naviga tra gli articoli
dpo
privacy
Condividi l'articolo
20 Luglio 2021

Privacy e dati personali concernenti la vaccinazione dei dipendenti – Base giuridica e competenze

Il Garante per la protezione dei dati personali ha fornito delle indicazioni relative al trattamento dei dati personali mediante un documento di indirizzo sulla vaccinazione anti SARS-CoV-2/ Covid-19 nei luoghi di lavoro. L’obiettivo posto dall’Autorità consiste nel velocizzare la campagna vaccinale accrescendo, al tempo stesso, i livelli di sicurezza nelle realtà lavorative pubbliche e private. Ed è proprio questo aspetto che merita di essere esaminato attentamente al fine di promuovere la consapevolezza delle scelte da effettuare e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche nel contesto dell’emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati.

La vaccinazione sul posto di lavoro è possibile?

La vaccinazione sul posto di lavoro è possibile ma occorre tenere presente il fatto che, trattandosi inevitabilmente di dati personali concernenti altresì la salute dei dipendenti, ciò potrebbe sì rappresentare un’opportunità atta a accelerare la campagna vaccinale ma, parimenti, dovranno essere adottate tutte le precauzioni necessarie per fare in modo che la disciplina in materia di protezione dei dati personali, le norme emanate nel contesto dell’emergenza epidemiologica e le disposizioni nazionali più specifiche previste dall’ordinamento nazionale a tutela della dignità e della libertà dell’interessato sui luoghi di lavoro siano rispettate[1].

[1] A tal proposito si ricordi l’articolo 88 del Regolamento UE 2016/679 che prevede che “1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. 2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro. 3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro 25 maggio 2018 e comunica senza ritardo ogni successiva modifica”.

Qual è la base giuridica che legittima il trattamento dei dati personali?     

 Il trattamento dei dati relativi alle vaccinazioni è necessario per finalità di medicina preventiva e di medicina del lavoro[2]. Tali trattamenti sono difatti affidati esclusivamente a professionisti sanitari (ad esempio il medico competente, altro personale medico o medici Inail). Questo tipo di trattamento richiede che siano effettuate delle valutazioni cliniche (sin dal momento di individuazione delle dosi e della tipologia dei vaccini, tenendo conto delle condizioni personali e dell’anamnesi degli interessati) e comporta operazioni quali la somministrazione e la registrazione che, per natura, presuppongono la competenza tecnica da parte del personale sanitario debitamente formato.

[2] Vale a dire l’articolo 9, paragrafo 2, lettera h) e il paragrafo 3 che, rispettivamente, affermano: “2. Il paragrafo 1 (“È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”) non si applica se si verifica uno dei seguenti casi: h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; 3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.

La vaccinazione sul posto di lavoro deve avvenire mediante il supporto strumentale ed economico del datore di lavoro al quale è altresì richiesto il compito di promuovere l’iniziativa della vaccinazione presso i luoghi di lavoro fornendo, alla generalità dei dipendenti, le indicazioni utili relative alle caratteristiche del servizio vaccinale usufruibile in azienda e sottoposto alla supervisione dell’azienda sanitaria di riferimento (ad esempio, rendendo disponibile sulla rete intranet documenti esplicativi). Questa attività di sensibilizzazione può avvenire con l’aiuto del medico competente, anche promuovendo iniziative di comunicazione e informazione sulla vaccinazione anti SARS-CoV-2/ Covid-19. Inoltre, tenuto conto dello squilibrio del rapporto tra datore di lavoro e interessato, il consenso del dipendente non costituisce comunque un valido presupposto di liceità ai sensi del considerando n. 43 del Regolamento UE 2016/679[3]. Pertanto, non è possibile considerare il consenso dei dipendenti come valida condizione di liceità per il trattamento dei dati personali in ambito lavorativo, specie quando il datore di lavoro sia un’autorità pubblica. Si ricordi anche che è fatto divieto al datore di lavoro di trattare dati non pertinenti e non attinenti alla valutazione della capacità professionale del dipendente.

[3] “Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

L’importanza di assicurare la suddivisione delle competenze

Un aspetto fondamentale consiste nell’assicurare il rispetto della suddivisione di competenze tra il medico competente e il datore di lavoro. La titolarità del trattamento dei dati è, difatti, attribuita al medico competente dal quadro normativo di settore[4] ed è proprio questa figura che, nell’evoluzione del sistema nazionale legato all’emergenza epidemiologica, è stata confermata come il principale elemento di garanzia per gli interessati sui luoghi di lavoro. D’altra parte, la disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro individua la figura del medico competente come autonoma rispetto a quella del datore di lavoro: in questo modo si specificano e si distinguono gli obblighi, nonché le diverse responsabilità di ciascuno e viene delineato, sotto il profilo della protezione dei dati personali, l’ambito del rispettivo trattamento.

[4] Ad esempio il D.Lgs. 81/2008 (Attuazione dell’articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro).

di Alessandra Totaro

Articoli correlati

Scorri i documenti