L’Information Commissioner Office (ICO) ha pubblicato un progetto di modifica al Codice in materia dei dati sanitari dei lavoratori. Innanzitutto, tale progetto ribadisce la posizione attuale dell’ICO sul trattamento dei dati sanitari con riferimento a: a) registri di malattia, infortuni e assenze, b) esami e test medici, c) test genetici, e d) monitoraggio sanitario. L’ICO prende in considerazione tutte quelle circostanze in cui è possibile ottenere informazioni sanitarie sui lavoratori, come i datori di lavoro possano limitare la quantità di dati sanitari da trattare, chi può avere accesso a tali dati e come devono essere conservati in modo sicuro.
Il progetto di modifica affronta diversi punti chiave:
- Base legale per l’elaborazione dei dati sanitari – L’ICO evidenzia che potrebbe essere difficile per i datori di lavoro fare affidamento sul consenso dei singoli lavoratori quando si tratta di elaborare dati sanitari, in ragione del fatto che vi è uno squilibrio di potere tra datori di lavoro e lavoratori. In altre parole, ogniqualvolta i lavoratori non abbiano una effettiva possibilità di scelta su come i datori di lavoro utilizzano le informazioni raccolte, il consenso non potrebbe essere invocato come base legale per il trattamento dei dati sanitari. Di fatto però le leggi sulla protezione dei dati personali consentono ai datori di lavoro di raccogliere alcuni dati sanitari, pur in assenza del consenso.
- Minimizzazione dei dati – I datori di lavoro dovrebbero valutare attentamente la quantità di informazioni sulla salute che intendono raccogliere. L’ICO spiega che è legittimo raccogliere informazioni sanitarie più dettagliate riguardo coloro che lavorano in ambienti pericolosi, o che sono individui clinicamente vulnerabili.
- Condivisione dei dati – L’ICO raccomanda ai datori di lavoro di adottare una politica di “need to know” per garantire che le informazioni sanitarie siano condivise e accessibili solo a coloro che hanno effettivamente bisogno di accedervi.
- Sicurezza – Rispetto alla conservazione dei dati sanitari dovrebbero applicarsi dei livelli di scurezza più elevati, ciò richiedere che i dati sanitari siano conservati in registri diversi da quelli contenenti altri dati dei dipendenti.
Nella proposta di riforma dell’ICO viene inoltre evidenziato che, alla luce della natura sensibile e potenzialmente invasiva del trattamento dei dati sanitari dei lavoratori, in alcuni casi è necessario effettuare previamente una valutazione di impatto sulla protezione dei dati (DPIA). Questa valutazione è ad esempio richiesta nei casi in cui il datore di lavoro intenda trattare dati sanitari che potrebbero rappresentare un rischio elevato per i lavoratori.
Infine, il progetto di riforma ricorda ai datori di lavoro che dovrebbero anche essere consapevoli dei loro obblighi ai sensi del diritto del lavoro, della salute e della sicurezza e di altre leggi, nonché di qualsiasi standard di settore applicabile.