Interpello: come custodire i dati sanitari su un data base aziendale?
Roma, 12 Giu – Sono diversi in questi anni gli interpelli che sono intervenuti sul ruolo, le attività del medico competente e sulla sorveglianza sanitaria in relazione a quanto indicato nel D.Lgs. 81/2008. Ne riportiamo brevemente alcuni:
- Interpello n. 8/2013 sulle visite preventive alla ripresa del rapporto di lavoro;
- Interpello n. 1/2013 sulle visite mediche per stagisti e tirocinanti minorenni;
- Interpello n. 5/2014 sulla collaborazione dei medici competenti all'effettuazione della valutazione dei rischi;
- Interpello n. 27/2014 sull’eventuale conflitto di interessi derivante dalle convenzioni tra enti pubblici e aziende sanitarie per lo svolgimento della sorveglianza sanitaria;
- Interpello n. 28/2014 sul tema dell’autonomia del medico competente;
- Interpello n. 8/2015 sulla sorveglianza sanitaria e sullo svolgimento del ruolo del medico competente;
- Interpello n. 13/2015 sull'esonero del Medico competente dalla partecipazione al corso obbligatorio per i lavoratori;
- Interpello n. 02/2018 sulla incompatibilità tra attività di vigilanza e ruolo di medico competente.
Una recente risposta della Commissione per gli interpelli, prevista dall’articolo 12 comma 2 del D.Lgs. 81/2008 (Testo Unico), interviene, invece, sull’obbligo del medico riguardo alla custodia della cartella e dei dati sanitari con riferimento all’articolo 53 del Testo Unico, alla tenuta della documentazione sanitaria su supporto informatico e all’accesso ai dati.
Nell’articolo ci soffermiamo, in particolare, su:
- Le domande sulla tenuta della documentazione sanitaria
- La normativa in materia di documentazione
- La risposta della Commissione Interpelli
Le domande sulla tenuta della documentazione sanitaria
Il nuovo interpello, l’Interpello n. 4/2019 approvato nella seduta della Commissione Interpelli del 28 maggio 2019 e pubblicato il 31 maggio 2019, risponde ad una istanza di interpello della Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri (FNOMCeO).
Nella istanza si chiede di conoscere il parere della Commissione in merito ai seguenti quesiti:
- È giustificata la richiesta al Medico Competente di inserire dati sanitari in un data base aziendale complesso?
- Non sarebbe più opportuno limitare l’inserimento al giudizio di idoneità ed alle limitazioni, lasciando ad altri files, nelle uniche disponibilità del Medico, i dati più “personali”?
- È lecito che l’Amministrazione di sistema sia lo stesso Datore di lavoro od un lavoratore dipendente dallo stesso individuato?
La normativa in materia di documentazione
Per rispondere, la Commissione Interpelli fa alcune premesse:
- “l’articolo 25 del decreto legislativo n. 81 del 9 aprile 2008 e successive modificazioni, rubricato ‘Obblighi del Medico Competente’, al comma 1, lettera c), prevede che: ‘Il medico competente istituisce, aggiorna e custodisce, sotto la propria responsabilità, una cartella sanitaria e di rischio per ogni lavoratore sottoposto a sorveglianza sanitaria. Tale cartella è conservata con salvaguardia del segreto professionale e, salvo il tempo strettamente necessario per l’esecuzione della sorveglianza sanitaria e la trascrizione dei relativi risultati, presso il luogo di custodia concordato al momento della nomina del medico competente’;
- l’articolo 53 del decreto legislativo n. 81 del 9 aprile 2008 e successive modificazioni, rubricato ‘Tenuta della documentazione’, comma 1, stabilisce quanto segue: ‘È consentito l’impiego di sistemi di elaborazione automatica dei dati per la memorizzazione di qualunque tipo di documentazione prevista dal presente decreto legislativo’;
- il comma 2 del citato articolo 53 disciplina ‘Le modalità di memorizzazione dei dati e di accesso al sistema di gestione della documentazione’;
- il comma 4 del medesimo articolo 53 dispone: ‘La documentazione, sia su supporto cartaceo che informatico, deve essere custodita nel rispetto del decreto legislativo 30 giugno 2003, n. 196, in materia di protezione dei dati personali’;
- il decreto legislativo 30 giugno 2003, n. 196 è stato modificato dal decreto legislativo del 10 agosto 2018 n. 101 ‘Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)’”.
Per offrire uno sguardo più completo su quanto indicato dal Testo Unico nella Sezione VIII (Capo III, Titolo I) riguardo alla “Documentazione tecnico amministrativa e statistiche degli infortuni e delle malattie professionali”, riportiamo l’intero articolo 53:
Articolo 53 - Tenuta della documentazione 1. È consentito l’impiego di sistemi di elaborazione automatica dei dati per la memorizzazione di qualunque tipo di documentazione prevista dal presente decreto legislativo. 2. Le modalità di memorizzazione dei dati e di accesso al sistema di gestione della predetta documentazione devono essere tali da assicurare che: a) l’accesso alle funzioni del sistema sia consentito solo ai soggetti a ciò espressamente abilitati dal datore di lavoro; b) la validazione delle informazioni inserite sia consentito solo alle persone responsabili, in funzione della natura dei dati; c) le operazioni di validazione dei dati di cui alla lettera b) siano univocamente riconducibili alle persone responsabili che le hanno effettuate mediante la memorizzazione di codice identificativo autogenerato dagli stessi; d) le eventuali informazioni di modifica, ivi comprese quelle inerenti alle generalità e ai dati occupazionali del lavoratore, siano solo aggiuntive a quelle già memorizzate; e) sia possibile riprodurre su supporti a stampa, sulla base dei singoli documenti, ove previsti dal presente decreto legislativo, le informazioni contenute nei supporti di memoria; f) le informazioni siano conservate almeno su due distinti supporti informatici di memoria e siano implementati programmi di protezione e di controllo del sistema da codici virali; g) sia redatta, a cura dell’esercente del sistema, una procedura in cui siano dettagliatamente descritte le operazioni necessarie per la gestione del sistema medesimo. Nella procedura non devono essere riportati i codici di accesso. 3. Nel caso in cui le attività del datore di lavoro siano articolate su vari sedi geografiche o organizzate in distinti settori funzionali, l’accesso ai dati può avvenire mediante reti di comunicazione elettronica, attraverso la trasmissione della password in modalità criptata e fermo restando quanto previsto al comma 2 relativamente alla immissione e validazione dei dati da parte delle persone responsabili. 4. La documentazione, sia su supporto cartaceo che informatico, deve essere custodita nel rispetto del decreto legislativo 30 giugno 2003, n. 196, in materia di protezione dei dati personali. 5. Tutta la documentazione rilevante in materia di igiene, salute e sicurezza sul lavoro e tutela delle condizioni di lavoro può essere tenuta su unico supporto cartaceo o informatico. Ferme restando le disposizioni relative alla valutazione dei rischi, le modalità per l’eventuale eliminazione o per la tenuta semplificata della documentazione di cui al periodo che precede sono definite con successivo decreto, adottato, previa consultazione delle parti sociali, sentita la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano, entro dodici mesi dalla data di entrata in vigore del presente decreto. 6. Fino ai 12 mesi successivi all’adozione del decreto interministeriale di cui all’articolo 8 comma 4, del presente decreto restano in vigore le disposizioni relative ai registri degli esposti ad agenti cancerogeni e biologici. |
La risposta della Commissione Interpelli
Sulla base delle premesse riportate, con riferimento alla normativa nazionale vigente, la Commissione Interpelli ritiene dunque, “per quanto attiene alla propria competenza”, che in relazione al “combinato disposto dei menzionati articoli 25 e 53 del decreto legislativo n. 81 del 9 aprile 2008 e successive modificazioni, è consentito l’impiego di sistemi di elaborazione automatica dei dati per la memorizzazione di qualunque tipo di documentazione prevista dal medesimo decreto”.
Si ricorda, tuttavia, che riguardo alla custodia dei dati relativi alle cartelle sanitarie e di rischio inserite su un data base aziendale, “sarà necessario adottare soluzioni concordate tra datore di lavoro e medico competente che, nel rispetto del segreto professionale e della tutela della privacy, garantiscano l’accessibilità ai suddetti dati soltanto al medico competente e non permettano né al datore di lavoro né all’amministratore di sistema di potervi accedere”.
Tiziano Menduto
Scarica la normativa di riferimento:
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.