Il trattamento dei dati personali riguardanti i vaccini anti Covid-19 nel contesto lavorativo è stato esaminato in alcune FAQ pubblicate dall’Autorità Garante per la Protezione dei dati personali.

In corsivo alcune considerazioni personali a margine delle risposte elaborate dall’Autorità Garante.

1. Il datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione?

NO. Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro.

Il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (considerando 43 del Regolamento).

Tuttavia il datore di lavoro potrebbe ritenere opportuno prevedere speciali misure di sicurezza all’interno della propria organizzazione capaci di garantire la massima protezione per collaboratori e ospiti.  Si pensi alle strutture sanitarie in cui gli operatori sono a contatto con ospiti fragili perché anziani e/o immunodepressi. In quest’ottica la vaccinazione potrebbe acquisire un rilievo cruciale ai fini della garanzia della massima protezione della salute all’interno del luogo di lavoro per chiunque vi acceda.  

2. Il datore di lavoro può chiedere al medico competente i nominativi dei dipendenti vaccinati?

NO. Il medico competente non può comunicare al datore di lavoro i nominativi dei dipendenti vaccinati. Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).

Il datore di lavoro può invece acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008).

L’avvenuta vaccinazione, come del resto altre informazioni personali che attengono alla salute del personale impiegato nell’organizzazione, è un dato che ben può essere raccolto dal medico competente.  

Il medico competente è la figura titolata a raccogliere, elaborare e conservare i dati sanitari dei dipendenti/collaboratori. Resta inteso che il medico competente è tenuto a mantenere il segreto professionale e a comunicare al datore di lavoro solo informazioni relative all’idoneità allo svolgimento di specifiche mansioni all’interno dell’organizzazione datoriale. Ciò non toglie che la vaccinazione anti covid-19 ben possa essere rilevante ai fini della valutazione di idoneità allo svolgimento di particolari mansioni nel contesto lavorativo. 

3. La vaccinazione anti covid-19 dei dipendenti può essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni (ad es. in ambito sanitario)?

Nell’attesa di un intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, allo stato, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008).

In tale quadro solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del d.lgs. n.81/2008).

Se è vero che attualmente la legge nulla prevede sull’obbligatorietà del vaccino anticovid-19 nei luoghi di lavoro in presenza di rischio biologico è anche vero che la scelta in merito alle misure di sicurezza da approntare spetta al datore di lavoro con l’ausilio del medico competente e delle altre figure competenti (Responsabile del Servizio di Prevenzione e Protezione).

E’ il datore di lavoro il responsabile della tutela della personalità fisica e morale delle persone impiegate nella propria organizzazione di impresa a garanzia della massima sicurezza

 

 

Facebook Ireland Ltd. e la sua controllante Facebook Inc. sono state sanzionate dall’Antitrust per complessivi 7 milioni di euro, per non aver interrotto pratiche commerciali scorrette, così come prescritto nel provvedimento emesso nei loro confronti nel novembre 2018.

Già nel 2018 l’Autorità aveva accertato che FB a in violazione degli artt. 21 e 22 del Codice del
Consumo, induceva ingannevolmente gli utenti consumatori a registrarsi sulla Piattaforma. FB ometteva di informare i consumatori da subito e in modo adeguato – in occasione dell’attivazione dell’account – dell’attività di raccolta, con intento commerciale, dei dati da forniti e delle finalità lucrative sottese al servizio, enfatizzandone viceversa la gratuità.

Secondo l’Antitrust le informazioni fornite da FB erano generiche, incomplete e non consentivano una adeguata distinzione tra l’utilizzo dei dati necessario per la personalizzazione del servizio e l’utilizzo dei dati per campagne pubblicitarie mirate.

Sulla scorta di tale evidenza l’Autorità aveva sanzionato FB per 5 milioni di euro, vietato la diffusione ulteriore di tale pratica ingannevole e ordinato la pubblicazione di una dichiarazione di rettifica sulla homepage del sito internet aziendale per l’Italia, sull’app Facebook e sulla pagina personale di ciascun utente italiano registrato.

Contrariamente a quanto disposto le due società non hanno pubblicato alcuna dichiarazione, non hanno cessato tale pratica scorretta limitandosi a eliminare l’avviso di gratuità pubblicizzato in occasione della registrazione dell’Utente alla piattaforma.

Secondo l’Autorità, le società non forniscono un’immediata e chiara informazione sulla raccolta e sull’utilizzo a fini commerciali dei dati degli utenti.

Tale pratica commerciale è scorretta e censurabile: si tratta di informazioni di cui il consumatore necessita per decidere se aderire al servizio, poiché i dati ceduti dall’utente a FB costituiscono il corrispettivo stesso per l’utilizzo del servizio.

Nella Delibera Autorità Garante per la Protezione dei dati personali 10 dicembre 2020 l’Ufficio del Garante precisa che, limitatamente al periodo gennaio-giugno 2021, l’attività ispettiva – anche per mezzo della Guardia di finanza – sarà indirizzata

a) ad accertamenti in riferimento a profili di interesse generale nell’ambito di:

trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;

trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);

trattamenti di dati personali effettuati da “data broker”;

trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;

data breach.

b) a controlli nei confronti di titolari del trattamento di dati personali, pubblici e privati, appartenenti a categorie omogenee in relazione alla verifica dei presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia fondato su tale base giuridica, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati

La Corte di Giustizia Europea giudica non conforme al GDPR il Privacy Shield. Nella sentenza “Schrems II” la Corte ritiene che i dati personali trasferiti negli USA non siano adeguatamente protetti (https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091it.pdf)

Il Privacy Shield nella decisione  2016/1250 della Commissione Europea
La pronuncia della Corte  di Giustizia Europea mette in crisi
l’accordo scudo USA-UE (cd. Privacy Shield). Prima dell’entrata in vigore del GDPR, la Commissione Europea legittimava il trasferimento di dati personali dall’UE verso gli USA considerando adeguato il meccanismo di protezione garantito dall’accordo scudo USA-UE .

I contenuti del rinvio pregiudiziale alla Corte di Giustizia
Nella domanda di pronuncia pregiudiziale, il giudice del rinvio ha chiesto alla CGE di pronunciarsi su:

  • applicabilità del GDPR a trasferimenti di dati personali fondati su “clausole tipo” di protezione contenute nella decisione della Commissione Europea
  • livello di protezione richiesto nel quadro di un trasferimento siffatto
  • obblighi delle Autorità di controllo

I giudici irlandesi, nel rinviare la questione alla Corte di Giustizia, hanno chiesto se la decisione della Commissione Europea possa essere considerata valida nonostante le “clausole tipo” non siano vincolanti nei confronti degli Stati e non possano rimediare alle eventuali ingerenze delle autorità pubbliche nei diritti delle persone interessate relativi a tali dati. È stato chiesto alla Corte di precisare quali possano essere gli elementi da prendere in considerazione per stabilire l’effettiva garanzia nel contesto di un simile trasferimento di dati personali.

La sentenza della CGE causa C-311/18 Schrems II

Nella sentenza dd. 16/07/2020, causa C-311/18, la Corte di Giustizia rivede l’operato della Commissione Europea alla luce delle novità introdotte dal Regolamento Generale sulla Protezione dei dati personali n.2016/679.

 La Corte considera anzitutto che il GDPR dispone che per procedere al trasferimento di dati personali siano necessarie garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi. La Corte osserva che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di “clausole tipo” di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione.

Ciò premesso la Corte ritiene che le limitazioni della protezione dei dati personali  risultanti dalla normativa interna degli Stati Uniti non siano adeguate al GDPR. Si tratta delle disposizioni in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di dati trasferiti dall’Unione verso tale Paese terzo. Tali previsioni non rispettano i requisiti richiesti dall’art.47 GDPR per lacune riguardanti la tutela giurisdizionale delle persone i cui dati personali sono trasferiti verso gli USA.

Concludendo il proprio ragionamento, la Corte di Giustizia rileva come l’articolo 1 della decisione relativa al Privacy Shield sia incompatibile con l’articolo 45, paragrafo 1, del GDPR, letto anche alla luce degli articoli 7, 8 e 47 GDPR. Linvalidità della prima parte della decisione della Commissione ha l’effetto di inficiarla nel suo complesso risultando inscindibile dagli articoli da 2 a 6 e dagli allegati della medesima.

La CGUE ritiene pertanto che la decisione di adeguatezza del Privacy Shield sia invalida.

Le conseguenze della sentenza della CGE causa C-311/18
Le conseguenze della decisione della Corte di Giustizia causa C-311/18 sono dirompenti.

L’inadeguatezza delle protezioni al GDPR dei trasferimenti dei dati personali tra UE e USA avranno ripercussioni  su qualsiasi operatore che tratti dati personali utilizzando software e servizi (es. newsletter) resi da aziende statunitensi o che comunque utilizzano server con sede negli USA.

Le FAQ del Comitato Europeo per la Protezione dei dati personali 
Il Comitato Europeo per la Protezione dei Dati
(European Data Protection Board) ha provveduto in data 23/07/2020 ad adottare delle FAQ, tradotte ufficialmente in italiano a cura dell’Ufficio del Garante per la protezione dei dati personali italiano, in merito alla sentenza oggetto del presente commento (https://www.garanteprivacy.it/documents/10160/0/FAQ+dell%27EDPB+sulla+sentenza+della+Corte+di+giustizia+dell%27Unione+europea+nella+causa+C-311_18.pdf/d2f928b2-ab57-ae7c-8f17-390664610d2c?version=3.0).

Nello specifico, il Comitato Europeo ribadisce l’importanza della sentenza della Corte di Giustizia Europea. La decisione della Commissione Europea adottata nel 2016 per il Privacy Shield è priva di rilievo: qualunque trasferimento di dati dalla UE verso gli Stati Uniti non presenta le garanzie di protezione richieste dal GDPR.

Grande attenzione deve essere riservata qualora si utilizzino i servizi di un fornitore – Responsabile del trattamento (nel cui contratto sia previsto che i dati possano essere trasferiti verso gli USA).

Secondo il Comitato, devono essere introdotte apposite misure supplementari per garantire che la normativa statunitense non incida sul livello di protezione sostanzialmente equivalente a quello offerto nel SEE assicurato dagli strumenti di trasferimento oppure devono trovare applicazione le deroghe di cui allart. 49 del GDPR (es. il consenso esplicito, specifico e informato dell’interessato).

Qualora le alternative proposte non siano praticabili, l’unica soluzione suggerita dal Comitato Europeo per la protezione dei dati personali è quella di negoziare un emendamento o una clausola aggiuntiva al contratto per vietare il trasferimento di dati verso gli USA.

L’Autorità Garante per la protezione dei dati personali ha espresso il proprio parere sul ruolo svolto dall’Organismo di Vigilanza (OdV)  riguardo il trattamento dei dati personali.

Secondo l’Autorità l’OdV, sia esso esterno o interno alla società, è parte di essa e pertanto i suoi membri debbono considerarsi soggetti autorizzati dalla società stessa al trattamento dei dati personali.

Vengono disattese le ricostruzioni degli esperti che, valorizzando l’indipendenza dell’Organismo di Vigilanza rispetto alla società avevano ricondotto il ruolo dei suoi componenti a quello del Responsabile del trattamento (art29 GDPR) o addirittura di Titolare autonomo.

https://www.aodv231.it/images/img_editor/888489_12.05.2020.pdf