Vaccinazione nei luoghi di lavoro e protezione dei dati dei dipendenti

Si intravede, grazie al fiorire di veri e propri piani vaccinali in tutto il territorio nazionale, un lento ritorno alla normalità, dopo i lunghi mesi di severe restrizioni alternati a veri e propri lock down imposti dalla pandemia da Covid-19, la quale non ha risparmiato alcuna categoria di persone e/o attività economica.

Sono soprattutto le aziende, in questo momento, a voler organizzare campagne vaccinali per i propri collaboratori e dipendenti, al fine di scongiurare il nascere di nuovi focolai e dover così chiedere nuovamente le proprie strutture e stabilimenti.

Sotto il profilo GDPR, però, i trattamenti di dati personali, originati dall’emergenza in atto, devono in ogni caso essere effettuati nel rispetto di quel tradizionale riparto di competenze e separazione di ruoli tra il medico competente e il datore di lavoro, in cui risiede il principale elemento di garanzia delle norme che ne disciplinano i compiti e le funzioni.

Il Garante Privacy, alla luce delle molteplici richieste di delucidazioni in tema di vaccinazione, ha ritenuto fondamentale intervenire per poter fornire indicazioni e risposte circa le misure da adottare per garantire la protezione dei dati personali in seguito alle campagne vaccinali via via organizzate in ogni regione.

Le prescrizioni riassunte in un vero e proprio vademecum a firma dell’autorità garante si sono rese necessarie proprio per assicurare che i trattamenti effettuati, rispettivamente, dal datore di lavoro e dal medico competente, avvengano nel rispetto della normativa in materia di protezione dei dati, della disciplina nazionale di settore e delle norme più specifiche e di maggior tutela che garantiscono la dignità̀ e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento e 113 del Codice) nonché́ di quelle emanate nel contesto dell’emergenza epidemiologica in corso. 

Da premettere che, sempre per disposizione del Garante, il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l’avvenuta vaccinazione anti Covid-19. Ciò̀ non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro.

Neppure il datore di lavoro può̀ considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità̀ in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (considerando 43 del Regolamento).

Acquista pertanto un ruolo centrale il medico competente, il quale, in ogni caso, non può comunicare al datore di nominativi dei dipendenti vaccinati.

Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità̀ alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).

Il datore di lavoro può̀ invece acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità̀ alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008).

Deve inoltre sottolinearsi come la disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro (d.lgs. 9 aprile 2008, n. 81) individua la funzione del medico competente come autonoma rispetto a quella che deve essere svolta dal datore di lavoro, prevedendo specifici e distinti obblighi nonché le diverse responsabilità̀ di ciascuno e delineando, sotto il profilo della protezione dei dati, l’ambito del rispettivo trattamento. 

Rispetto infine alla circostanza se la vaccinazione anti Covid-19 dei dipendenti possa essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni (ad es. in ambito sanitario), in attesa di un intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività̀ lavorative e mansioni, allo stato, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008).

In tale quadro solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità̀ sanitarie anche in merito all’efficacia e all’affidabilità̀ medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità̀ alla mansione specifica.

Il datore di lavoro dobrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità̀ alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del d.lgs. n.81/2008).

Tenuto conto che, in base alla specifica disciplina di riferimento, l’informazione relativa all’adesione volontaria da parte della lavoratrice e del lavoratore deve essere trattata solo dal professionista sanitario opportunamente individ uato, il datore di lavoro, all’atto della presentazione del piano vaccinale aziendale all’ASL territorialmente competente, dovrà limitarsi, sulla base delle indicazioni fornite dal professionista sanitario, a indicare esclusivamente il numero complessivo dei vaccini necessari per la realizzazione. Nel piano, elaborato con il supporto del professionista sanitario e presentato dal datore di lavoro, non dovranno essere presenti elementi in grado di rivelare l’identità dei lavoratori aderenti all’iniziativa.

Il professionista sanitario (o la struttura sanitaria di riferimento), una volta che siano state raccolte le adesioni, procederà a pianificare le sedute vaccinali, adottando, nel trattamento dei dati, delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR).

Avv. Eleonora Mataloni

GRAZIE PER LA TUA RICHIESTA.

Contattaci tramite email, telefono
o compila il form così da capire come aiutarti al meglio.