INDICE
Il Medico competente è una figura coinvolta, per diversi aspetti ai fini della prevenzione e protezione della salute dei lavoratori, sia nelle organizzazioni pubbliche che private: dalla collaborazione alla valutazione dei rischi alla sorveglianza sanitaria dei lavoratori, prevedendo visite ed accertamenti in base al protocollo individuato per il rilascio del giudizio di idoneità alla mansione specifica.
Il datore di lavoro ha l’obbligo di nominare il Medico competente (MC) quando le lavorazioni dell’organizzazione espongono i lavoratori a rischi. Per cui, quindi, vi è l’esigenza della sorveglianza sanitaria. Fra i casi più diffusi quello della presenza di addetti al videoterminale per almeno 20 ore settimanali o alla movimentazione manuale dei carichi.
Interno o esterno che sia, nell’esecuzione delle proprie attività, si trova a trattare dati personali particolari per cui, come chiarito dal Garante privacy, riveste il ruolo di titolare autonomo del trattamento.
Come medico è tenuto già al segreto professionale in base all’art. 10 del Codice deontologico professionale, aspetto che implica il rispetto della privacy degli interessati.
Il medico competente a garanzia della sicurezza del dato e della custodia delle cartelle sanitarie
Le cartelle sanitarie contengono, oltre ai dati anagrafici dell’interessato, anche tutti i dati definiti particolari: anamnesi familiare, anamnesi lavorativa, dati relativi alla visita medica, referti di accertamenti integrativi.
È responsabilità del medico competente istituire, aggiornare e custodire, per ogni lavoratore sottoposto a sorveglianza sanitaria, le cartelle sanitarie e di rischio. Queste possono essere tenute in modalità elettronica o cartacea.
- in modalità cartacea, il luogo di custodia va definito al momento della nomina del MC. Sarà necessario predisporre misure di sicurezza appropriate per garantire modalità di custodia sicure e l’accesso alle cartelle solo al MC;
- su un database dell’organizzazione, andranno concordate soluzioni tra datore di lavoro e MC che garantiscano l’accessibilità solo al medico competente e non permettano, non solo al datore di lavoro ma anche all’amministratore di sistema, di potervi accedere.
In qualsiasi modo siano gestite le cartelle sanitarie, è fondamentale scongiurarne la perdita.
Se la gestione è cartacea, occorre custodire le cartelle in luogo sicuro e protetto: ovviamente, non è possibile garantire una protezione totale. La tendenza attuale è, quindi, di provvedere alla informatizzazione dell’iter completo legato alla sorveglianza sanitaria.
Risulta di fondamentale importanza, però, scegliere un sistema:
- blindato, ossia non penetrabile a causa della diffusione di informazioni sensibili;
- protetto da logiche;
- preferibilmente, non installato su pc singolo del medico o di un suo collaboratore.
I software installati su singolo pc sono esposti ad un rischio abbastanza elevato. Basti, infatti, pensare allo smarrimento del proprio notebook o alla perdita dei dati a causa di guasti non recuperabili.
Si preferiscono, infatti, sistemi gestionali con servizi in cloud o in versioni cosiddette “on premise”. Questi prevedono l’installazione di database e servizi correlati su server aziendali, che godono di opportune logiche di protezione e back up dei dati.
Le applicazioni in cloud possono rappresentare un valido strumento purché il sistema sia ospitato su data center certificato. È obbligo delle società erogatrici del servizio (ad es. software house) fornire i dettagli del data center ospitante, che deve godere di tutte le garanzie di sicurezza previste dalla legislazione vigente, come ad esempio la ISO 27001.
Come adempiere a tutti questi requisiti?
Blumatica investe da oltre 20 anni nel campo della salute e sicurezza, ed è diventata un punto di riferimento per tutte le più grandi realtà italiane e non.
Negli ultimi anni, grazie ad una ristrutturazioneInterventi di ristrutturazioni importanti e riqualificazione (D.M. Requisiti Minimi 2015) Ristrutturazione importante di I Livello Intervento che interessa gli elementi e i componenti integrati costituenti l’involucro edilizio delimitanti un volume a temperatura controllata dall’ambiente esterno e da ambienti non climatizzati, con un’incidenza superiore al 50% della superficie disperdente lorda complessiva dell’edificio e comporta il rifacimento dell’impianto termico per il servizio di climatizzazione invernale e/o estiva asservito all’intero edificio; Ristrutturazione importante di II Livello Intervento che interessa gli elementi e i... di molte realtà aziendali ed all’avvento di norme come la ISO 27001 ed il Reg. GDPR, aziende ed enti hanno manifestato l’esigenza di dotarsi un sistema in grado di gestire in un’unica soluzione tutto quello che concerne la salute e sicurezza.
Aziende sanitarie, Università, Banche ed Aziende di qualsiasi settore hanno permesso a Blumatica di affinare un sistema già all’avanguardia, ma che riesca ad adattarsi a tutti i meccanismi interni alle Organizzazioni rendendo partecipi ed operativi RSPP, medici competenti, preposti, fino al possibile coinvolgimento di imprese esterne e singoli lavoratori.
Blumatica SHEQ è il software Q-HSE Management che permette di gestire la Valutazione dei Rischi e l’implementazione di Sistemi di Gestione rispettando tutti i requisiti di natura cogente (D.Lgs. 81/08 e s.m.i.) e gli standard definiti dalle norme volontarie (sicurezza-ISO 45001, ambiente-ISO 14001, qualità-ISO 9001, ecc.).
Il medico competente nel DL 48
In tema privacy, poi, con il decreto legge 4 maggio 2023, n. 48, ”Misure urgenti per l’inclusione sociale e l’accesso al mondo del lavoro” sono state riformati due aspetti relativi alla sostituzione del medico competente, ed alla consegna delle cartelle sanitarie e di rischio alla fine del rapporto di impiego.
Con il DL 48 la possibilità di sostituzione viene “liberalizzata”. È previsto, in caso di “gravi e motivate ragioni” che il MC possa autonomamente comunicare al datore di lavoro il nominativo del proprio sostituto per un tempo definito.
Relativamente alle cartelle sanitarie e di rischio, il DL 48 prevede che il MC “in occasione delle visite di assunzione, richiede al lavoratore la cartella sanitaria rilasciata dal precedente datore di lavoro e tiene conto del suo contenuto ai fini della formulazione del giudizio di idoneità”.
A tale scopo, il medico competente dovrebbe prevedere una procedura atta a seguire il rispetto di tali adempimenti da parte dei MC, senza che altri soggetti non abilitati, all’interno delle organizzazioni possano avere visione delle cartelle.
Questi due aspetti saranno sicuramente oggetto di future richieste di chiarimento. Se non altro, per quanto concerne gli obblighi del datore di lavoro che potrebbe, ad esempio, essere chiamato alla comunicazione del sostituto dal TUSSL.
Cosa prendere in considerazione
Il medico competente deve istituire i registri dei trattamenti, nei quali occorre censire i sistemi software utilizzati, valutare i possibili rischi ed applicare le opportune misure di sicurezza.
Un registro delle attività di trattamento deve contenere tutte le informazioni richieste dall’art. 30 del GDPR circa archivi informatici, database, possibili minacce, analisi dei rischi e, per ogni singolo rischio, le misure di protezione intraprese.
Blumatica ha da tempo messo a punto il sistema Blumatica GDPR, un software di gestione privacy certificato, che ha consentito a migliaia di aziende, consulenti e liberi professionisti di mettere in regola la propria organizzazione e quella dei propri assistiti.
Responsabile Ricerca e Sviluppo Area Sicurezza
Gemma De Nicola
Melania Basili
Lucia Sessa