Le vaccinazioni in azienda, il certificato vaccinale, il diritto alla privacy e la salute pubblica sono i protagonisti indiscussi di queste ultime settimane: si sta scrivendo, causa pandemia, una importante pagina della storia italiana sul trattamento di dati sensibili.
Come è noto, al fine di raggiungere il triplice obiettivo di una più celere diffusione della campagna vaccinale a sostegno della salute pubblica, una diffusa ripresa delle attività economiche nonché l’accrescimento dei livelli di sicurezza nei luoghi di lavoro, il piano strategico nazionale dei vaccini, adottato dal governo per contrastare il virus del Covid-19, ha previsto anche la possibilità che la loro somministrazione potrà avvenire anche con il coinvolgimento delle aziende.
Cosa comporta, per il datore di lavoro, in termini di trattamento dei dati personali e diritto alla privacy dei dipendenti, la somministrazione dei vaccini anti covid19 in azienda?
Nell’attesa che inizino i piani vaccinali sui luoghi di lavoro il Garante per la Privacy ha già chiaramente delineato quali sole regole sulla gestione delle relative informazioni per tutelare la dignità e la libertà di tutti i lavoratori, precisando che il datore di lavoro “non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia del certificato vaccinale. Ciò non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro”. Inoltre il datore di lavoro non può acquisire i nominativi del personale vaccinato o la copia delle certificazioni vaccinali, neanche con il consenso del dipendente.
Tale consenso, infatti, non può costituire, in questi casi, una condizione di liceità del trattamento dei dati, in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo, così come previsto dal GDPR che testualmente recita “Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione (Considerando 43)”.
Il ruolo del medico competente qual è? E come deve essere la sua relazione con il datore di lavoro?
Il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo, può trattare i dati sanitari dei lavoratori solo nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008) e non può, quindi, comunicare al datore di lavoro i nominativi dei dipendenti vaccinati.
