Il Regolamento generale sulla protezione dei dati
(GDPR, General Data Protection Regulation)
A chi si applica?
Il nuovo Regolamento riguarda sia le grandi realtà (come le piattaforme di social network, il mondo bancario e assicurativo, il settore pubblico e le multinazionali), ma anche le piccole e medie imprese che negli ultimi anni, grazie all’abbassamento radicale dei costi delle tecnologie, hanno iniziato a trattare, e spesso a profilare, grandi quantitativi di dati.
Qual è il compito del RSPP in riferimento al GDPR?
All’interno delle Imprese, il Regolamento UE sulla protezione dei dati n. 2016/679, interessa soprattutto le modalità di raccolta e trattamento dei dati personali.
Il RSPP, per la parte di competenza, ha l’importantissimo compito di salvaguardare l’integrità dei dati personali dei Dipendenti presenti in azienda, ed eventualmente di tutti Coloro che, a qualunque titolo, operano all’interno della stessa.
In riferimento alla materia salute e sicurezza sul luogo di lavoro, chiariamo inizialmente che tra le problematiche di tutela e protezione dei dati personali, è possibile escludere l’attività di mero svolgimento della Valutazione dei Rischi, in quanto sono considerati Contesti di Rischio in cui i Lavoratori vengono valutati genericamente e non sono richiesti dati personali relativi ai Dipendenti oggetto della valutazione aziendale.
Bensì, i temi che possono rientrare nella valutazione impatto privacy, seppur non in maniera dominante, coinvolgendo il Responsabile del Servizio Prevenzione e Protezione, riguardano la programmazione dei corsi formativi e la presa di coscienza di giudizi di idoneità espressi dal Medico Competente.
Dunque, per dare un quadro più completo delle responsabilità che incombono sul RSPP, è bene precisare che riguardano la tutela dei dati personali dei Lavoratori, i quali, se non si sentissero salvaguardati, potrebbero esprime in modo più o meno palese le loro perplessità.
Per effettuare i corsi di formazione (obbligo di legge secondo quanto stabilito nell’art. 37 del D. Lgs 81/08), il RSPP entra in contatto con i dati personali degli Interessati, in particolare nella fase di iscrizione e conseguentemente nella fase di compilazione degli attestati.
Gli attestati di frequenza e superamento della prova di verifica prevedono elementi minimi comuni tra cui: dati anagrafici e profilo professionale dei Corsisti; come espressamente richiesto dall’Accordo della Conferenza Stato Regioni del 21/12/11 in materia di formazione.
Inoltre, nel momento in cui il RSPP entra in possesso di informazioni sensibili come il “giudizio di idoneità”, deve garantirne la corretta gestione, limitando allo stretto necessario la divulgazione.
Se, ad esempio, la diffusione del “giudizio” può avere riflessi nelle sue relazioni con i Colleghi e quindi comportare l’insorgenza di uno stato di stress, è evidente che il Responsabile del Servizio Prevenzione e Protezione, nonché il Medico Competente, sono direttamente coinvolti e devono adottare tutte le precauzioni del caso che consentano da una parte di assolvere agli obblighi correlate e, dall’altra, di preservare la privacy e la dignità del Lavoratore.
Pertanto, fondamentale compito del RSPP è garantire la salvaguardia dei giudizi di idoneità, ad esempio adibendo un apposito luogo di conservazione (es. armadio sotto chiave).
In qualità di RSPP è bene inoltre accertarsi che, oltre la salvaguardia del segreto professionale da parte del MC, i dati sensibili da esso trattati in sede di visita medica, siano custoditi in modo adeguato.