Fonte: Punto Sicuro
articolo di Adalberto Biasotti
La valutazione del rischio deve includere tutti gli aspetti legati a tutelare l’incolumità del lavoratore. Dal rischio di infortunio al rischio criminoso.
Il responsabile del servizio prevenzione e protezione ha il compito importantissimo di salvaguardare l’integrità dei dipendenti dell’azienda, dei visitatori e tutti coloro che, a qualunque titolo, operano all’interno dell’azienda.
L’attenzione primaria deve essere evidentemente posta alla salvaguardia fisica del lavoratore o del soggetto coinvolto in questa attività ed è tipicamente da ricondurre ad attività di safety.
Spesso però l’incolumità del lavoratore non è legata soltanto a circostanze ambientali, come ad esempio il trattamento dell’aria, l’utilizzo di arredi non appropriati, od altre circostanze ambientali di varia natura, ma è legata anche ad attività antropiche, vale a dire attività svolte da malintenzionati, che in qualche modo possono coinvolgere la incolumità del lavoratore.
Un tipico esempio di questa situazione è certamente la rapina in banca o l’aggressione a un addetto allo sportello, a contatto con il pubblico.
Dal rischio di infortunio al rischio criminoso
Ormai numerose sentenze della cassazione hanno confermato il fatto che l’analisi di rischio, condotta dal responsabile del servizio prevenzione e protezione, deve anche includere questi aspetti, perché comunque direttamente legati a tutelare l’incolumità del lavoratore. Che poi questa incolumità sia messa a rischio da fattori accidentali ed ambientali, oppure da fattori criminogeni, non è molto rilevante, come certamente può affermare un qualunque lavoratore che sia stato esposto tanto al rischio di caduta, quanto al rischio di aggressione!
Orbene per dare un quadro più completo delle responsabilità che incombono a questo soggetto, è bene adesso cominciare ad occuparsi anche di altri aspetti che riguardano la incolumità, se non fisica, per lo meno psicologica del lavoratore.
Stiamo per parlare dei problemi di tutela e protezione dei dati personali, che possono, a ben vedere, rientrare, seppure non in maniera dominante, nell’ambito dei temi che un responsabile del servizio prevenzione e protezione deve analizzare e mettere sotto controllo.
Cominciamo a parlare di i dati sanitari, afferenti a lavoratori o operatori comunque presenti in azienda.
Il responsabile del servizio protezione e prevenzione si rivolge al medico competente, il quale tiene sotto controllo questi parametri e verifica in continuazione che il lavoratore in questione sia idoneo a svolgere le mansioni affidate. Per far ciò, il medico competente deve raccogliere tutta una serie di informazioni da parte del lavoratore ed eventualmente integrare tali informazioni con valutazioni condotte da specialisti, ad esempio medici oculisti, otorinolaringologhi e simili.
Sulla base delle informazioni messe a disposizione del medico competente, è possibile esprimere un parere circa l’idoneità di un lavoratore una particolare funzione.
Questi dati sanitari, afferenti al lavoratore, hanno indubbiamente un carattere sensibile ed ecco perché entra in gioco il D.Lgs. 196/2003, che garantisce appunto al lavoratore, che il decreto chiama “interessato al trattamento”, una assoluta e completa protezione dei suoi dati personali, che egli deve confidare in gran parte al medico competente, ma anche in parte al responsabile del servizio prevenzione e protezione.
Appare quindi evidente questi due soggetti, che trattano dati personali, soprattutto sensibili, devono adottare tutte le misure indicate nel D.Lgs. 196/2003 per proteggere questi dati.
Ma lo scenario adesso si è evoluto in maniera significativa, perché il 4 maggio 2016 sulla gazzetta ufficiale dell’unione europea è stato pubblicato il regolamento generale sulla protezione dei dati personali numero 2016/679, che innova in maniera radicale ogni precedente disposizione legislativa in merito.
La ragione per cui l’Europa si è decisa ad emettere un regolamento, invece di una direttiva, com’era accaduto anni fa, discende dal fatto che una direttiva deve essere recepita in ogni paese europeo con l’emissione di uno specifico provvedimento legislativo. Ciò significa che una direttiva centrale viene recepita oggi con 27 provvedimenti legislativi, ognuno leggermente diverso dall’altro, che oltretutto è soggetto a un’evoluzione nel tempo, facendo venir meno il principio fondamentale dell’unione europea, che è basato sulla libera circolazione dei dati e delle persone fra i vari paesi dell’unione europea.
In un recente convegno sull’argomento, tenuto a Berlino, è stata per la prima volta usata un’espressione assai cruda, ma purtroppo in grado di riflettere accuratamente la realtà oggi esistente nei vari paesi europei: nel corso degli anni si è assistiti ad una “balcanizzazione” della protezione dei dati, facendo sì che oggi i provvedimenti legislativi in vigore in 27 paesi siano diversissimi l’uno dall’altro anche se, sia pure alla lontana, sono stati tutti ispirati dalla originaria direttiva europea.
Dalla direttiva al regolamento
Soprattutto per le aziende che operano in diversi paesi, questa situazione ha portato a problemi non trascurabili ed ecco perché, dopo ben due anni di procedimento di codecisione legislativa, finalmente la commissione europea, il Parlamento europeo e il consiglio dell’unione europea si sono trovati d’accordo su un regolamento, che per la sua stessa natura deve essere recepito integralmente in ogni singolo paese, senza aver bisogno di un’interpretazione legislativa nazionale.
Un approccio del genere ha evidentemente numerosi vantaggi, perché la discrezionalità consentita ad ogni paese europeo viene fortemente ridotta e le regole di base, molto più analitiche, rispetto a quelle di una direttiva, sono tutte uguali.
Anche se vi è una certo margine di discrezionalità, per le autorità garanti dei vari paesi, nell’emettere provvedimenti integrativi, il margine è particolarmente ridotto per il fatto che questi provvedimenti devono essere comunque analizzati da un costituendo comitato europeo per la protezione dati personali, che deve garantire il principio di coerenza.
Tale principio fa sì che una nazione europea non possa emettere un provvedimento che possa andare in contrasto con situazioni preesistenti in altre nazioni o possa comunque limitare la libera circolazione dei dati personali.
La conseguenza diretta dell’entrata in vigore di questo regolamento, avvenuta il 24 maggio 2016, è che le precedenti disposizioni di legge devono essere sostituite da quelle del nuovo regolamento, imponendo una profonda revisione di tutti gli atti e i trattamenti finora sviluppati in Italia.
La nuova informativa
Ad esempio, l’informativa che viene offerta ai lavoratori, quando vengono acquisiti i loro dati personali in fase di assunzione, deve essere riscritta da capo, perché il regolamento dà nuovi poteri e nuove possibilità di controllo dei dati, che il lavoratore offre al proprio datore di lavoro.
Questi nuovi poteri, accompagnati dalla esigenza di nuove garanzie da parte del datore di lavoro, sono ancora maggiori, quando i dati che vengono acquisiti dal titolare del trattamento, vale a dire il datore di lavoro, sono di natura sensibile, come ad esempio sono i dati sanitari.
Alla categoria dei dati sensibili, che il regolamento chiama “dati particolari”, appartengono anche gli orientamenti sessuali, l’affiliazione religiosa e partitica e simili.
Nel caso vengano violati i dati personali del lavoratore, non v’è dubbio che vi potrebbero essere dei riflessi diretti e indiretti sul lavoratore stesso. I danni diretti possono comprendere la rivelazione di sue patologie a colleghi di lavoro, mentre i danni indiretti potrebbero essere relativi all’alterazione della sua valutazione da parte dei colleghi.
Se, ad esempio, la diffusione della notizia di una patologia del lavoratore, che può avere riflessi nelle sue relazioni con i colleghi, comporta l’insorgenza di uno stato di stress, è evidente che il responsabile del servizio prevenzione e protezione, nonché il medico competente, sono direttamente coinvolti e devono attuare misure correttive.
Ma, come ben sanno tutti i soggetti responsabili coinvolti, è molto più importante attivare misure di prevenzione, correlate alla valutazione del rischio, in termini di impatto e frequenza, che non attuare a posteriori misure correttive.
L’intera impostazione della politica di protezione del lavoratore è basata proprio sulla prevenzione di accidenti di qualsiasi natura, più ancora che sulla mitigazione di tali accidenti, ove abbiano purtroppo verificarsi. Occorre pertanto che il responsabile del servizio prevenzione e protezione arricchisca la sua cultura su questi temi, studiando il nuovo regolamento, non già nella sua interezza, ma almeno nelle parti che riguardano direttamente il trattamento dei dati, soprattutto particolari, afferenti ad un lavoratore.
Infine, la responsabilità solidale
Una significativa innovazione portata dal nuovo regolamento europeo, il cui valore legislativo supera qualsiasi disposizione nazionale, sta nel fatto che fra i soggetti coinvolti nel trattamento di dati personali viene istituita una responsabilità solidale, in caso di violazione del regolamento e possibili ricorsi da parte degli interessati coinvolti.
Applicando al caso concreto questo principio generale di legislazione primaria, il responsabile del servizio prevenzione e protezione si trova coinvolto con il medico competente nella gestione appropriata e sicura dei dati personali, confidati o affidati dal lavoratore.
Una adeguata protezione contrattuale rappresenta pertanto uno strumento indispensabile, che deve statuire l’eventuale riparto di responsabilità nei casi sopra illustrati.