Il Garante per la protezione dei dati personali ha fornito delle indicazioni relative al trattamento dei dati personali mediante un documento di indirizzo sulla vaccinazione anti SARS-CoV-2/ Covid-19 nei luoghi di lavoro. L’obiettivo posto dall’Autorità consiste nel velocizzare la campagna vaccinale accrescendo, al tempo stesso, i livelli di sicurezza nelle realtà lavorative pubbliche e private. Ed è proprio questo aspetto che merita di essere esaminato attentamente al fine di promuovere la consapevolezza delle scelte da effettuare e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche nel contesto dell’emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati.

Obblighi e divieti in capo al datore di lavoro                                                 

L’articolo 2087 del Codice civile afferma che “L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro. Il datore di lavoro ha l’obbligo di conferire a un medico specifico mandato o incarico affinché questo eserciti la funzione di protezione della salute e sicurezza dei luoghi di lavoro.

Al datore di lavoro non è consentito raccogliere direttamente dagli interessati, tramite il medico competente, altri professionisti sanitari o strutture sanitarie, informazioni in merito a tutti gli aspetti relativi alla vaccinazione, ivi compresa l’intenzione o meno del dipendente di aderire alla campagna, alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle condizioni di salute del lavoratore stesso. Ciò significa che il datore di lavoro non potrà trattare i dati personali relativi a qualsiasi aspetto connesso alla vaccinazione dei propri dipendenti, né obbligarli a sottoporsi al vaccino in virtù della libertà di scelta da parte delle persone in ambito vaccinale e sulla scorta di quanto stabilito dall’articolo 4 del decreto-legge 44/2021 che non prevede tale libertà di scelta in capo al personale sanitario poiché requisito essenziale per l’esercizio della professione.

L’informazione relativa all’adesione volontaria del dipendente deve essere trattata solo dal medico competente che potrà valutare le specifiche condizioni di salute del dipendente che guidino la vaccinazione in contesti sanitari specifici della Azienda Sanitaria di riferimento.  Il datore di lavoro, sulla base delle indicazioni ricevute dal medico, potrà indicare esclusivamente il numero complessivo dei vaccini necessari per la realizzazione dell’iniziativa di cui al paragrafo precedente. Tuttavia, si precisa che nel piano elaborato con il supporto del medico e presentato dal datore di lavoro non dovranno essere presenti elementi in grado di rivelare l’identità dei dipendenti aderenti all’iniziativa. Una volta raccolte le adesioni sarà poi cura del medico (o della struttura sanitaria di riferimento) procedere a pianificare le sedute vaccinali adottando misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio (ai sensi dell’articolo 32 del Regolamento UE 2016/679).

Nel caso in cui per raccogliere informazioni in merito all’adesione dei dipendenti al servizio vaccinale presso l’azienda siano usati strumenti informatici del datore di lavoro, dovranno essere adottate le misure tecniche e organizzative affinché il trattamento sia conforme agli articoli 24 e 25 del Regolamento UE 2016/679 e sia garantito il fatto che i dati personali relativi alle adesioni e all’anamnesi dei dipendenti non entrino, neanche accidentalmente, nella disponibilità del personale preposto agli uffici.

Il datore di lavoro potrà fornire al medico tutte le indicazioni e i criteri circa la modalità di programmazione delle sedute vaccinali, senza però trattare dati personali relativi alle adesioni dei dipendenti identificati o identificabili.

Obblighi in capo al medico competente   

L’articolo 25 del D.Lgs. 81/2008 stabilisce quali siano gli obblighi in capo al medico competente:

  1. collaborare con il datore di lavoro e con il servizio di prevenzione e protezione alla valutazione dei rischi, anche ai fini della programmazione, ove necessario, della sorveglianza sanitaria, alla predisposizione della attuazione delle misure per la tutela della salute e della integrità psico-fisica dei dipendenti, all’attività di formazione e informazione nei confronti dei lavoratori, per la parte di competenza, e alla organizzazione del servizio di primo soccorso considerando i particolari tipi di lavorazione ed esposizione e le peculiari modalità organizzative del lavoro. Collaborare, inoltre, alla attuazione e valorizzazione di programmi volontari di «promozione della salute», secondo i principi della responsabilità sociale;
  2. programmare ed effettuare la sorveglianza sanitaria […] attraverso protocolli sanitari definiti in funzione dei rischi specifici e tenendo in considerazione gli indirizzi scientifici più avanzati;
  3. istituire, aggiornare e custodire, sotto la propria responsabilità, una cartella sanitaria e di rischio per ogni dipendente sottoposto a sorveglianza sanitaria; tale cartella è conservata con salvaguardia del segreto professionale e, salvo il tempo strettamente necessario per l’esecuzione della sorveglianza sanitaria e la trascrizione dei relativi risultati, presso il luogo di custodia concordato al momento della nomina del medico competente;
  4. consegnare al datore di lavoro, alla cessazione dell’incarico, la documentazione sanitaria in suo possesso, nel rispetto delle disposizioni di cui al decreto legislativo del 30 giugno 2003, n. 196, e con salvaguardia del segreto professionale;
  5. consegnare al dipendente, alla cessazione del rapporto di lavoro, copia della cartella sanitaria e di rischio, e gli fornisce le informazioni necessarie relative alla conservazione della medesima […];
  6. fornire informazioni ai dipendenti sul significato della sorveglianza sanitaria cui sono sottoposti e, nel caso di esposizione ad agenti con effetti a lungo termine, sulla necessità di sottoporsi ad accertamenti sanitari anche dopo la cessazione dell’attività che comporta l’esposizione a tali agenti. Fornire altresì, a richiesta, informazioni analoghe ai rappresentanti dei lavoratori per la sicurezza;
  7. informare ogni dipendente interessato dei risultati della sorveglianza sanitaria […] e, a richiesta dello stesso, rilasciare copia della documentazione sanitaria;
  8. comunicare per iscritto […] al datore di lavoro, al responsabile del servizio di prevenzione protezione dai rischi, ai rappresentanti dei lavoratori per la sicurezza, i risultati anonimi collettivi della sorveglianza sanitaria effettuata e fornire indicazioni sul significato di detti risultati ai fini della attuazione delle misure per la tutela della salute e della integrità psico-fisica dei dipendenti;
  9. visitare gli ambienti di lavoro almeno una volta all’anno o a cadenza diversa che stabilisce in base alla valutazione dei rischi […];
  10. partecipare alla programmazione del controllo dell’esposizione dei dipendenti i cui risultati gli sono forniti con tempestività ai fini della valutazione del rischio e della sorveglianza sanitaria.

Dal momento in cui il medico competente deve trattare i dati in modo autonomo e nel rispetto della disciplina della protezione dei dati, non può e non deve seguire le istruzioni del datore di lavoro rispetto al quale dovrà mantenere autonomia e terzietà. Difatti, la funzione che egli esercita è espressione di un interesse pubblico (tutela del lavoratore e della collettività) e, in quanto tale, sottratta alla sfera di competenza del datore di lavoro (tanto è che spetta al medico competente stabilire la periodicità delle visite mediche o la necessità di sottoporre i dipendenti a ulteriori indagini diagnostiche in funzione della valutazione del rischio e delle condizioni di salute dei lavoratori sottoposti a sorveglianza). Pertanto, in funzione di quanto scritto nell’elenco di cui sopra, il medico competente è l’unica persona legittimata a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e della sicurezza dei luoghi di lavoro. L’autonoma sfera di competenza e di responsabilità del medico competente rispetto al datore di lavoro risulta anche dal fatto che contro i giudizi del medico competente è ammesso il ricorso entro trenta giorni dalla data di comunicazione del giudizio stesso all’organo di vigilanza territorialmente competente che, dopo eventuali e ulteriori accertamenti, dispone:

  • la conferma;
  • la modifica;
  • o la revoca del giudizio stesso.

Come garantire un corretto trattamento dei dati personali inerenti alla vaccinazione dei dipendenti?  

Per garantire un corretto trattamento dei dati personali inerenti alla vaccinazione dei dipendenti, il datore di lavoro deve assicurare che i dipendenti “non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità”[1] e tener conto, nell’affidate i compiti ai dipendenti, “delle capacità e delle condizioni degli stessi in rapporto alla loro salute e sicurezza”[2]. Il medico competente, nell’ambito delle proprie attività di sorveglianza sanitaria, è invece il solo soggetto legittimato a trattare i dati sanitari dei dipendenti e a verificare l’idoneità alla “mansione specifica”.

[1] Secondo quanto stabilito dall’articolo 18, comma 1, lettera g) e bb) del D.Lgs. n. 81/2008.

[2] Secondo quanto stabilito dall’articolo 18, comma 1, lettera c) del D.Lgs. n. 81/2008.

A sua volta il datore di lavoro, potendo conoscere il solo giudizio di idoneità alla mansione specifica e le eventuali prescrizioni fissate dal medico competente come condizioni di lavoro, dovrà attuare le misure indicate dal medico e, qualora sia espresso un giudizio di inidoneità alla mansione specifica, impiegare il dipendente a mansioni equivalenti o inferiori garantendo il trattamento corrispondente alle mansioni di provenienza.

di Alessandra Totaro