Vaccinazione nei luoghi di lavoro: qualche chiarimento in materia di privacy e trattamento dei dati personali

ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro
Per iscriverti al Bollettino ADAPT clicca qui
Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it

Bollettino ADAPT 17 maggio 2021, n. 19

 

Il 13 maggio del 2021 il Garante per la protezione dei dati personali ha pubblicato un provvedimento denominato “Documento di indirizzo – Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali” che fornisce le linee di indirizzo per quanto concerne il trattamento dei dati personali nel contesto delle vaccinazioni anti COVID-19 nei luoghi di lavoro.

 

L’iniziativa relativa all’attivazione di punti di vaccinazione straordinari all’interno dei locali aziendali è stata a sua volta compiutamente regolata dal cosiddetto “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro”, firmato in data 6 aprile 2021 dal Governo e dalle parti sociali (a sua volta corredato da apposite “Indicazioni ad interim per la vaccinazione anti-SARS-CoV-2/COVID-19 nei luoghi di lavoro” approvate dalla Conferenza delle Regioni e delle Province Autonome l’8 aprile 2021), senza tuttavia prestare la dovuta attenzione ai profili di privacy e trattamento dei dati che, come avevamo avuto modo di sottolineare (si veda G. Benincasa, G. Piglialarmi, Aggiornato il Protocollo condiviso: oneri e responsabilità del datore di lavoro, Bollettino ADAPT 12 aprile 2021, n.14), necessitava di un raccordo puntuale con quanto già statuito dal Garante tramite delle FAQ nel mese di febbraio 2021.

 

Non solo. Recentemente è stato pubblicato anche il “Documento tecnico operativo per l’avvio delle vaccinazioni in attuazione delle indicazioni ad interim per la vaccinazione anti-SARS-COV-2/COVID-19 nei luoghi di lavoro” del 12 maggio 2021 con il quale, sebbene non venga affrontato il tema della privacy e del trattamento dei dati di lavoratori e lavoratrici, si è tentato di individuare elementi quantitativi e qualitativi di riferimento per la somministrazione dei vaccini su tutto il territorio nazionale, tenuto conto anche del tessuto imprenditoriale italiano (spesso composto da piccole e medie imprese) e del settore produttivo di appartenenza secondo la classificazione ATECO, organizzando il documento in tre macro-gruppi in base all’ordine di priorità assegnato. A tal proposito, con riferimento al criterio quantitativo, viene prevista la possibilità di coinvolgere più aziende operanti, ad esempio, in uno stesso sito produttivo e/o su base territoriale, che difficilmente riuscirebbero ad organizzare punti vaccinali autonomi (facilitando pertanto l’accesso alla vaccinazione anche di piccole aziende); con riferimento al criterio qualitativo, vengono previsti quattro ambiti valutativi (classificazione del rischio secondo i parametri di esposizione, prossimità e aggregazione individuati dall’INAIL; monitoraggio denunce e infortuni; monitoraggio epidemiologico; evidenze scientifiche disponibili) utili a definire le priorità per l’implementazione dei vaccini nei luoghi di lavoro.

 

Tuttavia, tali documenti oltre a richiamare, in linea con quanto effettuato dai protocolli condividi dello scorso anno, la “presenza e la disponibilità del medico competente”, laddove previsto per legge, “o di altro personale sanitario”, nonché “l’adesione consapevole e informata dei lavoratori stessi”, non possono prescindere dalla tutela della privacy di coloro che decidano di vaccinarsi all’interno dei locali aziendali: quest’affermazione, strettamente correlata alla volontà di “prevenire ogni forma di discriminazione delle lavoratrici e dei lavoratori” fondata sulla loro scelta di vaccinarsi o meno, ha portato il Garante a decidere di formulare nuove indicazioni specifiche in materia.

 

In primo luogo, le linee di indirizzo del 13 maggio specificano che l’attivazione di punti vaccinali sui luoghi di lavoro comporta il trattamento dei dati dei lavoratori, operazione che, ai sensi dell’articolo 6 del Regolamento Europeo 679/2016 (GDPR), necessita di essere fondata su un’apposita “base giuridica”, ossia una condizione al verificarsi della quale il trattamento è da considerarsi lecito. Le linee di indirizzo del Garante specificano che la base giuridica del trattamento dei dati relativi alla vaccinazione dei lavoratori può essere costituita dai documenti menzionati – il Protocollo condiviso e le Indicazioni ad interim – solo nel caso in cui le stesse siano recepite con specifici atti normativi. E a tal proposito non possiamo che rilevare l’attuale mancanza di recepimento dei suddetti documenti in atti avente forza di legge.

 

Inoltre, i dati dei lavoratori che decidono di usufruire della vaccinazione all’interno dei locali aziendali sono classificati dallo stesso Garante come “anche relativi alla salute dei lavoratori”. Tale affermazione, la quale a un primo sguardo può apparire ovvia, in realtà risulta fondamentale per comprendere al meglio le regole in materia di privacy che dovranno essere applicate durante tali operazioni. I dati sanitari, infatti, appartengono a quelle “categorie particolari di dati personali” elencate dall’articolo 9 del GDPR, le quali, data la loro particolare sensibilità, necessitano di un elevato livello di protezione: il Regolamento 679/2016, in particolare, dispone un generale divieto per quanto riguarda il trattamento di tali particolari categorie di dati, a meno che non si verifichi una delle specifiche condizioni elencate dal secondo paragrafo del medesimo articolo.

 

Nel caso della vaccinazione all’interno dei locali aziendali, il Garante individua tale condizione nella “finalità di medicina preventiva e, in pari tempo, di medicina del lavoro” del trattamento, data la circostanza per cui esso include operazioni che presuppongono la competenza tecnica di personale sanitario formato, quale ad esempio la consultazione dell’anamnesi dei lavoratori.

 

L’art., 9, paragrafo 3, del GDPR presuppone che il trattamento dei dati per le finalità appena menzionate sia lecito unicamente quando esso avvenga “da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri”. A tal proposito, il Garante dunque specifica che la pianificazione delle sedute vaccinali debba unicamente essere svolta dai professionisti sanitari presenti in azienda (es. medico competente o altro personale sanitario che dovranno essere opportunatamente formati mediante corsi messi a disposizione dall’ISS), il quali costituiscono gli unici soggetti, all’interno dell’azienda, che possono trattare l’informazione relativa all’adesione volontaria dei singoli lavoratori. Il datore di lavoro, quindi, potrà unicamente fornire al professionista sanitario indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali, senza però trattare dati personali relativi alle adesioni o all’anamnesi di lavoratrici e lavoratori, con la conseguenza che potrà conoscere il numero complessivo dei e delle dipendenti sottoposti/e alla vaccinazione ma non conoscere, e tanto meno richiedere, la disponibilità (o meno) a vaccinarsi dei singoli lavoratori o lavoratrici. Le linee di indirizzo del Garante specificano altresì che debbano essere adottate specifiche misure tecniche e organizzative affinché i dati citati non entrino nella disponibilità del personale che tratta i dati dei dipendenti per finalità di gestione del rapporto di lavoro, all’evidente fine di realizzare quella prevenzione della discriminazione dei dipendenti basata sulla scelta di usufruire o meno della possibilità di vaccinazione anti COVID-19 nominata dal Protocollo del 6 aprile 2021.

 

Rilevante, in questo senso, è la menzione del considerando 43 del GDPR, il quale sancisce che il consenso da parte dell’interessato al trattamento dei propri dati, pur essendo presente nell’elenco di cui all’articolo 6 del GDPR, non costituisce opportuna base giuridica al fine di valutare la liceità del trattamento nel caso in cui esista un evidente squilibrio di potere tra l’interessato e il titolare del trattamento: per queste ragioni, vista la particolare conformazione della relazione tra le parti del rapporto di lavoro, anche qualora il lavoratore prestasse il proprio consenso al trattamento, da parte del datore di lavoro, dei propri dati personali connessi alla vaccinazione, quest’ultimo sarebbe comunque da considerarsi non conforme al GDPR.

 

In ultimo, il Garante sancisce che, in fase di somministrazione del vaccino, debbano essere scelti ambienti “con caratteristiche tali da evitare per quanto possibile di conoscere, da parte di colleghi o di terzi, l’identità dei dipendenti che hanno scelto di aderire alla campagna vaccinale”, nonché “adottate misure volte garantire la riservatezza e la dignità del lavoratore, anche nella fase immediatamente successiva alla vaccinazione”.

 

A tal proposito merita ricordare che una strada meno incerta, anche al fine di tutelare la privacy dei lavoratori e delle lavoratrici per tutta la gestione della somministrazione dei vaccini, sembra rintracciarsi nella possibilità di rivolgersi, mediante la stipula di convenzioni anche tramite le associazioni di categoria, a strutture sanitarie private o pubbliche (territoriali dell’INAIL) comunicando il numero complessivo di lavoratrici e lavoratori che hanno manifestato l’intenzione di ricevere il vaccino, come previsto dal Protocollo condiviso del 6 aprile 2021. In tal senso è infatti necessario sottolineare che la possibilità di somministrare i vaccini nei luoghi di lavoro rimane pur sempre una iniziativa di  sanità  pubblica con il solo obiettivo di concorrere al più celere raggiungimento di vaccinare tutta la popolazione nel minor tempo possibile (secondo principi di efficienza, efficacia e sicurezza), con la conseguenza che la  responsabilità  generale  e  la  supervisione  dell’intero  processo  rimane  in  capo al Servizio Sanitario regionale per il tramite dell’Azienda sanitaria di riferimento, la quale non può prescindere dalla collaborazione con le imprese del territorio.

 

Giada Benincasa

Assegnista presso il Dipartimento di Economia Marco Biagi

Università degli Studi di Modena e Reggio Emilia

@BenincasaGiada

 

Diletta Porcheddu

Scuola di dottorato in Apprendimento e innovazione nei contesti sociali e di lavoro

ADAPT, Università degli Studi di Siena

@DPorcheddu

 

 

Vaccinazione nei luoghi di lavoro: qualche chiarimento in materia di privacy e trattamento dei dati personali