Sono un medico che svolge attività di medico competente e desidero avere alcune informazioni relativamente all'argomento in oggetto.
Al di là della raccolta del consenso da parte dei lavoratori soggetti a sorveglianza sanitaria, per la quale vi chiedo se sapreste darmi indicazioni su un fac-simile ad hoc per la mia attività, vorrei sapere come comportarmi qualora un'azienda mi incarichi della redazione del documento programmatico per la sicurezza.
Nel ringraziarvi anticipatamente per la collaborazione che potrete fornirmi, distintamente Vi saluto.
Se Ti riferisci al protocollo di sorveglianza sanitaria, non è che esistono specifici modelli da seguire. Ciascun medico competente si organizza come meglio crede in funzione delle specificità dell'azienda, dei relativi rischi esistenti e dei lavoratori esposti, predisponendo una relazione programmatica. E' opportuno anche discuterne preventivamente con il servizio di medicina del lavoro della ASL competente. Nel protocollo sono inseriti gli esami mirati ed integrativi necessari per poter esprimere un giudizio d'idoneità e l'assenza di controindicazioni al lavoro, ecc., ecc.. Copia di questo documento deve essere disponibile in azienda.
Nel caso in cui Ti riferissi all'obbligo di comunicazione riguardante la situazione sanitaria dell'azienda in cui operi, in genere, le ASL locali, predispongono un modello con cui a fine anno, ciascun medico competente deve comunicare i dati anonimi collettivi.
Per il modello riguardante il "consenso informato", puoi trovarne sul web. Non posso segnalarTi i siti per evidenti questioni di spamming e di violazione delle regole del FORUM.
Presso alcuni miei grossi clienti è prassi che il coordinamento delle visite mediche sia concordato tra il Medico stesso e i direttori delle varie filiali, più che altro per motivi organizzativi e di comodità per tutti.
Il documento di programmazione non è niente altro che 3 paginette con un'indicazione della data e della tipologia di visite eseguite e della data del prossimo "giro" di visite previste, documento che poi usa il RSPP ed io come consulente per tenere un "monitoraggio" della sorveglianza sanitaria e per verificare se tutto è organizzato e svolto a dovere.
Se invece ti riferisci a qualche altro documento che non ho compreso bene, chiedi pure.
Saluti.
Luca
Non riesco a comprendere come mai un'azienda dovrebbe incaricare un medico a redigere il DPS. Io mi comporterei dicendo semplicemente che non è il mio mestiere ma quello, suppongo, dei tecnici informatici.
Saluti
Stilo
Esistono dei punti di contatto tra sorveglianza sanitaria e DPS ex D.Lgs. n° 196/2003. In particolare, il Grante della Privacy ha previsto un apposito punto che può interessare il medico competente (vedi più avanti al punto 10).
Il DPS altro non è che una richiesta fatta a ciascuna azienda di effettuare una analisi delle metodologia adottate per conservare i dati, sui trattamenti cui sono sottoposti e sull’assetto informatico nel suo insieme.
Quindi, il problema per il metodo competente si riduce a dover gestire la cartelle sanitarie in quanto contenenti dati sensibili.
Va detto, però, che è compito del titolare dei dati (figura espressamente prevista dallle norme) procedere a questa analisi con l’obiettivo di individuare e descrivere i punti indicati dal Garante della Privacy (scopiazzando dalla norma):
1)Analisi ed individuazione dei trattamenti operati, descrizione sintetica, natura dei dati, struttura di riferimento ed eventuali altre strutture esterne che hanno accesso ai dati.
2) Elenco dei trattamenti con descrizione degli strumenti informatici utilizzati , individuazione delle banche dati, descrizione del supporto su cui risiedono, individuazione della tipologia dei dispositivi di accesso e tipologia di interconnessione.
3) Analisi delle strutture preposte al trattamento dei dati, individuazione delle stesse e del responsabile , elencazione dei trattamenti operati per ogni struttura e descrizione sintetica dei compiti della struttura.
4) Analisi rischi legati al comportamento del personale, con definizione del livello di gravità stimata prendendo in considerazione i rischi principali (furto di credenziali, carenza di consapevolezza, comportamenti sleali, errori materiali, etc).
5) Analisi rischi legati agli strumenti, con definizione del livello di gravità stimata (Virus , Worm, Spamming o altre tecniche di sabotaggio, malfunzionamento o degrado degli strumenti, accessi non autorizzati, intrusioni informatiche, intercettazioni dati trasmessi via rete, etc).
6) Analisi rischi dovuti ad eventi legati al contesto, con definizione del livello di gravità stimata (accessi non autorizzati ai locali, furto di strumenti, eventi distruttivi dolosi o accidentali, guasto a sistemi complementari, errori umani nella gestione della sicurezza)
7) Elenco delle misure di sicurezza adottate o da adottare, descrizione con definizione dei trattamenti dati interessati ed indicazione delle misure di sicurezza già adottate o da adottare quali la formazione dei dipendenti, l'installazione di antivirus, esecuzione di controlli su pc, controlli locali e strutture, firewall, protezione e-mail e rubriche telefoniche, impianti e verifiche installazioni, cambio password, controlli sul server centrale, analisi sistemi raid, analisi sistemi ups, protezione trasmissioni dati tra varie sedi.
8) Descrizione dettagliata delle misure adottate per ogni identificativo di rischio, descrizione della misura ed identificazione del responsabile dell'applicazione e controlli sul rischio.
9) Analisi dei criteri e delle modalità di salvataggio e di ripristino dei dati, indicazione per ogni banca dati degli strumenti usati, della procedura utilizzata, della frequenza del backup, della ubicazione di conservazione delle copie, degli incaricati al backup e delle procedure di ripristino – test.
10) Analisi dei soggetti esterni che effettuano trattamenti dati, individuazione della attività esternalizzata, del tipo di dati interessati, del soggetto e descrizione dei criteri adottati per l’adozione delle misure di legge.
Concordo, comunque, con Stilo sul fatto che non deve essere certo il medico competente a metter su tutto questo castello organizzativo.
...pardon...
i dati sanitari, prima ancora che dati densibili ai sensi della vigente normativa sulla RISERVATEZZA, sono oggetto precipuo del segreto professionale. Infatti, tutti i dispositivi previsti in materia di Medicina del Lavoro/Sorveglianza Sanitaria esplicitano chiaramente che devono essere "dati statistici, anonimi, collettivi". Solo l'autorità giudiziaria può obbligare un Medico a rivelare dati sanitari di un chiunque, e solo per gravi motivi.
C'è una cosa che non ho capito, però: per DPS, il DdL che ha chiesto a Walter di interessarsene, intende la gestione di questi dati, o cos'altro? Perchè se i dati personali in questione non sono informatizzati, non mi sembra si possa porre il problema: le cartelle sanitarie e di rischio cartacee hanno già la loro regolamentazione.
Se sono anche informatizzati, direi nulla che non si possa risolvere con una cara, vecchia, buona password su un PC NON IN RETE.
Semplice, direi.
Se non è questo, non ho capito la domanda.
Nofer
Elementare Watson-Nofer: codice penale
Qui però credo che ci riferisca solo alla pianificazione/calendarizzazione delle visite mediche con nominativi, data di nascita ed età dei lavoratori da sottoporre a visita medica per l'idoneità specifica alla mansione.
Credo che senza alcun dubbio la risposta data da Lino all'incomprensibile domanda di walter, sia quella più idonea.
Mi chiedo caro Walter se avevi già provveduto al tuo DPS? Tu che tratti dati sensibili hai altre incombenze.
Per rispondere a Nofer, non si tratta di poter avere accesso o meno alle cartelle personali, ma bensì la sola conoscenza dello stato fisico del dipendente, ovvero l'essere malato o meno di essere idoneo o meno, basta questo per dire che si stanno trattando dati sensibili.
Comunque nel caso di dati sensibili, siano essi informatizzati o meno, bisogna comunque redigere il DPS.
Saluti