I Protocolli anti Covid-19 e il Medico Competente
Il nuovo Protocollo condiviso ed integrato del 24 aprile, apre una nuova panoramica di gestione dei dati che tratterà il medico competente, da valutare alla luce della corretta interpretazione ed applicazione delle norme GDPR.
Questo nella misura in cui l’azienda avrà stabilito il ruolo che la figura del medico competente assumerà nei giorni a venire.
Detto Protocollo approfondisce il profilo della sorveglianza sanitaria al paragrafo 12 e sottolinea il ruolo strategico del medico competente:
- IV comma, par. 12: “nell’integrare e proporre tutte le misure di regolamentazione legate al Covid-19 il medico competente collabora con il datore di lavoro e le RLS/RLST”;
- V comma, par. 12: “Il medico competente segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy”.
La “tutela” (della salute e del benessere fisico dei dipendenti) deve realizzarsi “nel rispetto della privacy”.
Se la ratio del Protocollo è la difesa delle persone dal contagio Covid-19, dobbiamo pur contemperare tale dovere con le disposizioni in merito al regime di segretezza previsto dal D.lgs. 81/2008 e la gestione dei dati particolari (art. 9 GDPR) che ci impone la disciplina sulla privacy.
Tutto ciò premesso, tenendo anche conto di quanto previsto dall’articolo 14 del decreto legge 14/2020 (e dall’art. 17-bis del D.L. 18/2020, introdotto dalla legge di conversione approvata in via definitiva dalla Camera), costituirà un ottimo inizio predisporre strategie operative performanti relativamente alla parte del paragrafo 12 in cui si prescrive che: “l’azienda provvede alla loro tutela nel rispetto della privacy”.
Per provvedere, dunque, all’applicazione del paragrafo 12 del Protocollo Condiviso, “nel rispetto della privacy”, si ritiene che:
1. il medico competente dovrà comunicare solo ed esclusivamente i dati indispensabili per tutelare il dipendente, in situazioni particolari, dal rischio di contagio Covid-19, ovvero, si limiterà alla comunicazione al datore di lavoro la ricorrenza di eventuali situazioni di “fragilità e patologie attuali o pregresse” con riferimento ad uno o più dipendenti, con l’obiettivo di richiedere una particolare protezione per gli stessi;
2. in ogni caso, il medico competente non comunicherà al datore di lavoro le specificità e/o le origini cliniche/sanitarie di dette “fragilità e patologie attuali o pregresse”, limitandosi a richiedere al datore di lavoro l’adozione di particolari misure di sicurezza e protezione del lavoratore oggetto di tutela privilegiata della salute;
3. il medico competente informerà, con qualsiasi mezzo, il dipendente che sta per procedere alla comunicazione di cui al punto 1), assicurandolo sulla tutela della sua salute sul posto di lavoro e allo stesso tempo della sua privacy in merito alle specificità e/o alle origini cliniche/sanitarie delle “fragilità e patologie attuali o pregresse” che lo riguardano;
4. il medico competente procederà alla comunicazione al datore di lavoro del nominativo dei lavoratori che meritano una tutela privilegiata della loro salute perché affetti da “fragilità e patologie attuali o pregresse” e raccomanderà al datore di lavoro l’adozione di particolari misure di sicurezza e protezione a favore degli stessi;
5. il vostro Privacy Officer provvederà ad istituire un canale dedicato per raccogliere e processare tale comunicazione, dandone immediata informazione al rappresentante dei lavoratori per la sicurezza, affinché questi adotti senza ritardo le misure di sicurezza e protezione raccomandate dal medico competente, così come le “indicazioni delle Autorità Sanitarie”;
6. di concerto con il Titolare del trattamento, il Privacy Officer provvederà, in ossequio ai principi inderogabili della necessità e limitazione posti dal GDPR, ad individuare il minor numero possibile di autorizzati al trattamento dei dati comunicati dal medico competente per l’adozione delle misure di cui al punto 5);
7. il datore di lavoro potrà informare, con qualsiasi mezzo, anche oralmente, il dipendente di avere ricevuto la comunicazione del medico competente e che potrà chiederne la cancellazione in qualsiasi momento;
8. i dati di cui al precedente punto 1) devono essere conservati in maniera tale che non possano avervi accesso le persone non autorizzate;
9. in qualsiasi momento il lavoratore ha il diritto di chiedere, mediante i canali già predisposti ed operativi di indirizzi email dedicati (ad es. privacy@latuaazienda.com) di accedere ai dati comunicati e/o di procedere alla cancellazione dei dati;
10. in ogni caso, è buona norma predisporre la cancellazione dei dati al termine dello stato di emergenza di cui alla delibera del Consiglio dei Ministri del 31 gennaio 2020, dandone comunicazione al medico competente, al rappresentante dei lavoratori per la sicurezza e al lavoratore.
Articolo del: