Il Garante detta le regole per la privacy nella vaccinazione sui luoghi di lavoro

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Garante per la protezione dei dati personali: Provvedimento n. 198 del 13 maggio 2021

Premessa

Come noto la normativa con cui è stato adottato il piano strategico nazionale dei vaccini per contrastare il virus del Covid-19 ha previsto anche la possibilità che, con l’aumento della disponibilità delle dosi dei vaccini, la loro somministrazione potrà avvenire anche con il coinvolgimento dei medici delle aziende, ciò al fine di raggiungere il duplice obiettivo di una più rapida diffusione della campagna vaccinale nonché di accrescere i livelli di sicurezza nei luoghi di lavoro (sia pubblici che privati).

In applicazione di tale direttiva, ai primi di aprile il Ministero del lavoro ha adottato un “Protocollo” per realizzare l’attivazione di punti straordinari di vaccinazione anti covid-19 nei luoghi di lavoro e congiuntamente il Ministero della Salute ha invece emanato delle “indicazioni” per poter procedere a dette vaccinazioni nei luoghi di lavoro, cui quindi i datori di lavoro devono attenersi per realizzare la campagna vaccinale presso la propria azienda.

Gli aspetti più rilevanti di tali documenti riguardano:

  • la volontarietà dell’adesione alla vaccinazione in azienda da parte dei lavoratori;
  • la necessaria disponibilità dei vaccini;
  • la presenza e la disponibilità del medico competente o di altro personale sanitario (anche provato);
  • la preventiva informazione dei lavoratori in ordine alla vaccinazione, in modo che la loro decisione sia effettivamente consapevole;
  • la prevenzione di ogni forma di discriminazione dei lavoratori;
  • la tutela della privacy.

In considerazione di ciò, alcuni datori di lavoro e soggetti privati hanno richiesti chiarimenti e formulato quesiti al Garante privacy, relativamente al trattamento dei dati personali connessi all’inizio delle suddette vaccinazioni e quindi alla tutela della privacy degli interessati.

Il garante ha così adottato un documento di indirizzo denominato “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali, in modo da orientare i datori di lavoro e i medici competenti (nonché qualsiasi altro sanitario coinvolto) nella scelta delle misure, anche organizzative, necessarie per garantire che i trattamenti dei dati personali che saranno effettuati nello svolgere la campagna vaccinale siano conformi alla normativa privacy.

Le indicazioni generali del Garante privacy.

Preliminarmente il Garante per la protezione dei dati personali ha evidenziato come la campagna vaccinale anti covid-19 in azienda debba necessariamente avvenire nel pieno rispetto della normativa in materia di privacy, prevista dal GDPR e dal codice privacy italiano, nonché delle norme eccezionali che sono state emanate durante il periodo di pandemia in corso. Secondo il Garante, infatti, la sussistenza dello stato di emergenza epidemiologica non esonera tutti i soggetti coinvolti nella realizzazione e nella esecuzione del piano vaccinale dal rispettare i limiti previsti dalla suddetta normativa e gli obblighi dalla medesima loro imposti in ragione del ruolo rivestito, al fine di evitare una illecita circolazione dei dati degli interessati che potrebbe essere idonea a ledere i loro diritti e libertà.

In primo luogo, il Garante ribadisce che deve essere rispettata la distinzione di competenze tra il medico competente e il datore di lavoro: infatti, il titolare del trattamento dei dati personali degli interessati (relativi alla vaccinazione in azienda: quindi dei dipendenti che vi si sottopongono) è il medico competente, in quanto solo così si possono garantire agli interessati le necessarie garanzie sul luogo di lavoro.

Come corollario di tale principio, il Garante precisa che il datore di lavoro non può raccogliere, direttamente dagli interessati, attraverso il medico competente né altri professionisti o strutture sanitari (anche privati), alcuna informazione circa gli aspetti della vaccinazione. A titolo esemplificativo, il datore non potrà acquisire informazioni in ordine:

  • alla intenzione o meno del lavoratore di aderire alla campagna vaccinale aziendale;
  • alla avvenuta somministrazione o meno del vaccino;
  • ad altri dati relativi alla condizione di salute del lavoratore.

In secondo luogo il Garante analizza la base giuridica che dovrà legittimare il trattamento dei dati personali nello svolgere la campagna vaccinale aziendale.

Sul tema, preliminarmente, il Garante rileva che le previsioni di cui al “protocollo” e alle “indicazioni” ministeriali di cui si è detto in premessa dovranno essere recepite da specifici atti normativi che integreranno la base giuridica del trattamento dei dati relativi alla vaccinazione aziendale.

Tuttavia, medio tempore, il Garante ritiene comunque opportuno evidenziare che:

  • le finalità del trattamento dei dati relativi alle vaccinazioni aziendali sono sia la medicina preventiva, sia la medicina del lavoro;
  • i suddetti trattamenti dati sono affidati soltanto al medico competente o ad altri medici o professionisti sanitari, in quanto detti trattamenti hanno quale necessario presupposto il compimento di valutazioni cliniche (al fine di individuare le dosi e la tipologia dei vaccini, in ragione delle condizioni personali e della anamnesi del lavoratore cui va fatta la somministrazione) e comporta l’esecuzione di operazioni che richiedono le competenze tecniche proprie del personale sanitario;
  • i datori di lavoro debbono supportare la vaccinazione aziendale sia attraverso la dotazione dei necessari strumenti, sia dal punto di vista economico, nonché attraverso la promozione dell’iniziativa di vaccinazione aziendale, fornendo ai propri dipendenti tutte le informazioni di detto servizio vaccinale;
  • anche se il datore di lavoro deve supportare il personale sanitario nello svolgimento della vaccinazione in azienda, è comunque vietato al datore di trattare i dati personali che riguardano la vaccinazione dei dipendenti;
  • in considerazione dello squilibrio del rapporto tra datore di lavoro e dipendente nel contesto del luogo di lavoro, il consenso dei dipendenti non può costituire una idonea base giuridica per il trattamento di dati relativi alla vaccinazione (trattamento da parte del datore di lavoro che sarebbe, quindi, illecito anche se compiuto con il consenso del lavoratore interessato);
  • infine, il datore di lavoro non può far discendere alcuna conseguenza negativa, né positiva, a carico del lavoratore, in considerazione della sua scelta circa l’aderire o meno alla vaccinazione aziendale.

In terzo luogo, il Garante si occupa delle adesioni alla vaccinazione da parte di dipendenti dell’azienda nonché della prenotazione delle dosi dei vaccini.

Sul punto, il Garante prevede che:

  • soltanto il professionista sanitario appositamente individuato, può trattare il dato relativo all’adesione volontaria da parte del lavoratore e quello relativo al numero delle dosi e della tipologia di vaccino da utilizzare per la vaccinazione aziendale;
  • il datore di lavoro, nel momento in cui presenterà alla ASL territorialmente competente il piano vaccinale aziendale, dovrà limitarsi soltanto a indicare alla azienda sanitaria il numero complessivo dei vaccini necessari per la vaccinazione aziendale, in base alle indicazioni che gli sono state fornite dal professionista sanitario individuato;
  • nel piano vaccinale non dovrà essere indicato alcun elemento che possa permettere, anche indirettamente, l’individuazione della identità dei lavoratori che hanno aderito;
  • sarà il professionista sanitario individuato a stabilire il programma delle vaccinazioni in azienda, adottando tutte le misure tecniche e organizzative idonee a garantire che il trattamento dati sia sicuro rispetto al rischio per le libertà e i diritti degli interessati;
  • qualora per raccogliere le adesioni dei dipendenti vengano utilizzati strumenti (anche informatici) messi a disposizione del datore di lavoro, quest’ultimo e il sanitario dovranno adottare tutte le opportune misure tecniche e organizzative necessarie a garantire che detti dati non entrino (anche in maniera accidentale) nella disponibilità del personale che svolge funzioni datoriali (come l’ufficio risorse umane o l’ufficio disciplinare) o in generale uffici o persone che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro;
  • qualora, in assenza del medico competente, il datore di lavoro utilizzi strutture sanitarie private o le strutture territoriali dell’Inail, il datore dovrà adottare delle modalità tali da permettere ai dipendenti che intendono aderire all’iniziativa di rivolgersi direttamente a dette strutture.

Le “Indicazioni generali” del Garante oggetto di commento, inoltre, disciplinano anche l’aspetto relativo alla pianificazione delle vaccinazioni.

Sul punto, tali indicazioni prevedono che il datore di lavoro potrà indicare al professionista sanitario le modalità e i criteri per programmare le sedute vaccinali, ma senza che ciò possa comportare il trattamento di dati personali relativi alle adesioni dei lavoratori identificati o identificabili.

Per quanto concerne la somministrazione e la registrazione dei vaccini, il Garante ha ricordato che la somministrazione deve essere effettuata da operatori sanitari che hanno apposita formazione e deve essere effettuata all’interno dei locali aziendali che saranno individuati dal datore di lavoro nel rispetto dei requisiti previsti dalla “indicazioni” del ministero della salute di cui si è detto in premessa.

Dal punto di vista del rispetto della privacy, il Garante stabilisce che detti locali aziendali dovranno avere delle caratteristiche idonee ad escludere che i colleghi di lavoro o comunque soggetti terzi possano conoscere l’identità dei dipendenti che hanno aderito alla vaccinazione aziendale.

Inoltre, il datore di lavoro, per quanto possibile, deve adottare in detti locali aziendali delle misure idonee a garantire la riservatezza e la dignità del lavoratore durante la somministrazione del vaccino e anche nella fase immediatamente successiva a detta somministrazione, in modo che non possano circolare informazioni nel contesto lavorativo o comportamenti ispirati a mera curiosità.

Infine, le “Indicazioni generali” oggetto di commento si occupano anche della giustificazione delle assenze.

A tal proposito, esse stabiliscono che il tempo utilizzato dal lavoratore per vaccinarsi è equiparato a tutti gli effetti all’orario di lavoro (nel caso in cui la vaccinazione sia fatta durante il servizio). Pertanto, il lavoratore potrà giustificare l’assenza attraverso il rilascio di un’attestazione di prestazione sanitaria redatta in termini generici da parte del soggetto che ha somministrato il vaccino.

Nel caso in cui dalla suddetta certificazione sia, comunque, possibile individuare il tipo di prestazione sanitaria ricevuta dal dipendente, il datore di lavoro dovrà astenersi dall’utilizzare detta informazione per qualsiasi finalità diversa dalla sua conservazione in base agli obblighi di legge e non potrà chiedere al dipendente conferma dell’avvenuta vaccinazione o chiedere di mostrare il certificato vaccinale.

Volume consigliato

Gli aspetti giuridici dei vaccini

Gli aspetti giuridici dei vaccini

AA.VV., 2021, Maggioli Editore

La necessità di dare una risposta a una infezione sconosciuta ha portato a una contrazione dei tempi di sperimentazione precedenti alla messa in commercio che ha suscitato qualche interrogativo, per non parlare della logica impossibilità di conoscere possibili effetti negativi a...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!