Sono state rinnovate per il 2015 una serie di autorizzazioni al trattamento dei dati personali. Le autorizzazioni del Garante della Privacy al medico competente per il trattamento dei dati dei lavoratori e i moduli per l’informazione ai lavoratori.
Riguardo al rinnovo al Medico Competente delle Autorizzazioni per il trattamento dei dati dei lavoratori, pubblichiamo un contributo del Dott. Cristiano Ravalli apparso sul sito Medicina del Lavoro, un blog che vuole offrire a lavoratori, datori di lavoro, RSPP, RLS, medici competenti e semplici curiosi una lettura divulgativa della medicina del lavoro finalizzata all’approfondimento di argomenti legislativi, tecnici, procedurali e organizzativi correlati al rapporto tra lavoro e salute. Al contributo sul tema segue un post sul rapporto tra il Decr. Leg.vo 196/2003 e gli obblighi derivanti dalla normativa sulla tutela della salute e sicurezza con alcuni moduli già predisposti per l’informazione ai lavoratori riguardo al trattamento dei loro dati sensibili.
Sono state rinnovate per il 2015 una serie di autorizzazioni d’ufficio al trattamento di alcuni dati personali, tra cui l’Autorizzazione generale n. 1/2014 al trattamento dei dati sensibili nei rapporti di lavoro 11 dicembre 2014 (pubblicata sulla Gazzetta Ufficiale n. 301 del 30 dicembre 2014).
In essa al punto 1), lettera c) “l’autorizzazione riguarda anche l’attività svolta: dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente dei soggetti di cui alla lettera a) o di strutture convenzionate”.
Pertanto il medico competente non necessita di raccogliere il consenso del lavoratore all’atto delle visite mediche riguardo il trattamento dei suoi dati personali.
Tuttavia è buona prassi informare il lavoratore su cosa viene trasmesso all’azienda, sulla modalità di conservazione degli esami integrativi e sul fatto che questi ultimi non sono accessibili in azienda (molti lavoratori sono convinti del contrario), sul luogo e modalità di conservazione delle cartelle sanitarie e di rischio (presso il medico o presso l’azienda con salvaguardia del segreto professionale), sul fatto che alla cessazione del rapporto di lavoro vige l’obbligo di consegna al lavoratore della copia e della conservazione dell’originale per almeno 10 anni presso l’azienda, ecc.
A tale proposito ripropongo un post in cui rendevo disponibili alcuni moduli già predisposti per l’informazione ai lavoratori riguardo al trattamento dei loro dati sensibili: solo gestione cartacea e solo rapporto diretto medico-azienda senza intermediazioni di società di servizi/poliambulatori/ecc.
IL MEDICO COMPETENTE E LA PROVACY
È veramente difficile conciliare gli obblighi derivanti dalla normativa sulla tutela della salute e sicurezza nei confronti del Decr. Leg.vo 196/2003.
Il medico competente gestisce dati sensibili la cui raccolta è un obbligo di legge e richiede l’autorizzazione dell’autorità Garante che provvede, in automatico a rilasciarla annualmente
Il medico competente gestisce le cartelle sanitarie e di rischio, in forma cartacea ed eventualmente informatica, che possono essere conservate in azienda (eccetto il periodo necessario nell’attesa dell’esito di eventuali esami eseguiti) o presso il suo studio. Nel primo caso il datore di lavoro è responsabile della custodia e non può chiaramente accedere alle cartelle. Egli inoltre ha l’obbligo di conservarle almeno 10 anni successivi alla cessazione del rapporto di lavoro.
I dati personali che il medico competente è tenuto a trasmettere al datore di lavoro e al lavoratore in forma scritta sono rappresentati dal giudizio di idoneità secondo il modello previsto dalla legge, in cui compaiono le generalità del lavoratore, i fattori di rischio lavorativi a cui è esposto, evinti dal documento di valutazione dei rischi e l’idoneità con eventuali prescrizioni o limitazioni dei compiti lavorativi.
Sulla base di quanto descritto, a mio avviso, il medico competente dovrebbe essere nominato Responsabile del Trattamento dei Dati Personali e a sua volta egli può nominare eventuali collaboratori come “incaricati”. In caso di mancata nomina, il Responsabile sarà altra figura identificata dal Titolare del Trattamento e il medico competente non avrà alcuna responsabilità nel trattamento dei dati. Rimane in capo al medico la salvaguardia del segreto professionale e pertanto dovrà vigilare affinché nessuno abbia accesso alle cartelle sanitarie e di rischio (eccetto il personale sanitario degli enti preposti al controllo o della magistratura).
Su questo complesso sistema si aggiunge poi la visita di idoneità preventiva eseguita in fase preassuntiva in cui non é stato ancora instaurato il rapporto di lavoro.
Io non ho competenze legali né sono esperto della materia ma secondo me, considerato anche la molteplicità delle risposte ricevute quando ho sottoposto i quesiti agli esperti, ho predisposto un modulo informativo per fornire al lavoratore tutte informazioni sui dati personali gestiti dal medico competente.
Ciò riguarda unicamente la gestione delle cartelle sanitarie e di rischio su base cartacea e non informatizzata, opzione consentita dalla normativa.
Ho considerato 4 possibilità:
- Modulo che ottemperi agli obblighi in caso di conservazione delle cartelle in azienda e di NON assunzione del ruolo di Responsabile;
- Modulo che ottemperi agli obblighi in caso di conservazione delle cartelle presso lo studio del medico e di assunzione del ruolo di Responsabile;
- Modulo che ottemperi agli obblighi in caso di conservazione delle cartelle in azienda e assunzione del ruolo di Responsabile;
- Modulo che ottemperi agli obblighi in caso di conservazione delle cartelle presso lo studio del medico e di NON assunzione del ruolo di Responsabile.
I moduli sono scaricabili qui:
caso 1: https://docs.google.com/file/d/0BzoVPplAqXTxOTdaMEZoYkYtZnc/edit
caso 2: https://docs.google.com/file/d/0BzoVPplAqXTxLWdHVjNEZ2ZTZUE/edit
caso 3: https://docs.google.com/file/d/0BzoVPplAqXTxeGE1MEFfVTBCbWM/edit
caso 4: https://docs.google.com/file/d/0BzoVPplAqXTxVWlkZll2U0FBa2s/edit
Ancora più complessa l’eventualità in cui il datore di lavoro si affidi ad un centro di servizi medici il quale sceglie il medico competente. In questo caso i dati personali vengono trasmessi al datore di lavoro da parte del medico competente attraverso una struttura organizzativa e le cartelle magari vengono conservate presso lo stesso centro medico. Non saprei come gestire questa eventualità poiché non collaboro con strutture terze.
Dott. Cristiano Ravalli