Il 15 novembre 2024 si è tenuto il seminario “Tutela della salute sul lavoro e GDPR”, organizzato dall’Ufficio per la protezione dei dati personali, dal Gruppo di esperti sociali sotto la presidenza dell’Ufficio per la protezione dei dati personali e dalla Confederazione Lewiatan.
Come sottolineato in apertura da Mirosław Wróblewski, Presidente dell’Ufficio per la protezione dei dati personali, le conclusioni raccolte durante il seminario dedicato al trattamento dei dati personali in ambito lavorativo aiuteranno gli specialisti dell’autorità di vigilanza a comprendere meglio i fenomeni giuridici e sociali correlati all’argomento. Ciò è particolarmente importante, poiché molte richieste durante le consultazioni pubbliche sulla revisione della guida del datore di lavoro riguardavano le questioni trattate nel programma del seminario.
Condizioni diverse, sfide legali diverse
Nel panel sul trattamento dei dati personali nell’assistenza sanitaria preventiva, è stato evidenziato che diversi decenni fa, i dipendenti cercavano assistenza principalmente per malattie infettive. Oggi, le malattie correlate al lavoro sono dominate da malattie cardiovascolari, tumori e disturbi della salute mentale. Una quota significativa di malattie professionali deriva ancora dalla pandemia, in particolare dal COVID lungo. Ciò sottolinea la necessità di trasformare l’assistenza sanitaria dei dipendenti, rendendola più reattiva alle attuali esigenze della società.
Sono stati identificati come problematici i seguenti aspetti:
- La procedura per l’invio anticipato a visite mediche periodiche a causa di un peggioramento delle condizioni di salute del dipendente;
- Lo scambio di informazioni tra il datore di lavoro e il medico del lavoro oltre a quanto direttamente indicato nel modulo di richiesta o nel certificato medico;
- Ambito degli esami di medicina del lavoro.
Attualmente, un medico di medicina del lavoro che conduce un esame non ha accesso ad alcun risultato di test diverso da quelli forniti volontariamente dall’individuo esaminato, e non esiste una pratica standardizzata a questo riguardo. L’ambito di test aggiuntivi che il medico può ordinare è piuttosto limitato e non è sempre adattato alle esigenze degli individui che lavorano.
È stato notato che i datori di lavoro sono sempre più desiderosi di essere proattivi nell’ambito della salute mentale dei dipendenti. Tuttavia, le attuali normative legali non forniscono loro una base chiara per farlo. Anche quando sono disposti ad allocare risorse finanziarie per il supporto psicologico dei dipendenti, lo fanno su scala più ridotta e con preoccupazioni di essere accusati di violare il GDPR e di elaborare categorie speciali di dati.
Nell’attuale modulo di segnalazione per visite mediche preventive, il datore di lavoro descrive solo le condizioni di lavoro, fornendo informazioni sulla presenza di fattori pericolosi, dannosi o gravosi sul posto di lavoro, nonché altri fattori derivanti dal modo in cui viene svolto il lavoro. Ciò include il livello di esposizione e i risultati attuali dei test e delle misurazioni dei fattori nocivi per la salute condotti sul posto di lavoro. Il modulo non prevede che il datore di lavoro condivida altre informazioni. Durante la discussione, è stato preso in considerazione se il datore di lavoro potesse includere ulteriori informazioni sulla segnalazione che potrebbero essere rilevanti per determinare l’idoneità al lavoro del dipendente, il che sarebbe particolarmente giustificato quando il datore di lavoro segnala un dipendente per visite periodiche prima della data di scadenza del certificato medico.
Gli esperti hanno sottolineato il problema dei datori di lavoro che forniscono informazioni sui cambiamenti osservati nel comportamento di un dipendente che potrebbero giustificare l’ampliamento delle diagnosi se il medico della salute sul lavoro avesse accesso a tali informazioni. I dipendenti indirizzati per esami precedenti, per paura di perdere la capacità di lavorare, spesso non sono disposti a condividere tali informazioni con il medico. La pratica dei medici della salute sul lavoro mostra che i pazienti sono più propensi a nascondere informazioni sulla loro salute che a prendere iniziative per rivelarle.
Gli esperti hanno convenuto che una modifica del modulo di segnalazione contribuirebbe a standardizzare le pratiche ed eviterebbe la cosiddetta circolazione informale di informazioni su un dipendente, come la trasmissione di informazioni per telefono o l’uso di un “codice interno” concordato tra il datore di lavoro e l’unità di medicina del lavoro con cui ha un contratto.
Secondo i partecipanti al dibattito, varrebbe la pena prendere in considerazione anche la possibilità di concedere ai medici poteri più ampi per ottenere informazioni da sistemi come la piattaforma P1, attraverso la quale vengono emessi, tra le altre cose, referti, congedi per malattia e prescrizioni.
Mancano soluzioni sistemiche, il che indica che gli esami condotti ai sensi delle disposizioni del Codice del lavoro dovrebbero anche servire a scopi preventivi e a una valutazione completa dello stato di salute, piuttosto che concentrarsi esclusivamente sull’osservazione di quegli organi e sistemi che sono critici per i rischi sul posto di lavoro.
È necessario standardizzare le pratiche di medicina del lavoro, organizzare le questioni relative alla protezione dei dati in modo da salvaguardare le informazioni sensibili, senza però ostacolare la formulazione di diagnosi coerenti con l’effettivo stato di salute.
Come condurre test psicologici per i dipendenti in conformità con il GDPR
Sempre più datori di lavoro si affidano ai test psicologici dei dipendenti. Nel frattempo, le interpretazioni legali riguardanti la conformità di tali test al GDPR sono molto divergenti. In che misura possiamo dire che si tratta di dati relativi alla salute? Sono dati regolari? A parte i casi in cui la legge consente esplicitamente tali test, sono ammissibili? Quando, se mai, può essere applicato come base l’interesse legittimo del datore di lavoro? Queste sono le domande a cui i relatori hanno cercato di rispondere durante il seminario di venerdì.
I datori di lavoro si rivolgono ai test psicologici, tra le altre cose, per lavori e posizioni esposti a stress elevato al fine di identificare i rischi psicosociali sul posto di lavoro. Tuttavia, dovrebbero sempre essere utilizzati in conformità con gli standard etici, in modo responsabile e attento. I buoni strumenti di test devono essere caratterizzati da validità e affidabilità.
Da una prospettiva pro-lavoratore, si dovrebbe affermare che i test di idoneità professionale dovrebbero essere standardizzati. I dati elaborati in questo processo costituiscono informazioni sensibili, motivo per cui i dipendenti devono essere resi consapevoli tramite formazione delle conseguenze associate alla loro elaborazione e che l’uso di test di idoneità professionale durante l’occupazione è stigmatizzante.
È stato sottolineato che la questione della percezione dei test psicologici dei dipendenti è stata affrontata esclusivamente attraverso la lente della protezione dei dati personali. Fino a poco tempo fa, mancava una regolamentazione legale, ovvero la legge sulla professione psicologica. Anche il periodo di conservazione dei test psicologici non è stato regolamentato.
Nel frattempo, dovrebbe esserci un solido quadro giuridico per i test psicologici. Le disposizioni giuridiche riguardanti i rinvii per i test psicologici devono essere riconsiderate. Il consenso dei dipendenti non è uno strumento appropriato che potrebbe fungere da base giuridica per condurre test psicologici, in quanto può essere ritirato in qualsiasi momento. Dovrebbero esserci anche meccanismi per la cancellazione di tali dati. Il Presidente dell’Ufficio per la protezione dei dati personali riconosce il deficit nelle soluzioni statutarie esistenti relative all’occupazione.
La pratica di testare i dipendenti spesso nasce dalle effettive esigenze del datore di lavoro. La posizione dell’Ufficio per la protezione dei dati personali dovrebbe essere vista attraverso la lente della protezione dei diritti degli individui i cui dati vengono elaborati, in questo caso i dipendenti. In pratica, tuttavia, l’Ufficio per la protezione dei dati personali non ha registrato alcun reclamo riguardante i test psicologici dei dipendenti.
I partecipanti all’incontro erano divisi sulla questione della giustificazione per l’esecuzione di test psicologici sulle predisposizioni professionali dei dipendenti. Alcuni li consideravano accettabili, mentre altri erano in disaccordo.
Normativa vigente e attivazione professionale delle persone con disabilità.
In che misura i datori di lavoro sono aperti ad assumere persone con disabilità e le attuali normative supportano tali azioni? I relatori hanno menzionato che, da un lato, circa 4 milioni di persone nel mercato del lavoro hanno certificati di disabilità, mentre dall’altro le aziende segnalano carenze di personale. I datori di lavoro delle grandi imprese sono sempre più aperti ad assumere persone con disabilità. Tuttavia, le piccole e medie imprese, che sono la spina dorsale dell’economia e dell’occupazione, affrontano sfide legate alla garanzia della conformità al GDPR e all’adattamento dei luoghi di lavoro alle esigenze delle persone con disabilità. Secondo i datori di lavoro, un fattore che complica l’implementazione di cambiamenti positivi è la natura complessa delle normative legali.
Come sensibilizzare datori di lavoro e reclutatori.
Nel contesto della responsabilità sociale d’impresa, la conoscenza della disabilità di un dipendente è molto importante. I reclutatori dovrebbero essere sensibilizzati al problema delle persone con disabilità, in modo da sapere per quanto tempo il datore di lavoro sarà in grado di elaborare i loro dati, ad esempio, in termini di adattamento del posto di lavoro alle loro esigenze. Durante un colloquio di lavoro, se un individuo rivela la propria disabilità, il reclutatore dovrebbe chiedere al potenziale dipendente in dettaglio cosa comporta. È stato sottolineato che un buon punto di partenza per il reclutatore è chiedere informazioni su eventuali esigenze e aspettative specifiche relative alla posizione lavorativa. In una situazione del genere, i limiti della condivisione della conoscenza sulla propria malattia dipendono dalle specificità del caso.
Nell’annuncio di lavoro è possibile dimostrare che il datore di lavoro è aperto ad assumere persone con disabilità. L’obiettivo dovrebbe essere quello di creare un ambiente sicuro in cui il dipendente si senta a suo agio nel rivelare la propria disabilità.
Per quanto riguarda l’entità della necessaria divulgazione di disabilità e altri problemi di salute, in conformità con il GDPR, durante il colloquio di assunzione, il potenziale dipendente non è tenuto a informare il potenziale datore di lavoro su di loro. Nella fase di assunzione, quando una persona con disabilità diventa un dipendente, in base al GDPR, dovrebbe fornire i dati personali necessari a causa del suo utilizzo di diritti specifici previsti dal diritto del lavoro, che possono essere correlati alla sua disabilità.
Negli annunci di lavoro, i datori di lavoro spesso indicano che sono preferiti individui con un certificato di disabilità. Tuttavia, questi certificati spesso includono note che affermano che gli individui interessati possono svolgere solo “lavori leggeri”, il che spesso porta a problemi interpretativi. I relatori hanno anche sottolineato carenze legislative riguardanti la terminologia dei certificati che affermano “totale incapacità al lavoro” e “incapacità di vita indipendente”.
Rapporto di incidente e dati in esso contenuti
L’ispettore capo del lavoro, Marcin Stanecki, ha presentato ai partecipanti al seminario l’ambito delle attività dell’Ispettorato nazionale del lavoro in materia di infortuni sul lavoro e ha condiviso dati che illustrano lo stato della prevenzione degli infortuni in Polonia nel 2023. Il numero di omissioni individuate dall’Ispettorato nazionale del lavoro da parte dei datori di lavoro può indicare un’insufficiente sensibilità sociale nell’ambito della determinazione delle circostanze e delle cause degli infortuni e può avere un impatto negativo sulle azioni preventive sistemiche.
È stato ricordato che nel processo di indagine sugli incidenti vengono elaborati i dati personali della parte lesa, degli individui coinvolti nell’incidente che lo hanno causato o contribuito a esso, nonché dei testimoni. È importante notare che i testimoni dell’incidente non possono essere solo dipendenti dell’azienda in cui si è verificato l’incidente. A questo proposito, è stata richiamata l’attenzione sugli obblighi relativi al trattamento dei dati personali nell’ambito di questa procedura. Sono state inoltre discusse questioni relative ad altre prove, tra cui le registrazioni di sorveglianza.
La segnalazione degli incidenti sul lavoro e dei dati personali ad essi correlati ha lo scopo di prevenire incidenti simili in futuro. Tuttavia, ci sono limitazioni GDPR per quanto riguarda i dati nei rapporti sugli incidenti, dove ci sono restrizioni pratiche sulla quantità di informazioni fornite. Allo stesso tempo, includere circostanze specifiche degli incidenti in questi rapporti è importante a causa della loro funzione preventiva.
Il tema della formazione è stato rivisitato: come sottolineato, i membri dei team di indagine sugli incidenti dovrebbero essere formati in materia di GDPR. I rapporti sugli incidenti contengono grandi quantità di dati sensibili, a cui dovrebbe essere applicato il principio di minimizzazione dei dati.
È stato osservato che il principio di minimizzazione dei dati dovrebbe applicarsi non solo al rapporto di incidente, ma anche a tutti i dati raccolti nel contesto di un incidente sul lavoro. Poiché le normative legali sono obsolete, non tenendo conto delle registrazioni di sorveglianza, è necessario modernizzarle. La consapevolezza della protezione dei dati e della tutela dei diritti personali tra i dipendenti è bassa. Anche la rilevabilità degli incidenti sul lavoro è bassa.
Sebbene l’ambito dei dati raccolti nel processo di indagine sugli incidenti riguardanti la parte lesa, i testimoni e coloro che formano il team di indagine sugli incidenti sia delineato nel rapporto sull’incidente, in pratica è più ampio di quanto specificato dalla legge. Come hanno sottolineato gli esperti, l’ambito dei dati che dovrebbero essere inclusi nel rapporto sull’incidente dovrebbe essere specificato in modo più dettagliato ai sensi del GDPR. Ciò dovrebbe includere, ad esempio, la possibilità di raccogliere dati dalla videosorveglianza e per quanto tempo e in quali condizioni possono essere archiviati.
Ulteriori risultati
Il seminario è stato organizzato su iniziativa dell’avvocato Dominika Dörre-Kolasa, membro del Social Team of Experts presso il Presidente dell’Ufficio per la protezione dei dati personali, che è attivamente coinvolta nel lavoro di aggiornamento della guida per i datori di lavoro sul trattamento dei dati personali nell’occupazione. Le intuizioni e le riflessioni raccolte durante il seminario saranno utilizzate nella guida in fase di sviluppo da parte dell’Ufficio per la protezione dei dati personali, in consultazione e collaborazione con il Social Team of Experts presso il Presidente dell’Ufficio per la protezione dei dati personali.
La conferenza si è tenuta sotto il patrocinio del Ministro della Salute e dell’Ispettorato nazionale del lavoro.