Tutela della salute e sicurezza nei luoghi di lavoro - 31 marzo 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Vista la richiesta di parere della Presidenza del Consiglio dei ministri;
Vista la documentazione in atti;
Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO
La Presidenza del Consiglio dei ministri ha trasmesso all´Autorità per l´esame uno schema di decreto legislativo volto a dare attuazione alla legge 3 agosto 2007, n. 123, in materia di tutela della salute e sicurezza nei luoghi di lavoro.
I trattamenti di dati personali cui si riferisce la normativa in esame riguardano anche informazioni idonee a rivelare lo stato di salute di lavoratori e, per tale loro intrinseca delicatezza e per gli effetti che essi possono comunque determinare, vanno presi in considerazione fra quelli che presentano particolari rischi per gli interessati. A prescindere, quindi, dalle cautele previste dallo schema di decreto e sulle quali è fornito il presente parere, il Garante si riserva di prescrivere autonomamente misure e accorgimenti in concreto necessari a garanzia degli interessati e di esprimere parere sugli schemi dei singoli decreti attuativi (previsti dallo schema in esame) ai sensi dell´art. 154, comma 4, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196).

OSSERVA
1. Rispetto dei princìpi in materia di protezione dei dati personali
Diverse previsioni del testo possono porre alcuni interrogativi sulla loro applicazione pratica in rapporto al Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196). Per evitare ripetuti richiami, appare più che opportuno l´inserimento nella parte iniziale del decreto (in luogo di frammentari richiami già presenti) di una chiara disposizione volta a prescrivere che tutti gli atti attuativi del decreto siano svolti nel rispetto del predetto Codice, in particolare per ciò che attiene ai princìpi di necessità, proporzionalità e indispensabilità (art. 3, 11, comma 1, lett. a) e b) e 22, commi 2 e 5, del d.lg. n. 196/2003).

2. Il Sistema informativo nazionale per la prevenzione nei luoghi di lavoro
La delicatezza dei dati relativi agli infortuni sul lavoro e alle malattie professionali e la complessità del Sistema informativo nazionale per la prevenzione nei luoghi di lavoro (Sinp), che coinvolge più sistemi informativi riferibili a diversi soggetti istituzionali, "anche tramite l´integrazione di specifici archivi e la creazione di banche dati unificate", impone un utilizzo proporzionato di tali dati rispetto alle finalità perseguite e rende necessaria una particolare attenzione nell´individuazione dei soggetti istituzionali e dei sistemi informativi interessati. Queste informazioni, infatti, sono idonee a rivelare lo stato di salute dei lavoratori e comprese dalla normativa sulla protezione dei dati personali fra i dati "sensibili", il cui trattamento è consentito solo in presenza delle elevate garanzie previste dal Codice (artt. 18, 20 e 22 d.lg. n. 196/2003).
Le considerazioni che precedono rendono quindi necessario valutare nuovamente le previsioni di cui all´art. 8 dello schema di decreto alla luce dei sopra richiamati princìpi di necessità, proporzionalità e indispensabilità nel trattamento dei dati rispetto alle finalità che si intendono perseguire. Tale indicazione può essere utilmente recepita nell´ambito dell´art. 8 dello schema:
precisando che "l´utilizzo integrato delle informazioni disponibili negli attuali sistemi informativi" va effettuato nel rispetto dei princìpi sopra richiamati (comma 1);
prevedendo che il d.m. attuativo individui, secondo un rigoroso criterio di selettività, le istituzioni e gli organismi che possono accedere al Sinp, tenendo presente che sono legittimati a trattare dati sensibili esclusivamente quei soggetti le cui attività istituzionali perseguono finalità di rilevante interesse pubblico individuate da norme di rango primario (v. ad es. artt. 67, 85, comma 1, lett. e) e 112, comma 2, lett. f) d.lg. n. 196/2003) (comma 2);
chiarendo se il Sinp sia un unico sistema a livello nazionale, rispetto al quale l´Inail è il solo titolare del trattamento o se, invece, le istituzioni e gli organismi coinvolti rivestano la qualità di autonomi titolari in riferimento ai dati personali comunicati (comma 3);
verificando se l´emanando decreto, nel definire le regole del trattamento dei dati nell´ambito del Sinp, sia effettivamente una fonte normativa idonea a individuare i tipi di dati che possono essere trattati lecitamente e di operazioni che possono essere eseguite sui dati sensibili agli effetti di quanto previsto dagli artt. 20 e 22 del Codice (comma 4);
precisando che possono essere oggetto di comunicazione nell´ambito del Sinp e utilizzati dai soggetti coinvolti soltanto dati personali necessari, pertinenti, non eccedenti e indispensabili per lo svolgimento delle finalità di rilevante interesse pubblico istituzionalmente perseguite (artt. 3, 11, comma 1, d) e 22, commi 2 e 5, d.lg. n. 196/2003) e che possono essere diffusi soltanto dati anonimi o aggregati (comma 7).

3. Obblighi del datore di lavoro e del dirigente
Con riferimento all´art. 18 dello schema, si ritiene necessario:
specificare la natura dei dati relativi agli infortuni sul lavoro da comunicare all´Inail e all´Ipsema a fini statistici e informativi (anonimi o indirettamente identificativi) distinguendoli da quelli -necessariamente identificativi- che devono essere comunicati ai medesimi istituti a fini assicurativi (comma 1, lett. r));
sostituire il riferimento "ai dati di cui alla lett. q)" del medesimo articolo con quelli di cui alla lett. r) (comma 1, lett. o) e comma 2, lett. d)).

4. Obblighi del medico competente
Con riferimento all´art. 25 dello schema, si ritiene necessario:
indicare che alla "salvaguardia del segreto professionale" devono essere improntate anche le attività di istituzione, aggiornamento e custodia delle cartelle sanitarie e di rischio da parte del medico competente e non solo la loro consegna al datore di lavoro (comma 1, lett. c));
aggiungere l´indicazione relativa alla "cessazione dell´attività dell´impresa" con riferimento ai casi in cui il medico competente è tenuto a trasmettere all´Ispesl le cartelle sanitarie e di rischio dei lavoratori (anche per simmetria con il modello di cartella sanitaria e di rischio allegata allo schema di decreto), precisandone i termini temporali (comma 1, lett. f)).

5. Rapporti del medico competente con il Servizio sanitario nazionale
Con riferimento all´art. 40 dello schema, si ritiene necessario sostituire l´espressione "dati collettivi" con "dati aggregati" (comma 1). Per simmetria la medesima sostituzione va effettuata nell´allegato 3B dello schema.

6. Tenuta della documentazione
In relazione alle disposizioni generali sulle modalità di tenuta informatizzata della documentazione, di cui all´art. 53 dello schema in esame, considerata la particolare delicatezza dei dati che essa può contenere, si evidenzia la necessità che tali modalità siano strettamente correlate alle finalità previste e che tutti i soggetti interessati adottino misure adeguate ad assicurare un utilizzo lecito e corretto di tali informazioni unitamente a garanzie rigorose per il rispetto della disciplina di protezione dei dati personali. Al riguardo, va rilevato che il legittimo trattamento dei dati sanitari del lavoratore da parte del medico competente deve essere accompagnato da misure di sicurezza idonee ad assicurare la segretezza delle informazioni trattate, quale che sia il formato utilizzato (cartaceo o informatizzato) per gestire la relativa documentazione. In particolare, il datore di lavoro non può accedere alle informazioni contenute nella cartella sanitaria e di rischio del lavoratore, eccetto per ciò che concerne i giudizi relativi all´idoneità alla mansione, essendo piuttosto tenuto, nelle unità produttive di maggiori dimensioni, a concorrere a garantirne un´efficace custodia e a predisporre tutte le condizioni necessarie perché il medico possa svolgere i suoi compiti (artt. 25, comma 1, lett. c), d) e f), 39, comma 4, 41, comma 8 e 42, dello schema).
Tali previsioni vanno inoltre coordinate con quelle analoghe, applicabili esclusivamente ai registri e alle cartelle sanitarie e di rischio dei lavoratori esposti ad agenti cancerogeni, contenute nel d.m. 12 luglio 2007, n. 155 (art. 10), cui, peraltro, rinvia il medesimo schema (art. 243, comma 9). In proposito, si richiamano interamente le osservazioni formulate dal Garante sullo schema del decreto citato riguardo alla sicurezza dei sistemi informativi eventualmente utilizzati (Parere 11 gennaio 2007, disponibile sul sito www.garanteprivacy.it, doc. web n. 1378712, punto 6). Tali indicazioni possono essere recepite con parziali modificazioni e integrazioni dell´articolo 53 del seguente tenore:
sostituendo l´espressione "memorizzazione" con "tenuta informatizzata" e inserendo il riferimento alle "condizioni previste nel presente articolo" (comma 1);
sostituendo le parole "memorizzazione dei dati e di accesso al sistema di gestione della" con le seguenti "acquisizione, comunicazione, elaborazione e archiviazione dei dati contenuti nella" (comma 2);
aggiungendo infine le seguenti parole: "e designati quali incaricati del trattamento dei dati personali" (comma 2, lett. a));
sostituendo la parola "responsabili" con le seguenti "cui si riferiscono gli adempimenti relativi alla tenuta della documentazione" (comma 2, lett. b));
sopprimendo conseguentemente la parola "responsabili" e sostituendo le parole "la memorizzazione di codice identificativo" fino alla fine con le seguenti "l´apposizione della firma digitale di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni" (comma 2, lett. c));
sostituendo le parole "supporti di memoria" con "supporti informatici" (comma 2, lett. e));
sostituendo quanto previsto nella lett. f) del secondo comma con la seguente previsione "siano adottate adeguate e idonee misure di sicurezza per il trattamento dei dati personali, anche mediante il ricorso a tecniche di cifratura dei dati personali sensibili o a codici identificativi che assicurano accessi selettivi ai dati trattati, nonché il tracciamento degli accessi medesimi";
sopprimendo le parole "attraverso la trasmissione della password in modalità criptata" e "da parte delle persone responsabili", aggiungendo alla fine "e all´adozione di adeguate misure di sicurezza per il trattamento dei dati" (comma 3);
sostituendo la parola "custodita" con "gestita" (comma 4);
stabilendo espressamente che l´emanando decreto volto a definire le modalità per l´eventuale eliminazione o per la tenuta semplificata della documentazione sia adottato sentito il Garante per la protezione dei dati personali ai sensi dell´art. 154, comma 4, del Codice (comma 5).

7. Comunicazioni e trasmissione della documentazione
Con riferimento all´art. 54 dello schema si ritiene necessario precisare, integrando in tal senso la disposizione, che il formato e le modalità delle comunicazioni di dati e delle trasmissioni di documentazione che le strutture riceventi possono individuare devono essere "idonee ad assicurare in maniera adeguata la riservatezza e la sicurezza dei dati comunicati o contenuti nella documentazione trasmessa anche mediante l´eventuale ricorso a posta elettronica certificata (PEC) e cifratura con firma digitale delle informazioni trasmesse, o altri sistemi telematici che assicurano livelli equivalenti di sicurezza".

8. Registrazione dei tumori
Richiamando le osservazioni contenute nel precedente punto 1 con riferimento al rispetto dei princìpi di necessità, proporzionalità e indispensabilità nel trattamento dei dati rispetto alle finalità perseguite (artt. 3, 11, comma 1, lett. a) e b) e 22, commi 2 e 5, del Codice), si ritiene necessario specificare nel comma 5 dell´art. 244 dello schema (che prevede l´integrazione nel Sinp dei registri nazionali dei casi di neoplasia e mesioteloma, nonché dei sistemi di monitoraggio dei rischi cancerogeni di sospetta origine professionale, istituiti presso l´Ispesl), che la sua attuazione avverrà con modalità determinate sentito il Garante.
In conclusione, il Garante esprime parere favorevole sullo schema di decreto legislativo a condizione che vengano apportate le modifiche sopra indicate.

TUTTO CIÓ PREMESSO IL GARANTE
esprime parere favorevole sullo schema di decreto legislativo volto a dare attuazione alla legge 3 agosto 2007, n. 123, in materia di tutela della salute e sicurezza nei luoghi di lavoro, a condizione che lo schema in esame sia modificato, nei termini di cui in motivazione, con specifico riferimento:
a) all´inserimento di una disposizione volta a prescrivere che tutti gli atti attuativi del decreto siano svolti nel rispetto del Codice in materia di protezione dei dati personali (punto 1);
b) alla valutazione ulteriore delle previsioni di cui all´art. 8 alla luce dei princìpi di necessità, proporzionalità e indispensabilità nel trattamento dei dati rispetto alle finalità perseguite (artt. 3, 11, comma 1, lett. a) e b) e 22, commi 2 e 5, del d.lg. n. 196/2003), specie per ciò che concerne l´individuazione dei soggetti istituzionali coinvolti (punto 2);
c) alla sostituzione nell´art. 18 del riferimento "ai dati di cui alla lett. q)" con quelli di cui alla lett. r) del medesimo articolo e alla specificazione della natura dei dati da comunicare all´Inail e all´Ipsema a fini statistici e informativi (punto 3);
d) all´inserimento, alla lett. c) del primo comma dell´art. 25, dei riferimenti relativi alla "salvaguardia del segreto professionale", nonché all´integrazione della lett. f) con la previsione dei casi di "cessazione dell´attività dell´impresa" (punto 4);
e) alla sostituzione dell´espressione "dati collettivi" con "dati aggregati" nell´art. 40 e nell´allegato 3B allo schema (punto 5);
f) al coordinamento delle previsioni di cui all´art. 53 dello schema con quelle applicabili ai registri e alle cartelle sanitarie e di rischio dei lavoratori esposti ad agenti cancerogeni (art. 10, d.m. 12 luglio 2007, n. 155), alla loro integrazione con mirate disposizioni in materia di misure di sicurezza nel trattamento dei dati, stabilendo che l´emanando decreto venga adottato sentito il Garante (punto 6);
g) all´integrazione dell´art. 54 con la previsione relativa all´idoneità delle modalità di comunicazione dei dati e di trasmissione della documentazione ad assicurare in maniera adeguata la riservatezza e la sicurezza dei dati (punto 7);
h) all´integrazione del comma 5 dell´art. 244 in riferimento a modalità determinate previo parere del Garante (punto 8).

Roma, 31 marzo 2008
 

IL PRESIDENTE
Pizzetti
IL RELATORE
Chiaravalloti
IL SEGRETARIO GENERALE
Buttarelli