Tutte le attività e i documenti necessari per la tutela della salute e della sicurezza dei lavoratori comportano anche il trattamento di dati personali. Il Regolamento UE sulla privacy impone una serie di adempimenti che il titolare del trattamento, datore di lavoro, deve assicurare ai propri lavoratori a garanzia dei loro dati. In particolare, il flusso dei dati trattati deve essere oggetto di redazione del corrispondente Registro del trattamento dei dati, nonché di valutazione d’impatto (DPIA). Come gestire correttamente i dati, la formazione degli incaricati e la documentazione necessaria da elaborare?
Allo scopo di tutelare la salute e la sicurezza dei prestatori di lavoro vengono trattati dei dati personali del lavoratore stesso, che risulta il soggetto “interessato” al trattamento. Mentre il datore di lavoro, inteso come persona fisica o giuridica nella figura del titolare dell’impresa o dello studio o del legale rappresentante della società o il presidente di una associazione o di un ente, è il “Titolare del trattamento”.
Adempimenti in ambito di privacy correlata alla sicurezza sul lavoro
In base alla figura centrale che riveste l’interessato, deve ricevere dal titolare del trattamento una informativa esplicativa sui riferimenti del titolare, le finalità e la base giuridica per la quali i dati vengono trattati, la tipologia di dati, la possibile trasmissione a soggetti terzi o a responsabili del trattamento esterni, i diritti dell’interessato e le conseguenze di un rifiuto al conferimento.
Si precisa che trattare i dati essenziali (vedremo poi quali siano) del lavoratore risulta un obbligo di legge ed una necessità per tutelare la salute e la sicurezza del lavoratore e, pertanto, l’azienda non ha necessità di richiedere un consenso al trattamento dei dati, ma dovrà semplicemente fornire al lavoratore l’informativa sopra citata.
Tutti i lavoratori dell’azienda che vengono, per qualunque finalità inerente la salute e la sicurezza, a trattare dei dati di colleghi, sono inoltre soggetti “incaricati” al trattamento e, per tale funzione devono ricevere una lettera d’incarico ad hoc e una formazione specifica per il corretto trattamento dei dati.
Ruolo particolare è ricoperto dagli R.L.S., rappresentanti dei lavoratori per la sicurezza, che nello svolgimento delle loro funzioni possono venire a conoscenza di dati differenti, come ad esempio l’accadimento di un infortunio sul lavoro e, quindi, anche dei dati sanitari del lavoratore coinvolto. Trattando dati personali dei lavoratori, il datore deve far svolgere a tali soggetti una formazione anche ai fini della privacy.
Ulteriore ruolo particolare riguarda il R.S.P.P., responsabile del servizio di prevenzione e protezione, in quanto, se svolto da soggetto interno all’azienda, risulterà ai fini della privacy, “incaricato” (con lettera di incarico differente rispetto a quella degli altri colleghi perché sia le finalità che i dati trattati sono differenti) e dovrà essere adeguatamente formato anche ai fini della privacy.
Nel caso in cui, invece, l’incarico di R.S.P.P. sia ricoperto da soggetto esterno, egli è individuato come “Responsabile del trattamento” esterno all’azienda. In questo caso il Titolare del trattamento (datore di lavoro) deve sottoscrivere una nomina per tale figura indicando le finalità, la tipologia di dati trattati, la categoria di soggetti interessati e l’impegno ad adottare tutte le misure di tutela necessarie, riservandosi la facoltà di verificare l’efficacia delle misure predisposte.
Soggetto esterno al rapporto di lavoro, ma che effettua un trattamento dei dati del lavoratore è anche il medico competente. Il Garante della Privacy ha chiarito nella Relazione presentata in parlamento nel giugno 2020 che il rapporto intercorrente tra lavoratore e medico competente dell’azienda sia esclusivo rispetto al datore di lavoro e, pertanto, il professionista è configurato come Titolare del trattamento autonomo rispetto al datore di lavoro stesso. I classici flussi di dati personali che si instaurano tra datore di lavoro e medico competente, si intendono tecnicamente come “comunicazioni” di dati personali.
Possono esservi altri soggetti esterni all’azienda destinatari dei dati del lavoratore: si pensi agli enti formativi o alle società che eroghino corsi di formazione in ambito di salute e sicurezza e rilascino i relativi attestati, o ai committenti che richiedano all’appaltatore determinate informazioni, tra cui possono esservi i nominativi dei lavoratori o altri dati a loro riferiti, nonché ai consulenti informatici che possono veder transitare i dati inerenti la salute e sicurezza sul lavoro degli interessati. A seconda delle situazioni specifiche si potrà anche in questo caso individuare tali soggetti come Responsabili del trattamento esterno oppure semplicemente come destinatari terzi.
Il flusso dei dati trattati deve essere oggetto di redazione del corrispondente Registro del trattamento dei dati, nonché di valutazione d’impatto (DPIA).
Dati trattati
I dati personali trattati con finalità di tutela della salute e sicurezza dei lavoratori, oltre ai dati anagrafici, possono essere identificati in dati relativi ai corsi di formazione svolti, alle mansioni svolte, ad immagini (ad esempio sul tesserino per i cantieri) nonché dati particolari (ex dati sensibili) relativi alla sorveglianza sanitaria svolta (intesa come tipologia di visite mediche), l’origine razziale o etnica (dovendo elaborare la valutazione dei rischi in base alla provenienza da altri paesi) e all’appartenenza sindacale (riferita ai RLS).
Importante adempimento riguarda, tra tutti i dati, la corretta conservazione della cartella sanitaria. Essendo il medico competente il Titolare autonomo del trattamento, sarebbe opportuno che le cartelle sanitarie fossero da lui conservate fino alla cessazione dell’incarico. Si può però anche optare per la conservazione della documentazione da parte del datore di lavoro nel rispetto della tutela dei dati e ciò avviene comunque per 10 anni nel caso di cessazione del rapporto di lavoro.
Qualunque dato, soprattutto se particolare, deve essere trattato in maniera idonea sia sotto l’aspetto documentale che informatico, ad esempio prevedendo la conservazione in armadi con chiusura a chiave, con la pseudonimizzazione, con la protezione degli hardware e dei software ove siano conservati i dati.
Tra i dati personali trattati vi sono gli attestati di formazione. Nel 2020 il Garante Privacy ha dichiarato che anche gli attestati di qualificazione processionale conseguiti durante il rapporto di lavoro possono costituire dati personali e, pertanto, il lavoratore ha diritto di richiederne copia.