Following the provisions related to the activation of special vaccination hubs against Covid-19 in workplaces, contained in the updated version of “SHARED PROTOCOL FOR UPDATING THE MEASURES TO COMBAT AND CONTAIN SARS-COV-2/COVID-19 VIRUS SPREAD IN THE WORKPLACE“, dated April 6th, 2021, the Italian Data Protection Authority has adopted, as of May 13th, 2021 its “GUIDELINES CONCERNING VACCINATION IN THE WORKPLACE“, in order to provide general guidance with regard to personal data processing in this context.
IL FATTO:
Tema centrale nell’ambito del Documento di indirizzo è il riparto di competenze tra il medico competente e il datore di lavoro, che vede, in attesa di un definitivo assetto regolatorio, l’assoluta centralità del professionista rispetto all’azienda, in virtù del suo particolare ruolo di raccordo tra il sistema sanitario nazionale e lo specifico contesto lavorativo. L’Autorità precisa infatti che le principali attività di trattamento dati – dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione – possono essere effettuate unicamente dal medico competente o da altro personale sanitario appositamente individuato, con espresso divieto per il datore di lavoro di trattare dati personali relativi a tutti gli aspetti connessi alla vaccinazione dei propri dipendenti. Il medico competente agirà peraltro con il ruolo di autonomo titolare del trattamento, come specificato dal Garante nel documento “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, con tutte le conseguenze del caso, incluso l’obbligo di conformarsi alla vigente normativa in materia di privacy.
Fa espressamente eccezione rispetto al quadro sopra descritto il tema della vaccinazione del personale sanitario, nella misura in cui in tale particolare ambito essa costituisce requisito essenziale per l’esercizio della professione ai sensi dell’art. 4 del D.L. 44/2021.
Anche per quanto riguarda il profilo strettamente organizzativo, e dunque l’ambito delle fasi di raccolta delle adesioni (rigorosamente facoltative), prenotazione delle dosi e pianificazione delle vaccinazioni, l’unico soggetto autorizzato a raccogliere e trattare i dati dei dipendenti rimane il medico competente, che supporterà il datore di lavoro nell’elaborazione del piano di vaccinazione, evitando di indicare nello stesso elementi in grado di rivelare l’identità dei lavoratori aderenti.
Nel rispetto della riservatezza e della dignità dei lavoratori, gli ambienti selezionati dal datore di lavoro per la somministrazione del vaccino dovranno inoltre presentare caratteristiche tali da garantire nei limiti del possibile l’anonimato dei dipendenti che hanno scelto di aderire alla campagna vaccinale, e dovrebbero essere adottate apposite misure volte a prevenire l’ingiustificata circolazione di informazioni nel contesto lavorativo o comportamenti ispirati da mera curiosità.
Quanto alla base giuridica applicabile, l’Autorità indica che il trattamento dei dati relativi alle vaccinazioni è necessario per finalità di medicina preventiva e, allo stesso tempo, di medicina del lavoro, presupponendo valutazioni cliniche e comportando operazioni che, per propria natura, presuppongono necessariamente la competenza tecnica di personale sanitario dotato di specifica formazione.
PERCHÉ È IMPORTANTE:
Il Documento di indirizzo elaborato dall’Autorità mira a garantire che lo svolgimento della vaccinazione dei dipendenti sul luogo di lavoro venga attuato nel pieno rispetto della disciplina in materia di protezione dei dati e delle norme emanate nel contesto dell’emergenza epidemiologica in corso, trattandosi di un’attività che per sua natura può comportare specifici rischi per i diritti e le libertà delle persone fisiche.
Ruolo chiave per il successo della campagna di vaccinazione presso i luoghi di lavoro viene dunque assegnato al medico competente, in capo al quale ricadono rilevanti oneri, sia sotto un profilo organizzativo che di conformità alla normativa in materia di protezione dei dati personali.