Il Responsabile del Servizio Prevenzione e Protezione (RSPP) è una figura introdotta dal D.lgs 81/08 per svolgere attività di consulenza riguardo la normativa sulla sicurezza del lavoro. Può essere anche una figura interna all’azienda, tuttavia, per i requisiti richiesti, è facile che ci si avvalga della prestazione di professionisti esterni. Va da sé che questi ultimi sono tenuti al rispetto anche della normativa sulla protezione dei dati personali.
I dati trattati
Nell’ambito del suo incarico (apparentemente solo tecnico) per un’azienda, il professionista verrà sicuramente in contatto con altre figure come il Datore di Lavoro, il Rappresentante sulla Sicurezza dei Lavoratori, il Medico Competente (anche questo professionista esterno); ma potrebbe anche venire in contatto con le rappresentanze sindacali o altri lavoratori, nonché venire a conoscenza di situazioni particolari come per i dipendenti con disabilità (informazione fondamentale nella valutazione dei rischi degli ambienti di lavoro). Inoltre, avrà da controllare e probabilmente portare avanti in prima persona le attività formative obbligatorie. Infine, in caso di infortuni, potrà venire a conoscenza dei referti medici contenuti nella pratica dell’INAIL.
Risulta quindi che i dati personali trattati per conto dell’azienda possono includere anche dati particolari (appartenenza sindacale, stato di salute), oltre a quelli comuni. Si dovrà quindi porre attenzione alla pertinenza dei dati che vengono passati dall’azienda all’RSPP (in particolare, evitando tutti quei dati non indispensabili alla sua attività), ma anche alle opportune misure di sicurezza.
Da non dimenticare ovviamente i dati relativi ad altri trattamenti più comuni, come quelli relativi alle forniture di strumenti e servizi ed agli eventuali dipendenti/collaboratori.
Adempimenti documentali
Il Registro dei Trattamenti, per quanto detto in precedenza, risulta quindi obbligatorio, anche se limitatamente ai trattamenti che comprendono i dati di categorie particolari; diventa però consigliabile di averlo completo. Non essendo in generale preventivabile la necessità di Valutazioni di Impatto (DPIA), il Registro stesso potrà essere esteso per contenere una pur basilare analisi dei rischi relativi ai trattamenti elencati.
Poichè il professionista risulta Responsabile del Trattamento per conto dell’azienda che lo incarica, è necessario l’atto di nomina per ognuna delle aziende clienti (eventualmente incluso nel contratto o lettera di incarico). Così come sicuramente necessita di nominare a sua volta i suoi fornitori di servizi che vengono poi utilizzati o ribaltati alle aziende stesse; in particolare questo vale per gli eventuali applicativi in cloud che vengono utilizzati per la redazione della documentazione prevista dalla normativa in tema di sicurezza sul lavoro (ma è presumibile che i fornitori di tali applicativi abbiamo provveduto già da tempo all’adeguamento e a proporre la nomina in fase di attivazione/rinnovo del servizio).
In tema di informative, sicuramente sono necessarie quella per i clienti (parte amministrativa) e fornitori, nonché quella per gli eventuali dipendenti/collaboratori; nei confronti dei lavoratori delle aziende clienti, l’obbligo di informativa ricade sulle aziende stesse, ma è consigliabile prevedere un’informativa ex art. 14 del GDPR nel caso venga richiesta. Sempre nel caso di dipendenti/collaboratori, è necessario predisporre le nomine per gli addetti con le istruzioni ed autorizzazioni.
Misure di sicurezza
La prima misura di sicurezza da mettere in campo è la corretta politica di conservazione dei dati: poiché non esistono obblighi di legge che gravano sugli RSPP sulla conservazione dei dati (mentre esistono per le aziende), è libera scelta del professionista, insieme alle aziende, decidere in proposito secondo il principio di “accountability”. In termini generali ci si sente di consigliare di eliminare (dopo averli restituiti, se del caso) le proprie copie dei dati relativi alle aziende non più clienti dopo un breve periodo di “sicurezza” (per es. 6 mesi, massimo un anno).
Dal punto di vista informatico, oltre alle usuali misure imprescindibili (firewall, antivirus, backup), vista il già citato possibile trattamento di dati sanitari o relativi allo stato di salute, è vivamente consigliata la memorizzazione crittografata (anche con strumenti semplici), nonché di prevedere modalità di scambio di questi dati con le aziende in modo protetto, evitando quindi almeno di usare email o chat inviando file in chiaro.
Dal punto di vista organizzativo, nel caso il professionista si avvalga di collaboratori (a prescindere dalla forma contrattuale), una buona pratica è quella di far sì che essi non trattino dati particolari se non è necessario. Nel caso ciò sia invece previsto, le istruzioni dovute dovranno contenere indicazioni specifiche.
RSPP e DPO
Quando è stata introdotta in Italia la figura del DPO, spesso è stato portata a paragone proprio la figura dell’RSPP: pur nella diversità delle normative, entrambi condividono le funzioni formativa, di controllo e consulenziale nei confronti dell’azienda. Da qui nasce la domanda: è possibile che una singola persona ricopra (presumibilmente in realtà medio-piccole) i due incarichi per la stessa azienda? Posto che ogni caso va sempre analizzato nei dettagli, in generale non risultano evidenti conflitti di interesse tra le due funzioni, per cui si potrebbe dire che se il professionista risulta avere le adeguate competenze ed esperienze riguardo le normative, la risposta potrebbe essere positiva.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.