Continuo a vedere aziende che richiedono ai loro appaltatori di consegnare i certificati di idoneità alla mansione dei loro lavoratori, nell’ambito dello scambio di informazioni relative all’affidamento di contratti d’appalto all’interno delle aziende. Quando chiedo i motivi di questa prassi, i più non sanno rispondere. Perché? – dicono – non si deve fare così? Non ci si organizza con l’obiettivo di rispettare la legge studiandola o, almeno, leggendola. Semplicemente qualcuno ha iniziato a raccogliere questi dati e gli si è andati dietro.
Altri affermano che lo fanno perché vogliono essere certi che i lavoratori dei propri appaltatori siano idonei allo svolgimento delle attività affidate. Questa affermazione è molto pericolosa, perché ci si sta precostituendo almeno un capo di imputazione per il reato di pericolo di esercizio di fatto di poteri direttivi, secondo l’articolo 299 del Decreto Legislativo 81 del 2008 che, possibilmente ha la possibilità di trasformarsi in un capo di imputazione per lesioni colpose gravi e gravissime, o omicidio colposo, per colpa specifica.
Cos’è il GDPR
GDPR è l’acronimo di General Data Protection Regulation, ovvero Regolamento Generale sulla Protezione dei Dati. Il GDPR è una normativa europea in materia di protezione dei dati personali che è entrata in vigore il 25 maggio 2018. Il GDPR stabilisce le regole per la raccolta, l’utilizzo, la conservazione, la trasmissione e la protezione dei dati personali dei cittadini dell’Unione Europea (UE). Si applica a tutte le organizzazioni che raccolgono, trattano o utilizzano dati personali di persone fisiche residenti nell’UE, indipendentemente dalla loro posizione geografica.
ll GDPR definisce i dati personali come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, n. 1). I dati sanitari rientrano nella categoria dei dati personali e sono considerati “dati sensibili” ai sensi del GDPR, in quanto possono rivelare informazioni sulla salute di un individuo. Secondo il GDPR, i dati sensibili comprendono, tra gli altri, “dati personali relativi alla salute fisica o mentale di una persona fisica” (art. 9, n. 1). Il certificato di idoneità alla mansione è stato concepito per trasmettere, all’interno dell’organizzazione del datore di lavoro, alcune informazioni riguardanti la salute del lavoratore come, ad esempio, la sua idoneità alla mansione, che può essere assoluta, parziale o limitata. Queste informazioni rientrano tra i dati personali protetti dal GDPR e possono essere trattati solo secondo le normative applicabili.
In particolare, i dati che riguardano la salute fisica o mentale di una persona sono protetti dal GDPR e possono essere trattati solo in base a eccezioni specifiche previste dalla legge o con il consenso esplicito dell’interessato. L’articolo 9 comma 2 del GDPR elenca i casi in cui è possibile trattare i dati personali relativi alla salute, e nessuna voce può essere direttamente riferita ad un affidamento di un appalto.
Chi può trattare i dati contenuti nei certificati di idoneità alla mansione?
La normativa sulla tutela della salute e della sicurezza dei lavoratori, il Decreto Legislativo 81 del 2008, indica quali sono i ruoli che hanno l’obbligo di trattare queste informazioni. Sono il datore di lavoro ed i dirigenti – D.Lgs. 81/2008, art. 18 c. 1 lett. c): «nell’affidare i compiti ai lavoratori, tenere conto delle capacità e delle condizioni degli stessi in rapporto alla loro salute e alla sicurezza» e, naturalmente, il medico competente (art. 25). Non sono in questo elenco altre figure rilevanti del sistema di prevenzione aziendale: i preposti, i rappresentanti dei lavoratori e, sorprendentemente, il Responsabile del Servizio di Prevenzione e Protezione.
L’articolo 26, obblighi connessi ai contratti d’appalto, d’opera e di somministrazione, non registra quest’obbligo, a carico di nessuno, figuriamoci il datore di lavoro committente. Morale: l’unica possibilità per un datore di lavoro committente, per gestire i certificati di idoneità alla mansione dei lavoratori dei suoi appaltatori, è richiedere il permesso ai titolari dei dati: i lavoratori.
Il GDPR stabilisce che i dati personali devono essere trattati nel rispetto dei principi di liceità, equità e trasparenza, e solo per scopi determinati, espliciti e legittimi. Inoltre, i dati personali non possono essere conservati per periodi più lunghi di quelli necessari per gli scopi per i quali sono stati raccolti. Entrando più in dettaglio, il trattamento delle informazioni contenute nei certificati di idoneità alla mansione, rientra nella categoria di “dati sensibili” e richiede un livello elevato di protezione ai sensi del GDPR. Per gestire questi dati in conformità al GDPR, è necessario seguire i seguenti passaggi:
- Identificare le informazioni sanitarie che si gestiscono e determinare la base giuridica per il loro trattamento.
- Informare le persone interessate su come verranno utilizzati i loro dati, incluso il tipo di informazioni che si raccolgono, il motivo per cui sono necessari e chi avrà accesso ai dati.
- Impostare misure di sicurezza adeguate per proteggere i dati sanitari, come la crittografia e la protezione da accessi non autorizzati.
- Rispettare la richiesta di accesso, cancellazione o portabilità dei dati da parte dei titolari dei dati.
- Designare un Responsabile della Protezione dei Dati (DPO) se necessario.
- Tenere traccia delle attività di trattamento dei dati sanitari e tenere registri adeguati.
- Seguire le procedure appropriate in caso di violazione dei dati sanitari.
È importante notare che il trattamento dei dati sanitari può essere soggetto a normative specifiche in materia di salute e privacy, oltre al GDPR. Pertanto, è fondamentale essere a conoscenza delle normative specifiche del settore e del paese in cui si svolgono le attività di trattamento dei dati sanitari.
Informativa. Autorizzazione dei titolari richiesta e ottenuta. Modalità sicure per la gestione dei dati. Registrazione delle attività di trattamento. Consentire l’accessibilità a questi dati ai titolari? Siamo sicuri che tutto questo sia rispettato? Magari in un cantiere? E, soprattutto, che ne valga la pena?
Una alternativa intelligente
Non prendiamoci in giro. La raccolta dei certificati di idoneità alla mansione dei lavoratori in appalto, che qualche organizzazione committente fa, non serve a nulla. Non ho mai visto committenti supervisionare le e attività affidate, controllando costantemente che i lavoratori fossero idonei alla mansione specifica. Al limite il committente può predisporre un controllo sul rispetto delle scadenze per le visite periodiche. Deve essere chiaro che lo fa gratuitamente, quasi sicuramente violando la legge, per accertarsi che i propri appaltatori adempiano ad un obbligo specifico. Con buona pace delle capacità organizzative che dovrebbero essere valutate in fase di selezione dell’appaltatore, auspicabilmente per rivolgersi ad una impresa che è in grado di tenere sotto controllo questi adempimenti in autonomia.
Se proprio si crede sia necessario verificare che i propri appaltatori siano diligenti nello svolgimento della sorveglianza sanitaria, perché non considerare le “informazioni relative ai dati aggregati sanitari e di rischio dei lavoratori”, che il Medico competente aziendale deve produrre ogni anno, entro il primo trimestre, per trasmetterle ai servizi territoriali? Innanzitutto, si tratta, appunto, di dati aggregati, le persone che hanno fornito la base delle informazioni non sono individuabili, i dati non sono personali e quindi il loro trattamento è al di fuori del campo di applicazione del GDPR.
Le informazioni che questa relazione trasmette sono facilmente verificabili scorrendo l’allegato 3B del Decreto Legislativo 81 del 2008: lavoratori occupati, lavoratori soggetti a sorveglianza sanitaria, lavoratori che sono stati effettivamente sottoposti a visita durante il periodo, con esiti, sempre aggregati. Quanto basta per verificare se l’appaltatore è stato diligente: se i lavoratori soggetti a sorveglianza sanitaria sono, diciamo, 100 e le visite nell’anno di riferimento sono state 10, c’è qualcosa che non va. Lo stesso se il panorama dei rischi lavorativi che il medico ha registrato è radicalmente differente da quello cui verosimilmente saranno esposti i lavoratori per le attività appaltate.
Il nostro sistema della prevenzione è inserito all’interno di una più ampia organizzazione delle tutele generali. Un vero professionista sa trovare il controllo del rischio più efficace – anche quello amministrativo – sapendo rispettare tutte le salvaguardie. Che, non dimentichiamo, sono il frutto di una lunga stagione di lotte e di conquiste. Non vorremo mica trasformarci in un sistema totalitario di stampo orientale qualsiasi, magari solo per sciatteria?
No PPE, no access beyond this point 