Il medico competente tra gestione della sorveglianza e rispetto della privacy
Il Medico competente è una figura coinvolta in diversi aspetti connessi alla prevenzione e protezione della salute dei lavoratori, sia nelle organizzazioni pubbliche che private: dalla collaborazione alla valutazione dei rischi e alla sorveglianza sanitaria dei lavoratori, prevedendo visite ed accertamenti in base al protocollo individuato per il rilascio del giudizio di idoneità alla mansione specifica.
Il datore di lavoro ha l’obbligo di nominare il Medico competente (MC) quando le lavorazioni dell’organizzazione espongono i lavoratori a rischi per cui vi è l’esigenza della sorveglianza sanitaria (fra i casi più diffusi quello della presenza di addetti al videoterminale per almeno 20 ore settimanali o alla movimentazione manuale dei carichi). E il nuovo decreto-legge 48/2023, che modifica l’articolo 18 del D. Lgs. 81/2008 (TUSSL), estende l’obbligo di sorveglianza sanitaria, sulla base della valutazione dei rischi, a tutti i rischi per i quali la sorveglianza venga ritenuta necessaria.
Interno o esterno che sia, nell’esecuzione delle proprie attività, il Medico competente si trova a trattare dati personali particolari per cui, come chiarito dal Garante privacy, riveste il ruolo di titolare autonomo del trattamento.
Come medico è tenuto già al segreto professionale in base all’art. 10 del Codice deontologico professionale; aspetto che implica il rispetto della privacy degli interessati.
Come garantire la sicurezza dei dati e la custodia delle cartelle sanitarie? Ci sono strumenti che possono aiutare il medico competente ad adempiere correttamente a tutto quanto richiesto dalla normativa?
L’importanza della sicurezza dei dati e delle cartelle sanitarie
Le novità normative e il software Blumatica SHEQ
Il trattamento dei dati e il software Blumatica GDPR
L’importanza della sicurezza dei dati e delle cartelle sanitarie
Le cartelle sanitarie contengono, oltre ai dati anagrafici dell’interessato, anche tutti i dati definiti particolari: anamnesi familiare, anamnesi lavorativa, dati relativi alla visita medica piuttosto che referti di accertamenti integrativi.
È responsabilità del MC istituire, aggiornare e custodire, per ogni lavoratore sottoposto a sorveglianza sanitaria, le cartelle sanitarie e di rischio, che possono essere tenute in modalità elettronica o cartacea.
Se tenute in modalità cartacea, il luogo di custodia va definito al momento della nomina del MC e sarà necessario predisporre misure di sicurezza appropriate per garantire modalità di custodia sicure e l’accesso alle cartelle solo al MC.
Se tenute su un database dell’organizzazione andranno concordate soluzioni tra datore di lavoro e MC che garantiscano l’accessibilità solo al medico competente e non permettano, non solo al datore di lavoro ma anche all’amministratore di sistema, di potervi accedere.
In qualsiasi modo siano gestite le cartelle sanitarie è fondamentale scongiurarne la perdita.
Se la gestione è cartacea occorre custodire le cartelle in luogo sicuro e protetto: ovviamente non è possibile garantire una protezione totale per cui la tendenza attuale è provvedere alla informatizzazione dell’iter completo legato alla sorveglianza sanitaria.
Risulta, però, importante scegliere un sistema:
- blindato, ossia non penetrabile a causa della diffusione di informazioni sensibili,
- protetto da logiche,
- preferibilmente non installato su pc singolo del medico o di un suo collaboratore.
Quest’ultimo è un requisito fondamentale!
I software installati su singolo pc sono esposti ad un rischio abbastanza elevato: basti pensare allo smarrimento del proprio notebook o alla perdita dei dati a causa di guasti non recuperabili.
Si preferiscono, infatti, sistemi gestionali con servizi in cloud o in versioni cosiddette “on premise” che prevedono l’installazione di database e servizi correlati su server aziendali che godono di opportune logiche di protezione e back up dei dati.
Le applicazioni in cloud possono rappresentare un valido strumento purché il sistema sia ospitato su data center certificato. È obbligo delle società erogatrici del servizio (ad es. software house) fornire i dettagli del data center ospitante che deve godere di tutte le garanzie di sicurezza previste dalla legislazione vigente come ad esempio la ISO 27001.
Esiste un sistema che permette di adempiere a tutti questi requisiti?
Le novità normative e il software Blumatica SHEQ
Blumatica investe da oltre 20 anni nel campo della salute e sicurezza ed è diventata un punto di riferimento per tutte le più grandi realtà italiane e non.
Negli ultimi anni, grazie ad una ristrutturazione di molte realtà aziendali ed all’avvento di norme come la ISO 27001 ed il Regolamento GDPR, aziende ed enti hanno manifestato l’esigenza di dotarsi un sistema in grado di gestire in un’unica soluzione tutto quello che concerne la salute e sicurezza.
Aziende sanitarie, Università, Banche ed Aziende di qualsiasi settore hanno permesso a Blumatica di affinare un sistema all’avanguardia che riesce ad adattarsi a tutti i meccanismi interni alle Organizzazioni rendendo partecipi ed operativi RSPP, medici competenti, preposti fino al possibile coinvolgimento di imprese esterne e singoli lavoratori.
Blumatica SHEQ è il software Q-HSE Management che permette di gestire la Valutazione dei Rischi e l’implementazione di Sistemi di Gestione rispettando tutti i requisiti di natura cogente (D.Lgs. 81/08 e s.m.i.) e gli standard definiti dalle norme volontarie (sicurezza-ISO 45001, ambiente-ISO 14001, qualità-ISO 9001, ecc.).
In tema privacy, poi, con il decreto legge 4 maggio 2023, n. 48 (Misure urgenti per l’inclusione sociale e l’accesso al mondo del lavoro) sono stati riformati due aspetti relativi alla sostituzione del MC ed alla consegna delle cartelle sanitarie e di rischio alla fine del rapporto di impiego.
Con il DL 48/2023 la possibilità di sostituzione viene “liberalizzata” prevedendo, in caso di “gravi e motivate ragioni” che il MC possa autonomamente comunicare al datore di lavoro il nominativo del proprio sostituto per un tempo definito.
Relativamente alle cartelle sanitarie e di rischio, il DL 48/2023 prevede che il MC “in occasione delle visite di assunzione, richiede al lavoratore la cartella sanitaria rilasciata dal precedente datore di lavoro e tiene conto del suo contenuto ai fini della formulazione del giudizio di idoneità”.
A tale scopo, il MC dovrebbe prevedere una procedura atta a seguire il rispetto di tali adempimenti da parte dei MC, senza che altri soggetti non abilitati, all’interno delle organizzazioni possano avere visione delle cartelle.
Questi due aspetti saranno sicuramente oggetto di future richieste di chiarimento almeno per quanto concerne gli obblighi del datore di lavoro che potrebbe, ad esempio, essere chiamato alla comunicazione del sostituto dal TUSSL.
Il link per avere ulteriori informazioni su Blumatica SHEQ.
Il trattamento dei dati e il software Blumatica GDPR
In relazione al trattamento dei dati gli aspetti da prendere in considerazione sono molteplici.
Il Medico competente deve istituire i registri dei trattamenti nei quali occorre censire i sistemi software utilizzati, valutare i possibili rischi ed applicare le opportune misure di sicurezza.
Un registro delle attività di trattamento deve contenere tutte le informazioni richieste dall’art. 30 del Regolamento GDPR circa archivi informatici, database, possibili minacce, analisi dei rischi e per ogni singolo rischio le misure di protezione intraprese.
A questo proposito Blumatica ha da tempo messo a punto il sistema Blumatica GDPR, un software di gestione privacy certificato, che ha consentito a migliaia di aziende, consulenti e liberi professionisti di mettere in regola la propria organizzazione e quella dei propri assistiti.
Il link per avere ulteriori informazioni su Blumatica GDPR.
Per avere altri dettagli è possibile visitare il sito Blumatica o scrivere all’indirizzo commerciali@blumatica.it.
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.