Antonio Pedna, TechIOSH, AIEMA, AICW, architetto, consulente di direzione esperto in sostenibilità, qualità, sicurezza e ambiente

Il GDPR, acronimo di General Data Protection Regulation, è il regolamento dell’Unione Europea (UE) che stabilisce norme e regole per la protezione dei dati personali dei cittadini dell’UE e dello Spazio Economico Europeo (SEE). Entrato in vigore il 25 maggio 2018, il GDPR mira a rafforzare la protezione e la privacy dei dati personali in un’epoca in cui la tecnologia e l’interconnessione digitale sono sempre più diffuse.

Cosa è il GDPR

Il GDPR introduce una serie di principi fondamentali per il trattamento dei dati personali, tra cui il principio di trasparenza, il diritto alla limitazione del trattamento, il diritto all’oblio e il principio di responsabilità e responsabilizzazione delle organizzazioni che trattano dati personali. Tra le principali disposizioni del GDPR vi sono:

• Il GDPR richiede che il trattamento dei dati personali sia basato sul consenso esplicito e informato delle persone interessate.
• Diritti degli individui. Il regolamento conferisce agli individui una serie di diritti in merito ai loro dati personali, tra cui il diritto di accesso, il diritto alla rettifica, il diritto alla cancellazione (“diritto all’oblio”), il diritto alla portabilità dei dati e il diritto di opporsi al trattamento.
• Responsabilità delle organizzazioni. Il GDPR richiede alle organizzazioni di adottare misure appropriate per proteggere i dati personali e di dimostrare la conformità con il regolamento attraverso la tenuta di documentazione e la gestione dei rischi.
• Notifica delle violazioni dei dati. Le organizzazioni sono tenute a notificare tempestivamente le violazioni dei dati personali alle autorità di regolamentazione competenti e, in alcuni casi, agli individui interessati.

Il GDPR si applica a tutte le organizzazioni, sia pubbliche che private, che trattano dati personali di cittadini dell’UE e dello SEE, indipendentemente dalla loro sede. Le organizzazioni che non rispettano le disposizioni del GDPR possono essere soggette a sanzioni pecuniarie molto elevate.

Implicazioni sulla privacy dei dipendenti

Il regolamento stabilisce rigide norme sulla privacy dei dipendenti all’interno delle organizzazioni, imponendo trasparenza, liceità, e limiti al trattamento dei dati personali, che sono definiti come qualsiasi informazione che riguarda una persona fisica identificata o identificabile. Ciò include dati come nomi, indirizzi, numeri di identificazione, dati di localizzazione e altro ancora. Il trattamento di queste informazioni è considerata qualsiasi operazione come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento, la modifica, l’estrazione, la consultazione, l’uso, la divulgazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Queste operazioni devono avvenire secondo i principi di protezione dei dati stabiliti dal GDPR, che includono la trasparenza, la liceità, la limitazione delle finalità, la minimizzazione dei dati, l’esattezza, la limitazione della conservazione, e l’integrità e riservatezza dei dati. Alcuni tipi di dati personali, come quelli relativi alla valutazione dell’idoneità alla mansione, sono considerati dati protetti, richiedendo giustificazione legale e conformità ai principi di protezione dei dati stabiliti dal regolamento.

Le informazioni contenute nei certificati di idoneità alla mansione

Le semplici informazioni “è idoneo”, “non è idoneo” o “è idoneo con obblighi o limitazioni” – sono considerate dati protetti, poiché forniscono informazioni sullo stato di salute delle persone. Questo principio è chiarito nei considerando del GDPR, in particolare nel numero 35, dove si sottolinea che l’ambito della protezione dei dati sensibili, come quelli relativi alla salute, è esteso il più possibile.

Viene fatto notare che anche la semplice prescrizione di un esame medico, senza che sia ancora stata accertata una specifica tipologia di malattia o condizione, costituisce un dato protetto; pertanto, queste informazioni devono essere trattate in conformità con le disposizioni del GDPR.

Un requisito che è violato quando tali informazioni circolano senza precauzioni, ad esempio nell’ambito della valutazione dell’idoneità tecnico professionale, secondo malintesi presupposti dell’articolo 26 del Decreto Legislativo 81 del 2008, senza il dovuto rigore e attenzione.

Migliorare la conformità al GDPR e affrontare le sfide

I dati personali possono essere raccolti da un’organizzazione, come nel caso del datore di lavoro che riceve informazioni personali dal lavoratore al momento dell’assunzione, ed essere poi trasmessi a terzi, ad esempio a società che gestiscono la contabilità o le paghe, o a potenziali committenti all’interno di contratti di appalto, come, ad esempio, gli elenchi del personale che lavorerà in un determinato progetto.

In ogni caso, è fondamentale che in ogni fase di questo processo vengano rispettati i criteri e gli obblighi stabiliti dal GDPR. Quando i dati personali vengono trasmessi a terzi, l’organizzazione che li ha in carico è responsabile di assicurarsi che vengano stipulati accordi contrattuali adeguati che regolino il trattamento dei dati da parte di tali terzi, che stabiliscano chiaramente le responsabilità delle parti coinvolte e garantire che i dati personali siano trattati in conformità con le disposizioni del GDPR e con le istruzioni dell’organizzazione.

Richiedere le idoneità alla mansione nell’ambito del processo di valutazione dell’idoneità tecnico professionale, come previsto dall’articolo 26 del D.Lgs. 81/2008, è una mossa sbagliata, nonostante l’obiettivo dichiarato di assicurarsi che il potenziale appaltatore rispetti diligentemente gli obblighi di sorveglianza sanitaria possa sembrare condivisibile.

Ciò è dovuto principalmente al fatto che, in questo modo, si viola la privacy e la protezione dei dati sensibili dei dipendenti: chi trasmette questi dati riservati infrange il GDPR, il che può comportare sanzioni e conseguenze legali per l’organizzazione che li invia.

D’altra parte, per chi riceve questi dati, oltre alla violazione del GDPR

C’è il rischio dell’esercizio di fatto poteri direttivi secondo quanto previsto dall’art. 299 del D.Lgs. 81/2008. Questo perché, in base all’articolo 18 dello stesso decreto, solo il datore di lavoro e i dirigenti hanno le basi giuridiche per trattare i dati contenuti nel certificato di idoneità alla mansione. Di conseguenza, se qualcuno al di fuori di questi soggetti trattasse tali informazioni, potrebbe configurarsi un capo di imputazione basato su questo presupposto.

Per questi motivi, è importante valutare attentamente le alternative disponibili per garantire il rispetto delle normative senza violare la privacy e la protezione dei dati sensibili dei dipendenti.

Un modo più efficace consiste nel richiedere le informazioni relative ai dati aggregati sanitari e di rischio dei lavoratori. Queste informazioni sono regolate dall’allegato 3B del Decreto Legislativo 81/2008, che impone al medico competente di trasmettere questi dati ogni anno. Trattandosi di dati aggregati, non contengono informazioni personali specifiche sui singoli lavoratori, semplificando le modalità per il loro trattamento.

L’analisi dei contenuti presenti nell’allegato 3B consente al committente di valutare l’attenta gestione del potenziale appaltatore nel rispetto degli obblighi generali di sorveglianza sanitaria per i propri lavoratori, senza trattare dati personali, né tanto meno dati protetti, in modo più efficiente poiché si valuta un approccio sistematico e non occasionale.

Ciò fornisce al committente informazioni fondamentali per valutare se il potenziale appaltatore sia conforme agli obblighi di sicurezza e salute sul lavoro.