Tutte le attività e i documenti necessari per la tutela della salute e della sicurezza dei lavoratori comportano anche il trattamento di dati personali. Il Regolamento UE sulla privacy impone una serie di adempimenti che il titolare del trattamento, datore di lavoro, deve assicurare ai propri lavoratori a garanzia dei loro dati. In particolare, il flusso dei dati trattati deve essere oggetto di redazione del corrispondente Registro del trattamento dei dati, nonché di valutazione d’impatto (DPIA). Come gestire correttamente i dati, la formazione degli incaricati e la documentazione necessaria da elaborare?

Allo scopo di tutelare la salute e la sicurezza dei prestatori di lavoro vengono trattati dei dati personali del lavoratore stesso, che risulta il soggetto “interessato” al trattamento. Mentre il datore di lavoro, inteso come persona fisica o giuridica nella figura del titolare dell’impresa o dello studio o del legale rappresentante della società o il presidente di una associazione o di un ente, è il “Titolare del trattamento”. Adempimenti in ambito di privacy correlata alla sicurezza sul lavoro In base alla figura centrale che riveste l’interessato, deve ricevere dal titolare del trattamento una informativa esplicativa sui riferimenti del titolare, le finalità e la base giuridica per la quali i dati vengono trattati, la tipologia di dati, la possibile trasmissione a soggetti terzi o a responsabili del trattamento esterni, i diritti dell’interessato e le conseguenze di un rifiuto al conferimento. Si precisa che trattare i dati essenziali (vedremo poi quali siano) del lavoratore risulta un obbligo di legge ed una necessità per tutelare la salute e la sicurezza del lavoratore e, pertanto, l’azienda non ha necessità di richiedere un consenso al trattamento dei dati, ma dovrà semplicemente fornire al lavoratore l’informativa sopra citata. Tutti i lavoratori dell’azienda che vengono, per qualunque finalità inerente la salute e la sicurezza, a trattare dei dati di colleghi, sono inoltre soggetti “incaricati” al trattamento e, per tale funzione devono ricevere una lettera d’incarico ad hoc e una formazione specifica per il corretto trattamento dei dati. Ruolo particolare è ricoperto dagli R.L.S., rappresentanti dei lavoratori per la sicurezza, che nello svolgimento delle loro funzioni possono venire a conoscenza di dati differenti, come ad esempio l’accadimento di un infortunio sul lavoro e, quindi, anche dei dati sanitari del lavoratore coinvolto. Trattando dati personali dei lavoratori, il datore deve far svolgere a tali soggetti una formazione anche ai fini della privacy. Ulteriore ruolo particolare riguarda il R.S.P.P., responsabile del servizio di prevenzione e protezione, in quanto, se svolto da soggetto interno all’azienda, risulterà ai fini della privacy, “incaricato” (con lettera di incarico differente rispetto a quella degli altri colleghi perché sia le finalità che i dati trattati sono differenti) e dovrà essere adeguatamente formato anche ai fini della privacy. Nel caso in cui, invece, l’incarico di R.S.P.P. sia ricoperto da soggetto esterno, egli è individuato come “Responsabile del trattamento” esterno all’azienda. In questo caso il Titolare del trattamento (datore di lavoro) deve sottoscrivere una nomina per tale figura indicando le finalità, la tipologia di dati trattati, la categoria di soggetti interessati e l’impegno ad adottare tutte le misure di tutela necessarie, riservandosi la facoltà di verificare l’efficacia delle misure predisposte.Soggetto esterno al rapporto di lavoro, ma che effettua un trattamento dei dati del lavoratore è anche il medico competente. Il Garante della Privacy ha chiarito nella Relazione presentata in parlamento nel giugno 2020 che il rapporto intercorrente tra lavoratore e medico competente dell'azienda sia esclusivo rispetto al datore di lavoro e, pertanto, il professionista è configurato come Titolare del trattamento autonomo rispetto al datore di lavoro stesso. I classici flussi di dati personali che si instaurano tra datore di lavoro e medico competente, si intendono tecnicamente come “comunicazioni” di dati personali. Possono esservi altri soggetti esterni all’azienda destinatari dei dati del lavoratore: si pensi agli enti formativi o alle società che eroghino corsi di formazione in ambito di salute e sicurezza e rilascino i relativi attestati, o ai committenti che richiedano all’appaltatore determinate informazioni, tra cui possono esservi i nominativi dei lavoratori o altri dati a loro riferiti, nonché ai consulenti informatici che possono veder transitare i dati inerenti la salute e sicurezza sul lavoro degli interessati. A seconda delle situazioni specifiche si potrà anche in questo caso individuare tali soggetti come Responsabili del trattamento esterno oppure semplicemente come destinatari terzi. Il flusso dei dati trattati deve essere oggetto di redazione del corrispondente Registro del trattamento dei dati, nonché di valutazione d’impatto (DPIA). I rapporti tra l’azienda e le diverse figure ed i relativi adempimenti da attuare, si possono riassumere in questa tabella:

Ruolo in azienda	Figura ai fini della privacy	Adempimenti del titolare
Datore di lavoro	Titolare del trattamento
Lavoratori	Interessati	Informativa
Lavoratori che trattano dati di colleghi	Incaricati	Incarico – Formazione
RLS		Formazione
RSPP interno	Incaricato	Incarico - Formazione
RSPP esterno	Responsabile del trattamento	Nomina
Medico Competente	Titolare del trattamento

Dati trattati e registro del trattamento I dati personali trattati con finalità di tutela della salute e sicurezza dei lavoratori, oltre ai dati anagrafici, possono essere identificati in dati relativi ai corsi di formazione svolti, alle mansioni svolte, ad immagini (ad esempio sul tesserino per i cantieri) nonché dati particolari (ex dati sensibili) relativi alla sorveglianza sanitaria svolta (intesa come tipologia di visite mediche), l’origine razziale o etnica (dovendo elaborare la valutazione dei rischi in base alla provenienza da altri paesi) e all’appartenenza sindacale (riferita ai RLS). Importante adempimento riguarda, tra tutti i dati, la corretta conservazione della cartella sanitaria. Essendo il medico competente il Titolare autonomo del trattamento, sarebbe opportuno che le cartelle sanitarie fossero da lui conservate fino alla cessazione dell’incarico. Si può però anche optare per la conservazione della documentazione da parte del datore di lavoro nel rispetto della tutela dei dati e ciò avviene comunque per 10 anni nel caso di cessazione del rapporto di lavoro. Qualunque dato, soprattutto se particolare, deve essere trattato in maniera idonea sia sotto l’aspetto documentale che informatico, ad esempio prevedendo la conservazione in armadi con chiusura a chiave, con la pseudonimizzazione, con la protezione degli hardware e dei software ove siano conservati i dati, ecc… Tra i dati personali trattati vi sono gli attestati di formazione. Nel 2020 il Garante Privacy ha dichiarato che anche gli attestati di qualificazione processionale conseguiti durante il rapporto di lavoro possono costituire dati personali e, pertanto, il lavoratore ha diritto di richiederne copia. Tra la documentazione da redigere, vi è il Registro del trattamento dei dati. I contenuti di tale registro possono essere così sintetizzati, a titolo esemplificativo:

Nominativo titolare del trattamento	…..
Finalità del trattamento	Gestione del rapporto di lavoro: adempimenti a tutela della salute e della sicurezza sul lavoro
Categoria di soggetti interessati	Lavoratori dipendenti, soci lavoratori, tirocinanti, volontari, praticanti, … (in relazione alle tipologie presenti)
Dati personali trattati	Anagrafici, fotografici, tesserino aziendale, formazione svolta
Dati particolari	Idoneità al lavoro, documentazione sanitaria
Modalità di conservazione	Cartaceo, informatico
Categoria di incaricati	Ufficio risorse umane, Ufficio sicurezza, RSPP (se interno all’azienda)
Ulteriori soggetti destinatari	RLS
Categoria di destinatari esterni	Enti di formazione
Trasferimento a paesi terzi, organizzazioni internazionali	(in relazione del luogo di lavoro ove vengono svolte le attività lavorative)
Responsabile del trattamento esterno	RSPP (se esterno) o consulente alla sicurezza (se esistente)
	Consulente informatico
Termini di conservazione	Per le cartelle sanitarie 10 anni dalla cessazione del rapporto di lavoro
Misure tecniche ed organizzative adottate	Misure tecniche: accesso con autenticazione sui singoli pc, firewall, antivirus, back up giornaliero Misure Organizzative: accesso controllato agli uffici, nomina degli incaricati e relativa formazione, redazione e attuazione di procedure ai fini privacy (in relazione a quanto messo in atto dal titolare del trattamento)

Copyright © - Riproduzione riservata

Fonte: https://www.ipsoa.it/documents/quotidiano/2023/03/24/privacy-tutela-salute-sicurezza-lavoratore-adempimenti-corretta-gestione