30. La comunicazione per email al medico competente
Il mio ente ha affidato il servizio del medico competente a una società esterna che richiede, ai fini della trasmissione delle informazioni relative ai dipendenti, l’utilizzo di un indirizzo di posta elettronica certificata generico, con il nome della stessa società. Ritiene che sia regolare?
_______________________
I dati che saranno trasmessi dai dipendenti al medico competente rientrano nella categoria dei “dati particolari” previsti nell’articolo 9 del Regolamento generale per la ritenzione dei dati personali, per i quali è previsto un espresso divieto di trattamento, fatta eccezione per le deroghe tassativamente indicate nel comma 2 dello stesso articolo.
Peraltro, la particolare tipologia dei dati richiede l’attivazione di specifiche misure a salvaguardia della tutela degli interessati.
Da ciò discende che codesta Amministrazione, oltre a dovere informare i dipendenti in ordine alle modalità di trattamento e al soggetto esterno a cui vengono forniti i dati. Tale soggetto, inoltre deve essere richiamato alle responsabilità connesse alla gestione dei dati, alla loro conservazione, e ai rischi connessi all’eventuale indebita diffusione o distruzione.
L’Amministrazione, inoltre, al fine di assicurare la necessaria tutela della riservatezza, dovrà richiedere al soggetto esterno ogni misura necessaria a garantire tale fine.
Per questa ragione non potrà, in alcun modo, consentire che le informazioni sanitarie siano scambiate utilizzando canali che non rivestano le caratteristiche della sicurezza e della definizione univoca del destinatario.
Laddove l’Amministrazione accettasse di utilizzare l’indirizzo di posta elettronica proposto dalla società, essendo generico e accessibile a persone diverse dal medico a cui sono indirizzate e non meglio identificate, manifesterebbe un comportamento incauto e violerebbe ogni forma di sicurezza richieste a tutela del trattamento personale, esponendosi, peraltro a eventuale segnalazioni.
Conseguentemente, a mio avviso è quantomai opportuno che la società individui una forma di trasmissione che fornisca maggiori garanzie di sicurezza e affidabilità. E nel caso in cui dovesse rifiutarsi, si renderà necessario segnalare il caso al Garante per la protezione de dati personali
Total Page Visits: 412 - Today Page Visits: 1