Diritti interna

Doveri interna

ricerca avanzata

Istituzione di registri e cartelle sanitarie di lavoratori esposti ad agenti nocivi - 11 gennaio 2007 [1378712]

[doc. web n. 1378712]

Istituzione di registri e cartelle sanitarie di lavoratori esposti ad agenti nocivi - 11 gennaio 2007


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di parere del Ministero della salute;

Visto l´articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il decreto legislativo 19 settembre 1994, n. 626, recante norme per il miglioramento della sicurezza e della salute dei lavoratori durante il lavoro, e in particolare gli articoli 70 e 87;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO:

Il Ministero della salute ha chiesto, ai sensi dell´art. 154, comma 4, del Codice in materia di protezione dei dati personali, il parere del Garante in ordine ad uno schema di decreto recante l´istituzione dei registri e delle cartelle sanitarie e di rischio dei lavoratori esposti ad agenti cancerogeni o biologici.

Il decreto deve individuare:

a) per i lavoratori esposti ad agenti cancerogeni, il modello e le modalità di tenuta di un registro –istituito ed aggiornato dal datore di lavoro che ne cura la tenuta per il tramite del medico competente- nel quale riportare, per ciascun lavoratore, l´attività svolta, l´agente cancerogeno utilizzato e, ove noto, il valore dell´esposizione a tale agente; il modello e le modalità di tenuta, per ciascun lavoratore, di una cartella sanitaria e di rischio istituita ed aggiornata dal medico competente (art. 70, commi 1, 2 e 9, d.lg. n. 626/1994);

b) per i lavoratori esposti ad agenti biologici che comportano particolari rischi di infezione, il modello e le modalità di tenuta di un registro analogo a quello previsto per i lavoratori esposti ad agenti cancerogeni nel quale riportare, per ciascuno di essi, l´attività svolta, l´agente utilizzato e gli eventuali casi di esposizione individuale; il modello e le modalità di tenuta, per ciascun lavoratore, della cartella sanitaria e di rischio (art. 87, commi 1 e 6, d.lg. n. 626/1994).

OSSERVA:

1..Considerazioni generali

1.1. Lo schema riguarda specifici trattamenti di dati che possono o devono essere effettuati all´interno dell´impresa in conformità alla disciplina in materia di igiene e sicurezza del lavoro.

Le finalità sottese all´esigenza di garantire la salute e l´integrità psico-fisica di talune categorie di lavoratori, particolarmente esposti a rischi per il proprio stato di salute a causa della specifica attività lavorativa svolta, sono lecite e trovano base normativa nelle pertinenti disposizioni (artt. 60-71 e 73-88 d.lg. n. 626/1994; art. 11, comma 1, lett. b), del Codice).

Lo schema concerne la raccolta e la comunicazione anche di dati idonei a rivelare lo stato di salute del lavoratore (riportati, in particolare, nella cartella sanitaria e di rischio, come nella parte dei registri dedicata ai dati individuali) che, com´è noto, sono compresi dalla normativa in materia di protezione dei dati personali fra i dati "sensibili", il cui trattamento è consentito ai datori di lavoro e ad ogni altro soggetto solo in presenza delle elevate garanzie previste dal predetto Codice (artt. 18, 20, 22 e 26 del Codice; autorizzazioni del Garante n. 1 e 2 del 2005 concernenti, rispettivamente, il trattamento dei dati sensibili nei rapporti di lavoro e il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale).

1.2. In considerazione della delicatezza delle informazioni trattate si ravvisa preliminarmente la necessità che il decreto delimiti nei riguardi esclusivamente dei soggetti espressamente autorizzati per legge il trattamento dei soli dati personali indispensabili per perseguire le finalità previste e con modalità strettamente correlate a tali finalità, nonché l´adozione da parte di tutti i soggetti interessati di misure adeguate ad assicurare un utilizzo lecito e corretto delle informazioni e garanzie rigorose per il rispetto della disciplina di protezione dei dati personali. Ciò, tenuto anche conto che i dati personali in questione possono essere trattati da diversi soggetti (in particolare, Istituto superiore per la prevenzione e la sicurezza del lavoro; Istituto superiore di sanità; organi di igilanza).

1.3. In tale quadro, come già rilevato dal Garante nelle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro, recentemente adottate (Provv. 23 novembre 2006, in www.garanteprivacy.it, doc. web n. 1364099, nonché in G.U. 7 dicembre 2006, n. 285), assume particolare importanza il trattamento di dati sanitari effettuato dal medico dell´azienda il quale è tenuto ad effettuare accertamenti preventivi e periodici sui lavoratori (art. 16 d.lg. n. 626/1994) e ad istituire una cartella sanitaria e di rischio (artt. 70 e 87 d.lg. n. 626/1994).

In relazione a tali disposizioni, al medico è consentito trattare i dati sanitari del lavoratore anche annotandoli nella cartella e curando le necessarie misure di sicurezza idonee ad assicurare la segretezza delle informazioni; ciò, quale che sia il titolare del trattamento dei dati effettuato dal medico. Resta fermo che il datore di lavoro non può invece accedere alle predette cartelle sanitarie, essendo solo tenuto a concorrere a garantirne un´efficace custodia nei locali dell´azienda (art. 70, commi 2 e 7, d.lg. n. 626/1994), salvo per quanto riguarda la conoscibilità dei dati riguardanti il giudizio di idoneità del lavoratore (allegato 3, punti 9 e 10, dello schema).

 

2. Trattamenti effettuati da soggetti pubblici

Il regolamento in esame è fonte normativa adeguata a specificare i dati sensibili che possono essere trattati lecitamente, in particolare ai fini del loro inserimento nella cartella sanitaria e di rischio o, eventualmente, nei registri, da parte di soggetti pubblici, siano questi datori di lavoro o destinatari della comunicazione dei dati (Istituto superiore di sanità, Istituto superiore per la prevenzione e la sicurezza del lavoro).

Emerge quindi la necessità che le previsioni dello schema che, anche indirettamente o negli allegati individuano, nella sostanza, tipi di dati trattati e di operazioni eseguibili sui dati sensibili siano riformulate in modo tale da rendere inequivoco che l´emanando decreto rileverà anche quale fonte regolamentare agli effetti di quanto previsto dagli artt. 20, 22 e 112, comma 2, lett. e) del Codice, nei riguardi di tutti i soggetti pubblici legittimati a trattare tali dati per le finalità di rilevante interesse pubblico previste dal decreto. Ciò, prevedendo che tale individuazione abbia efficacia temporanea, che potrà cessare, rispetto ai singoli soggetti, al momento in cui gli stessi avranno provveduto sul punto con specifico ed autonomo regolamento ai sensi del citato articolo 20 del Codice. 

 

3. Indispensabilità dei dati trattati e finalità perseguite

3.1. Per assicurare il rispetto dei principi di proporzionalità e di finalità nel trattamento dei dati (artt. 11, comma 1, lett. a) e b), e 22, comma 3, del Codice) si ritiene necessario inserire nel decreto una specifica "clausola di finalità", per affermare che, nelle procedure degli accertamenti sanitari e nella conseguente registrazione dei dati nella cartella sanitaria o nel registro, possono essere trattati solo dati personali indispensabili e che i medesimi dati possono essere utilizzati esclusivamente per le finalità di igiene e sicurezza del lavoro previste.

3.2. Alla stregua dei medesimi principi è necessario precisare ulteriormente le categorie di "altre notizie", non meglio identificate, richieste nell´ambito dell´anamnesi personale (allegato 3, punto 4).
    

4. Integrazione di documenti sanitari

L´art. 90 del decreto legislativo 17 marzo 1995 n. 230 prevede che per ogni lavoratore esposto al rischio di radiazioni ionizzanti il medico addetto alla sorveglianza deve istituire un documento sanitario personale del lavoratore.

Il comma 5 dell´art. 3 dello schema prevede che nel caso di lavoratori esposti contemporaneamente a radiazioni ionizzanti e ad agenti cancerogeni o biologici il predetto documento sanitario debba essere integrato con le informazioni registrate nella cartella sanitaria prevista dal presente decreto.

Pur comprendendo le ragioni, anche di economia, alla base di tale previsione, l´eventuale ricorso all´integrazione dei dati comporterebbe l´annotazione nel medesimo documento (redatto anche in forma cartacea) di informazioni non sempre coincidenti e sottoposte a differenti regole di conservazione e di accesso. Ad esempio, il documento sanitario deve essere conservato per almeno trent´anni dopo la cessazione del lavoro che comporta esposizione alle radiazioni ionizzanti, mentre la cartella sanitaria dei lavoratori esposti ad agenti cancerogeni deve essere conservata fino a quarant´anni dalla medesima cessazione e quella dei lavoratori esposti ad agenti biologici per dieci anni (art. 90, comma 3, d.lg. n. 230/1995; art. 70, comma 6, d.lg. n. 626/1994; art. 87, comma 4, d. lg. n. 626/1994).

Tale "sistema integrato", soprattutto in relazione a documenti redatti in forma cartacea, renderebbe, pertanto, particolarmente difficile garantire il rispetto di importanti obblighi previsti dalla normativa in materia di protezione dei dati personali, come, appunto, quello di cancellazione dei dati alle diverse "scadenze" dei termini di conservazione rispetto alle distinte finalità.
Da quanto evidenziato discende la necessità che, valutata nuovamente l´effettiva opportunità di integrare i predetti documenti sanitari, specie di quelli cartacei, si prevedano comunque, in caso di integrazione dei documenti, idonee modalità per assicurare una conservazione differenziata dei dati secondo legge.

 

5. Trasmissione di documenti cartacei e riservatezza dei dati

5.1. All´articolo 8, commi 1 e 2, dello schema deve essere precisato a quali, specifici soggetti il datore di lavoro trasmette i registri, le variazioni delle annotazioni individuali contenute nei registri e le cartelle sanitarie in caso di cessazione del rapporto di lavoro o dell´attività dell´azienda, assicurando che ciò avvenga nei soli riguardi dei soggetti previsti per legge e nei casi e termini parimenti indicati dalla legge (art. 70, commi 4 e 5, d.lg. n. 626/1994). Un chiarimento analogo è necessario anche all´articolo 10, commi 5 e 7, dello schema.

5.2. Inoltre, si ritiene necessario prevedere l´utilizzo di una busta chiusa (o di altro mezzo idoneo ad assicurare la riservatezza delle informazioni) in tutti i casi in cui vengano trasmessi, senza l´utilizzo di strumenti elettronici, documenti riportanti informazioni individuali del lavoratore e non solo nel caso di trasmissione della cartella sanitaria ai sensi dell´articolo in esame. A tale scopo, una previsione analoga a quella indicata nel comma 3 dell´articolo 8 dovrebbe essere inserita nelle altre pertinenti disposizioni del decreto (artt. 1, 2 e 7 dello schema).

 

6. Utilizzo di sistemi informativi e sicurezza dei dati

6.1. La particolare delicatezza dei dati inseriti nella cartella sanitaria e nei registri ne impone, come abbiamo già detto, un utilizzo proporzionato rispetto alle finalità perseguite e rende necessaria una particolare attenzione alla sicurezza dei sistemi informativi eventualmente utilizzati e, sul piano applicativo, all´integrità dei dati trasmessi.

In tal senso, è necessario integrare lo schema di regolamento prevedendo che: a) l´utilizzo di sistemi di elaborazione automatica dei dati sia improntato al rispetto del principio di necessità ((in base al quale, ai sensi dell´art. 3 del Codice, i sistemi informativi sono configurati riducendo al minimo l´uso di dati personali e identificativi); b) siano adottate misure di sicurezza calibrate rispetto alle modalità di formazione e di tenuta dei registri e delle cartelle, conformi agli articoli 22 (per i soggetti pubblici), 31 e ss. e all´Allegato B del Codice, e con eventuale ricorso a tecniche di cifratura dei dati sensibili; c) siano previsti accessi selettivi alle informazioni -da riservare a personale espressamente incaricato del trattamento dei dati personali- e il tracciamento delle operazioni di accesso.

6.2. Le indicazioni riportate al punto 6.1. possono essere recepite con parziali integrazioni dell´articolo 10 dello schema, del tenore seguente o analogo:

a) al comma 1, sostituendo le parole da "purché" sino alla fine con le seguenti: "nel rispetto del principio di necessità di cui all´articolo 3 del decreto legislativo 30 giugno 2003, n. 196, nonché delle condizioni previste nel presente articolo.", e, al comma 2, lett. a), aggiungendo in fine le seguenti parole: ", designati quali incaricati del trattamento dei dati personali";

b) inserendo, dopo il comma 1, il seguente comma: "I datori di lavoro e i medici competenti adottano adeguate misure di sicurezza per il trattamento dei dati personali ai sensi del decreto legislativo 30 giugno 2003, n. 196,  anche mediante il ricorso a tecniche di cifratura dei dati personali sensibili o a codici identificativi e assicurano accessi selettivi ai dati trattati, nonché il tracciamento degli accessi medesimi.", sopprimendo conseguentemente il comma 1 dell´articolo 11;

c) al comma 7, sostituendo le parole: "con le modalità fissate dagli organismi destinatari di tali comunicazioni" con le seguenti: "con modalità, fissate dagli organismi destinatari di tali comunicazioni, idonee ad assicurare in maniera adeguata la riservatezza e la sicurezza dei dati comunicati, anche mediante l´eventuale ricorso a posta elettronica certificata (PEC) e cifratura con firma digitale delle informazioni trasmesse, o ad altri canali telematici sicuri.".

 

7. Disposizioni finali e transitorie dello schema

All´articolo 11, il comma 2 deve essere soppresso in quanto non trova specifica corrispondenza in alcuna disposizione del decreto legislativo n. 626 del 1994. Tale decreto, infatti, prevede che le Regioni possano acquisire, a richiesta, dall´Ispels unicamente "dati di sintesi relativi al contenuto dei registri" concernenti i lavoratori esposti ad agenti cancerogeni (art. 70, comma 10, d.lg. n. 626/1994).

In conclusione, il Garante esprime parere favorevole sullo schema soltanto a condizione che vengano apportate le modifiche sopra indicate, menzionando nelle premesse del decreto l´avvenuta consultazione dell´Autorità.

TUTTO CIÓ PREMESSO IL GARANTE:

esprime parere favorevole sullo schema di decreto concernente l´istituzione dei registri e delle cartelle sanitarie e di rischio dei lavoratori esposti ad agenti cancerogeni o biologici, soltanto a condizione che lo schema sia modificato, nei termini di cui in motivazione:

a) prevedendo che le previsioni dello schema che, anche indirettamente o negli allegati individuano, nella sostanza, tipi di dati trattati e di operazioni eseguibili sui dati sensibili siano riformulate in modo tale da rendere inequivoco che l´emanando decreto rileverà anche quale fonte regolamentare agli effetti di quanto previsto dal Codice, nei riguardi di tutti i soggetti pubblici legittimati a trattare tali dati per le finalità di rilevante interesse pubblico previste dal decreto, efficace per i singoli soggetti fino a quando gli stessi non avranno provveduto sul punto con specifico ed autonomo regolamento (punto 2);

b) inserendo nel decreto una "clausola di finalità" secondo quanto indicato in motivazione (punto 3.1);

c) precisando ulteriormente quali possano essere le categorie di "altre notizie" richieste nell´ambito dell´anamnesi personale e da inserire nella cartella sanitaria (punto 3.2);

d) valutando nuovamente l´effettiva necessità di integrare in un unico documento, quanto meno di tipo cartaceo, la cartella sanitaria e di rischio e il documento sanitario, prevedendo comunque, in caso di integrazione dei documenti, idonee modalità per assicurare una conservazione differenziata dei dati secondo legge (punto 4);

e) precisando a quali soggetti, in quali casi e in quali termini il datore di lavoro deve trasmettere i registri, le variazioni delle annotazioni individuali contenute nei registri e le cartelle sanitarie in caso di cessazione del rapporto di lavoro o dell´attività dell´azienda (punto 5.1);

f) prevedendo l´utilizzo di una busta chiusa (o di altro mezzo idoneo ad assicurare la riservatezza delle informazioni) in tutti i casi in cui vengano trasmessi documenti cartacei riportanti informazioni individuali del lavoratore (punto 5.2);

g) integrando lo schema con mirate disposizioni in materia di misure di sicurezza nel trattamento dei dati (punto 6);

h) sopprimendo il comma 2 dell´art. 11 in materia di informazioni alle Regioni (punto 7).

Roma, 11 gennaio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli