In alcune delle misure urgenti per fronteggiare l’emergenza Covid-19, introdotte con decreto-legge 1/2022, il Governo sembra aver fatto i conti senza l’oste.
Super green pass sul lavoro dal 15 febbraio
In particolare, nel disporre che dal 15 febbraio:
- a) i lavoratori pubblici e privati soggetti all’obbligo vaccinale (tutti gli over 50, forze dell’ordine, sanitari, insegnanti) devono possedere e sono tenuti a esibire una delle certificazioni verdi Covid-19 di vaccinazione o di guarigione;
- b) i datori di lavoro pubblici e privati, i responsabili della sicurezza delle strutture in cui si svolge l’attività giudiziaria e i responsabili delle università, delle istituzioni di alta formazione artistica, musicale e coreutica e degli istituti tecnici superiori sono tenuti a verificare il rispetto dell’obbligo vaccinale per gli over 50 che svolgono la propria attività lavorativa nei rispettivi luoghi di lavoro.
Il problema privacy nell’obbligo super green pass
L’oste dimenticato è l’attuale normativa a protezione dei dati personali, che non lo permetteva.
Dov’è la differenza rispetto alle norme in vigore da mesi, coi datori di lavoro tenuti a verificare il green pass dei lavoratori, e a non fare entrare e non remunerare finché assenti i lavoratori che non lo producono?
Semplicemente, finora il datore di lavoro ha ricevuto un’informazione neutra, giacché il green pass era ottenibile, sia pure con costi economici a carico del lavoratore, anche mediante tamponi dall’esito negativo. Per il datore di lavoro, sapere che un lavoratore aveva il green pass non significava avere la certezza che fosse vaccinato; per converso, sapere che non lo aveva non significava senz’altro sapere che non era vaccinato né guarito. Sia pure con difficoltà applicative, si era riusciti a salvaguardare un duplice principio: non deve essere il datore di lavoro (bensì il medico competente) a sapere qual è la situazione personale (es. positività) rispetto al Covid-19; il punto di equilibrio fra sicurezza e salute sul lavoro e scelte individuali è il possesso di un green pass valido. Chi, per timore degli effetti immediati o futuri del vaccino, per sfiducia nell’affidabilità della sua sperimentazione o anche per ideologia non si vaccinava, ma era disposto a fare ripetuti tamponi e risultava negativo, non doveva rendere nota questa sua scelta al datore di lavoro.
Adesso, non sarà più così. Il super green pass viene riconosciuto esclusivamente a coloro che sono guariti dal Covid-19 e a coloro che si sono vaccinati. La verifica da parte del datore di lavoro porta alla conseguenza che ora il datore di lavoro sa che chi non ha il green pass valido appartiene a una di queste due categorie. Se chi non ha il super green pass aveva già un rapporto di lavoro subordinato con quel datore di lavoro in epoca Covid-19 e non è stato assente per malattia dal marzo 2020 in poi, non può certo essere guarito dal Covid-19: dunque, è sicuramente un lavoratore che è contrario a vaccinarsi.
I paletti del Gdpr
Dire che il non volersi sottoporre a vaccinazione per la prevenzione del Covid-19 è un dato particolare ai sensi dell’art. 9 del GDPR (o meglio – nel linguaggio italiano – dato sensibile) è generico, poco influente ai fini dell’individuazione delle norme da applicare. Il punto vero è capire che tipo di dato sensibile. All’inizio del 2022, dopo la fortissima pressione legislativa e mediatica per la vaccinazione, il non essere vaccinati non è indicativo di uno stato di salute: è un dato idoneo a rivelare opinioni, convinzioni. Le motivazioni e gli argomenti di questa posizione possono essere più o meno razionali, più o meno condizionate da informazioni false, ma di tutta evidenza non appartengono più soltanto al campo delle scelte individuali rispetto ai trattamenti sanitari: hanno una valenza politica e filosofica, dove le opinioni e le convinzioni non possono più essere classificate con gli schemi culturali e ideologici del Novecento. Dobbiamo chiederci con onestà intellettuale su cosa possa determinarsi oggi quel rischio di discriminazione (per esempio, nel rapporto di lavoro) sulla base delle scelte personali che è il senso stesso della protezione dei dati sensibili. Oggi, nel contesto che viviamo e sotto la pressione che conosciamo, corre più il rischio di essere giudicato male chi non vuole vaccinarsi, o chi è di idee marxiste, antimilitariste, animaliste, nichiliste, ecc.?
Cosa prevede il GDPR? Quando e come un datore di lavoro può trattare dati sensibili su opinioni politiche o convinzioni personali dei lavoratori? La risposta è in una catena di norme. L’art. 9.2, lettera b) del GDPR dice che il trattamento di questi dati non è vietato se è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, purché in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato. L’art. 9.2, lettera g) aggiunge che il trattamento di questi dati non è vietato se necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Dunque, il GDPR non esclude che un datore di lavoro possa trattare dati sensibili dei dipendenti se ci sono ragioni legate al diritto del lavoro o motivi di interesse pubblico rilevante che lo giustificano. Tuttavia, in entrambi i casi, occorrono garanzie appropriate, e queste garanzie devono essere definite dalla normativa nazionale (legge o provvedimenti generali dell’Autorità).
Il trattamento di dati sensibili in Italia
In Italia, il codice in materia di protezione dei dati personali del 2018 ha individuato all’art. 2-sexies una lunga serie di motivi di interesse pubblico rilevante che giustificano il trattamento di dati sensibili. Fra questi, l’igiene e sicurezza del lavoro e la sicurezza o salute della popolazione. Oltre all’esistenza di norme (come il decreto anti- Covid-19) che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, occorre che ve ne siano altre che definiscono misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Agli articoli 2-quater e 2-septies, il codice in materia di protezione dei dati personali prevede che le garanzie appropriate per i dati sensibili debbano venire per tutti i dati sensibili da regole deontologiche promosse dal Garante; inoltre, per i dati genetici, biometrici e relativi alla salute, da misure di garanzia definite dal Garante.
Dunque, in Italia, non è affatto escluso che il Governo, di fronte a motivi di interesse pubblico rilevante, possa varare norme d’urgenza che impongono una raccolta di dati sensibili dei lavoratori da parte dei datori di lavoro. Tuttavia, questo può e deve avvenire in un preciso sistema di pesi e contrappesi, dove i contrappesi dovrebbero essere definiti dalle regole deontologiche promosse dal Garante.
Le regole deontologiche del garante
Fra le regole deontologiche affidate all’iniziativa del Garante (ma non ancora esistenti), l’art. 111 del codice in materia di protezione dei dati personali ne prevede di specifiche per trattamenti nell’ambito del rapporto di lavoro per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. Il problema è che queste regole deontologiche sul trattamento dei dati personali nel rapporto di lavoro non ci sono, perché il Garante –costretto da due anni a un impegno straordinario anche per impedire che i continui decreti d’urgenza dei Governi entrino in conflitto con le norme privacy – non le ha ancora predisposte.
Alla data odierna (gennaio 2022), un datore di lavoro dovrebbe trattare dati su opinioni politiche e convinzioni personali dei lavoratori nel rispetto del regime transitorio definito dal provvedimento del Garante del 5 giugno 2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, provvedimento che produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche.
In base a questo provvedimento tuttora in vigore, il datore di lavoro può trattare dati che rivelano le convinzioni filosofiche del lavoratore esclusivamente in caso di fruizione di permessi in occasione di festività religiose o per le modalità di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l’esercizio dell’obiezione di coscienza; può trattare dati che rivelano le opinioni politiche del lavoratore, esclusivamente ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali nonché per consentire l’esercizio dei diritti sindacali.
I rischi di discriminazione
Il meccanismo del decreto-legge 1/2022 viola il combinato disposto fra codice in materia di protezione dei dati personali e prescrizioni del Garante relative al trattamento di categorie particolari di dati.
Poiché il trattamento avrà inizio il 15 febbraio, è possibile che il Garante effettui un’integrazione del provvedimento citato, includendovi questa casistica e legittimandola sul piano formale. Se questo accadrà, però, non saremo di fronte a un intervento meditato, ma all’ennesimo esercizio di paziente collaborazione del Garante nei confronti di un Governo che omette di consultarlo sui temi di sua competenza.
La verità è nell’equilibrio normativo fra il GDPR e il codice in materia di protezione dei dati personali, il datore di lavoro non andrebbe posto in condizione di sapere che un suo dipendente non vuole vaccinarsi. Nell’attuale clima, dove la minoranza che non si vaccina è ritenuta a torto o a ragione dal Governo, dai media e dalla maggioranza che si vaccina portatrice di danni collettivi, il fatto che il datore di lavoro conosca questa scelta del lavoratore (anzi, ne abbia un’evidenza oggettiva e documentale) può generare una discriminazione, magari non immediata, magari non evidente, ma difficilmente contrastabile.
Conclusioni
Il tema non è l’obbligo vaccinale, ma la reiterazione di un meccanismo dove la verifica di rispetto dell’obbligo vaccinale è sostanzialmente scaricata sui datori di lavoro. La vera sanzione per il mancato rispetto dell’obbligo è surrettizia: i lavoratori over 50 non vaccinati sono considerati assenti ingiustificati, senza conseguenze disciplinari e con conservazione del rapporto di lavoro, fino alla presentazione delle certificazioni; per i giorni di assenza ingiustificata, non percepiscono la retribuzione né altro compenso.
Sono innegabili sia l’emergenza di salute pubblica sia la necessità vitale di adeguate condizioni di sicurezza nell’erogazione delle prestazioni di cura e assistenza. Però, uno Stato che per ottenere questi risultati coinvolge i datori di lavoro deputandoli a una verifica che tocca convinzioni personali e opinioni politiche dei lavoratori, implicitamente dichiara di non avere strumenti per controllare il rispetto delle nuove norme. Col risultato di innescare dinamiche dove la minoranza, per quanto discutibile nelle sue posizioni, diventa un capro espiatorio. Non è solo una questione formale di congruenza fra norme; è questione di democrazia. Sarebbe stato meglio se il Governo avesse scelto altri modi per verificare il rispetto dell’obbligo vaccinale.
