La privacy sul luogo di lavoro

di Redazione

Privacy e lavoro

Questo contributo è tratto da 

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Titolare, responsabile e autorizzato. Risulta fondamentale, innanzitutto, individuare i protagonisti coinvolti nel trattamento di dati personali nell’ambito lavorativo.
• Il titolare è colui che determina le finalità e mezzi del trattamento, e viene facilmente individuato nel datore di lavoro che tratta i dati dei suoi dipendenti. Titolare
può essere sia una persona fisica che una persona giuridica, come anche un’autorità pubblica, un servizio o un altro organismo. Qualora un’azienda faccia
parte di un gruppo di imprese, potrebbe avere interesse a trasmettere i dati personali (compresi quelli dei dipendenti) all’interno del gruppo a fini amministrativi interni. Questo, insieme ad altre tipologie di trattamento, è agevolato dal legislatore attraverso diverse previsioni legislative. In questo specifico caso, infatti, il trattamento potrà essere legittimato dalla base normativa posta all’art. 6 par. 1 lett. f) del Regolamento, cioè il legittimo interesse.

Responsabile del trattamento, invece, è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare.
Nell’ambito di un rapporto di lavoro, in diversi casi, è possibile che il titolare faccia ricorso ad altri soggetti che svolgano dei trattamenti per suo conto,
esterni alla sua organizzazione. L’art. 28 del GDPR richiede che tale figura venga individuata attraverso un contratto o altro atto giuridico, a norma del diritto
dell’Unione o degli Stati membri che vincoli i due soggetti tra loro e che ne disciplini il rapporto. Il responsabile dovrà redigere il registro del trattamento, seppur
in forma semplificata, ex art. 30 punto 2 – GDPR.
• Autorizzato. Sia il titolare che il responsabile possono avvalersi del loro personale, al fine di eseguire i trattamenti di dati personali per loro conto. In questo caso
sarà necessario autorizzare i dipendenti agli specifici trattamenti, preferibilmente attraverso un atto scritto. È necessario inserire all’interno dell’atto di autorizzazione delle istruzioni sulle modalità di trattamento dati (ad esempio: istruzioni sulla complessità delle password da utilizzare e sulle modalità e tempistiche di modifica, sulla custodia dei documenti fisici e digitali) e sui comportamenti da avere in caso di data breach. Qualora infatti un soggetto autorizzato dovesse accorgersi di una violazione di dati personali, dovrà informare tempestivamente il titolare, al fine di provvedere ad una valutazione dell’accaduto. Il titolare, a sua volta, avrà 72 ore dalla scoperta dell’evento per effettuare una comunicazione al Garante privacy. Tutti i comportamenti e gli accorgimenti di cui sopra sono svolti
con la finalità di ottemperare al principio di accountability, secondo cui il titolare deve avere un comportamento proattivo ed essere in grado di dimostrare ciò
che è stato fatto a tutela dei dati personali da lui trattati.

Il ruolo del medico del lavoro

È utile approfondire i trattamenti che possono o devono essere effettuati da un’impresa in conformità alla disciplina in materia di sicurezza e igiene del lavoro. Tale disciplina nasce con l’intenzione di tutelare l’integrità psico-fisica dei lavoratori (art. 2087 c. c.) e pone, in capo al medico competente in materia di igiene e sicurezza dei luoghi di lavoro, la sorveglianza sanitaria obbligatoria ed il correlativo trattamento dei dati contenuti in cartelle cliniche. In quest’ambito, il medico competente ha il compito di effettuare gli accertamenti preventivi e periodici sui lavoratori ed istituisce una cartella sanitaria e di rischio, curandone l’aggiornamento per conto del datore di lavoro. La cartella sarà custodita all’interno dell’azienda o dell’unità produttiva, avendo cura del segreto professionale, e consegnata in copia al lavoratore al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne faccia richiesta. Sempre in caso di cessazione del rapporto lavorativo, la cartella in originale sarà conservata dal datore di lavoro, in busta chiusa, per dieci anni. Successivamente potrà essere distrutta. Qualora vi fossero particolari fattori di rischio per il lavoratore, essa dovrà essere trasmessa al Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale (DiMEILA) dell’INAIL, in originale e in busta chiusa.
In particolare la procedura da seguire, come indicato dall’INAIL, è la seguente: 1. alla cessazione del rapporto di lavoro del lavoratore con esposizione al rischio
agenti cancerogeni, il datore di lavoro, per il tramite del medico competente, deve inoltrare, al DiMEILA, entro 30 giorni, la/e cartella/e sanitaria/e e di rischio,
in originale, del lavoratore/i interessato/i, unitamente a copia delle relative annotazioni individuali, in plico chiuso e siglato dal medico competente. La suddetta
documentazione è conservata dall’INAIL – DiMEILA, per 40 anni; 2. alla cessazione dell’attività dell’azienda con esposizione al rischio agenti cancerogeni,
il datore di lavoro deve inoltrare al DiMEILA, entro 30 giorni, le cartelle sanitarie e di rischio, in originale, dei lavoratori; 3. alla cessazione del rapporto di lavoro del lavoratore con esposizione al rischio agenti biologici gruppo 3 e 4, il datore di lavoro, per il tramite del medico competente, deve inoltrare, al DiMEILA, le cartelle sanitarie e di rischio, in originale, del lavoratore/i interessato/i, per il tramite del medico competente; 4. alla cessazione dell’attività dell’azienda con esposizione al rischio agenti biologici gruppo 3 e 4, il datore di lavoro, per il tramite del medico competente, deve inoltrare al DiMEILA le cartelle sanitarie e di rischio, in originale, del lavoratore/i interessato/i; 5. entro 6 mesi dalla cessazione del rapporto di lavoro del lavoratore o dell’attività dell’azienda con esposizione al rischio radiazioni ionizzanti, il medico incaricato della sorveglianza deve inoltrare al DiMEILA il documento sanitario personale del lavoratore/i interessato/i, unitamente ai documenti di cui all’art. 81, comma 1, lett. d) ed e) d.lgs. 230/1995 e s.m.i.

Potrebbe interessarti anche Il diritto di accesso

La documentazione di cui ai punti 3 e 4 sarà conservata dall’INAIL – DiMEILA fino a dieci anni dalla cessazione di ogni attività che espone ad agenti biologici. Nel
caso di agenti per i quali è nota la possibilità di provocare infezioni consistenti o latenti, o la possibilità di dare luogo a malattie con recrudescenza periodica per lungo tempo, o di gravi sequele a lungo termine, tale periodo è di quaranta anni. La documentazione di cui al punto 5 è conservata dall’INAIL – DiMEILA per 30 anni.
Il datore di lavoro non può accedere alle predette cartelle, avendo esclusivamente l’obbligo di custodirle in maniera efficace nei propri locali aziendali, anche in vista
di possibili accertamenti ispettivi, avendo cura del segreto professionale. Egli, infatti, non conosce le eventuali patologie accertate dal medico competente, ma esclusivamente la valutazione finale circa l’idoneità del dipendente dal punto di vista sanitario, sulla base della quale adotterà le misure preventive e protettive adeguate.

Questo contributo è tratto da 

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!