News
"Medico Competente: autorizzazioni per il trattamento dei dati"
fonte www.puntosicuro.it / Privacy
12/01/2015 -
Riguardo al rinnovo al Medico Competente delle Autorizzazioni per il
trattamento dei dati dei lavoratori, pubblichiamo un contributo del
Dott. Cristiano Ravalli apparso sul sito
“ Medicina del Lavoro”,
un blog che vuole offrire a lavoratori, datori di lavoro, RSPP,
RLS, medici competenti e semplici curiosi una lettura divulgativa della
medicina del lavoro finalizzata all'approfondimento di argomenti
legislativi, tecnici, procedurali e organizzativi correlati al rapporto
tra lavoro e salute. Al contributo sul tema segue un post sul rapporto
tra il Decr. Leg.vo 196/2003 e
gli obblighi derivanti dalla normativa sulla tutela della salute e
sicurezza con alcuni moduli già predisposti per l'informazione ai
lavoratori riguardo al trattamento dei loro dati sensibili.
Il medico competente gestisce dati sensibili la cui raccolta è un obbligo di legge e richiede l'autorizzazione dell'autorità Garante che provvede, in automatico a rilasciarla annualmente
Il medico competente gestisce le cartelle sanitarie e di rischio, in forma cartacea ed eventualmente informatica, che possono essere conservate in azienda (eccetto il periodo necessario nell'attesa dell'esito di eventuali esami eseguiti) o presso il suo studio. Nel primo caso il datore di lavoro è responsabile della custodia e non può chiaramente accedere alle cartelle. Egli inoltre ha l'obbligo di conservarle almeno 10 anni successivi alla cessazione del rapporto di lavoro.
I dati personali che il medico competente è tenuto a trasmettere al datore di lavoro e al lavoratore in forma scritta sono rappresentati dal giudizio di idoneità secondo il modello previsto dalla legge, in cui compaiono le generalità del lavoratore, i fattori di rischio lavorativi a cui è esposto, evinti dal documento di valutazione dei rischi e l'idoneità con eventuali prescrizioni o limitazioni dei compiti lavorativi.
Sulla base di quanto descritto, a mio avviso, il medico competente dovrebbe essere nominato Responsabile del Trattamento dei Dati Personali e a sua volta egli può nominare eventuali collaboratori come "incaricati". In caso di mancata nomina, il Responsabile sarà altra figura identificata dal Titolare del Trattamento e il medico competente non avrà alcuna responsabilità nel trattamento dei dati. Rimane in capo al medico la salvaguardia del segreto professionale e pertanto dovrà vigilare affinché nessuno abbia accesso alle cartelle sanitarie e di rischio (eccetto il personale sanitario degli enti preposti al controllo o della magistratura).
Su questo complesso sistema si aggiunge poi la visita di idoneità preventiva eseguita in fase preassuntiva in cui non é stato ancora instaurato il rapporto di lavoro.
Io non ho competenze legali né sono esperto della materia ma secondo me, considerato anche la molteplicità delle risposte ricevute quando ho sottoposto i quesiti agli esperti, ho predisposto un modulo informativo per fornire al lavoratore tutte informazioni sui dati personali gestiti dal medico competente.
Ho considerato 4 possibilità:
1) Modulo che ottemperi agli obblighi in caso di conservazione delle cartelle in azienda e di NON assunzione del ruolo di Responsabile;
Ancora più complessa l'eventualità in cui il datore di lavoro si affidi ad un centro di servizi medici il quale sceglie il medico competente. In questo caso i dati personali vengono trasmessi al datore di lavoro da parte del medico competente attraverso una struttura organizzativa e le cartelle magari vengono conservate presso lo stesso centro medico. Non saprei come gestire questa eventualità poiché non collaboro con strutture terze.
Sono state rinnovate per il 2015
una serie di autorizzazioni d'ufficio al trattamento di alcuni dati personali,
tra cui l'Autorizzazione generale n. 1/2014 al trattamento dei dati sensibili
nei rapporti di lavoro 11 dicembre 2014 (pubblicata sulla Gazzetta Ufficiale n.
301 del 30 dicembre 2014).
In essa al punto 1), lettera c) “
l'autorizzazione riguarda anche l'attività
svolta:
dal medico competente in materia di igiene e di sicurezza del lavoro,
in qualità di libero professionista o di dipendente dei soggetti di cui alla
lettera a) o di strutture convenzionate”.
Link alla Autorizzazione n. 1/2014 - Autorizzazione al trattamento dei
dati sensibili nei rapporti di lavoro
Pertanto il medico
competente non necessita di raccogliere il consenso del lavoratore all'atto
delle visite mediche riguardo il trattamento dei suoi dati personali.
Tuttavia è buona prassi informare
il lavoratore su cosa viene trasmesso all'azienda, sulla modalità di
conservazione degli esami integrativi e sul fatto che questi ultimi non sono
accessibili in azienda (molti lavoratori sono convinti del contrario), sul
luogo e modalità di conservazione delle cartelle sanitarie e di rischio (presso
il medico o presso l'azienda con salvaguardia del segreto professionale), sul
fatto che alla cessazione del rapporto di lavoro vige l'obbligo di consegna al
lavoratore della copia e della conservazione dell'originale per almeno 10 anni
presso l'azienda, ecc.
A tale proposito ripropongo un
post in cui rendevo disponibili alcuni moduli già predisposti per
l'informazione ai lavoratori riguardo al trattamento dei loro dati sensibili:
solo gestione cartacea e solo rapporto diretto medico-azienda senza
intermediazioni di società di servizi/poliambulatori/ecc.
E' veramente difficile conciliare gli obblighi derivanti
dalla normativa sulla tutela della salute e sicurezza nei confronti del Decr.
Leg.vo 196/2003.
Il medico competente gestisce dati sensibili la cui raccolta è un obbligo di legge e richiede l'autorizzazione dell'autorità Garante che provvede, in automatico a rilasciarla annualmente
Il medico competente gestisce le cartelle sanitarie e di rischio, in forma cartacea ed eventualmente informatica, che possono essere conservate in azienda (eccetto il periodo necessario nell'attesa dell'esito di eventuali esami eseguiti) o presso il suo studio. Nel primo caso il datore di lavoro è responsabile della custodia e non può chiaramente accedere alle cartelle. Egli inoltre ha l'obbligo di conservarle almeno 10 anni successivi alla cessazione del rapporto di lavoro.
I dati personali che il medico competente è tenuto a trasmettere al datore di lavoro e al lavoratore in forma scritta sono rappresentati dal giudizio di idoneità secondo il modello previsto dalla legge, in cui compaiono le generalità del lavoratore, i fattori di rischio lavorativi a cui è esposto, evinti dal documento di valutazione dei rischi e l'idoneità con eventuali prescrizioni o limitazioni dei compiti lavorativi.
Sulla base di quanto descritto, a mio avviso, il medico competente dovrebbe essere nominato Responsabile del Trattamento dei Dati Personali e a sua volta egli può nominare eventuali collaboratori come "incaricati". In caso di mancata nomina, il Responsabile sarà altra figura identificata dal Titolare del Trattamento e il medico competente non avrà alcuna responsabilità nel trattamento dei dati. Rimane in capo al medico la salvaguardia del segreto professionale e pertanto dovrà vigilare affinché nessuno abbia accesso alle cartelle sanitarie e di rischio (eccetto il personale sanitario degli enti preposti al controllo o della magistratura).
Su questo complesso sistema si aggiunge poi la visita di idoneità preventiva eseguita in fase preassuntiva in cui non é stato ancora instaurato il rapporto di lavoro.
Io non ho competenze legali né sono esperto della materia ma secondo me, considerato anche la molteplicità delle risposte ricevute quando ho sottoposto i quesiti agli esperti, ho predisposto un modulo informativo per fornire al lavoratore tutte informazioni sui dati personali gestiti dal medico competente.
Ciò riguarda unicamente la gestione delle cartelle sanitarie
e di rischio su base cartacea e non informatizzata, opzione consentita dalla
normativa.
Ho considerato 4 possibilità:
1) Modulo che ottemperi agli obblighi in caso di conservazione delle cartelle in azienda e di NON assunzione del ruolo di Responsabile;
2)
Modulo che
ottemperi agli obblighi in caso di conservazione delle cartelle presso lo
studio del medico e di assunzione del ruolo di Responsabile;
3)
Modulo che
ottemperi agli obblighi in caso di conservazione delle cartelle in azienda e
assunzione del ruolo di Responsabile;
4)
Modulo che ottemperi
agli obblighi in caso di conservazione delle cartelle presso lo studio del
medico e di NON assunzione del ruolo di Responsabile.
I moduli sono scaricabili qui:
Ancora più complessa l'eventualità in cui il datore di lavoro si affidi ad un centro di servizi medici il quale sceglie il medico competente. In questo caso i dati personali vengono trasmessi al datore di lavoro da parte del medico competente attraverso una struttura organizzativa e le cartelle magari vengono conservate presso lo stesso centro medico. Non saprei come gestire questa eventualità poiché non collaboro con strutture terze.
Il link originale al post “ Il medico competente e la privacy”
Dott. Cristiano Ravalli
Fonte: medicocompetente.blogspot.it
Segnala questa news ad un amico
Questa news è stata letta 1366 volte.
Pubblicità
