Nel corso del presente articolo ci interrogheremo su un argomento molto discusso sul quale sembra non essere affatto facile definire la soluzione più idonea atta a collegare interesse collettivo e diritti individuali: il trattamento dei dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo. In merito, il Garante per la protezione dei dati personali ha fornito rilevanti informazioni al fine di consentire ai Titolari del trattamento (persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali) una corretta applicazione della disciplina sul trattamento e sulla consequenziale protezione dei dati personali ai tempi del Covid-19.

Diritto alla salute: cosa disciplina la Costituzione?

La nostra Costituzione, all’articolo 32, definisce la salute “come fondamentale diritto dell’individuo e interesse della collettività”. Ciò nonostante, di importante accortezza è stata la mossa attuata dal Costituente nel momento in cui ha altresì previsto una forma maggiore di protezione del cittadino da trattamenti sanitari obbligatori ed arbitrari disponendo che “nessuno può essere obbligato a un determinato trattamento sanitario se non per disposizione di legge. La legge non può in nessun caso violare i limiti imposti dal rispetto della persona umana”.

Quali sono le modalità con le quali si può procedere ad una adeguata protezione dei dati personali dei dipendenti nel contesto lavorativo?

Le modalità con le quali si può procedere ad una adeguata protezione dei dati personali dei dipendenti sul luogo di lavoro sono definite dall’Autorità garante per la protezione dei dati personali il quale, per quanto concerne il riparto di competenze normativamente stabilito tra medico del lavoro e datore, ha chiarito che “spetta al primo e non al secondo trattare dati sanitari dei lavoratori, verificandone l’idoneità alla “mansione specifica” anche, se del caso, sulla base del dato relativo alla vaccinazione, secondo le indicazioni fornite dalle autorità sanitarie […]. Tale essendo il riparto di competenze tra medico del lavoro e datore, è chiaro che il consenso del dipendente a una diversa circolazione delle informazioni (oltre che essere invalido perché prestato in condizioni di squilibrio, in primo luogo contrattuale), sarebbe comunque irrilevante perché non potrebbe alterare tale distinzione di compiti, non derogabile in base alla mera autonomia privata”.  Sulla base di queste premesse, il Garante per la protezione dei dati personali ha cercato di fornire indicazioni utili a imprese ed enti pubblici al fine di adottare correttamente la disciplina sulla protezione dei dati personali nel contesto emergenziale-epidemiologico, onde prevenire possibili trattamenti illeciti dei dati stessi.

Il datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione?

Il datore di lavoro non può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione poiché le disposizioni dell’emergenza e della disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro non permettono che il datore di lavoro possa chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale né di esigere copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Il considerando 43 del Regolamento UE 679/2016[1] ci ricorda, difatti, che il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo.

[1] Il quale statuisce quanto segue: “Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

Il datore di lavoro può chiedere al medico competente i nominativi dei dipendenti vaccinati?

Il datore di lavoro non può chiedere al medico competente i nominativi dei dipendenti vaccinati e, qualora sia posta comunque tale domanda al medico competente, quest’ultimo dovrà rifiutarsi di rispondere. Il D.Lgs. n. 81/2008, “Attuazione dell’articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro”, prevede unicamente in capo al medico competente la possibilità di trattare i dati sanitari dei dipendenti e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica.

Più precisamente, l’articolo 25 del sopra citato decreto legislativo, relativo agli obblighi del medico competente, sancisce che tale figura “a) collabora con il datore di lavoro e con il servizio di prevenzione e protezione alla valutazione dei rischi, anche ai fini della programmazione, ove necessario, della sorveglianza sanitaria, alla predisposizione della attuazione delle misure per la tutela della salute e della integrità psico-fisica dei lavoratori, all’attività di formazione e informazione nei confronti dei lavoratori, per la parte di competenza, e alla organizzazione del servizio di primo soccorso considerando i particolari tipi di lavorazione ed esposizione e le peculiari modalità organizzative del lavoro.  Collabora inoltre alla attuazione e valorizzazione di programmi volontari di “promozione della salute”, secondo i principi della responsabilità sociale; b) programma ed effettua la sorveglianza sanitaria […]; c) istituisce […] una cartella sanitaria e di rischio per ogni lavoratore sottoposto a sorveglianza sanitaria. […]; d) consegna al datore di lavoro, alla cessazione dell’incarico, la documentazione sanitaria in suo possesso, nel rispetto delle disposizioni di cui al decreto legislativo del 30 giugno 2003, n.196, e con salvaguardia del segreto professionale; e) consegna al lavoratore, alla cessazione del rapporto di lavoro, la documentazione sanitaria in suo possesso e gli fornisce le informazioni riguardo la necessità di conservazione; f) invia all’ISPESL, esclusivamente per via telematica, le cartelle sanitarie e di rischio nei casi previsti dal presente decreto legislativo, alla cessazione del rapporto di lavoro, nel rispetto delle disposizioni di cui al decreto legislativo 30 giugno 2003, n.  196. […]; g) fornisce informazioni ai lavoratori sul significato della sorveglianza sanitaria cui sono sottoposti e, nel caso di esposizione ad agenti con effetti a lungo termine, sulla necessità di sottoporsi ad accertamenti sanitari anche dopo la cessazione dell’attività che comporta l’esposizione a tali agenti. Fornisce altresì, a richiesta, informazioni analoghe ai rappresentanti dei lavoratori per la sicurezza; h) informa ogni lavoratore interessato dei risultati della sorveglianza sanitaria […] e, a richiesta dello stesso, gli rilascia copia della documentazione sanitaria; i) comunica per iscritto […] al datore di lavoro, al responsabile del servizio di prevenzione protezione dai rischi, ai rappresentanti dei lavoratori per la sicurezza, i risultati anonimi collettivi della sorveglianza sanitaria  effettuata e fornisce indicazioni sul significato di detti risultati ai fini della attuazione delle misure per la tutela della salute e della integrità psico-fisica dei lavoratori; l) visita gli ambienti di lavoro almeno una volta all’anno o a cadenza diversa che stabilisce in base alla valutazione dei rischi; la indicazione di una periodicità diversa dall’annuale deve essere comunicata al datore di lavoro ai fini della sua annotazione nel documento di valutazione dei rischi; m) partecipa alla programmazione del controllo dell’esposizione dei lavoratori i cui risultati gli sono forniti con tempestività ai fini della valutazione del rischio e della sorveglianza sanitaria; n) comunica, mediante autocertificazione, il possesso dei titoli e requisiti di cui all’articolo 38 al Ministero della salute entro il termine di sei mesi dalla data di entrata in vigore del presente decreto”. Inoltre, il quinto comma dell’articolo 39 del D.lgs. n. 81/2008 precisa che “il medico competente può avvalersi, per accertamenti diagnostici, della collaborazione di medici specialisti scelti in accordo con il datore di lavoro che ne sopporta gli oneri”.

Ex articolo 18 comma 1, lettera c)[2], g)[3] e bb) [4] del medesimo decreto legislativo, il datore di lavoro può acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati.

[2] “Il datore di lavoro e i dirigenti che organizzano e dirigono le stesse attività secondo le attribuzioni e competenze ad essi conferite, devono, nell’affidare i compiti ai lavoratori, tenere conto delle capacità e delle condizioni degli stessi in rapporto alla loro salute e alla sicurezza”.

[3] “Il datore di lavoro e i dirigenti che organizzano e dirigono le stesse attività secondo le attribuzioni e competenze ad essi conferite devono richiedere al medico competente l’osservanza degli obblighi previsti a suo carico nel presente decreto”.

[4] “Il datore di lavoro e i dirigenti che organizzano e dirigono le stesse attività secondo le attribuzioni e competenze ad essi conferite devono vigilare affinché i lavoratori per i quali vige l’obbligo di sorveglianza sanitaria non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità”.

La vaccinazione anti Covid-19 dei dipendenti può essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni (ad es. in ambito sanitario)?

Per capire se la vaccinazione anti Covid-19 dei dipendenti possa essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni occorre attendere l’intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, allo stato, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i dipendenti e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi. Difatti, l’articolo 279 del D.Lgs. n. 81/2008 concernente la prevenzione e il controllo, statuisce che I lavoratori addetti alle attività per le quali la valutazione dei rischi ha evidenziato un rischio per la salute sono sottoposti alla sorveglianza sanitaria. Il datore di lavoro, su conforme parere del medico competente, adotta misure protettive particolari per quei lavoratori per i quali, anche  per motivi sanitari individuali, si richiedono misure speciali di protezione, fra le quali: a) la  messa  a  disposizione  di  vaccini  efficaci  per  quei lavoratori  che  non sono  già immuni all’agente biologico presente nella lavorazione, da somministrare a cura del medico competente; b)   l’allontanamento   temporaneo   del  lavoratore  secondo  le procedure dell’articolo 42.

Ove gli accertamenti sanitari abbiano evidenziato, nei lavoratori esposti in modo analogo ad uno stesso agente, l’esistenza di anomalia imputabile a tale esposizione, il medico competente ne informa il datore di lavoro. A seguito dell’informazione di cui al comma 3 il datore di lavoro effettua una nuova valutazione del rischio in conformità all’articolo 271. Il medico competente fornisce ai lavoratori adeguate informazioni sul controllo sanitario cui sono sottoposti e sulla necessità di sottoporsi ad accertamenti sanitari anche dopo la cessazione dell’attivi che comporta rischio di esposizione a particolari agenti biologici individuati nell’allegato XLVI nonché sui vantaggi ed inconvenienti della vaccinazione e della non vaccinazione.

Come già debitamente esplicitato in precedenza, in tale quadro solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo, e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore.

Quali effetti può comportare un trattamento errato dei dati relativi allo stato vaccinale?

Gli effetti che possono derivare da un trattamento errato dei dati relativi allo stato vaccinale possono determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone che possono tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionale (ciò, in quanto gli stessi devono essere considerati dati particolarmente delicati).  Anche in merito ai “pass vaccinali” per accedere a locali o fruire di servizi, il Garante ritiene che il trattamento dei dati debba essere oggetto di una norma di legge nazionale, conforme ai principi in materia di protezione dei dati personali (in particolare, quelli di proporzionalità, limitazione delle finalità e di minimizzazione dei dati), in modo da realizzare un equo bilanciamento tra l’interesse pubblico che si intende perseguire e l’interesse individuale alla riservatezza. Pertanto, in assenza di tale eventuale base giuridica normativa – sulla cui compatibilità con i principi stabiliti dal Regolamento Ue il Garante si riserva di pronunciarsi – l’utilizzo in qualsiasi forma, da parte di soggetti pubblici e di soggetti privati fornitori di servizi destinati al pubblico, di app e pass destinati a distinguere i cittadini vaccinati dai cittadini non vaccinati è da considerarsi illegittimo.

Di Alessandra Totaro