In vista dell’avvio delle vaccinazioni anti-Covid nei luoghi di lavoro, il Garante per la Protezione dei Dati Personali ha adottato un apposito provvedimento contenente le indicazioni generali sulle modalità di trattamento dei dati; si tratta del provvedimento n. 198 del 13 maggio 2021 (di seguito, per brevità “Provvedimento”).
Il perché dell’adozione del Provvedimento
Il datore di lavoro, nel caso in cui aderisca all’iniziativa di vaccinazione nei luoghi di lavoro, sarà tenuto ad una serie di adempimenti che coinvolgono importanti aspetti legati alla tutela della riservatezza del dipendente e dei suoi dati sanitari. La vaccinazione in azienda, come si sottolinea nel Protocollo Nazionale del 6 aprile 2021, sottoscritto dal Governo e dalle parti sociali, “rappresenta un’opportunità aggiuntiva rispetto alle modalità̀ ordinarie dell’offerta vaccinale” che non può prescindere dall’adesione consapevole e informata da parte delle lavoratrici e dei lavoratori e dalla “tutela della privacy”.
In applicazione del “Protocollo” e al fine di chiarire quali siano gli adempimenti derivanti dal Regolamento UE 2016/679 (GDPR), il Garante ha, quindi, adottato il Provvedimento del maggio 2021. Si tratta di un atto di indirizzo che fornisce una serie di indicazioni sulle modalità di trattamento dei dati personali connessi all’iniziativa della vaccinazione nei luoghi di lavoro.
Vaccinazione nei luoghi di lavoro: qual è la base giuridica del trattamento?
Premesso che il legislatore dovrà successivamente intervenire con specifici atti normativi, il Garante ha evidenziato che il trattamento dei dati relativi alla vaccinazione nei luoghi di lavoro trova la sua base giuridica nell’art. 9, par. 2, lett. h) GDPR in quanto è necessario per finalità di medicina preventiva e, in pari tempo, di medicina del lavoro. I dati relativi alla vaccinazione potranno essere trattati unicamente dal medico competente in quanto il loro trattamento “presuppone valutazioni cliniche (fin dalla fase di individuazione delle dosi e della tipologia dei vaccini sulla base delle condizioni personali e dell’anamnesi degli interessati) e comporta operazioni (somministrazione e registrazione) che, per propria natura, presuppongono necessariamente la competenza tecnica di personale sanitario dotato di specifica formazione”.
Al datore di lavoro non è consentito trattare i dati personali relativi alla vaccinazione dei propri dipendenti, a prescindere dal fatto che questi ultimi abbiano prestato o meno il loro consenso al trattamento. Lo squilibrio del rapporto tra i due soggetti impedisce che il consenso dei dipendenti possa costituire un valido presupposto di liceità̀ (Considerando 43 GDPR).
La raccolta delle adesioni alla vaccinazione nei luoghi di lavoro
Premesso che l’informazione relativa all’adesione del lavoratore alla campagna vaccinale deve essere trattata solo dal medico competente, nel caso in cui le informazioni in merito all’adesione dei dipendenti vengano raccolte utilizzando strumenti (ad es. applicativi informatici) del datore di lavoro, quest’ultimo dovrà garantire l’adozione delle misure tecniche e organizzative adeguate a garantire il rispetto della normativa di settore (artt. 24 e 25 GDPR). Ad esempio, si dovrà garantire “che i dati personali relativi alle adesioni e all’anamnesi dei dipendenti non entrino, neanche accidentalmente, nella disponibilità del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro”.
I dati relativi alle adesioni dei dipendenti dovranno essere trattati in modo tale da garantire l’assenza di elementi che consentano di rivelare l’identità dei lavoratori aderenti all’iniziativa di vaccinazione. Ad esempio, “ai fini dell’individuazione del numero delle dosi e della tipologia di siero/vaccino, il datore di lavoro, all’atto della presentazione del piano vaccinale aziendale all’ASL territorialmente competente, dovrà limitarsi … a indicare esclusivamente il numero complessivo dei vaccini necessari per la realizzazione dell’iniziativa”.
Gli ambienti predisposti alla somministrazione del vaccino nei luoghi di lavoro
Il datore di lavoro dovrà avere cura che gli ambienti selezionati per la somministrazione del vaccino abbiano delle caratteristiche tali da garantire il massimo riserbo, nei confronti di colleghi o di terzi, sull’identità dei dipendenti che decidano di sottoporsi alla vaccinazione nei luoghi di lavoro. “Per quanto possibile nei luoghi prescelti dovrebbero essere adottate misure volte garantire la riservatezza e la dignità del lavoratore, anche nella fase immediatamente successiva alla vaccinazione, prevenendo l’ingiustificata circolazione di informazioni nel contesto lavorativo o comportamenti ispirati a mera curiosità”.
Il principio della massima riservatezza dovrà guidare anche il tema della giustificazione dell’assenza del dipendente che decida di sottoporsi alla vaccinazione nel luogo di lavoro. “Ove dall’attestazione prodotta dal dipendente sia possibile risalire al tipo di prestazione sanitaria da questo ricevuta, il datore di lavoro, salva la conservazione del documento in base agli obblighi di legge, dovrà astenersi dall’utilizzare tali informazioni per altre finalità nel rispetto dei principi di protezione dei dati e non potrà chiedere al dipendente conferma dell’avvenuta vaccinazione o chiedere l’esibizione del certificato vaccinale”.
Questo articolo sulla vaccinazione nei luoghi di lavoro ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.