Privacy e dati personali concernenti la vaccinazione dei dipendenti – Adempimenti e responsabilità

Il Garante per la protezione dei dati personali ha fornito delle indicazioni relative al trattamento dei dati personali mediante un documento di indirizzo sulla vaccinazione anti SARS-CoV-2/ Covid-19 nei luoghi di lavoro. L’obiettivo posto dall’Autorità consiste nel velocizzare la campagna vaccinale accrescendo, al tempo stesso, i livelli di sicurezza nelle realtà lavorative pubbliche e private. Ed è proprio questo aspetto che merita di essere esaminato attentamente al fine di promuovere la consapevolezza delle scelte da effettuare e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche nel contesto dell’emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati.

Quali sono i principali adempimenti del medico competente in materia di protezione dei dati personali?      

Il trattamento di dati personali posto in essere dal medico competente richiede a tale figura l’adempimento degli obblighi che il Regolamento UE 2016/679 pone in capo ai titolari del trattamento e, in particolare:

1. istituzione del registro delle attività di trattamento (articolo 30 del Regolamento): il medico competente deve istituire e tenere un proprio registro, distinto da quello del datore di lavoro che gli ha conferito l’incarico, considerando che tratta in maniera non occasionale categorie particolari di dati relativi allo stato di salute. In tal caso il medico potrà adoperare strumenti (ad esempio applicativi informatici) già utilizzati dal datore di lavoro per assolvere all’obbligo di redazione e tenuta del registro;
2. sicurezza dei dati personali (articoli 32-34 del Regolamento): per quanto riguarda l’obbligo di adozione delle misure tecniche e organizzative adeguate atte a garantire un livello di sicurezza adeguato al rischio, il medico competente dovrà identificare e adottare queste misure in proprio, potendosi comunque avvalere dell’aiuto, anche economico, del datore di lavoro. Nei casi in cui vengano utilizzati strumenti del datore di lavoro dovranno essere adottate le misure tecniche e organizzative affinché il trattamento sia rispettoso della normativa in materia di salute e sicurezza sui luoghi di lavoro (garantendo, ad esempio, che i dati personali relativi alla diagnosi dei dipendenti non entrino, anche accidentalmente, nella disponibilità del datore di lavoro). Altresì dovranno essere adottare specifiche misure organizzative finalizzate ad escludere l’accesso ai dati da parte del personale addetto agli uffici che svolge compiti datoriali (ad esempio risorse umane, uffici disciplinari) e in genere a uffici o altro personale che trattino dati dei dipendenti per finalità di gestione del rapporto di lavoro).
3. nomina del Responsabile della protezione dei dati (articoli 37-39 del Regolamento): ogni singolo professionista sanitario che operi in regime di libera professione a titolo individuale non è tenuto alla designazione del responsabile della protezione dei dati con riferimento allo svolgimento della propria attività.
4. informativa agli interessati (articolo 14 del Regolamento): di regola il medico competente riceve i dati anagrafici dei dipendenti dal datore di lavoro, così come qualsiasi aggiornamento o rettifica dei dati stessi. Di conseguenza il medico competente, al momento della prima comunicazione all’interessato, potrà fornire le seguenti informazioni:

• l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
• i dati di contatto del responsabile della protezione dei dati, ove applicabile;
• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
• le categorie di dati personali in questione;
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili;
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
• qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
• il diritto di proporre reclamo a un’autorità di controllo;
• la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Chi conserverà la documentazione sanitaria nel caso in cui si interrompa l’incarico del medico competente o il rapporto di lavoro oppure cessi l’attività dell’azienda?                                                           

Nel caso in cui cessi l’incarico del medico competente, la documentazione sanitaria in suo possesso deve essere consegnata al datore di lavoro, nel rispetto di quanto stabilito in materia di protezione dei dati personali e con salvaguardia del segreto professionale (poiché il datore di lavoro non può conoscere il contenuto di tale documentazione); nel caso in cui cessi il rapporto di lavoro, l’originale della cartella sanitaria e di rischio deve essere conservata da parte del datore di lavoro per almeno dieci anni; in ultimo, nel caso in cui cessi l’attività di azienda, il datore di lavoro deve consegnare le cartelle sanitarie e di rischio all’INAIL (ovvero l’Istituto nazionale per l’assicurazione contro gli infortuni sul lavoro), soggetto pubblico specifico che svolge compiti di vigilanza in materia di salute e sicurezza nei luoghi di lavoro.

Profilo sanzionatorio: su quale figura ricadono le responsabilità?

Per quanto concerne il profilo sanzionatorio, la legge distingue le responsabilità che ricadono sul datore di lavoro da quelle che, invece, sono attribuibili al medico competente in qualità di titolare del trattamento (e questo sia quando quest’ultimo operi in veste di libero professionista o per conto di strutture convenzionate, sia quando operi in qualità di dipendente del datore di lavoro).

Inoltre, si ricordi che i trattamenti necessari per le finalità di medicina del lavoro devono essere effettuati “sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri”[1]. Difatti, tali trattamenti sono disciplinati in maniera distinta rispetto a quelli posti in essere dal datore di lavoro e necessari per adempiere ai propri obblighi normativi in materia di salute e sicurezza sul lavoro.

[1] Secondo quanto stabilito dall’articolo 9, paragrafo 3 del Regolamento UE 2016/679.

Quali misure tecniche e organizzative occorre adottare?

Il vaccino deve essere effettuato all’interno dei locali individuati dal datore di lavoro con la supervisione dell’autorità sanitaria competente. Gli ambienti scelti per la somministrazione del vaccino dovranno avere caratteristiche tali da impedire a colleghi o terzi di conoscere l’identità dei dipendenti che hanno scelto di aderire alla campagna vaccinale. Inoltre, devono essere adottate misure volte a garantire la riservatezza e la dignità del dipendente, anche nella fase immediatamente successiva alla vaccinazione, di modo da ostacolare la circolazione ingiustificata di informazioni nel contesto lavorativo.

Il datore di lavoro potrà fornire il proprio supporto mettendo a disposizione strumenti informatici per consentire al personale sanitario addetto alle vaccinazioni di accedere, con proprie credenziali, ai sistemi informativi previsti per la registrazione delle somministrazioni dei vaccini.

Giustificazione dell’assenza lavorativa 

Quando la vaccinazione viene somministrata durante l’orario di lavoro, l’assenza potrà essere giustificata con le modalità previste nei contratti collettivi nazionali oppure mediante rilascio da parte del personale sanitario che somministra la vaccinazione all’interessato di un’attestazione di prestazione sanitaria indicata in termini generici. Nel caso in cui il datore, sulla base dell’attestazione riesca a risalire al tipo di prestazione sanitaria dallo stesso ricevuta, dovrà astenersi dall’utilizzare tali informazioni per altre finalità nel rispetto dei principi di protezione dei dati (salva la conservazione del documento in base agli obblighi di legge). Inoltre, il datore di lavoro non potrà chiedere al dipendente alcuna conferma in merito all’avvenuta vaccinazione né chiedere l’esibizione del certificato vaccinale.

di Alessandra Totaro