L'entrata in vigore della legge n. 675 del 31 dicembre 1996 sulla cosiddetta "privacy", apre nuove problematiche per i datori di lavoro nella applicazione delle norme sulla sicurezza nei luoghi di lavoro di cui al D.Lvo n. 626/94, con specifico riferimento a quella parte del decreto relativa al trattamento dei dati sanitari dei lavoratori nell'esercizio della sorveglianza sanitaria prevista dal Titolo I, Capo IV della legge.
Cerchiamo, pertanto, di valutare la portata delle norme sulla "privacy" e le loro implicazioni nella concreta applicazione delle regole sulla sorveglianza sanitaria.

Ricordiamo, in premessa, che la legge n. 675/96 intende garantire che il trattamento -automatizzato o meno- dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche,con particolare riferimento alla riservatezza e all'identità personale. In tal senso l'obiettivo è quello di collocarsi nel solco tracciato a livello internazionale di garantire a tutte le persone fisiche, qualunque sia la loro nazionalità o residenza, il rispetto dei propri diritti e delle proprie libertà fondamentali con particolare riguardo ed in relazione a quella sfera di interessi protetti che la cultura giuridica anglosassone ricomprende nel concetto di "right of privacy" e che trova, pertanto, ingresso, anche nel nostro ordinamento, integrando i generici riferimenti al "diritto alla riservatezza" fatti dalla Costituzione.

Particolarmente delicato, nell'impianto normativo, è il trattamento riservato ai cosiddetti "dati sensibili",ovvero a quei dati che, per loro natura, sono idonei a rivelare condizioni particolarissime del soggetto, quali l'origine razziale ed etnica, le convinzioni politiche o religiose, le abitudini sessuali etc. e, non ultime, le informazioni sullo stato di salute.

A questo proposito, infatti, la legge prevede alcune precauzioni particolari ed addirittura sottrae al "libero arbitrio" dell'interessatol'acconsentire o meno al trattamento dei dati, prevedendo che questi possano essere trattati soltanto in presenza dell'autorizzazione preventiva del Garante per la protezione dei dati personali, che la legge stessa istituisce.

La problematica che vogliamo affrontare, pertanto, si inserisce in un ambito di estrema rilevanza, dal momento che vengono in evidenza - nell'adempimento degli obblighi di sorveglianza sanitaria del datore di lavoro di cui al D.Lvo n. 626/94 - l'esigenza di contemperare, da un lato, gli interessi del lavoratore ad operare in condizioni fisiche idonee allo svolgimento della mansione che gli è attribuita e, dall'altro, gli interessi del lavoratore medesimo a che le informazioni raccolte nell'ambito della sorveglianza sanitaria vengano trattate in condizioni di rispetto del suo diritto alla riservatezza ed in modo tale da non creare condizioni di discriminazione all'interno dell'azienda in relazione alle sue condizioni di salute.

In relazione alle premesse appena fatte, iniziamo dalla ricognizione delle norme di legge applicabili.
Come è noto, la sorveglianza sanitaria è prevista dal D.Lvo n. 626/94 al Titolo I, Capo IV, per la verifica,attraverso accertamenti sanitari mirati, esami clinici e biologici, indagini diagnostiche, dell'assenza di controindicazioni al lavoro cui i lavoratori sono destinati, per la valutazione della idoneità alla mansione specifica e per l'accertamento periodico dello stato di salute dei lavoratori. Preposto all'attività di sorveglianza sanitaria è il "medico competente", il quale ha il compito di collaborare con il datore di lavoro e con il servizio di protezione e prevenzione.

Unico riferimento al trattamento dei dati sanitari raccolti in occasione della sorveglianza sanitaria è contenuto, nel D.Lvo n. 626/94, nell'articolo 17, comma 1, lettera c), che prevede che il medico competente istituisca ed aggiorni, sotto la propria responsabilità, per ogni lavoratore sottoposto a sorveglianza sanitaria, una cartella sanitaria e di rischio da custodire presso il datore di lavoro con salvaguardia del segreto professionale.

Appare evidente che la norma appena considerata, con riferimento alle esigenze di tutela della riservatezza dei lavoratori in ordine al loro stato di salute, deve essere necessariamente posta in relazione con le prescrizioni generali contenute nella legge n. 675/96.
Questa prende in considerazione i dati sanitari nell'ambito dei dati cosiddetti sensibili e, all'articolo 23 prescrive che i dati inerenti alla salute possono essere trattati dagli esercenti le professioni sanitarie e le strutture sanitarie pubbliche, anche senza l'autorizzazione del Garante, limitatamente ai dati e alle operazioni indispensabili per il perseguimento delle finalità di tutela dell'incolumità fisica e della salute del soggetto interessato.

Quindi, in ordine al momento della raccolta dei dati ed alla loro conservazione, in deroga alla regola generale prevista per il trattamento dei dati sensibili, non è obbligatoria l'acquisizione della autorizzazionepreventiva del Garante.

Per quanto concerne la comunicazione dei dati sanitari, la legge prevede che questi possano essere resi noti all'interessato soltanto per il tramite di un medico designato dall'interessato stesso o dal titolare del trattamento. Non è ammessa dalla legge, invece, la diffusione dei dati, salvo il caso che questa si renda necessaria per finalità di prevenzione, accertamento e repressione dei reati. Ricordiamo che la legge considera la comunicazione come l'attività volta a dare conoscenza dei dati ad uno o più soggetti determinati, mentre la diffusione è l'attività volta a dare conoscenza ai dati ad uno o più soggetti indeterminati.

Applicando la regola generale prevista dalla legge sulla "privacy" alle norme sulla sorveglianza sanitaria dobbiamo svolgere alcune considerazioni.
In primo luogo deve essere rilevato che la sorveglianza sanitaria prevista dall'articolo 16 del D.Lvo n. 626/94 deve essere letta come norma intesa a tutelare un interesse diretto del lavoratore alla salvaguardia della propria incolumità fisica e della propria salute. In tal caso, pertanto, la raccolta delle informazioni può lecitamente avvenire in assenza di autorizzazione preventiva del Garante per la protezione dei dati.

Piuttosto, le fattispecie più delicate attengono alla conservazione ed alla comunicazione dei dati in questione, dal momento che, certamente, nell'attività in argomento entrano in relazione diversi soggetti: il medico competente; il lavoratore interessato; il datore di lavoro; eventualmente il responsabile della sicurezza, ove nominato dal datore di lavoro e il rappresentante dei lavoratori.

Esaminiamo, dapprima, la conservazione dei dati.
Abbiamo già detto che il D.Lvo n. 626/94 prevede la predisposizione, da parte del medico competente, di una cartella sanitaria da custodire presso il datore di lavoro. In relazione a tale adempimento deve essere ricostruito il quadro delle figure soggettive e delle annesse responsabilità in relazione alle prescrizioni della legge n. 675/96.

Con riferimento agli adempimenti che la legge sulla sicurezza assegna al medico competente, riteniamo possibile affermare che questi assuma, in ordine alle norme sulla privacy, la qualifica di responsabile del trattamento, in quanto preposto dal datore di lavoro al trattamento dei dati sanitari: dalla loro raccolta, alla loro conservazione ed eventuale comunicazione (certa, nei confronti dell'interessato, discutibile, nei confronti di altri soggetti).

Per quanto attiene agli obblighi di informazione preventiva degli interessati occorre rilevare che l'articolo 16 del D. Lvo n. 626/94 appare esauriente, prevedendo che il medico competente fornisca al lavoratore informazioni sul significato degli accertamenti sanitari cui è sottoposto (finalità del trattamento).

Per ciò che concerne, invece, alla titolarità del trattamento, questa può essere attribuita, in linea generale, al datore di lavoro ed, in via mediata, al soggetto cui compete la responsabilità diretta in ordine ai diversi adempimenti previsti dal D.Lvo n. 626/94.
Il titolare del trattamento, pertanto, assume in capo a sè le responsabilità di conservazione dei dati (soggetti a segreto professionale), provvedendo alla adozione delle idonee misure di sicurezza, ai sensi dell'articolo 15 della legge n. 675/96, in modo da ridurre al minimo i rischi di distruzione o perdita e di accesso non autorizzato o di trattamento non consentito.

Ai sensi dell'articolo 7 della legge sulla privacy, esiste una disposizione di carattere generale che prevede, per i dati soggetti all'applicazione della legge, l'obbligo di notificazione preventiva del trattamento al Garante.

In assenza di auspicabili disposizioni correttive, relativamente al caso in argomento, occorre evidenziare che tale obbligo, a diritto vigente, sussiste anche nel caso degli accertamenti sanitari compiuti ai sensi delle norme sulla sicurezza nei luoghi di lavoro: in materia, tuttavia, occorrerà aspettare l'emanazione delle previste disposizioni correttive della legge sulla privacy di cui alla delega conferita al Governo ai sensi della legge n. 676/96 e, soprattutto, l'emanazione delle norme di recepimento della raccomandazione del Consiglio d'Europa n. R (89) 2 relativa ai dati utilizzati per finalità di lavoro, sulla quale, in chiusura, varrà la pena di svolgere alcune considerazioni.

Quanto agli obblighi previsti dalla legge n. 675/96 in ordine alla comunicazione dei dati, deve essere rilevato che la lettura delle norme integrate del D.Lvo n. 626/94 e della legge n. 675/96, prevede un obbligo di comunicazione degli esiti degli accertamenti sanitari compiuti in occasione della sorveglianza sanitaria nei luoghi di lavoro in favore del lavoratore interessato: l'articolo 17, comma 1, lettera f), infatti, prevede che il medico competente informi il lavoratore interessato dei risultati degli accertamenti sanitari e rilasci, a richiesta di questo, copia della documentazione. Tale prescrizione appare perfettamente in linea conl'articolo 23, comma 2, della legge n. 675/96 che prescrive che i dati inerenti lo stato di salute possano essere comunicati all'interessato per il solo tramite di un medico.

Quanto alla comunicazione delle medesime risultanze degli accertamenti al datore di lavoro da parte del medico competente, tenuto, come visto al segreto professionale, deve ritenersi possibile, da parte del medico, la comunicazione dei soli dati idonei a rivelare patologie riscontrate incompatibili con le mansioni specificamente assegnate al lavoratore, affinchè possano essere adottate le conseguenti decisioni organizzative.

Quanto ad eventuali altre patologie o condizioni riscontrate, senza interferenze con le finalità dell'accertamento, deve essere ovviamente escluso che le risultanze ad esse relative possano, dal medico,essere comunicate al datore di lavoro.

Particolare attenzione, invece, dovrà essere posta dal datore di lavoro nel trasferire le disposizioni riorganizzative connesse all'accertamento sanitario all'interno dell'azienda, poichè si ritiene che mai possa avere ad oggetto, tale comunicazione, il trasferimento di dati idonei a rivelare lo stato di salute e le eventuali patologie riscontrate, ma solo ed unicamente le informazioni indispensabili alle assunzioni di decisioni in ordine alle mansioni del lavoratore, nonchè le soluzioni individuate e gli accorgimenti suggeriti.

Per quanto attiene alla diffusione di dati relativi agli accertamenti sanitari deve essere presa in considerazione la sola ipotesi prevista dall'articolo 17, comma 1, lettera g), del D. Lvo n. 626/94 che prevede la possibilità, per il medico competente, di dare conoscenza, in occasione delle riunioni periodiche di prevenzione e protezione dei rischi, ai rappresentanti per la sicurezza, dei risultati degli accertamenti clinici e strumentali compiuto in occasione delle visite di sorveglianza sanitaria, purchè ciò avvenga, in ossequio del rispetto dei diritti di riservatezza dei lavoratori interessati, in forma anonima e collettiva.

Vale la pena di dedicare qualche cenno conclusivo alla delega conferita al Governo ai sensi dell'art. 1, comma 1, lettera b), n. 4, della legge n. 676/96, secondo la quale i dati personali utilizzati per finalità di lavoro devono essere oggetto di specifiche disposizioni integrative della legge generale n. 675/96 emanate, entro diciotto mesi dalla data di entrata in vigore della legge delega, secondo i criteri direttivi contenuti nella Raccomandazione del Consiglio d'Europa n. R (89) 2, del 18 gennaio 1989.