Privacy e lavoro
Questo contributo è tratto da
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 25.60 €
Titolare, responsabile e autorizzato. Risulta fondamentale, innanzitutto, individuare i protagonisti coinvolti nel trattamento di dati personali nell’ambito lavorativo.
• Il titolare è colui che determina le finalità e mezzi del trattamento, e viene facilmente individuato nel datore di lavoro che tratta i dati dei suoi dipendenti. Titolare
può essere sia una persona fisica che una persona giuridica, come anche un’autorità pubblica, un servizio o un altro organismo. Qualora un’azienda faccia
parte di un gruppo di imprese, potrebbe avere interesse a trasmettere i dati personali (compresi quelli dei dipendenti) all’interno del gruppo a fini amministrativi interni. Questo, insieme ad altre tipologie di trattamento, è agevolato dal legislatore attraverso diverse previsioni legislative. In questo specifico caso, infatti, il trattamento potrà essere legittimato dalla base normativa posta all’art. 6 par. 1 lett. f) del Regolamento, cioè il legittimo interesse.
Responsabile del trattamento, invece, è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare.
Nell’ambito di un rapporto di lavoro, in diversi casi, è possibile che il titolare faccia ricorso ad altri soggetti che svolgano dei trattamenti per suo conto,
esterni alla sua organizzazione. L’art. 28 del GDPR richiede che tale figura venga individuata attraverso un contratto o altro atto giuridico, a norma del diritto
dell’Unione o degli Stati membri che vincoli i due soggetti tra loro e che ne disciplini il rapporto. Il responsabile dovrà redigere il registro del trattamento, seppur
in forma semplificata, ex art. 30 punto 2 – GDPR.
• Autorizzato. Sia il titolare che il responsabile possono avvalersi del loro personale, al fine di eseguire i trattamenti di dati personali per loro conto. In questo caso
sarà necessario autorizzare i dipendenti agli specifici trattamenti, preferibilmente attraverso un atto scritto. È necessario inserire all’interno dell’atto di autorizzazione delle istruzioni sulle modalità di trattamento dati (ad esempio: istruzioni sulla complessità delle password da utilizzare e sulle modalità e tempistiche di modifica, sulla custodia dei documenti fisici e digitali) e sui comportamenti da avere in caso di data breach. Qualora infatti un soggetto autorizzato dovesse accorgersi di una violazione di dati personali, dovrà informare tempestivamente il titolare, al fine di provvedere ad una valutazione dell’accaduto. Il titolare, a sua volta, avrà 72 ore dalla scoperta dell’evento per effettuare una comunicazione al Garante privacy. Tutti i comportamenti e gli accorgimenti di cui sopra sono svolti
con la finalità di ottemperare al principio di accountability, secondo cui il titolare deve avere un comportamento proattivo ed essere in grado di dimostrare ciò
che è stato fatto a tutela dei dati personali da lui trattati.
Il ruolo del medico del lavoro
È utile approfondire i trattamenti che possono o devono essere effettuati da un’impresa in conformità alla disciplina in materia di sicurezza e igiene del lavoro. Tale disciplina nasce con l’intenzione di tutelare l’integrità psico-fisica dei lavoratori (art. 2087 c. c.) e pone, in capo al medico competente in materia di igiene e sicurezza dei luoghi di lavoro, la sorveglianza sanitaria obbligatoria ed il correlativo trattamento dei dati contenuti in cartelle cliniche. In quest’ambito, il medico competente ha il compito di effettuare gli accertamenti preventivi e periodici sui lavoratori ed istituisce una cartella sanitaria e di rischio, curandone l’aggiornamento per conto del datore di lavoro. La cartella sarà custodita all’interno dell’azienda o dell’unità produttiva, avendo cura del segreto professionale, e consegnata in copia al lavoratore al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne faccia richiesta. Sempre in caso di cessazione del rapporto lavorativo, la cartella in originale sarà conservata dal datore di lavoro, in busta chiusa, per dieci anni. Successivamente potrà essere distrutta. Qualora vi fossero particolari fattori di rischio per il lavoratore, essa dovrà essere trasmessa al Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale (DiMEILA) dell’INAIL, in originale e in busta chiusa.
In particolare la procedura da seguire, come indicato dall’INAIL, è la seguente: 1. alla cessazione del rapporto di lavoro del lavoratore con esposizione al rischio
agenti cancerogeni, il datore di lavoro, per il tramite del medico competente, deve inoltrare, al DiMEILA, entro 30 giorni, la/e cartella/e sanitaria/e e di rischio,
in originale, del lavoratore/i interessato/i, unitamente a copia delle relative annotazioni individuali, in plico chiuso e siglato dal medico competente. La suddetta
documentazione è conservata dall’INAIL – DiMEILA, per 40 anni; 2. alla cessazione dell’attività dell’azienda con esposizione al rischio agenti cancerogeni,
il datore di lavoro deve inoltrare al DiMEILA, entro 30 giorni, le cartelle sanitarie e di rischio, in originale, dei lavoratori; 3. alla cessazione del rapporto di lavoro del lavoratore con esposizione al rischio agenti biologici gruppo 3 e 4, il datore di lavoro, per il tramite del medico competente, deve inoltrare, al DiMEILA, le cartelle sanitarie e di rischio, in originale, del lavoratore/i interessato/i, per il tramite del medico competente; 4. alla cessazione dell’attività dell’azienda con esposizione al rischio agenti biologici gruppo 3 e 4, il datore di lavoro, per il tramite del medico competente, deve inoltrare al DiMEILA le cartelle sanitarie e di rischio, in originale, del lavoratore/i interessato/i; 5. entro 6 mesi dalla cessazione del rapporto di lavoro del lavoratore o dell’attività dell’azienda con esposizione al rischio radiazioni ionizzanti, il medico incaricato della sorveglianza deve inoltrare al DiMEILA il documento sanitario personale del lavoratore/i interessato/i, unitamente ai documenti di cui all’art. 81, comma 1, lett. d) ed e) d.lgs. 230/1995 e s.m.i.
Potrebbe interessarti anche Il diritto di accesso
La documentazione di cui ai punti 3 e 4 sarà conservata dall’INAIL – DiMEILA fino a dieci anni dalla cessazione di ogni attività che espone ad agenti biologici. Nel
caso di agenti per i quali è nota la possibilità di provocare infezioni consistenti o latenti, o la possibilità di dare luogo a malattie con recrudescenza periodica per lungo tempo, o di gravi sequele a lungo termine, tale periodo è di quaranta anni. La documentazione di cui al punto 5 è conservata dall’INAIL – DiMEILA per 30 anni.
Il datore di lavoro non può accedere alle predette cartelle, avendo esclusivamente l’obbligo di custodirle in maniera efficace nei propri locali aziendali, anche in vista
di possibili accertamenti ispettivi, avendo cura del segreto professionale. Egli, infatti, non conosce le eventuali patologie accertate dal medico competente, ma esclusivamente la valutazione finale circa l’idoneità del dipendente dal punto di vista sanitario, sulla base della quale adotterà le misure preventive e protettive adeguate.
Questo contributo è tratto da
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento