Cerca
Close this search box.

Privacy e Sicurezza sul lavoro

La nuova disciplina mette al centro la responsabilizzazione del Datore di Lavoro

 

La data del 25 maggio 2018 ha segnato, nel nostro ordinamento giuridico, lo spartiacque in tema di applicazione della protezione dei dati personali. Vediamo, quindi, di stigmatizzare i contenuti del Regolamento Europeo evidenziando l’impatto che la nuova disciplina avrà sul comparto della Sicurezza sul Lavoro.

Dobbiamo innanzitutto sottolineare che il fulcro della nuova disciplina mette al centro la responsabilizzazione del Datore di Lavoro quale soggetto giuridico degli obblighi di garanzia del trattamento dati, chiamandolo ad adottare una concreta politica per la realizzazione di misure finalizzate a escludere (o quantomeno a ridurre al minimo) i rischi per i diritti e la libertĂ  degli interessati. Rischi potenziali che, nella sintesi, consistono nella:

• Distruzione parziale o integrale dei dati trattati (anche accidentale),

• Accesso non autorizzato da parte di soggetti diversi,

• Trattamento non consentito oppure non conforme alle previste finalità di raccolta.

Ma quali sono le sostanziali differenze che caratterizzano il nuovo Regolamento Europeo rispetto al precedente Codice della Privacy? In estrema sintesi possiamo dire che nel “vecchio sistema” la sicurezza era garantita dalla conformità alla norma, mentre oggi è la conformità alla norma che garantisce la sicurezza con un passaggio dalla concezione formale alla concezione sostanziale e che nella sua applicazione pratica significa: è necessario dimostrare di avere attentamente valutato tutti i rischi dei trattamenti effettuati oltre naturalmente di avere predisposto le opportune misure tecniche ed organizzative idonee alla eliminazione (o quantomeno alla riduzione) dei rischi individuati proprio con lo stesso principio applicato nella valutazione dei rischi del D.Lgs. 81/2008. Il titolare del trattamento dei dati (il Datore di Lavoro) dovrà, quindi, essere in grado di dimostrare l’applicazione del processo di valutazione adottato e complessivo di misure giuridiche, organizzative e tecniche per la protezione dei dati personali in conformità al Regolamento Europeo.

Nella fattispecie, e come noto, in ottemperanza alla normativa sulla sicurezza lavoro (nei casi previsti dalla legge), ogni lavoratore deve essere sottoposto a sorveglianza sanitaria in funzione dei fattori di rischio a cui è esposto a seguito della valutazione dei rischi prodotta dal Datore di Lavoro (vedi Documento di Valutazione dei Rischi artt. 28 e 29 D.Lgs. 81/2008) per la redazione della propria personale cartella sanitaria che rappresenterà elemento di accompagnamento per l’intero arco lavorativo. Nella cartella sanitaria saranno raccolti dati personali costituiti da:

• dati anamnestici,

• informazioni relative al decorso per l’esposizione allo specifico rischio professionale,

• diagnosi e terapie adottate,

che, raccolti e analizzati dal Medico Competente, costituiranno l’elemento di base per l’espressione del giudizio di idoneità (con o senza limitazioni) allo svolgimento della mansione specifica cui il lavoratore è stato assegnato e che troverà collocazione appunto nella cartella sanitaria personale. Il Datore di Lavoro, nella sua indagine sui rischi di gestione del dato, dovrà pertanto considerare tutti i soggetti che a vario titolo interagiscono nella gestione della cartella sanitaria e che sono identificabili in:

• Medico Competente,

• Referenti aziendali (solitamente il Responsabile S.P.P. e il R.L.S),

• Laboratori di analisi coinvolti nelle indagini specifiche richieste dal Medico Competente,

• Lavoratore,

• Organi di Vigilanza (U.P.G. delle ASL ed altri Enti di controllo),

rendendo accessibili i dati contenuti nella cartella sanitaria in funzione delle specifiche competenze, nel rispetto della necessità e riservatezza (su supporto sia cartaceo che informatico custodito nel rispetto del D.Lgs. 196/2003) e tenendo presente che l’accesso ai dati del lavoratore da parte del Datore di Lavoro sarà limitato al solo esito del giudizio (idoneità, idoneità con limitazioni, inidoneità alla mansione specifica). Solamente il lavoratore interessato, previa richiesta inoltrata al Medico Competente, avrà invece accesso all’intera cartella sanitaria che lo riguarda.

Nella catena delle responsabilità, possiamo, perciò, affermare che il Titolare del trattamento dei dati risulta essere inequivocabilmente il Datore di Lavoro in quanto titolare dell’obbligo di nomina del Medico Competente, che allo stesso competerà l’obbligo di nomina del professionista incaricato come “Titolare esterno” del trattamento dei dati e, a maggior ragione quando l’archiviazione dei dati avverrà presso la sede del medico, dovrà accertarsi che ciò avvenga nel rispetto ed ai sensi dell’art. 29 del Regolamento Europeo.

Nel caso in cui, invece, l’archiviazione e la conservazione delle cartelle sanitarie avvenisse presso la sede aziendale (eventualità che la nostra personale esperienza d’ambito tende a escludere) il Datore di Lavoro dovrà provvedere all’archiviazione in busta sigillata, con l’apposizione del timbro del Medico Competente, da custodire in luogo protetto il cui accesso sarà riservato al solo professionista che, nella lettera di nomina, sarà informato espressamente del suo ruolo di incaricato al trattamento dei dati personali.

Relativamente alla raccolta dei dati personali durante le visite mediche periodiche previste dal Protocollo Sanitario, il Titolare del Trattamento non avrà necessità di ottenere il consenso da parte del lavoratore in quanto tale autorizzazione è già contenuta nell’Autorizzazione Generale n° 1/2014 dell’Autorità Garante.

Ricordiamo, in ultimo, che il lavoratore dovrà essere debitamente informato sull’attività svolta dal Medico Competente e che nel dettaglio è costituita da:

Contenuto delle informazioni trasmesse all’azienda;

Luogo e modalitĂ  di conservazione dei documenti personali del lavoratore e loro inaccessibilitĂ  da parte del Datore di Lavoro o di suoi incaricati;

In caso di cessazione del rapporto di lavoro, obbligo di consegna al lavoratore di copia del fascicolo;

Obbligo di conservazione del fascicolo presso la sede aziendale per almeno un decennio;

Al termine dell’incarico professionale del Medico Competente, obbligo di riconsegna dell’intera documentazione sanitaria con salvaguardia del segreto professionale.

Materia complessa, quindi, con la necessità di prestare particolare attenzione alla valutazione dei rischi per i diritti e le libertà di tutti gli interessati oltre che naturalmente, all’applicazione delle misure tecniche e organizzative sotto il profilo della privacy.

 

  Bruno Scacchi

  S.A.I. CONSULTING S.a.s.

  Sicurezza Lavoro & Ambiente

  consult.626@gmail.com

ARTICOLI DELLO STESSO NUMERO
Questo contenuto è riservato agli abbonati.