Datore di lavoro intima di somministrarsi il vaccino: viola la privacy

Sanzionato per violazione della privacy il datore di lavoro che ha intimato alla dipendente di somministrarsi il vaccino anti-covid. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy

1. I fatti: il datore di lavoro viola la privacy sui vaccini

Una ex dipendente di una cooperativa che svolgeva l’attività di struttura medico-sanitaria inviava un reclamo al Garante per la protezione dei dati personali in cui sosteneva di essere stata impiegata della predetta cooperativa e di aver ricevuto una lettera di diffida, dal proprio datore di lavoro, a procedere con la somministrazione del vaccino anti covid, anche se non era obbligata a farlo, pena la sospensione dell’attività lavorativa.
Il Garante inviava quindi alla Cooperativa una richiesta di informazioni volta a sapere quale fosse stata la fonte attraverso cui la stessa avesse acquisito il dato relativo alla salute della reclamante (cioè il fatto che non fosse stata vaccinata).
La cooperativa dichiarava che l’informazione relativa allo stato vaccinale della dipendente non era stato acquisito dalla ASL territorialmente competente, bensì dalla stessa interessata che aveva spontaneamente manifestato la propria intenzione di non sottoporsi alla vaccinazione anti-covid.
In secondo luogo, la cooperativa, per il tramite del legale rappresentante, sosteneva di avere una responsabilità che imponeva di adottare tutte le misure anti-covid previste dalla legge per tutelare i medici, i dipendenti e i pazienti della struttura sanitaria. In particolare, il D.L. 44/2021 aveva imposto l’obbligo vaccinale a tutti gli operatori dell’ambito sanitario. Pertanto, la cooperativa, ritenendo che la propria dipendente rientrasse in questa categoria, si era preoccupata di capire se la stessa fosse munita della apposita certificazione che dimostrava l’assolvimento del predetto obbligo vaccinale. Tale controllo era avvenuto prima che la ASL territorialmente competente comunicasse alla Cooperativa l’esito sull’assolvimento dell’obbligo vaccinale da parte dei lavoratori della Cooperativa (come indicati nella lista che quest’ultima aveva inviato alla precedentemente alla stessa ASL), in quanto il legale rappresentante aveva valutato la preminenza della tutela e della garanzia della salute. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy

2. La valutazione del Garante

Come noto, il D.L. 44/2021 ha introdotto una procedura, rimasta in vigore fino al novembre 2022, volta alla verifica dell’assolvimento dell’obbligo vaccinale da parte degli esercenti le professioni sanitarie e gli operatori di interesse sanitario.
Con l’introduzione di nuovi decreti e norme varie nei mesi di pandemia, il novero delle categorie di lavoratori interessati dall’obbligo vaccinale è stato via via aumentato dal Governo e sono state altresì modificate le procedure relative alla verifica dell’assolvimento dell’obbligo vaccinale (quale requisito essenziale per poter esercitare la professione sanitaria e per svolgere le relative prestazioni lavorative).
Per quanto riguarda la procedura, era prevista la comunicazione “entro cinque giorni dall’entrata in vigore del decreto” da parte dei datori di lavoro di un elenco contenente i nominativi degli operatori di interesse sanitario che svolgono la loro attività nelle strutture sanitarie, sociosanitarie, socio-assistenziali, pubbliche o private, alla regione o alla provincia autonoma nel cui territorio operano.
Nel caso di specie, la Cooperativa ha inviato alla reclamante (all’epoca propria dipendente) la lettera di diffida in questione (con cui le intimava di presentarsi sul luogo di lavoro con il certificato di assolvimento dell’obbligo vaccinale), prima di procedere con l’invio alla ASL competente della comunicazione dei dipendenti (quindi prima di avere il relativo riscontro dalla ASL con l’indicazione dell’assolvimento o meno dell’obbligo vaccinale).
In considerazione di ciò, secondo il Garante, la Cooperativa ha trattato il dato relativo allo stato vaccinale della propria dipendente, ancora prima di ricevere, dagli organismi preposti, l’atto di accertamento dell’inosservanza dell’obbligo vaccinale.
Pertanto, il trattamento dei dati relativi allo stato vaccinale della reclamante è stato effettuato in violazione della normativa privacy, che prevede il divieto di trattare i dati relativi alla salute tranne che nei casi espressamente previsti dalla legge.
Infatti, il presupposto normativo che rendeva lecito il trattamento del dato relativo alla salute della dipendente (cioè il fatto di essersi sottoposta o meno all’obbligo vaccinale) era proprio il D.L. 44/2021.
Il mancato rispetto della procedura di accertamento dell’inadempimento all’obbligo vaccinale previsto dalla citata normativa (cioè il previo invio all’ASL della lista dei dipendenti e l’attesa della risposta di quest’ultima dell’assolvimento o meno dell’obbligo da parte di ogni dipendente), ha reso illecito il trattamento effettuato dalla Cooperativa relativo alla informazione circa la mancata vaccinazione della propria dipendente (dato che aveva acquisito precedentemente).
Tra l’altro, il Garante ha evidenziato che – durante il periodo emergenziale pandemico – aveva più volte ribadito che il datore di lavoro non era legittimato a chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia dei documenti comprovanti l’avvenuta vaccinazione (cosa non consentita dalle disposizioni emergenziali) e che non poteva considerarsi lecito il trattamento dei dati relativi alla vaccinazione neanche in presenza del consenso del dipendente (in quanto in tali casi il consenso non poteva ritenersi una valida condizione di liceità del trattamento a causa dello squilibrio del rapporto tra titolare del trattamento e interessato all’interno del contesto lavorativo).

Potrebbero interessarti anche:
-Il Garante detta le regole per la privacy nella vaccinazione sui luoghi di lavoro
-Accesso del paziente con green pass viola la privacy

3. La decisione del Garante

In considerazione di tutto quanto sopra, il Garante ha ritenuto che la condotta posta in essere dalla cooperativa consistente nell’inviare la richiamata diffida alla propria dipendente, comporta la violazione del divieto di trattare i dati particolari degli interessati e conseguentemente ha ritenuto di comminare una sanzione amministrativa pecuniaria al titolare del trattamento.
Per quanto concerne la quantificazione della predetta sanzione, il Garante ha preso in esame, quale circostanza aggravante, il fatto che la natura della violazione fosse rilevante (in quanto avente ad oggetto dati particolari dell’interessata, anche se riferiti ad un solo soggetto); quale circostanze attenuanti, invece, il Garante ha valutato l’assenza di precedenti violazioni pertinenti commessa dal titolare del trattamento e il grado di cooperazione da questi avuta con l’Autorità, oltre che la complessità connesse all’applicazione della disciplina nel contesto emergenziale.
In conclusione, il Garante ha comminato alla cooperativa la sanzione di €. 5.000 (cinquemila).