Con la campagna vaccinale anti Covid-19 che inizia a progredire e l’età media dei vaccinati si abbassa coinvolgendo anche i settori produttivi del Paese, il Garante Privacy è intervenuto per chiarire alcuni aspetti legati alla vaccinazione ed il diritto alla privacy nel contesto lavorativo, fornendo le indicazioni utili ai titolari del trattamento per un’adeguata applicazione della disciplina e per prevenire illeciti trattamenti ed effetti discriminatori.
Per questo motivo il Garante della Protezione dei Dati Personali è intervenuto per chiarire alcuni aspetti legati anzitutto alla possibilità da parte del datore di lavoro di raccogliere informazioni in relazione alla vaccinazione dei propri dipendenti, all’obbligo vaccinale per l’accesso ai locali aziendali e ai pass vaccinali per il ritorno alla libera circolazione dei cittadini, imprenditori e dipendenti.
Ecco le risposte del Garante.
- La vaccinazione anti Covid-19 dei dipendenti può essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni?
In attesa dell’intervento del legislatore che “valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni” trovano applicazioni le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 D.lgs. 81/2008)”.
In questo quadro, “solo il medico competente”, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo, nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.
Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (artt. 279, 41 e 42 del D.lgs. n.81/2008).
Questa impostazione del Garante privacy assume un peso rilevante nel dibattito sulla possibilità del datore di lavoro di imporre il vaccino al lavoratore dipendente.
Come è noto, infatti, si registrano alcune posizioni secondo le quali il datore di lavoro può imporre il vaccino sulla base della norma che lo impegna a proteggere il lavoratore con tutte le misure di sicurezza che la tecnologia gli mette a disposizione (art. 2087 c.c.)
Ne deriva che il datore di lavoro avrebbe l’obbligo di vaccinare i propri dipendenti e richiedere quindi la vaccinazione degli stessi in conformità con il programma di vaccinazione nazionale.
Altri giuristi invece limitano la richiesta obbligatoria di vaccinazione da parte del datore di lavoro ai soli operatori sanitari o ad altre categorie particolarmente esposte al rischio.
Infine vi sono alcuni giuristi che ritengono che attualmente non vi sarebbero gli estremi per l’applicazione dell’art. 2087 c.c., perché mancherebbero quei dati di acquisita esperienza e tecnica che potrebbero imporre al datore di lavoro l’adozione di tale misura, quindi sostengono che il datore di lavoro non può affatto imporre l’obbligo di vaccinarsi al lavoratore.
Si aggiunge adesso anche l’importante parere del Garante per la privacy secondo cui, come detto, il datore di lavoro non può chiedere né al dipendente se si sia vaccinato né al medico competente i nominativi dei lavoratori vaccinati.
È ragionevole ritenere che il medico competente verrà ad assumere una posizione significativa.
Dunque, quando nella valutazione dei rischi svolta dal datore di lavoro ai sensi della normativa in materia di tutela alla salute e sicurezza sul lavoro, il Covid-19 sia considerato un rischio specifico per la salute dei lavoratori (es. professioni sanitarie), il datore di lavoro dovrebbe adottare misure protettive particolari, fra le quali “la messa a disposizione di vaccini efficaci per quei lavoratori che non sono già immuni all’agente biologico presente nella lavorazione”.
In tal caso, a fronte del lavoratore che non intenda vaccinarsi, lo stesso potrebbe essere sottoposto al giudizio di idoneità da parte del medico competente: in caso di inidoneità alla mansione specifica, il datore di lavoro – ai sensi dell’art. 42 d.lgs. 81/2008 – attuerebbe le indicazioni del medico competente, adibendo il lavoratore ove possibile ad altra mansione compatibile con il suo stato di salute.
Il problema sorgerebbe ove ciò non fosse possibile. In questo caso resterebbe la possibilità della sospensione del lavoratore dalla prestazione o del recesso datoriale.
È certo che un intervento legislativo in materia sarebbe innegabilmente auspicabile.
- Il datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione?
NO. Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19.
La richiesta di queste informazioni non è consentita dalle disposizioni sull’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro.
E ciò neppure con il consenso del lavoratore. Non è infatti possibile considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo.
Dunque, salvo quanto previsto in caso di rischio specifico, il datore di lavoro non può richiedere certificati di vaccinazione, autodichiarazioni ed altre informazioni in merito allo stato di vaccinazione dei propri dipendenti.
- Il datore di lavoro può chiedere al medico competente i nominativi dei dipendenti vaccinati?
NO. Il medico competente non può comunicare al datore di lavoro i nominativi dei dipendenti vaccinati
Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).
Il datore di lavoro può invece acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati.
Da ultimo il Garante è intervenuto sulla questione dei passaporti vaccinali.
In tutta Europa infatti ci si interroga sulla natura dei passaporti vaccinali che potrebbero essere introdotti per facilitare e rendere più sicuri gli spostamenti.
Dal punto di vista della tutela di dati personali il Garante ha già avuto modo di intervenire dapprima attraverso la sollecitazione di una legge ad hoc che possa giustificare il trattamento dei dati personali sanitari tramite il passaporto e che possa garantire i cittadini dimostrando le caratteristiche di necessità e proporzionalità.
Resta poi aperta la questione sull’opportunità di adottare questa soluzione quando ancora la stragrande maggioranza della popolazione non ha ancora accesso al vaccino. Finché non tutti avranno a disposizione il vaccino lasciare solo ad alcuni la piena possibilità di spostamento potrebbe avere effetti discriminatori, senza considerare chi non potrebbe comunque vaccinarsi.
In secondo luogo, più di recente, il Garante è intervento a seguito dell’emanazione del “Decreto riaperture” constatando gravi criticità per i “pass vaccinali”.
Il Garante privacy ha inviato un avvertimento formale al Governo poiché la norma appena approvata presenta criticità tali da inficiare la validità e il funzionamento del sistema previsto per la riapertura degli spostamenti durante la pandemia, se non opportunamente modificata.
Il Garante reputa quindi necessario un intervento urgente a tutela dei diritti e delle libertà delle persone.
Osserva innanzitutto che il cosiddetto “Decreto Riaperture” non garantisce una base normativa idonea per l’introduzione e l’utilizzo di passaporti vaccinali (c.d. “certificazioni verdi”) su scala nazionale, ed è gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.
Il decreto non definisce con precisione le finalità del trattamento dei dati sulla salute degli italiani, lasciando spazio a molteplici e imprevedibili utilizzi futuri, in potenziale disallineamento anche con analoghe iniziative europee. Non viene specificato chi sia il titolare del trattamento dei dati, in violazione del principio di trasparenza, rendendo così difficile, se non impossibile, l’esercizio dei diritti degli interessati: ad esempio, in caso di informazioni non corrette contenute nelle certificazioni verdi.
La norma prevede inoltre un utilizzo eccessivo di dati sui certificati da esibire in caso di controllo, in violazione del principio di minimizzazione.
Il sistema attualmente proposto, soprattutto nella fase transitoria, rischia, tra l’altro, di contenere dati inesatti o non aggiornati con gravi effetti sulla libertà di spostamento individuale.
Non sono infine previsti tempi di conservazione dei dati né misure adeguate per garantire la loro integrità e riservatezza.
Altro tema di primaria importanza è quello delle vaccinazioni in azienda.
Lo scorso 6 aprile tra Ministro del Lavoro e delle Politiche Sociali, Ministro della Salute e Parti Sociali è stato sottoscritto il “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro”
Il protocollo, a regime, prevede tre opzioni per i datori di lavoro:
1) potranno predisporre punti straordinari di vaccinazione anti SARS-CoV-2 (Covid-19) nei luoghi di lavoro per la somministrazione in favore delle lavoratrici e dei lavoratori che ne abbiano fatto volontariamente richiesta.
2) potranno stipulare una specifica convenzione con strutture esterne in possesso dei requisiti per la vaccinazione.
3) i datori di lavoro che non sono tenuti alla nomina del medico competente o che non possano fare ricorso a strutture sanitarie private, potranno avvalersi delle strutture sanitarie dell’INAIL presenti sul territorio.
Occorre precisare che il protocollo non è ancora pienamente operativo poiché non è ancora materialmente possibile dare attuazione al piano vaccinale aziendale, in quanto – al momento – l’unico piano vaccinale attivo è quello istituzionale definito a livello nazionale.
Solamente quando vi sarà un numero di vaccini disponibili in eccedenza rispetto a quelli necessari per la campagna vaccinale istituzionale sarà ipotizzabile attivare le campagne di vaccinazione aziendali.
Il tema della vaccinazione appare ormai centrale nel contrasto alla pandemia e, del resto, la piena ripresa delle attività produttive passa dalla campagna vaccinale come dimostrano anche i dati di Paesi più avanti del nostro in tema di vaccinazione, per questi motivi CNA conferma la disponibilità alla campagna di vaccinazione nei luoghi di lavoro in coerenza e nel rispetto degli orientamenti del piano vaccinale adottato dalle autorità che prevede al momento quale criterio prioritario l’età anagrafica.
CNA ha già evidenziato che per la vaccinazione nei luoghi di lavoro occorre la definizione di linee di indirizzo a livello nazionale sui requisiti minimi essenziali ed è necessario consentire tale opportunità a qualsiasi impresa interessata e in grado di attrezzarsi, senza alcun vincolo dimensionale.
Ufficio Privacy CNA Reggio Emilia
Telefono: 0522 356340 – 0522 356612
Indirizzo e-mail: gdpr@cnare.it