A partire dallo scorso anno, in corrispondenza del dilagare del virus SARS-CoV-2/Covid-19 anche nel contesto lavorativo, le società si sono trovate a dover affrontare con particolare attenzione i delicati temi collegati alla tutela della salute dei lavoratori, questioni che comportano necessarie considerazioni – e l’adozione di adeguate misure legali e organizzative – in merito alla protezione dei dati personali dei dipendenti, inclusi quelli particolari (sensibili) relativi alla loro salute.
Nel protrarsi dell’emergenza sanitaria, i datori di lavoro si sono dovuti quindi confrontare, tra altri aspetti privacy, con il tema della misurazione della temperatura in ingresso in azienda e delle autocertificazioni relative alla provenienza e allo stato di salute, con la gestione dei dipendenti ammalatisi e della comunicazione interna delle infezioni a scopo di prevenzione dei contagi e, da ultimo, anche con la possibile gestione delle vaccinazioni anti Covid-19 dei dipendenti (la cui possibilità è stata prevista dal Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro del 6 aprile 2021).
La realizzazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro costituisce un’iniziativa di sanità pubblica e, pertanto, la responsabilità generale del processo resta in capo al Servizio sanitario regionale. Perché tale iniziativa venga attuata nel rispetto della normativa applicabile alla protezione dei dati personali occorre però che sia assicurato il riparto di competenze tra il datore di lavoro e il medico competente.
A tale scopo, in attesa di un definitivo assetto regolatorio, il Garante per la protezione dei dati personali (“Garante”) ha recentemente adottato:
• delle frequently asked questions (FAQ) (17 febbraio 2021);
• un documento di indirizzo denominato “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali” (allegato al Provvedimento 198 del 13 maggio 2021);
• un documento, rilasciato anch’esso il 13 maggio 2021, che approfondisce il ruolo del medico competente in materia di sicurezza sul luogo di lavoro.
Nel documento di indirizzo relativo alla vaccinazione nei luoghi di lavoro, il Garante ha precisato che tutte le principali attività di trattamento dati – dalla raccolta delle adesioni dei dipendenti, alla somministrazione dei vaccini, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione – devono essere effettuate dal medico competente (o da altro personale sanitario appositamente individuato) e non dal datore di lavoro. A questo ultimo, infatti, non è consentito raccogliere direttamente informazioni relative all’intenzione del lavoratore di aderire alla campagna vaccinale o alla avvenuta somministrazione del vaccino e ad altri dati relativi alle sue condizioni di salute.
Chiarito quanto sopra, un consulente privacy o un Data Protection Officer (DPO), nell’ambito dell’iniziativa in oggetto, potranno fornire il proprio supporto innanzitutto nell’individuazione delle attività che il datore di lavoro ed il medico competente, rispettivamente, possono – o non possono – e devono fare, alla luce delle richiamate indicazioni del Garante, al fine di evitare che vengano effettuate attività di trattamento in modo improprio o illegittimo. Di seguito si riporta, in chiave pratica e a fungere anche da breve vademecum, una ripartizione delle principali attività che impattano lato privacy (non tutte quelle possibili), in base ai due diversi ruoli.
SOCIETA’ (i.e. datore di lavoro):
• La società può promuovere l’iniziativa della vaccinazione presso i luoghi di lavoro fornendo alla generalità dei dipendenti le indicazioni utili relative alle complessive caratteristiche del servizio vaccinale usufruibile in azienda e sottoposto alla supervisione dell’azienda sanitaria di riferimento (ad esempio, rendendo disponibile, anche sulla rete intranet, documenti esplicativi). Tali attività di sensibilizzazione possono avvenire con il supporto del medico competente.
• La società non può raccogliere, direttamente dagli interessati, tramite il medico compente (o altri professionisti sanitari o strutture sanitarie) informazioni in merito a tutti gli aspetti relativi alla vaccinazione, ivi compresa l’intenzione o meno del dipendente di aderire alla campagna, alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle condizioni di salute del dipendente.
• La società non può chiedere al medico competente di comunicare i nominativi dei dipendenti vaccinati.
• La società non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti (esiste una squilibro tra le parti che non renderebbe libero il consenso prestato dal dipendente).
• La società non può far derivare alcuna conseguenza, né positiva né negativa, in ragione della libera scelta del dipendente in ordine all’adesione o meno alla campagna vaccinale.
• La società può acquisire i giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati.
• La società, all’atto della presentazione del piano vaccinale aziendale all’ASL territorialmente competente, deve limitarsi, sulla base delle indicazioni fornite dal Medico competente, a indicare esclusivamente il numero complessivo dei vaccini necessari per la realizzazione dell’iniziativa.
• La società, se al fine di raccogliere le informazioni in merito all’adesione dei dipendenti al servizio vaccinale presso l’azienda mette a disposizione propri strumenti (ad es. applicativi informatici), deve adottare le misure tecniche e organizzative adeguate, garantendo, ad esempio, che i dati personali relativi alle adesioni e all’anamnesi dei dipendenti non entrino, neanche accidentalmente, nella disponibilità del proprio personale. In tali casi il rapporto tra la società e il medico competente deve essere regolamentato, limitatamente a tali profili, ai sensi dell’art. 28 del GDPR (società nominata responsabile dal medico competente), prevedendo specifiche misure organizzative volte a escludere l’accesso ai dati da parte del personale della società preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro.
• La società può fornire il proprio supporto mettendo a disposizione strumenti informatici per consentire, al personale sanitario addetto alle vaccinazioni, di accedere, con le proprie credenziali, ai sistemi informativi predisposti per la registrazione delle somministrazioni dei vaccini.
• Nei casi in cui il la società ricorra a strutture sanitarie private, deve adottare iniziative per consentire ai dipendenti, qualora intendano aderire all’iniziativa, di rivolgersi direttamente alle predette strutture.
• La società deve verificare che, quando la vaccinazione viene eseguita durante il servizio, il tempo necessario alla medesima sia equiparato a tutti gli effetti all’orario di lavoro. Per giustificare l’assenza, ove richiesto, si seguiranno le modalità ordinarie previste dai CCNL, quindi attestazione di prestazione sanitaria indicata in termini generici. La società non deve richiedere al dipendente conferma dell’avvenuta vaccinazione né chiedere esibizione del certificato vaccinale.
MEDICO COMPETENTE:
• Il medico competente può trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica.
• Il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e la Società, può emettere giudizi di idoneità parziale e/o inidoneità temporanee per i lavoratori non vaccinati (salvo che il rischio non possa essere ridotto con misure di protezione e/o organizzative alternative e di eguale efficacia).
• Il medico competente deve trattare i dati in modo autonomo, nel rispetto della disciplina di protezione dei dati e dei principi che regolano l’attività diagnostica, delle regole di deontologia professionale, con particolare riguardo al segreto.
• Il medico competente deve collaborare con la società e con il servizio di prevenzione e protezione, anzitutto, nella valutazione dei rischi, nell’individuazione, attuazione e perfezionamento delle misure e nell’osservanza dei protocolli anti contagio, nell’informazione e formazione dei lavoratori sul rischio di contagio da SARS-CoV-2, nell’esame dei rischi riguardanti gruppi di lavoratori maggiormente esposti al contagio o in particolari situazioni di “fragilità” legata a fattori quali l’età anagrafica o a situazioni di pregressa morbilità.
• Il medico competente può comunicare alla società risultati anonimi collettivi della sorveglianza sanitaria.
• Il medico competente può valutare preliminarmente specifiche condizioni di salute, nel rispetto della privacy, che indirizzino la vaccinazione in contesti sanitari specifici della Azienda Sanitaria di riferimento, che ne assicura la necessaria presa in carico.
• Il medico competente (o la struttura sanitaria di riferimento), una volta che siano state raccolte le adesioni, può pianificare le sedute vaccinali, adottando, nel trattamento dei dati, delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 del GDPR), e può a tal fine avvalersi del supporto, anche economico, della società.
• I principali adempimenti del medico competente in materia di protezione dei dati personali sono i seguenti:
- istituzione del registro delle attività di trattamento, distinto da quello della società (art. 30 GDPR);
- predisposizione di un’informativa privacy (artt. 13 e 14 GDPR);
- adozione di misure di sicurezza adeguate (artt. 32 e 34 GDPR);
- nomina di un DPO
- non è tenuto il medico competente che operi in regime di libera professione a titolo individuale (artt. 37-39 GDPR).
a cura di Pietro Boccaccini - Manager Fieldfisher