FAQ del Garante Privacy in materia di trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo

In data 17 febbraio 2021, l’Autorità garante per la protezione dei dati personali (l’”Autorità” o il “Garante Privacy”) ha pubblicato sul proprio sito internet le FAQ inerenti il trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo (le “FAQ”), disponibili in lingua italiana e inglese.

Attraverso la pubblicazione delle FAQ, il Garante Privacy ha voluto rispondere ad alcune domande frequenti in merito al trattamento di dati personali relativi alla salute, con specifico riferimento ai dati relativi alla vaccinazione anti Covid-19, svolto in ambito lavorativo al fine, in particolare, di:

• fornire indicazioni utili ad imprese, enti e amministrazioni pubbliche affinché le stesse possano applicare correttamente la disciplina sulla protezione dei dati personali nel contesto emergenziale, anche al fine di prevenire possibili trattamenti illeciti di dati personali e di evitare inutili costi di gestione o possibili effetti discriminatori;
• fare chiarezza in merito alle misure che possono e non possono essere adottate dai datori di lavoro.

In particolare, il Garante Privacy precisa che il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico competente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali.

Infatti, sia la disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro sia le disposizioni sull’emergenza sanitaria non riconoscono tale facoltà in capo al datore di lavoro.

Ne deriva, pertanto, che il consenso del dipendente non può costituire, in questi casi, una condizione di liceità del trattamento dei dati ai sensi dell’articolo 6, comma 1, lett. a) del Regolamento UE 2016/679 (“GDPR”), in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo.

Sul punto, il Garante Privacy richiama quanto previsto dal Considerando 43 del GDPR il quale prevede che “(p)er assicurare la libertà di prestare il consenso, è opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l'interessato e il titolare del trattamento, specie quando il titolare del trattamento è un'autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente prestato se non è possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l'esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

Inoltre, il datore di lavoro non può acquisire tali informazioni neanche tramite il medico competente.

Nelle FAQ viene, infatti, previsto che “il medico competente non può comunicare al datore di lavoro i nominativi dei dipendenti vaccinati. Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (ai sensi degli articoli 25, 39, comma 5, e 41, comma 4, del D.Lgs. 81/2008)” (“Testo Unico in materia di tutela della salute e della sicurezza nei luoghi di lavoro”).

In base al quadro normativo vigente, il datore di lavoro può, invece, acquisire i soli giudizi di idoneità alla mansione specifica redatti dal medico competente e le eventuali prescrizioni e/o limitazioni in essi riportati (ad esempio, ai sensi dell’articolo 18 comma 1, lett. c), g) e bb) del D.Lgs. 81/2008).

Infine, nelle stesse FAQ, viene fatta chiarezza in merito alla facoltà per i datori di lavoro di richiedere la vaccinazione anti Covid-19 quale condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni (ad esempio, in ambito sanitario).

In merito a questo ultimo tema, in attesa di un intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 quale requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, il Garante Privacy precisa infatti che:

• “allo stato, nei casi di esposizione diretta ad "agenti biologici" durante il lavoro, come nel contesto sanitario che comporti livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (ai sensi dell’articolo 279 nell’ambito del Titolo X del D.Lgs. 81/2008)”;
• “in tale quadro, solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica”;
• “il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (ai sensi degli articoli 41, 42 e 279 del D.Lgs. 81/2008)”.