Vaccinazioni nei luoghi di lavoro

Con il Provvedimento n. 198 del 13 maggio 2021, il Garante della privacy ha adottato un documento di indirizzo sulla vaccinazione nei luoghi di lavoro con lo scopo di promuovere la consapevolezza delle scelte da effettuare e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche durante il periodo emergenziale, devono essere tutelati in relazione al trattamento dei dati personali dei soggetti interessati.

Come noto la realizzazione dei piani vaccinali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/COVID-19 nei luoghi di lavoro è stata prevista dal “Protocollo Nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione nei luoghi di lavoro”, firmato in data 6 aprile 2021 dal Governo e dalle parti sociali, e dalle allegate “Indicazioni ad interim per la vaccinazione anti SARS-CoV-2 / COVID-19 nei luoghi di lavoro”.


INDICAZIONI PER IL TRATTAMENTO DEI DATI PERSONALI


Il Garante della privacy, attraverso il documento di indirizzo denominato “Indicazioni generali per il trattamento dei dati personali” precisa che le principali attività di trattamento dei dati (dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione) dovranno essere effettuate dal medico competente o da altro personale sanitario appositamente individuato.

L’attività di vaccinazione nei luoghi di lavoro avviene con il supporto strumentale ed economico dei datori di lavoro, anche in forma associata, ai quali è anche demandato il compito di promuovere l’iniziativa di vaccinazione fornendo ai dipendenti le indicazioni utili sulle caratteristiche del servizio vaccinale in azienda, rendendo disponibile, ad esempio, anche sulla rete intranet, documenti esplicativi. Tali attività di sensibilizzazione potranno avvenire anche con il supporto del medico competente.

NB: Nell’ambito dello svolgimento delle attività di supporto è fatto, però, divieto assoluto al datore di lavoro di trattare i dati personali relativi a tutti gli aspetti connessi alla vaccinazione dei propri dipendenti. Il datore di lavoro non potrà, infatti, raccogliere, direttamente dagli interessati, tramite il medico compente, altri professionisti sanitari o strutture sanitarie, informazioni che abbiano ad oggetto il trattamento dei dati personali dei propri dipendenti relativi alla vaccinazione. Inoltre, il consenso del lavoratore non può costituire un valido presupposto di liceità per il datore di lavoro di ricevere i dati sulla vaccinazione e la scelta dei dipendenti di aderire o meno alla campagna di vaccinazione anti-Covid attraverso i canali aziendali è assolutamente volontaria, e per tale ragione non è consentito far derivare alcuna conseguenza, né positiva né negativa, nel rapporto lavoratore - datore di lavoro.

Nella fase di raccolta delle adesioni e prenotazione delle dosi, l’informazione relativa all’adesione volontaria da parte della lavoratrice e del lavoratore deve essere trattata solo dal professionista sanitario opportunamente individuato “che potrà valutare preliminarmente specifiche condizioni di salute, nel rispetto della privacy, che indirizzino la vaccinazione in contesti sanitari specifici della Azienda Sanitaria di riferimento, che ne assicura la necessaria presa in carico”, nonché ai fini dell’individuazione del numero delle dosi e della tipologia di vaccino. Il datore di lavoro, quindi, al momento della presentazione del piano vaccinale aziendale all’ASL territorialmente competente, dovrà limitarsi, sulla base delle indicazioni fornite dal professionista sanitario, a indicare solamente il numero complessivo dei vaccini necessari per la realizzazione dell’iniziativa.

Inoltre i dati personali relativi alle adesioni e all’anamnesi dei dipendenti non devono entrare, neanche accidentalmente, nella disponibilità del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro.

Mentre, per ciò che concerne la fase della somministrazione del vaccino, che, come indicato nel Protocollo firmato in data 6 aprile 2021, “è riservata ad operatori sanitari in grado di garantire il pieno rispetto delle prescrizioni sanitarie adottate per tale finalità e in possesso di adeguata formazione per la vaccinazione anti-Covid19”, gli ambienti selezionati per tale fase dovranno avere caratteristiche idonee al fine di evitare di rendere conoscibile, a colleghi o a terzi, l’identità dei dipendenti che hanno scelto di aderire alla campagna vaccinale.

Dunque, nei luoghi prescelti dovranno essere adottate misure volte a garantire la riservatezza e la dignità del lavoratore, anche nella fase immediatamente post-vaccinazione, prevenendo l’ingiustificata circolazione di informazioni nel contesto lavorativo o comportamenti ispirati a mera curiosità.


SICUREZZA SUL LUOGO DI LAVORO, IL RUOLO DEL MEDICO COMPETENTE


Il Garante della privacy, con un secondo documento denominato “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale” allegato, anch’esso, al Provvedimento n. 198 del 13 maggio 2021, si è soffermato sulla centralità del ruolo del professionista sanitario competente in materia di sicurezza sul luogo di lavoro, nel contesto emergenziale e nel rispetto del necessario riparto di ruoli e competenze con il datore di lavoro e medico competente.

Il tema della riservatezza dei dati personali è una questione da non sottovalutare sotto il profilo organizzativo ed attuativo del Protocollo sottoscritto dal Governo e dalle parti sociali. Per tale motivo, il secondo documento dell’Autorità Garante individua proprio nella titolarità del trattamento dei dati, attribuita al medico competente, il principale elemento di garanzia per coloro che si sottopongono alla vaccinazione.

NB: Con specifico riguardo ai trattamenti di dati personali inerenti la vaccinazione di dipendenti, si osserva come solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’efficacia e all’affidabilità medico-scientifica della somministrazione dei vaccini, può emettere giudizi di idoneità parziale e/o inidoneità temporanee per i lavoratori non vaccinati, fatto salvo che il rischio non possa essere ridotto con misure di protezione e/o organizzative alternative e di eguale efficacia.

Ne deriva che, il datore di lavoro a propria volta, qualora venga espresso un giudizio di inidoneità alla mansione specifica, è tenuto ad adibire il lavoratore, ove possibile, a mansioni equivalenti o inferiori garantendo il trattamento corrispondente alle mansioni di provenienza. In particolare, il Garante della privacy, al par. 8 del documento relativo al ruolo del “medico competente”, ribadisce che le operazioni di trattamento dei dati personali, messe in atto dal professionista sanitario competente, richiedono il rispetto degli obblighi previsti dal vigente Regolamento europeo (G.D.P.R. 679/2016).

Pertanto il medico competente, in qualità di titolare del trattamento dei dati personali, sarà tenuto all’adempimento dei seguenti obblighi:

  • istituzione del registro delle attività di trattamento, il medico competente deve istituire e tenere un proprio registro, distinto da quello del datore di lavoro che gli ha conferito l’incarico;

  • informativa agli interessati, la quale deve contenere come e dove i dati sensibili verranno conservati ed a quale scopo;

  • sicurezza dei dati personali, il medico competente deve adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio;

  • nomina del Responsabile della protezione dei dati (RPD), in tal caso l’Autorità garante ha recentemente chiarito che il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, non è tenuto alla designazione del RPD con riferimento allo svolgimento della propria attività.

In definitiva, nel quadro delle norme a tutela della dignità e della libertà degli interessati sui luoghi di lavoro, quindi, solo il medico competente può attuare le principali attività di trattamento dei dati sensibili.

Al datore di lavoro, per contro, è vietato ottenere dai dipendenti, dal medico competente, o da altri professionisti sanitari o strutture sanitarie, informazioni che riguardano la volontà del dipendente di aderire alla campagna vaccinale o l’avvenuta somministrazione o meno del vaccino.