⢠dati anamnestici,
⢠informazioni relative al decorso per lâesposizione allo specifico rischio professionale,
⢠diagnosi e terapie adottate,
che, raccolti e analizzati dal Medico Competente, costituiranno lâelemento di base per lâespressione del giudizio di idoneitĂ (con o senza limitazioni) allo svolgimento della mansione specifica cui il lavoratore è stato assegnato e che troverĂ collocazione appunto nella cartella sanitaria personale. Il Datore di Lavoro, nella sua indagine sui rischi di gestione del dato, dovrĂ pertanto considerare tutti i soggetti che a vario titolo interagiscono nella gestione della cartella sanitaria e che sono identificabili in:
⢠Medico Competente,
⢠Referenti aziendali (solitamente il Responsabile S.P.P. e il R.L.S),
⢠Laboratori di analisi coinvolti nelle indagini specifiche richieste dal Medico Competente,
⢠Lavoratore,
⢠Organi di Vigilanza (U.P.G. delle ASL ed altri Enti di controllo),
rendendo accessibili i dati contenuti nella cartella sanitaria in funzione delle specifiche competenze, nel rispetto della necessitĂ e riservatezza (su supporto sia cartaceo che informatico custodito nel rispetto del D.Lgs. 196/2003) e tenendo presente che lâaccesso ai dati del lavoratore da parte del Datore di Lavoro sarĂ limitato al solo esito del giudizio (idoneitĂ , idoneitĂ con limitazioni, inidoneitĂ alla mansione specifica). Solamente il lavoratore interessato, previa richiesta inoltrata al Medico Competente, avrĂ invece accesso allâintera cartella sanitaria che lo riguarda.
Nella catena delle responsabilitĂ , possiamo, perciò, affermare che il Titolare del trattamento dei dati risulta essere inequivocabilmente il Datore di Lavoro in quanto titolare dellâobbligo di nomina del Medico Competente, che allo stesso competerĂ lâobbligo di nomina del professionista incaricato come âTitolare esternoâ del trattamento dei dati e, a maggior ragione quando lâarchiviazione dei dati avverrĂ presso la sede del medico, dovrĂ accertarsi che ciò avvenga nel rispetto ed ai sensi dellâart. 29 del Regolamento Europeo.
Nel caso in cui, invece, lâarchiviazione e la conservazione delle cartelle sanitarie avvenisse presso la sede aziendale (eventualitĂ che la nostra personale esperienza dâambito tende a escludere) il Datore di Lavoro dovrĂ provvedere allâarchiviazione in busta sigillata, con lâapposizione del timbro del Medico Competente, da custodire in luogo protetto il cui accesso sarĂ riservato al solo professionista che, nella lettera di nomina, sarĂ informato espressamente del suo ruolo di incaricato al trattamento dei dati personali.
Relativamente alla raccolta dei dati personali durante le visite mediche periodiche previste dal Protocollo Sanitario, il Titolare del Trattamento non avrĂ necessitĂ di ottenere il consenso da parte del lavoratore in quanto tale autorizzazione è giĂ contenuta nellâAutorizzazione Generale n° 1/2014 dellâAutoritĂ Garante.
Ricordiamo, in ultimo, che il lavoratore dovrĂ essere debitamente informato sullâattivitĂ svolta dal Medico Competente e che nel dettaglio è costituita da:
Contenuto delle informazioni trasmesse allâazienda;
Luogo e modalitĂ di conservazione dei documenti personali del lavoratore e loro inaccessibilitĂ da parte del Datore di Lavoro o di suoi incaricati;
In caso di cessazione del rapporto di lavoro, obbligo di consegna al lavoratore di copia del fascicolo;
Obbligo di conservazione del fascicolo presso la sede aziendale per almeno un decennio;
Al termine dellâincarico professionale del Medico Competente, obbligo di riconsegna dellâintera documentazione sanitaria con salvaguardia del segreto professionale.
Materia complessa, quindi, con la necessitĂ di prestare particolare attenzione alla valutazione dei rischi per i diritti e le libertĂ di tutti gli interessati oltre che naturalmente, allâapplicazione delle misure tecniche e organizzative sotto il profilo della privacy.
 Bruno Scacchi
 S.A.I. CONSULTING S.a.s.
 Sicurezza Lavoro & Ambiente