Vaccini, diritti e doveri privacy del datore di lavoro: cosa c’è da sapere - Agenda Digitale

trattamento dati sanitari

Vaccini, diritti e doveri privacy del datore di lavoro: cosa c’è da sapere

Col dibattito sui vaccini anti-covid sempre in primo piano e la ventilata possibilità di un “passaporto” vaccinale, chiariamo i limiti in capo al datore di lavoro in tema di trattamento dei dati personali, alla luce del GDPR e della normativa in vigore, nonché dei rapporti con il lavoratore e il medico competente

09 Mar 2021

L’obbligatorietà o meno del vaccino in epoca di pandemia è uno dei temi fondamentali di cui si discute da alcuni mesi a questa parte. In particolare, si torna ciclicamente a parlare di obbligatorietà in ambito lavorativo e, novità degli ultimi giorni, del passaporto vaccinale.

In questa ottica la questione del trattamento dei dati personali dei lavoratori assume una grande rilevanza anche in virtù della tipologia delle informazioni scambiate (sanitarie e biometriche su tutte) e della mole dei dati che vengono processati.

Ma procediamo per gradi e analizziamo i diritti e i doveri del datore di lavoro, in ambito di trattamento dei dati personali, alla luce del GDPR e della normativa, emergenziale e no, in vigore nel nostro ordinamento, nonché dei rapporti con il lavoratore ed il medico competente.

La rilevazione della temperatura corporea

Da febbraio 2020 ad oggi il legislatore nazionale è più volte intervenuto normativamente, sempre nell’ottica di individuare misure adeguate per il contenimento e la gestione della emergenza epidemiologica, stabilendo sostanzialmente che il datore di lavoro è tenuto ad osservare tutte le misure di contenimento e gestione dell’emergenza previste dal Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020[1].

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence

Questo documento, che ha fatto da apripista ad altri Protocolli regionali che hanno “calibrato” sulle realtà locali le misure indicate nel Protocollo nazionale, prevede, tra le altre, la misura della rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali; e tale precauzione trova applicazione anche nei confronti degli utenti, dei visitatori, dei clienti e dei fornitori quando, per questi ultimi, non sia stata approntata una modalità di accesso separata. Analoghi protocolli di sicurezza sono stati stipulati dal Ministero per la pubblica amministrazione con i sindacati maggiormente rappresentativi, relativamente al comparto pubblico ed in particolare alle attività pubbliche non differibili e ai servizi pubblici essenziali.

La rilevazione della temperatura corporea, se associata alla identità dell’interessato, costituisce sicuramente un trattamento di dati personali ai sensi dell’art. 4 paragrafi 1 e 2 del GDPR, ed è per questo che il Protocollo non ammette la registrazione del dato relativo alla temperatura corporea rilevata ma, in applicazione del principio di minimizzazione di cui all’art 5 del GDPR, consente la registrazione della sola eventualità del superamento della soglia stabilita dalla legge (37,5 gradi) e quando sia strettamente necessario documentare le ragioni che hanno determinato l’impedimento all’accesso sul luogo di lavoro da parte di un lavoratore.

Il medico competente

Va sgombrato immediatamente il campo da qualsiasi equivoco specificando che mai il datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione, né può richiedere loro documenti che comprovino l’effettuazione della vaccinazione. Ancorché in regime emergenziale nessuna norma in merito è ancora stata emanata dal legislatore nazionale neppure in deroga alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro che, lo ricordiamo, tutela la riservatezza del lavoratore in ambito sanitario. Né è possibile aggirare l’ostacolo da parte del datore di lavoro attraverso l’acquisizione di un consenso da parte dei dipendenti non potendo, tale consenso, costituire la base giuridica idonea al trattamento dei dati particolari in virtù di un evidente squilibrio nel rapporto tra Titolare del trattamento/datore di lavoro e interessato/dipendente (cfr. Considerando n. 43 del GDPR).

Ma il datore di lavoro non può neanche chiedere al medico competente di conoscere il nominativo dei dipendenti vaccinati in quanto solo e soltanto quest’ultimo può trattare i dati sanitari dei lavoratori e tra questi, eventualmente, quelli relativi alle informazioni sulle vaccinazioni in ambito di sorveglianza sanitaria e di verifica dell’idoneità alla mansione specifica di cui agli articoli 25, 39 comma 5 e 41 del D.lgs. 81/2008.

Il solo dato che il datore di lavoro può legittimamente e lecitamente acquisire, è quello relativo al giudizio di idoneità alla mansione specifica del lavoratore e le eventuali prescrizioni e/o limitazioni contenute in tale giudizio.

Detto che, anche in epoca di emergenza pandemica, al medico competente è fatto divieto di informare il datore di lavoro in ordine alle specifiche patologie relative al lavoratore, è altresì vero che il medesimo medico ha la possibilità di adottare, come misura di contenimento dell’emergenza, quella che prevede la possibilità di sottoporre il lavoratore a visite straordinarie in considerazione della maggiore esposizione al rischio di contagio dello stesso; tutto ciò a condizione che vengano rispettati i principi di protezione dei dati personali e le misure igieniche contenute in tutte le indicazioni del Ministero della Salute.

All’interno di questo contesto emergenziale il medico competente ha l’obbligo di collaborare con il datore di lavoro e i Rappresentanti dei Lavoratori per la sicurezza (RLS) allo scopo di proporre tutte quelle misure di contenimento relative al Covid-19 che ritiene necessarie ed indispensabili.

Non solo, ma in ossequio ai compiti di sorveglianza sanitaria che gli competono, ha l’obbligo di segnalare al datore di lavoro situazioni di particolare fragilità e patologie attuali o pregresse del lavoratore. In buona sostanza il medico competente, sempre nel rispetto della norma in materia di sorveglianza sanitaria e protezione dei dati personali, deve segnalare al datore di lavoro tutti quei casi specifici che suggeriscono l’impiego del lavoratore in ambiti meno esposti dal rischio infezione. Non va invece comunicata al datore di lavoro la specifica patologia di cui è affetto il lavoratore.

Il datore di lavoro, sempre nel rispetto del principio di minimizzazione di cui all’art. 5 del GDPR, può trattare i dati del lavoratore solo se normativamente previsto, o disposto dagli Organi competenti oppure su segnalazione del medico competente.

Obbligo di vaccinazione per i lavoratori

Il legislatore nazionale non si è ancora espresso in ordine alla problematica dell’obbligatorietà del vaccino per i lavoratori.

Allo stato attuale, quindi, non esiste alcun obbligo in capo ai lavoratori di sottoporsi alla vaccinazione come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento delle relative mansioni.

Tuttavia nei casi di esposizione diretta ad agenti biologici durante lo svolgimento delle proprie mansioni lavorative, come in ambito sanitario dove si registrano livelli elevati di rischio sia per i lavoratori che per i pazienti, trovano applicazione le misure speciali di protezione previste per alcuni ambienti lavorativi dall’art. 279 del D.lgs. 81/08 per cui non solo i lavoratori addetti a tali attività sono sottoposti alla sorveglianza sanitaria, ma addirittura il datore di lavoro, su conforme parere del medico competente, adotta misure protettive particolari tra cui “la messa a disposizione di vaccini efficaci per quei lavoratori che non sono già immuni all’agente biologico presente nella lavorazione da somministrare a cura del medico competente”.

In questo particolare contesto solo il medico competente può trattare i dati personali relativi alla vaccinazione dei dipendenti ed eventualmente tenerne conto in sede di valutazione della idoneità alla mansione specifica.

È pur vero che il datore di lavoro può comunque richiedere ai propri dipendenti di effettuare test sierologici. Ciò quando la disposizione proviene dal medico competente e comunque rispetta tutte le indicazioni fornite dalle Autorità Sanitarie anche in ordine alla affidabilità del test.

Resta comunque fermo l’assunto per cui le informazioni relative alla diagnosi del lavoratore non possono essere trattate dal datore di lavoro il quale non potrà consultare referti o esiti di esami, tranne che nei casi espressamente previsti dalla legge.

Al contrario il datore di lavoro può trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro.

Il lavoratore ha comunque diritto di aderire liberamente ad eventuali campagne di screening avviate dalle Autorità Sanitarie competenti a livello locale e relative a test sierologici Covid-19 di cui siano venuti a conoscenza anche grazie alle informazioni rese dal datore di lavoro il quale può offrire ai propri dipendenti, eventualmente sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private, senza tuttavia poter conoscere l’esito dell’esame.

Identità del dipendente affetto da covid-19

L’identità del dipendente affetto da Covid-19 non può essere resa nota agli altri lavoratori da parte del datore di lavoro. La tutela della salute dei lavoratori, infatti, sulla base delle attuali normative emergenziali vigenti, spetta alle Autorità sanitarie competenti, le quali provvedono, se del caso, ad informare i contatti stretti dell’avvenuto contagio in modo che possano attuarsi in tempi rapidi le necessarie misure di profilassi. È a tali Autorità che il datore di lavoro deve comunicare i nominativi del personale contagiato ma non anche al Rappresentante dei lavoratori per la sicurezza il quale, a ben guardare, non è interessato da compiti sanitari in senso stretto non necessitando, quindi, di conoscere alcun nominativo di lavoratore contagiato. In questo contesto emergenziale, tuttavia, il ruolo del RLS è fondamentale all’interno dell’ambiente lavorativo in quanto tale soggetto dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro per l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori, per l’aggiornamento del documento di valutazione dei rischi e per l’osservanza dei protocolli aziendali.

Trattamento dei dati personali del lavoratore affetto da covid-19

La regola generale in merito al trattamento di dati personali del lavoratore relativi a patologie che lo affliggono prevede che tale trattamento possa essere effettuato esclusivamente da professionisti sanitari, tra cui il medico competente e quello di base. Tuttavia, in alcuni casi, in considerazione dell’emergenza epidemiologica in corso, il datore di lavoro può lecitamente trattare tali dati quando, per esempio, viene a conoscenza della identità del dipendete affetto da Covid-19 o che presenta sintomi compatibili con il virus.

Accade, infatti, che a volte il datore di lavoro venga informato direttamente dal dipendente il quale, lo si ricorda, ha l’obbligo di segnalare al proprio datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Tali obblighi sono previsti dal Protocollo condiviso tra il Governo e Parti sociali, aggiornato il 24 aprile 2020, la cui osservanza è prescritta dalla normativa dell’emergenza. In particolare, il lavoratore deve informare il datore di lavoro ogni qual volta sussistano condizioni di pericolo, come i sintomi influenzali; e ciò anche quando tali sintomi si manifestino all’ingresso della sede di lavoro o durante la prestazione lavorativa.

In questa ottica il datore di lavoro può invitare i propri dipendenti a rendere tali comunicazioni agevolandone le modalità di inoltro attraverso la predisposizione, per esempio, di appositi canali a ciò dedicati.

Il datore di lavoro può venire a conoscenza dello stato di positività al Covid-19 accertato dalle Autorità Sanitarie anche a seguito dell’effettuazione di un tampone nell’ambito della collaborazione che è tenuto a prestare a tali autorità, anche con il coinvolgimento del medico competente; ciò al fine di ricostruire eventuali contatti stretti con altre persone nel contesto lavorativo. Allo stesso modo il datore di lavoro può conoscere anche lo stato di avvenuta negativizzazione del tampone ai fini della riammissione sul luogo di lavoro del lavoratore già risultato positivo al Covid-19.

In tutti questi casi il datore di lavoro può trattare i dati relativi ai sintomi o alla positività al Covid-19 del lavoratore per la finalità di salute e sicurezza dei luoghi di lavoro o per adempire agli obblighi di collaborazione con gli operatori di sanità pubblica.

Al di fuori dei casi normativamente previsti permane l’assoluto divieto in capo al datore di lavoro di trattare dati sulla salute del lavoratore e comunicarli a terzi soggetti.

In base alle norme in materia di sorveglianza sanitaria, che allo stato attuale non sono state derogate dalle norme emanate in virtù dell’emergenza epidemiologica, il datore di lavoro non può conoscere neppure l’esito degli esami diagnostici disposti dal medico competente, tra i quali anche i test sierologici, che non consentono di diagnosticare l’infezione.

È evidente che, quando all’esito del test sierologico venga disposta l’effettuazione di un tampone che attesti la positività al virus del lavoratore, il datore di lavoro potrà conoscere anche l’identità del dipendente oltre che le valutazioni del medico competente in ordine alla sua idoneità al servizio.

In conclusione, e riassumendo, il datore di lavoro può trattare i dati personali del dipendente affetto da Covid-19, o che ne presenta i sintomi, quando venga informato direttamente dal lavoratore, quando è necessario al fine di prestare la collaborazione all’autorità sanitaria, o ai fini della riammissione sul luogo di lavoro.

Passaporto vaccinale

Si sta molto parlando in questi ultimi giorni della necessità di introdurre un passaporto vaccinale. In un recentissimo tweet la Presidente della Commissione UE, Ursula Von Der Leyen, ha parlato di un Digital Green Pass che possa fornire la prova che la persona sia stata vaccinata, o che la persona non vaccinata sia comunque negativa, o che comunque fornisca informazioni su eventuale guarigione da Covid-19.

Sul tema il Garante della Privacy si è espresso affermando che i dati relativi allo stato vaccinale sono dati particolarmente delicati ed un loro trattamento non corretto potrebbe determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone che potrebbero subire discriminazioni, violazioni o compressioni illegittime di libertà costituzionali.

Proprio per tali ragioni, sempre secondo il Garante, servirà comunque una legge ad hoc che giustifichi il trattamento dei dati personali sanitari tramite il cosiddetto passaporto. E tale legge dovrà dimostrare le caratteristiche di necessità e proporzionalità di tali trattamenti.

____________________________________________________________________________________

  1. Protocollo aggiornato il 24 aprile 2020 e confermato dal DPCM del 3 dicembre 2020

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 2