Lo scorso 13 maggio 2021, l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha adottato un documento di indirizzo sulla vaccinazione dei luoghi di lavoro (“Documento di Indirizzo”), finalizzato alla fornitura di indicazioni generali sul trattamento dei dati personali in tale contesto, in attesa di un definitivo assetto regolatorio. L’intervento del Garante Privacy si è reso necessario a seguito della sottoscrizione del “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro” il quale prevede la realizzazione dei piani vaccinali finalizzati all’attivazione di punti straordinari di vaccinazione anti Covid-19 nei luoghi di lavoro. Tale iniziativa, volta a perseguire la duplice esigenza di concorrere alla rapida attuazione della campagna vaccinale e, contemporaneamente, accrescere i livelli di sicurezza nelle realtà lavorative pubbliche e private, costituisce un’iniziativa di sanità pubblica, ragione per cui la responsabilità generale e la supervisione dell'intero processo rimangono in capo al Servizio sanitario regionale, dovendo altresì essere attuata nel rispetto della disciplina sulla protezione dei dati. Inoltre, anche per la vaccinazione sul luogo di lavoro dovrà essere assicurato il rispetto del tradizionale riparto di competenze tra il medico competente e il datore di lavoro, messo in evidenza nel documento sul ruolo del medico competente in materia di sicurezza sul luogo di lavoro, da oggi disponibile sul sito dell’Autorità, il quale individua proprio nella titolarità del trattamento dei dati, attribuita al medico competente dal quadro normativo di settore (quale il D. Lgs 81/2008), il principale elemento di garanzia per gli interessati sui luoghi di lavoro. Nel Documento di Indirizzo, il Garante Privacy precisa che le principali attività di trattamento dati - dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione- dovranno essere effettuate dal medico competente o da altro personale sanitario appositamente individuato, operando nell’ambito e nei limiti previsti dalla rispettiva disciplina applicabile, evitando la confusione dei ruoli e, di conseguenza, un’illecita circolazione di informazioni. Nel quadro delle norme a tutela della dignità e della libertà degli interessati sui luoghi di lavoro, infatti, non è consentito al datore di lavoro raccogliere direttamente dai dipendenti, dal medico competente, o da altri professionisti sanitari o strutture sanitarie, informazioni relative all’intenzione del lavoratore di aderire alla campagna o alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle sue condizioni di salute. Il Garante Privacy, nel Documento di Indirizzo, sottolineando, in ogni caso, la necessità di recepire con specifici atti normativi le disposizioni fino ad oggi adottate nel contesto in esame, così da poter integrare, dal punto di vista della protezione dei dati personali, la base giuridica del trattamento, fornisce tuttavia alcune utili indicazioni. Infatti, nonostante le attività di supporto – strumentale ed economico – di pianificazione e di promozione richieste al datore di lavoro (quali, ad esempio, rendendo disponibili informazioni utili e documenti esplicativi anche sulla intranet aziendale), resta salvo il divieto, per lo stesso, di trattare dati personali relativi a tutti gli aspetti connessi alla vaccinazione dei propri dipendenti. Inoltre, tenuto conto dello squilibrio del rapporto tra datore di lavoratore e dipendente, il consenso del lavoratore non può costituire, in questi casi, un valido presupposto per trattare i dati sulla vaccinazione così come non è consentito far derivare alcuna conseguenza, né positiva né negativa, dall’adesione o meno alla campagna vaccinale. Con riferimento alla raccolta delle informazioni relative alle adesioni, anche in questo caso, non è consentito al datore di lavoro venirne a conoscenza e, nell’ambito della presentazione del piano vaccinale predisposto dal professionista sanitario, non dovranno essere presenti elementi in grado di rivelare l’identità dei lavoratori aderenti all’iniziativa. In tale contesto, rimangono fermi gli obblighi di adozione, nell’ambito dei trattamenti di dati personali, delle misure di sicurezza tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (ai sensi dell’art. 32 del Regolamento UE 2016/679) sia da parte dei professionisti sanitari sia da parte del datore di lavoro, ad esempio, nel caso di utilizzo di applicativi informatici di titolarità dello stesso, evitando, inter alia, che le informazioni relative all’adesione al servizio vaccinale non entrino nella disponibilità del personale aziendale (quali, l’ufficio risorse umane).
