sulla sicurezza del lavoro Giorgio Trenta
2.2 Il titolare 2.3 Il responsabile 2.4 L'incaricato 2.5 L'interessato Fino a quando non si ha l'occasione di leggereil testo della legge 31 dicembre 1996, n. 675 si può pensare che essa sia essenzialmente indirizzataalla categoria dei giornalisti per proteggere l'ignaro cittadinodai golosi scoop ai quali detti professionisti sono dediti, nonchéad altri soggetti operanti soprattutto in campo informaticoe multimediale (in particolare ai pirati informatici, ai gestoridi reti, ai venditori per corrispondenza, ecc.) che sono in gradodi registrare e catalogare le caratteristiche e le azioni delsingolo che si avventura per le autostrade informatiche. Ma lalettura del testo fa ricredere il lettore giacché si avvedesubito che molti sono i soggetti che vengono chiamati in causa. Detta legge, infatti, è dedicata alla protezionedel cittadino per quanto riguarda la sua riservatezza ela tutela della sua identità personale, caratteristicheche con termine inglese vengono denominate privacy. I dati personali tutelati dalla legge sono tuttiquei dati che sono identificativi del soggetto fisico, giuridico,di ente o associazione e, quindi, come tali, anche i dati anagrafici,o addirittura un eventuale indicazione numerica identificativadella persona. Il legislatore probabilmente all'inizio non avevaesteso le sue considerazioni ai dati che obbligatoriamente vengonotrattati nel mondo del lavoro ed in particolare a quellifinalizzati alla tutela dai rischi con le attività lavorativeed il cui trattamento peraltro è previsto da vari dispostilegislativi. Vediamo allora di capire qual è la portatae l'impatto di questa legge su dette attività, e le incombenzeche gravano sulle varie figure chiamate in causa. Il diritto alla riservatezza viene tutelato attraversol'individuazione di una serie di figure giuridiche che comprendonol'interessato medesimo, alcune delle quali trovano istituzionee definizione nella legge stessa. 2.1. IL GARANTE Il Garante ai sensi dell'art. 30 è un organocollegiale che va a costituire una nuova autorità amministrativaindipendente, cui sono attribuiti poteri di giudizio edecisionali, di stimolo normativo, di vigilanza e controllo. Atitolo informativo la sua sede è in via della Chiesa Nuova,8 - 00186 Roma. 2.2. IL TITOLARE Il titolare è definito come persona fisica,giuridica, pubblica amministrazione, ente, associazione o organismocui competono le decisioni in ordine alle finalità ed allemodalità del trattamento dei dati; così, nel casodi una società o di un'azienda, titolare è la societào l'azienda medesima e gli atti amministrativi richiesti dallalegge sulla privacy dovranno essere sottoscritti dalla personafisica che ha il potere di rappresentarla. Tale persona èquindi passibile delle sanzioni penali previste per la omessao infedele notificazione come richiamato all'art. 34. Adessa vengono demandati una serie di obblighi che verranno in appressomeglio individuati. Nel caso di nostro interesse, e cioè il trattamentodi dati connessi con la tutela dell'attività lavorativa,il titolare può, ma potrebbe anche non coincidere con ildatore di lavoro ai sensi del D.L.vo n. 626/1994 o meglio dei D.L.vo n. 242/l996. Il Garante ha tenuto a precisare, infatti che seil trattamento è fatto da un'amministrazione pubblica,da una società o da un ente, il titolare è la strutturanel suo complesso. Secondo il Garante, quindi, non devono essereconsiderati come titolari le singole persone fisiche che amministranoo rappresentano la struttura. Poiché però,come accennato, il titolare è passibile di azione penale,azione che per sua natura è "personale", la precisazionedel Garante secondo alcuni appare poco pertinente; in ogni casoanche se il titolare è la struttura, per essa dovràoperare l'amministratore responsabile della struttura stessa acui competono gli atti formali previsti per il trattamento deidati. La posizione assunta dal Garante potrebbe essereorientata all'individuazione delle figure in enti e strutturepubbliche chiamate istituzionalmente al trattamento di dati personaliper fini sociali o di pubblica amministrazione come èil caso dell'Inail, dell'Inps, del Ministero delle finanze o delle poste, ecc., trattamenti per i quali non si puòcerto parlare di datore di lavoro. Il titolare in ogni caso nonviene designato con un atto di nomina, ma viene individuato sullabase della sua autonoma responsabilità nella struttura.Sarà comunque necessario attendere la giurisprudenza checontribuirà a chiarire meglio questo aspetto. Al momento, secondo una visione generale, l'identificazionedel datore di lavoro come titolare dei dati personali trattatinell'ambito di un contratto lavorativo sembra la più giuridicamentecorretta, anche alla luce di interpretazioni maturate nell'ambitodel Ministero del lavoro. 2.3. IL RESPONSABILE Il responsabile viene individuato all'art 8 comela persona che per esperienza, capacità ed affidabilitàfornisce idonea garanzia sul rispetto della norma. Poichéil titolare individuabile nella posizione di vertice della strutturanon ha il più delle volte le conoscenze e le capacitaspecifiche richieste per fornire le indicazioni concrete su qualisiano i dati e su come trattarli, si rende necessario individuaredentro l'azienda chi possiede le capacità tecnico-organizzativeper poter svolgere il ruolo di responsabile del trattamento deidati personali. Ad avviso di chi scrive, nell'ambito dello specificotema affrontato in questo articolo, debbono essere individuatepiù figure, che vanno dal responsabile del personale peralcuni dati, al responsabile della sicurezza e all'esperto qualificatoper altri ed, infine, al medico competente e al medico autorizzatoper altri dati ancora. Il responsabile, al contrario del titolare,deve essere individuato, operazione che richiede avvedutezza daparte del titolare che potrebbe incorrere in negligentia ineligendo, qualora le caratteristiche tecniche, organizzativee di affidabilità del responsabile designato abbiano comportatoviolazioni delle norme di riservatezza. La designazione deve contenereper iscritto l'analitica specificazione dei compiti affidati 2.4. L'INCARICATO La figura dell'incaricato del trattamento comparepiù in sordina nella legge agli artt. 8 e 19. Come i responsabili,anche gli incaricati possono essere più di uno edebbono ricevere per iscritto le istruzioni cui attenersi nellemansioni di carattere esecutivo relative al trattamento dei dati,come, per esempio, l'immissione in computer, la postalizzazione,la trascrizione su registri, ecc. Da un punto di vista praticoe restando nel campo di interesse, possono essere individuaticome incaricati del trattamento: gli addetti alla segreteria dell'ufficiodel personale, gli addetti alla segreteria dei servizi di prevenzionee protezione, di radioprotezione, di medicina del lavoro, nonchéil personale infermieristico. 2.5. L'INTERESSATO Gli interessati costituiscono i più qualificatied esigenti soggetti per la difesa della riservatezza dei datiche riguardano loro stessi Infatti il criterio cardine per consentireil trattamento dei dati personali è il consenso esplicitodell'interessato (art. 11) in mancanza del quale il trattamentonon potrà essere intrapreso. Nel caso specifico gli interessatisono i singoli lavoratori, ai quali la legge riconosce il dirittodi negare o di dare il consenso, di verificare la correttezzadei propri dati, di ricorrere al Garante o al Pretore perdifendere la propria riservatezza. Negli allegati sono riportate esemplificazioni pratichedi alcuni possibili moduli informativi e d'incarico per i variattori e di quelli relativi al consenso per i lavoratori In linea generale gli strumenti con cui la leggesi prefigge di garantire il diritto alla privacy sono numerosie comprendono:
Si è già accennato al consenso esplicitodato per iscritto da parte dell'interessato al trattamento deidati che lo riguardano. Questo consenso, almeno nel caso di alcunitipi di dati (quelli "sensibili"), deve essere espressoanche nel caso in cui il trattamento sia esplicitamente richiestoda norme regolamentari, come per l'appunto nel caso specificodelle norme di tutela lavorativa. Questo consenso, inoltre, deve essere "informato",nel senso che verrà ritenuto valido, in caso di contenzioso,solo se saranno state date all'interessato le informazioni sullafinalità, le modalità, la natura del trattamento,sulle conseguenze di un eventuale rifiuto, sull'eventuale comunicazionee diffusione dei dati, sulle generalità del titolare edel responsabile, sui diritti che esso ha in merito a possibilirivendicazioni sul trattamento del dato che lo riguarda come previstodall'art. 13. L'atto di legittimazione ancora più preliminaredel consenso è però rappresentato dalla notificazioneal Garante. E' questo l'atto, sottoscritto dai titolare e dairesponsabile, con cui preventivamente alla raccolta dei dati,questi comunicano il loro intendimento specificando i loro elementiidentificativi, la natura e l'ambito di diffusione dei dati, lefinalità e modalità del trattamento, i criteri adottatiper garantire la riservatezza. L'atto di notificazione, da redigersisu modello predisposto dall'Ufficio del Garante, in distribuzionecon eventuale copia informatica su dischetto, deve essere inviatoal Garante prima di iniziare la raccolta dei dati. Nella notificazione, come accennato, devono esserespecificati anche i criteri organizzativi, logico-proceduralie fisici con cui il titolare intende garantire la sicurezza deidati raccolti che riguardano non solo la riservatezza del dato,ma anche la protezione da eventuali situazioni incidentali chepossono comportare la perdita dei dati stessi (es. incendio, manomissione,cancellazione per malfunzionamenti dei sistemi informatici, ecc.).I criteri di sicurezza verranno comunque precisati ed aggiornaticon apposite disposizioni regolamentari del Garante. Al momento è sufficiente specificare qualisono i criteri adottati senza ricercare particolari adeguamenti,tenendo conto dell'esigenza di garantire delle misure "minime"di sicurezza atte a ridurre il rischio di perdita o di accessinon autorizzati ai dati. Il Garante, come accennato, anche se con pochissimeforze, ha il compito del controllo e della vigilanza su questamateria, e pertanto anche mediante ispezioni può verificareil rispetto della normativa sulla riservatezza dei dati, normativache prevede sanzioni penali e sanzioni amministrative da riferiread eventuali danni arrecati agli interessati che prevedono ilrisarcimento ai sensi dell'art. 2050 c.c. Il riferimento a talearticolo sembra però poco pertinente giacché essofa riferimento al risarcimento per danni fisici e non morali comeinvece si potrebbe verificare nella specifica fattispecie. Tra i dati personali vi è una gerarchia diqualità nella loro capacità di evidenziare caratteristicheconnesse con il decoro, l'onore, la reputazione, le convinzioni,lo stato di salute, ecc., della persona. Ai dati che hanno questeparticolari qualità il legislatore ha dedicato particolareattenzione ed ha richiesto quindi particolari protezioni nel lorotrattamento; si tratta dei dati "sensibili" (ved. Tabellan. 1) le cui modalità di trattamento sono previste negliartt. 22, 23 e 24 del Capo 1V. TABELLA N 1 - DATI SENSIBILI
Un datore di lavoro ha a che fare con una grandeparte delle informazioni che rivelano elementi sensibili: bastipensare alle trattenute sindacali, alla devoluzione nel modello730 a istituzioni religiose, a partiti politici, alle certificazionimediche sulle assenze per malattia o per maternità, maanche a tutti quei dati che per ragioni di igiene e sicurezzadel lavoro possono rientrare tra quelli da ritenere sensibili. Per il trattamento di tutti questi dati si richiedeil consenso scritto informato dell'interessato e l'autorizzazioneda parte del Garante. C'è chi sostiene che in mancanzadel consenso al trattamento di tali dati verrebbe meno il rapportodi lavoro, con l'automatico autolicenziamento del lavoratore. Il trattamento dei dati sensibili nell'ambito diun contratto lavorativo, anche nel caso in cui il trattamentosia effettuato da amministrazioni o enti pubblici, non sembrerebberientrare nella fattispecie di cui al comma 3 dell'art. 22, giacchénel trattamento dei dati lavorativi non vi sono interessi pubbliciperseguiti, ma solo interessi individuali. Il comma citato sembraindirizzato, come già più sopra rilevato, al trattamentodi dati sensibili dei cittadini da parte di enti ed istituti pubblici,come: Inail, Inps, ecc. Pertanto anche queste istituzioni neltrattamento dei dati sensibili relativi al personale da esse dipendentedevono sottostare agli istituti previsti al comma 1 dell'articolocitato. Il consenso scritto è richiesto anche se visono espliciti obblighi di legge a trattare detti dati - D.P.R.n. 303/1955, D.L.vo n. 626/1994, D.L.vo n. 230/1995 ecc. - cme vuole il primo comma dell'art 22; non solo, ma il trattamentodi tali dati può avvenire solo dietro autorizzazione deiGarante. A tal riguardo il Garante ha emanato una serie di autorizzazionicollettive sulla base di quanto gli viene consentito dall'art.4 del D.L.vo n. 123/1997. La prima di queste autorizzazioni,pubblicata sulla G.U. n. 272 del 21.11.1997, hariguardato proprio il trattamento dei dati sensibili nei rapportidi lavoro. I dati relativi ad eventuali aspetti giudiziari,che vanno trattati in conformità a quanto richiede l'art.24, non interessano la tutela lavorativa e non vengono qui presiin considerazione; comunque anche tali dati sono in certo qualmodo assimilati ai sensibili e sono stati tutelati con cauteleparticolari da parte del legislatore. Le attività di sicurezza e protezione lavorativarichiedono l'istituzione di una serie di documenti non sempreesplicitamente previsti dall'attuale legislazione in materia,nei quali vengono contenuti dati che per il loro significato possonoavere la connotazione di sensibili. Tra i documenti indicati sipossono elencare: - cartella sanitaria e di rischio (D.L.vo n. 626/1994,art. 4, comma 8 e decreti precedenti); - documento sanitario personale (D.L.vo n. 230/1995,art. 90, comma 1); - cartella dosimetrica (D.L.vo n. 230/1995, art.81, comma 1); - giudizi d'idoneità (D.L.vo n. 626/1994 edecreti precedenti, D.L.vo n. 230/1995); - schede di radioprotezione; - schede di destinazione lavorativa, - registro infortuni (D.L.vo n.626/1994, art. 4,comma 5, lett. o.); - registri riguardanti l'esposizione al cloruro divinile (D.P.R. n. 962/1982, art. 9), al rumore (D.L.vo n. 277/1991,art. 49), ad agenti chimici e fisici (D.L.vo n.277/1991, art. 4, comma 1, lett. q.), biologici (D.L.vo n. 626/1994,art. 87) e cancerogeni (D.L.vo n. 626/1994, art. 70); - registri indicanti i livelli di esposizione (D.L.von. 277/1991, art. 4, comma 1, lett. q.) E' fuori di dubbio che i dati raccolti nella cartellosanitaria e di rischio, nel documento sanitario personale, nelregistro infortuni, nonché i giudizi d'idoneità,essendo esplicitamente raccolti per motivi di salute sono datisensibili. Si tratta peraltro di dati la cui responsabilitàdel trattamento per legge è affidata a medici; pertantoai sensi dell'art. 23 della legge n.675/1996 il loro trattamentopuò avvenire anche senza l'autorizzazione del Garante (masempre con il consenso del lavoratore). Ciò non èvero però per i giudizi d'idoneità che la leggeimpone di inviare al datore di lavoro, perché prenda iprovvedimenti del caso. Si creano a tal riguardo sottili e complessiproblemi giuridici connessi da una parte agli obblighi di trasmissioneal datore di lavoro e dall'altra alla necessità del consensoda parte del lavoratore. A nostro avviso, poiché il dirittoalla salute è un diritto primario di più alto livellogerarchico rispetto al diritto alla riservatezza, il giudiziod'idoneità va comunque trasmesso, tanto più nelcaso in cui tale giudizio fosse negativo o condizionato ai rispettodi particolari prescrizioni. Gli altri documenti evidenziati contengono dati lacui natura - ai fini dell'individuazione dello stato di salute- non è del tutto chiara. Nella già citata autorizzazionen.1 del Garante, parlando delle categorie di dati che rientranoin detta autorizzazione generale, vengono inseriti nell'elencodei dati idonei a rivelare lo stato di salute "i dati raccoltiin riferimento a malattie anche professionali, invalidità,infermità, puerperio. ad infortuni, ad esposizioni afattori di rischio, all'idoneità psico-fisicoa svolgere determinate mansioni o all'appartenenza a categorieprotette". Sembrerebbe quindi che il Garante consideri sensibilianche i dati relativi alle esposizioni a fattori di rischio; intale accezione dovrebbero venire considerati sensibili anche lecartelle dosimetriche, le schede di radioprotezione, nonchéle schede di destinazione lavorativa e conseguentemente la classificazionedel personale. I dati ivi contenuti pertanto andrebbero trattatiin conformità all'art. 22 della legge n. 675/1996. Un'argomentazioneche va in questa direzione almeno per quanto riguarda il datodosimetrico per gli esposti a radiazioni ionizzanti puòessere la seguente. Il dato dosimetrico è per lo piùseguito dall'aggettivazione "personale" o "individuale"nella legislazione di radioprotezione e pertanto - senza dubbio- è oggetto di tutela da parte di detta legge come "datopersonale". Detto dato inoltre deve essere inserito nel documentosanitario personale ai sensi dell'art. 90 del D.L.vo n.230/1995;pertanto con deduzione sillogistica si dovrebbe arguire che debbaessere considerato come "dato sensibile". Ma in baseal sillogismo anche i dati anagrafici riportati nel documentocitato dovrebbero essere considerati sensibili. Sembra pertantoche la ragione reale debba essere trovata in ambito scientifico.A tal fine si può rilevare che la sua "sensibilità",qualora presente, debba essere ricercata nel suo eventuale collegamentocon lo stato di salute dell'individuo, stato che appunto ètutelato nell'ambito dei dati sensibili. Occorre a tal fine ricordareche gli effetti delle radiazioni ionizzonti sulla salute sonodistinti in deterministici e stocostici, che i primi hanno unosoglia, mentre per i secondi si suppone valido il modello dell'estrapolozionelineare senza soglia. Se pertanto il dato dosimetrico èsuperiore alla soglia, allora il dato dosimetrico e sicuramenteindicativo dello stato di salute; esso infatti non solo consentedi prevedere la comparsa di un effetto o più generalmentedi una sindrome, ma anche di definire la gravità dellamedesima e quindi di effettuare delle valutazioni prognostiche.Se il dato è invece inferiore alla soglia minima di comparsadi effetti sul piano clinico, o meglio, al di sotto dei valoriper i quali le indagini epidemiologiche hanno evidenziato consufficiente attendibilità statistica degli effetti oncogeni(<0,1 Sv) (Sv sta per Sievert, l'unità di misura delladose), come è nella generalità delle situazioni,allora il discorso si fa più difficile, perché l'impattodella dose sulla salute è più frutto di un'ipotesiche non il risultato di evidenze scientifiche. In questo caso,infatti, è la probabilità del verificarsi di effettioncogeni nel corso della futura vita dell'individuo e non la certezzadell'interessamento della salute dell'individuo esposto che vienepresa in considerazione. Pertanto da un punto di vista puramentescientifico il dato non avrebbe alcun senso, mentre ha un sensodal punto di vista radioprotezionistico, in quanto per motividì prevenzione si suppone appunto che anche le basse dosipossano provocare effetti sulla salute. Non solo ma, sempre peri fini della prevenzione, è possibile, come è bennoto ai radioprotezionisti, valutare in maniera quantitativa qualesia questa probabilità. E' parere di chi scrive che, da quanto sopra esposto,consegue che la dose debba essere considerata "dato sensibile",in quanto in qualche modo collegato o ipoteticamente collegabilecon lo stato di salute presente o atteso dell'esposto. Non si può però nascondere che ciòcrea delle complicazioni. Infatti, va rilevato che l'esperto qualificato,preposto dal D.L.vo n.230/1995 al trattamento del dato dosimetrico,dal momento che non fa parte del personale esercente professionisanitarie, può trattare il dato, qualora sensibile, soloai sensi del primo comma dell'art. 22 dello legge n. 675/1996.Ne consegue pertanto che l'esperto qualificato per trattare ildato dosimetrico deve inviare la notificazione al Garante ai sensidell'art 7 giacché il dato va inserito in un archivio,ma dovrebbe in più richiedere anche il consenso scrittodel lavoratore e l'autorizzazione del Garante ai sensi del primocomma dell'art. 22. Ciò comporterebbe quindi tutta unaserie avvertenze, salvaguardie e autorizzazioni per la comunicazionedel dato dosimetrico ad altri soggetti; particolarmente complessadiverrebbe poi la comunicazione di detto dato, come del restodegli altri di stretta competenza medica al di fuori del territorionazionale conformemente a quanto richiede l'art 28. Considerazioni analoghe, anche se meno calzanti,possano esser fatte per esposizioni ad altri agenti nocivi contemplatida ulteriori normative. In questi casi però oggettivamenteuna correlazione con lo stato di salute sembrerebbe molto piùevanescente, specialmente in presenza di esposizioni modeste adagenti che, per loro nature; non sono riconducibili a quelli cancerogeni. Come detto la legge in questione chiama in causanumerosi soggetti, ai quali assegna doveri, obblighi, responsabilitàe diritti. Possiamo enunciare in forma schematico l'onere complessivoin termini concreti che grava sulle varie figure ed i risvoltiche da tali incombenze e diritti derivano, soprattutto nell'otticadel datore di lavoro, del medico autorizzato o competente, deiresponsabili per la sicurezza e dell'esperto qualificato con leeventuali sanzioni amministrative o più spesso detentiveche la legge prevede. IL TITOLARE Il titolare: deve "preporre" (art. 1, c. 2. letterae.), e cioè nominare formalmente, il medico, l'espertoqualificato, il responsabile del servizio di prevenzione e protezione(nonché il direttore al personale, o il direttore del centroelaborazione dati o altre figure aziendali a secondo dei datitrattati) come "responsabili" del trattamento dei datipersonali dei lavoratori dipendenti; deve dare notificazione(sottoscritta anche dai vari "responsabili") al Garante(art.7) riportando i dati richiesti al comma 4 dell'art 7 (incaso di omissione è prevista la pena della reclusione da2 mesi a tre anni); deve dare istruzioniai responsabili (ed eventualmente anche agli incaricati) e vigilaresulla puntuale osservanza delle stesse (art 8); deve dare notifica al Garante nel caso di variazionedei dati di cui all'art. 7, c. 4, come nel caso di variazionedei responsabili del trattamento (in caso di omissione, la penaprevista è la reclusione da due mesi a tre anni); deve dare lepreventive informazioni oralmente o per iscritto ai lavoratorisulla raccolta dei dati personali in relazione ai vari aspettiprevisti all'art. l0, c. 1 (in caso di omissione è previstauna sanzione amministrativa da lire 500.000 a lire 3 milioni); deve raccogliereil consenso "scritto" del lavoratore al trattamentodei dati sensibili che lo riguardano (art. 22, c. 1); potrebbe comunicareal lavoratore ai sensi dell'art. 23 i dati relativi alla salutedel lavoratore stesso (il che sarebbe strano a meno che non fosseesso stesso medico); deve consentire,senza ritardo e salvo un contributo spese da definire in appositoregolamento, al lavoratore di esercitare i suoi diritti in meritaalle richieste previste all'art. 13, c. 1, lettera c.); deve adottarele misure "minime" di sicurezza per evitare i rischidi: distruzione o perdita, accesso non autorizzato, trattamentonon consentito dei dati personali (art. 15, c. 2 e art. 41, c.3) (in caso di omissione è prevista la reclusione finoad un anno); deve preventivamentenotificare al Garante la cessazione del trattamento e la successivodestinazione dei dati qualora cessi l'attività dell'impresa,o venga meno l'obbligo della sorveglianza ai sensi delle disposizionidi legge in materia di tutela lavorativa (art. 16); deve ottemperarealle disposizioni del Garante (art 29, commi 4 e )(in caso d'inottemperanzaè prevista la reclusione da tre mesi a due anni); ha diritto diessere sentito nel caso di procedimenti iniziati dinanzi al Garantee può proporre al tribunale competente opposizione od eventualiprovvedimenti formulati dal Garante (art. 29); deve fornirele informazioni o i documenti richiesti dal Garante (art. 29,c 4 e art. 32, c. 1) (in caso di omissione è prevista unasanzione amministrativa da uno o sei milioni di lire). I RESPONSABILI Per quanto attiene o queste figure, si sottolineaquanto segue: devono esserepreposti e designati per iscritto dal titolare (artt. 2 e 8); i loro compitidevono essere analiticamente specificati per iscritta (art. 8); devono sottoscriverela notificazione (art. 7); dovranno ottemperarealla maggior parte delle incombenze del titolare, alcune a causadelle loro figure professionali e giuridiche, altre in relazioneal fatto che sicuramente verranno loro demandate dal datare dilavoro; devono attenersialle istruzioni impartite dal titolare (art. 8, e. 2); i medici inogni caso si devono ricordare che loro e loro soli, ai sensi delcomma 2 dell'art. 23, possono trasmettere al lavoratore informazionirelative al suo stato di salute (comprese le informazioni suidati dosimetrici se sensibili); hanno dirittie doveri analoghi e paritetici a quelli del titolare per quantoriguarda vari aspetti ed in particolare per quanto riguarda quellicontemplati all'art. 29. GLI INCARICATI Il personale infermieristico o amministrativo addettoalla ricezione di alcuni dati o alla trascrizione degli stessisui documenti di legge ed in genere alla "gestione"degli archivi deve essere considerato "incaricato del trattamento"e pertanto come tale deve essere incaricato per iscritto ai sensidell'art. 19 dal titolare o dal responsabile; pertanto l'infermiereo il personale ammnistrativo può seguitare a trascriverei dati sensibili, purché si ottenga alle istruzioni degliincaricati, istruzioni che è opportuno vengano date periscritto. Dette figure in particolare: debbono essereincaricate per iscritto di compiere le operazioni di trattamentodal titolare o dal responsabile (art. 19); debbano elaborarei dati personali ai quali hanno accesso attenendosi alle istruzionidel titolare o dell'incaricato (art. 8, c. 4); sono tenutechiaramente all'obbligo del segreto d'ufficio o del segreto medicoin base alle norme vigenti; non possonotrasmettere all'interessato i dati sanitari che lo riguardano(art. 23, c. 2). Per tutte le figure indicate (titolare, responsabilied incaricati) vale, con l'aggravante della cosciente responsabilità,quanto previsto all'art. 18 che fa riferimento al già citatoart. 2050 c.c. L'INTERESSATO L'interessato: deve esserepreventivamente informata oralmente o per iscritto degli elementiindicati al comma 1 dell'rt. 10; può omeno dare il suo consenso al trattamento dei dati, consenso cheè validamente prestato solo se espresso liberamente, informa specifica e documentata per iscritto e se gli sono staterese le informazioni di cui al punto precedente (art. 11, c. 3e art. 22, c. 1); può "opporsiin tutto o in parte per motivi legittimi al trattamento dei datipersonali che lo riguardano, ancorché pertinenti allo scopodella roccolta" (art. 13, lett. c, punto 4, lett. d.); ha diritto aconoscere l'identità del titolare e del responsabile nonchéle finalità e le modalità del trattamento (art.13, c. 1, lett. b.) ed ha diritto ad ottenere informazioni, attestatie rettifiche sui dati che lo riguardano (art 13, c.1, lett. c.); può farvalere i diritti di cui al punto precedente adendo all'autoritàgiudiziaria o al Garante (art. 29, c. 1); nel caso ritengadi aver subito un danno, può avanzare richiesta di risarcimentoai sensi dell'art. 2050, c.c. (art. 18); ai sensi dellanormativa di prevenzione, non può sottrarsi agli obblighidi legge pena ad esempio la reclusione (art. 68, comma 1 lett.f. e art. 139, comma 3, lett. a. dei D.L.vo n.230/1995 e art .5,comma 2, lett. g. del D.L.vo n.626/1994) o, secondo alcuni, larescissione del rapporto di lavoro. Parlando di dati sensibili ed in particolare di quellidi pertinenza medica, un punto che forse merita essere sottolineatoè che in questo intreccio intricato di autorizzazioni,dinieghi, consensi e notifiche, nell'ipotesi che il termine "diffusiane"definito all'art. 1, lettera h., sia più estensivo e comprendaquello di "comunicazione" definito allo stesso articolo,lettera g., non è richiesta l'autorizzazione del Garanteper la trasmissione del referto al magistrato requirente o dellodenuncia all'Inal o della comunicazione di cui all'art. 92 delD.L.vo n.230/1995 all'ispettorato provinciale del lavoro e all'Aslcompetente per territorio e, se del caso, all'Ispesl. Ciò naturalmente vale anche per gli analoghiatti previsti dalla legislazione sulla tutela lavorativa comead esempio per la comunicazione all'Ispesl prevista dall'art.88 del D.L.vo n.626/1994, per la trasmissione del documento sanitariopersonale all'Ispettorato medico centrale del lavoro (art. 90del D.L.vo n.230/1995) o del registro degli esposti e della cartellasanitaria e di rischio all'Ispesl e all'Azienda Usl (artt. 70e 87 del D.L.vo n.626/1994). Un altro punto su cui la legge n. 675/1996 offrequalche motivo di riflessione è la trasmissione del giudiziod'idoneità. Detto giudizio, infatti, è la sintesiclinica dello stato di salute del soggetto, giudizio a volte condizionatoal rispetto di prescrizioni dalle quali non è difficilearguire le possibili patologie sottostanti. Si tratta pertantodi un elemento tipicamente da ritenersi "sensibile"ai sensi dell'art. 22 della legge in parola. Il D.L.vo n.230/1995 sempre, mentre il D.L.vo n.626/1994 solo in caso di non idoneità, richiedono che ilgiudizio venga trasmesso al datore di lavoro. La cosa non sembrerebbelecita ai sensi degli artt. 22 e 23 dello legge n.675/1996 a menoche non ci sia l'assenso esplicito scritto da parte del lavoratore.Essendo la legge de qua ius superveniens, non v'èdubbio che la trasmissione del giudizio debba richiedere il consensodell'interessato, ma trattandosi di norma presente in quasi tuttala normativa di tutela lavorativa e come tale volta agli interessidella salute del soggetto è da ritenere che nulla vengainnovato dalla nuova legge. Il dilemma nel caso specifico riguardainfatti la salvaguardia di due diritti fondamentali: quello allasalute e quello alla riservatezza; si tratta forse solo di individuareil preminente tra i due per decidere. E' opportuno in ogni caso,trattandosi di materia contrastata dalla norma, che venga fattachiarezza da parte del Garante. Questo aspetto, se vogliamo, è analogo, anchese in tono minore, ad un'altra situazione che ha già meritatol'attenzione del Garante e che riguarda l'obbligo per il medicodi apporre la diagnosi a fronte delle richieste di analisi clinicheo strumentali rivolte al S.s.n. L'obbligatorietà dellavisita medica, prevista sia dal D.L.vo n. 230/1995 che dal D.L.von.626/1994 è un punto indicato più sopra tra i doveridell'"interessato" per evidenziare eventuali contraddittorietàtra la norma attuale e la subentrante. La situazione, non vi èdubbio, risulta ingarbugliata al raffronto tra l'art. 22 relativoai dati sensibili e le norme più che trentennali di tutelalavorativa. Detto articolo infatti richiede che: "i datipersonali idonei a rivelare lo stato di salute... possono essereoggetto di trattamento solo con il consenso scritto dell'interessatoe previa autorizzazione del Garante" pena la sanzione dellareclusione da tre mesi o due anni. Nella realtà questanorma viene attenuata dall'art. 23 che consente di far a menodell'autorizzazione del Garante (art. 23, comma 1), ma non delconsenso scritto dell'interessato nè della notificazioneal Garante. Merita, in proposito, riportare esplicitamente l'indirizzodella Direttiva 95/46/Ce da cui la legge n. 675/1996 prende ragione,che all'art. 8, comma 3 richiede molto più semplicementeche il trattamento debba essere considerato lecitop quando ènecessario alla prevenzione e alla diagnostica medica e vieneeffettuata da un professionista sanitario soggetto al segretoprofessionale. Restando nell'ambito dell'art. 23,al comma 2 si precisache: "i dati personali idonei a rivelare lo stato di salutepossono essero resi noti all'interessato solo per il tramite diun medico designato dall'interessato o dal titolare". E'questa un'affermazione che conferma ancora di più l'interpretazionedel datore di lavoro come titolare: infatti se il datore di lavoroè il titolare, allora il medico autorizzato o competenteda lui designato può rendere noti i dati al lavoratore,ma se il titolare fosse il medico, questi potrebbe venire rifiutatoe potrebbe esser necessario un altro medico designato dal lavoratore. La legge è ormai in pieno vigore almeno findall'8 maggio 1997 ai sensi dell'art 45. Tuttavia merita qui sottolineareche molte risultano ancora le aziende che non sono a conoscenzadegli adempimenti che il provvedimento finora esaminato prevedea loro carico per quanto riguarda, nella fattispecie, la privacydei dati relativi ai rischi lavorativi e alla tutela della salutedei lavoratori. Per quanto ottiene, nello specifico, all'obbligodi notificazione al Garante va rilevato che, sulla base del D.L.von. 255/1997, vengono esonerati da taleobbligo i trattamenti di dati: non sensibili,qualora ciò sia necessario per l'assolvimento di un obbligodi legge; contenuti inelenchi, atti, registri pubblici, albi o elenchi professionaliin conformità alle leggi; gestiti perfinalità di protocollo e classificazione di corrispondenza; contenuti inrubriche telefoniche; per sole finalitàcontabili, retributive, previdenziali, assistenziali e fiscali; da parte diliberi professionisti o piccoli imprenditori per finalitàconnesse con le loro specifiche attività; per la gestionedi biblioteche, musei, mostre, iniziative culturali o sportive,associazioni, fondazioni, comitati, organizzazioni di volontariato,cataloghi e bibliografie; per la gestionedel condominio; raccolti persottoscrivere referendum, petizioni o appelli; riferentisia persone giuridiche, ad enti ed associazioni. Nei casi non previsti nel precedente elenco la notificazioneva effettuata in relazione al complesso delle attivitàdi trattamento effettuate, e quindi con una sola notificazionepossono essere indicati i diversi trattamenti che vengano effettuatida parte di un unico titalare. Per la notificazione, come detto,va utilizzato il supporto cartaceo o magnetico (in quest'ultimocaso è necessario l'inoltro anche del supporto cartaceo)approvati dal Garante e distribuiti gratuitamente pressa gli ufficipostali. La spedizione in plico raccomandata, con ricevuta,del dischetto magnetico va fatto contestualmente alla natificazionestampata e sottoscritta (dal titolare e dai responsabili) ed allaricevuta del versamento di lire 15.000 per i diritti di segreteriasu c.c.p. n. 97204002. Nel caso di modello cartoceo i dirittidi segreteria ammontono a lire 25.000. L'inoltro della notificazioneva fatto all'Ufficio del Garante per la protezione dei dati personali- via della Chiesa Nuova, 8 - 00186 Roma. Per quanto riguarda invece l'autorizzazione, comegià accennato più sopra, il Garante si èservito della facoltà accordatagli dall'art. 4 del D.L.von. 123/1997 che consente il rilascio di autorizzazioni collettive"relative a determinate categorie di titolari o di trattamenti".La prima di tali autorizzazioni riguarda il trattamento di datisensibili nei rapporti di lavoro ed è stata pubblicatanella G.U. n. 272 del 21.11.1997. Nel frattempo altri decretilegislativi, ora in elaborazione, dovranno regolamentare la materiain maniera, si spera, più piana e meno complessa e soprattuttosenza contrasti con la legislazione consolidata. Dopo quanto sopra detto, vista l'incertezza circamolti aspetti applicativi della L. n. 675/1996 e viste le eventualicontraddizioni con il contesto legislativo pregresso si vuolesperare che gli Organi di vigilanza e quelli giudicanti si rendanoben conto dei problemi che questa legge ha sollevato e delle difficoltàoggettive che la sua attuazione nel campo specifico ancora oggicomporta. D'altra parte ogni legge richiede un'adeguato periododi rodaggio prima della sua completa attuazione anche in sensosanzionatorio, tanto più che questa legge che investe undiritto fondamentale del cittadino, non previsto neanche dallanorma costituzionale, e che ha dato luogo a forte perplessitànel legislatore stesso (si pensi alla amplissima delega affidataall'esecutivo per l'emanazione entro 18 mesi di "uno o piùdecreti legislativi recanti disposizioni correttive in materiadi tutela delle persone e di altri soggetti rispetto al trattamentodei dati personali" prevista dall'art. 2 della legge n.676/1996).Si può qui notare che correzione significa anche modificazionedella legge per tenere conto dell'armonizzazione con situazionide facto sancite da disposizioni precedenti pernon lasciare il campo all'interpretazione basata sul principiodello jus superveniens. La delega concessa dalle leggen. 676/1996 (art.1, comma 1) fa riferimento anche a piùsemplici "disposizioni integrative" e quindi a precisazioniche tornerebbero molto utili nell'applicazione della legge 675/1996per quanto riguarda la materia di cui trattiamo. CIRCOLARE INFORMATIVA AI DIPENDENTI Oggetto: informativa ex art. 10, D.L.vo n. 675/1996 L'Azienda per poter svolgere le attività ditutela lavorativa previste dalle disposizioni in materia devetrattare i dati del personale ed in particolare quelli definitisensibili. Il trattamento di detti dati è consentitoprevio consenso dell'interessato. Al fine di ottenere detto consenso,si riportano di seguito le informazioni relative al trattamentodei dati sopra ricordati, in ottemperanza a quanto previsto dall'art.10 della legge n. 675/1996. Preliminarmente vanno peraltro ricordatii diritti dell'interessato, che si riportano di seguito come peraltroprevisto dall'art. 13 della legge stessa. ART. 13 L. n. 675/1996 (Diritti dell'interessato) 1. In relazione al trattamento di dati personalil'interessato ha diritto: a. di conoscere, mediante accesso gratuito al registrodi cui all'articolo 31, comma 1, lettera a, l'esistenza di trattamentidi dati che possono riguardarlo (trattasi di registro istituitoe tenuto dal Garante per la protezione dei dati personali); b. di essere informato su quanto indicato all'articolo7, comma 4, lettere a, b e h (detto articolo riguarda gli elementicontenuti nella notifica da inviare al Garante per la protezionedei dati personali; in particolare il comma 4 lettere a. b. eh. prevedono: - il nome, la denominazione, o la ragione socialee il domicilio, la residenza o la sede del titolare; - le finalità e le modalità di trattamento; - il nome, la denominazione o la ragione socialee il domicilio, la residenza o la sede del responsabile); c. di ottenere, a cura del titolare o delresponsabile, senza ritardo: - la conferma dell'esistenza o meno di dati personaliche lo. riguardano, anche se non ancora registrati, e la comunicazionein forma intelligibile dei medesimi dati e della loro origine,nonché della logica e delle finalità su cui si basail trattamento; la richiesta può essere rinnovata, salval'esistenza di giustificati motivi, con intervallo non minoredi novanta giorni; - la cancellazione, la trasformazione in forma anonimao il blocco dei dati trattati in violazione di legge, compresiquelli di cui non è necessaria la conservazione in relazioneagli scopi per i quali i dati sono stati raccolti o successivamentetrattati; - l'aggiornamento, la rettificazione ovvero, qualoravi abbia interesse, l'integrazione dei dati; - l'attestazione che le operazioni di cui ai numeri2 e 3 sono state portate a conoscenza, anche per quanto riguardail loro contenuto, di coloro ai quali i dati sono stati comunicatio diffusi, eccettuato il caso in cui tale adempimento si riveliimpossibile o comporti un impiego di mezzi manifestamente sproporzionatorispetto al diritto tutelato; d. di opporsi, in tutto o in parte, per motivi legittimi,al trattamento dei dati personali che lo riguardano, ancorchépertinenti allo scopo della raccolta; e. di opporsi, in tutto o in parte, al trattamentodi dati personali che lo riguardano, previsto ai fini di informazionecommerciale o di invio di materiale pubblicitario o di venditadiretta ovvero per il compimento di ricerche di mercato o di comunicazionecommerciale interattiva e di essere informato dal titolare, nonoltre il momento in cui i dati sono comunicati o diffusi, dellapossibilità di esercitare gratuitamente tale diritto. 2. Per ciascuna richiesta di cui al comma 1, letterac., numero 1, può essere chiesto all'interessato, ove nonrisulti confermata l'esistenza di dati che lo riguardano, un contributospese, non superiore ai costi effettivamente sopportati, secondole modalità ed entro i limiti stabiliti dal regolamentodi cui all'articolo 33, comma 3. 3. I diritti di cui al comma 1 riferiti ai dati personaliconcernenti persone decedute possono essere esercitati da chiunquevi abbia interesse. 4. Nell'esercizio dei diritti di cui al comma 1 l'interessatopuò conferire, per iscritto, delega o procura a personefisiche o ad associazioni. 5. Restano ferme le norme sul segreto professionaledegli esercenti la professione di giornalista, limitatamente allafonte della notizia. Premesso quanto sopra si forniscono le ulterioriseguenti informazioni. DATI CONTENUTI NELLA SCHEDA DI DESTINAZIONE LAVORATIVA,DI RADIOPROTEZIONE E NEI REGISTRI E DOCUMENTI DOSIMETRICI a. il trattamento dei dati ha per finalitàil rispetto di obblighi di legge e/o contrattuali e viene effettuatocon modalità manuali e/o informatizzate già in attopresso l'Azienda; b. il trattamento dei dati personali richiesti perla documentazione sopra indicata è di natura obbligatoria; c. un eventuale rifiuto al conferimento dei datirenderebbe inapplicabili una o più norme di legge; d. la scheda di destinazione lavorativa e quelladi radioprotezione il cui originale è conservato presso................................................ viene inviatain copia a: - datore di lavoro ................................................................................ - preposto ......................... dell'unitàove il lavoratore svolge la propria attività; - lavoratore .......................................................................................... - medico; e. i dati dosimetrici, conservati presso ...........................vengonotrasmessi a: - datore di lavoro ................................................................................. - medico; - responsabile di sedi esterne all'azienda, se richiestodalla normativa; f. titolare del trattamento dei dati, salvo avvisodiverso del Garante, è il datore di lavoro. Responsabilidel trattamento dei dati sono: il Responsabile del servizio diprevenzione e protezione e l'Esperto qualificato per i dati direlativa competenza. DATI SANITARI a. la finalità del trattamento dei dati sanitariè quella prevista dalle disposizioni in materia di tutelalavorativa e più in particolare dal D.P.R. n. 303/1955e dai decreti legislativi n. 277/1991, n. 626/1994 e n. 230/1995con relative integrazioni e decreti attuativi; b. il trattamento dei dati sanitari è obbligatorioai sensi delle disposizioni citate al punto precedente; c. un eventuale rifiuto a fornire i dati o a collaborareall'ottenimento dei dati sanitari può arrecare danno sulpiano della salute del lavoratore e può farlo incorrerenelle sanzioni penali previste per l'inosservanza dell'art. 5comma 2 del D.L.vo n. 626/1994 e dell'art. 68 comma 1 del D.L.von. 230/1995; d. le modalità di trattamento al momento inuso o previste potranno essere manuali o elettroniche; e. il solo dato relativo al giudizio di idoneitàcon le eventuali condizioni limitative sarà trasmesso aldatore di lavoro, come previsto dai decreti n. 626/1994 e n. 230/1995citati, ed eventualmente all'Esperto Qualificato e al Responsabiledel Servizio di prevenzione e protezione a seconda del caso; f. ove il lavoratore fosse chiamato a svolgere attivitàper conto dell'Azienda presso strutture esterne all'Azienda stessa,la trasmissione di detti giudizi potrà esser fatta allestesse strutture presso le quali svolgerà detta attività; g. il titolare del trattamento dei dati, salvo avvisodiverso del Garante, è il datore di lavoro; h. i responsabili del trattamento sono i medici competentie autorizzati nominati dal datore di lavoro. Sulla base di quanto sopra, al personale classificatocome esposto a rischi lavorativi e quindi soggetto a controllimedici, si chiede di inoltrare al datore di lavoro i moduli cheverranno inviati singolarmente; detti moduli dovranno essere debitamentefirmati dal lavoratore per il necessario consenso al trattamentodei dati che lo riguardano. Luogo e data Il Titolare CONSENSO PER IL TRATTAMENTO DEI DATI SANITARI E/OSUPPOSTI TALI NELLE ATTIVITÀ DI TUTELA LAVORATIVA Il/la sottoscritto/a ..........................................................presa conoscenza delle informazioni di cui all'art. 10 della leggen. 675/1996 e della lettera circolare esplicativa del ............,nonché del fatto che il trattamento dei dati che lo/lariguardano verrà effettuato con le modalità previstedalle procedure istituite nell'Azienda per un'efficace applicazionedelle disposizioni di cui alla normativa di legge in materia ditutela lavorativa, nonché da eventuali obblighi derivantidall'applicazione di norme del contratto di lavoro, esprime ilproprio consenso in ordine al trattamento dei propri dati personali. In particolare esprime il proprio assenso affinché: - i propri dati sanitari vengano trattati dai mediciautorizzati/competenti e dal personale funzionalmente dipendentee di ciò espressamente incaricato; - i giudizi di idoneità vengano trasmessial datore di lavoro ed eventualmente all'Esperto Qualificato eal Responsabile del Servizio di prevenzione e protezioneper l'attuazione dei provvedimenti del caso; - detti giudizi, ove il sottoscritto fosse chiamatoa svolgere attività per conto dell'Azienda presso struttureesterne, vengano trasmessi alle stesse strutture presso le qualisvolgerà detta attività. Esprime altresì il proprio consenso in ordineal trattamento dei propri dati personali e dosimetrici da partedel datore di lavoro, del Responsabile del Servizio di prevenzionee protezione, dell'Esperto Qualificato e del personale direttamentedipendente e di ciò espressamente incaricato. Detto consensoriguarda altresì l'eventuale trasferimento di detti datipresso Aziende esterne ove il sottoscritto fosse chiamato a svolgereattività per conto della propria Azienda. Luogo e data Il lavoratore INCARICHI DI RESPONSABILITÀ AL TRATTAMENTODEI DATI PERSONALI Oggetto: incarico di responsabile per il trattamentodei dati personali In conformità a quanto previsto all'art. 8della legge n. 675/1996 la S.V. è nominata responsabileper il trattamento dei dati personali relativi alla sorveglianzamedica di cui alla normativa di tutela lavorativa, con particolareriferimento al D.P.R. n. 303/1995, ai decreti legislativi n. 277/1991,n. 626/1994 e n. 230/1995, nonché alle relative integrazionied ai successivi decreti attuativi ed agli eventuali obblighiderivanti dall'applicazione del contratto di lavoro dell'Azienda. Resta inteso che il trattamento dei dati dovràessere effettuato secondo i criteri e le modalità previstedalla deontologia professionale medica e dalla normativa cui sopraè stato fatto riferimento. Luogo e data Il datore di lavoro Oggetto: incarico di responsabile per il trattamentodei dati personali In conformità a quanto previsto all'art. 8della legge n. 675/1996, la S.V. è nominata responsabileper il trattamento dei dati personali, diversi da quelli medici,relativi alla normativa di tutela lavorativa con particolare riferimentoal D.P.R. n. 303/1995, ai decreti legislativi n. 277/1991, n.626/1994 e n. 230/1995, nonché alle relative integrazionied ai successivi decreti attuativi ed agli eventuali obblighiderivanti dall'applicazione del contratto di lavoro dell'Azienda. Resta inteso che il trattamento dei dati personaliraccolti ai sensi delle disposizioni di legge su richiamate dovràsottostare ai criteri ed alle modalità di riservatezzaidonei a tutelare le persone cui i dati si riferiscono. Luogo e data Il datore di lavoro Oggetto:incarico di responsabile per il trattamentodei dati personali In conformità a quanto previsto all'art. 8della legge n. 675/1996 la S.V. è nominata responsabileper il trattamento dei dati personali, diversi da quelli medici,relativi alla normativa di tutela lavorativa con particolare riferimentoal D.L.vo n. 230/1995, nonché alle relative integrazionied ai successivi decreti attuativi ed agli eventuali obblighiderivanti dall'applicazione del contratto di lavoro dell'Azienda.Resta inteso che il trattamento dei dati personali raccolti aisensi delle disposizioni di legge su richiamate dovrà sottostareai criteri ed alle modalità di riservatezza idonee a tutelarele persone cui i dati si riferiscono. Con i migliori saluti. Luogo e data Il datore di lavoro LETTERE AGLI INCARICATI AL TRATTAMENTO DEI DATI PERSONALI Oggetto: incarico di trattamento dei dati personali È entrata in vigore la legge n. 675/1996 cheregolamenta il trattamento dei dati personali. Il Servizio/Unitàdi Medicina svolge istituzionalmente attività di prevenzione,attività che comporta il trattamento di dati afferentiallo stato di salute dei lavoratori. Detti dati ai sensi dell'art.22 della legge citata sono da considerare sensibili e pertantotali da richiedere una particolare riservatezza nel loro trattamento(cosa peraltro già in atto nelle attività del nostroServizio). Con la presente si vuol dare attuazione a quantoprevisto dall'art. 19 della legge in parola che richiede di dareun incarico per iscritto a coloro che operativamente compionole operazioni di trattamento dei dati. A tal riguardo, rammentandoanche l'obbligo del segreto professionale, si segnala il contenutodel secondo comma dell'art. 23 della legge in questione, secondoil quale (i dati personali idonei a rivelare lo stato di salutepossono essere resi all'interessato solo per tramite di un medicodesignato dall'interessato o dal titolare). Come incaricato/a del trattamento dei dati dovràattenersi alle norme di deontologia professionale ed alle modalitàdi trattamento già in uso, nonché alle istruzioniche Le verranno eventualmente impartite secondo quanto previstodal comma 5 dell'art. 8 della legge più volte citata. In particolare, con riferimento ai dati indicati,è incaricata di svolgere le seguenti attività: - consultazione delle cartelle sanitarie per finalitàoperative; - archiviazione delle cartelle sanitarie; - trasmissione all'Ispettorato medico centrale dellavoro (o eventualmente all'Ispesl) - su indicazione del medico- delle cartelle sanitarie con le modalità di riservatezza; - preparazione delle impegnative per le analisi dilaboratorio indicate dal medico; - trasmissione delle impegnative al laboratorio dianalisi con le modalità di riservatezza; - ritiro dei risultati delle analisi effettuate; - eventuale inserimento di dati nell'archivio computerizzato; - eventuale trascrizione di dati nelle cartelle sanitariesu richiesta del medico; - eventuale consegna in busta chiusa all'interessatodi copia delle analisi; - eventuale invio in busta chiusa del giudizio d'idoneitàal datore di lavoro (se il giudizio è condizionato al rispettodi prescrizioni, invio anche al Responsabile del Servizio di prevenzionee protezione o all'Esperto Qualificato, a seconda del caso); - eventuale consegna dei documenti sanitari personaliall'Ispettorato del lavoro per la vidimazione ed il ritiro deimedesimi a vidimazione avvenuta; - eventuale spedizione o consegna all'Ispettoratomedico centrale del lavoro o all'Ispesl delle cartelle sanitarie; - inserimento nelle cartelle personali dei certificatidi malattia e di maternità. Per quanto riguarda la sicurezza dei dati, in attesadella emanazione di misure minime da rispettare ai sensi dell'art.15 della legge citata, la documentazione dovrà essere contenutachiusa a chiave negli appositi armadi; eventuali banche di datisu personal computer - relative ad aspetti personali di salute- dovranno essere accessibili solo tramite digitazione di chiavielettroniche segrete. Ulteriori chiarimenti ed istruzioni in merito potrannoessere forniti all'occorrenza. Luogo e data Il medico responsabile dei trattamento dei dati Oggetto: incarico di trattamento dei dati personali È entrata in vigore la legge n. 675/1996 cheregolamenta il trattamento dei dati personali. Il servizio svolgeistituzionalmente attività di prevenzione, attivitàche comporta il trattamento di dati che potrebbero afferire allostato di salute dei lavoratori. Detti dati qualora da riteneresensibili ai sensi dell'art. 22 della legge citata richiedonouna particolare riservatezza nel loro trattamento. Con la presente si vuol dare attuazione a quantoprevisto dall'art. 19 della legge in parola che richiede di dareun incarico per iscritto a coloro che operativamente compionole operazioni di trattamento dei dati. Come incaricato/a del trattamentodei dati dovrà attenersi alle norme di riservatezza, nonchéalle istruzioni che Le verranno eventualmente impartite secondoquanto previsto dal comma 5 dell'art. 8 della legge piùvolte citata. In particolare, con riferimento ai dati indicati,è incaricato/a di svolgere le seguenti attività.
- consultazione delle schede per finalitàoperative; - protocollo e archiviazione delle schede; - trasmissione al datore di lavoro, ai Responsabilidelle attività ed al medico con le modalità di riservatezzadovute; - eventuale inserimento di dati relativi alle schedenell'archivio computerizzato.
- registrazione dei dati dosimetrici sulle relativeschede; - trasmissione dei dati dosimetrici al datore dilavoro ed al medico; - eventuale inserimento dei dati di dose nell'archiviocomputerizzato; - archiviazione delle schede di trascrizione delledosi; - eventuale trasmissione delle schede al medico allacessazione dell'attività lavorativa. Per quanto riguarda la sicurezza dei dati, in attesadella emanazione di misure minime da rispettare ai sensi dell'art.15 della legge citata, la documentazione dovrà essere contenutachiusa a chiave negli appositi armadi, ed eventuali banche didati su personal computer - relative alle informazioni di cuialla documentazione sopra indicata - dovranno essere accessibilisolo tramite digitazione di chiavi elettroniche segrete. Ulteriorichiarimenti ed istruzioni in merito potranno essere forniti all'occorrenza Luogo e data Il responsabile dei trattamentodei dati |