Il trattamento dei dati personali riguardanti i vaccini anti Covid-19 nel contesto lavorativo è stato esaminato in alcune FAQ pubblicate dall’Autorità Garante per la Protezione dei dati personali.

In corsivo alcune considerazioni personali a margine delle risposte elaborate dall’Autorità Garante.

1. Il datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione?

NO. Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro.

Il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (considerando 43 del Regolamento).

Tuttavia il datore di lavoro potrebbe ritenere opportuno prevedere speciali misure di sicurezza all’interno della propria organizzazione capaci di garantire la massima protezione per collaboratori e ospiti.  Si pensi alle strutture sanitarie in cui gli operatori sono a contatto con ospiti fragili perché anziani e/o immunodepressi. In quest’ottica la vaccinazione potrebbe acquisire un rilievo cruciale ai fini della garanzia della massima protezione della salute all’interno del luogo di lavoro per chiunque vi acceda.  

2. Il datore di lavoro può chiedere al medico competente i nominativi dei dipendenti vaccinati?

NO. Il medico competente non può comunicare al datore di lavoro i nominativi dei dipendenti vaccinati. Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).

Il datore di lavoro può invece acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008).

L’avvenuta vaccinazione, come del resto altre informazioni personali che attengono alla salute del personale impiegato nell’organizzazione, è un dato che ben può essere raccolto dal medico competente.  

Il medico competente è la figura titolata a raccogliere, elaborare e conservare i dati sanitari dei dipendenti/collaboratori. Resta inteso che il medico competente è tenuto a mantenere il segreto professionale e a comunicare al datore di lavoro solo informazioni relative all’idoneità allo svolgimento di specifiche mansioni all’interno dell’organizzazione datoriale. Ciò non toglie che la vaccinazione anti covid-19 ben possa essere rilevante ai fini della valutazione di idoneità allo svolgimento di particolari mansioni nel contesto lavorativo. 

3. La vaccinazione anti covid-19 dei dipendenti può essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni (ad es. in ambito sanitario)?

Nell’attesa di un intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, allo stato, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008).

In tale quadro solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del d.lgs. n.81/2008).

Se è vero che attualmente la legge nulla prevede sull’obbligatorietà del vaccino anticovid-19 nei luoghi di lavoro in presenza di rischio biologico è anche vero che la scelta in merito alle misure di sicurezza da approntare spetta al datore di lavoro con l’ausilio del medico competente e delle altre figure competenti (Responsabile del Servizio di Prevenzione e Protezione).

E’ il datore di lavoro il responsabile della tutela della personalità fisica e morale delle persone impiegate nella propria organizzazione di impresa a garanzia della massima sicurezza

 

 

Nella Delibera Autorità Garante per la Protezione dei dati personali 10 dicembre 2020 l’Ufficio del Garante precisa che, limitatamente al periodo gennaio-giugno 2021, l’attività ispettiva – anche per mezzo della Guardia di finanza – sarà indirizzata

a) ad accertamenti in riferimento a profili di interesse generale nell’ambito di:

trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;

trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);

trattamenti di dati personali effettuati da “data broker”;

trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;

data breach.

b) a controlli nei confronti di titolari del trattamento di dati personali, pubblici e privati, appartenenti a categorie omogenee in relazione alla verifica dei presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia fondato su tale base giuridica, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati

L’Autorità Garante per la protezione dei dati personali ha espresso il proprio parere sul ruolo svolto dall’Organismo di Vigilanza (OdV)  riguardo il trattamento dei dati personali.

Secondo l’Autorità l’OdV, sia esso esterno o interno alla società, è parte di essa e pertanto i suoi membri debbono considerarsi soggetti autorizzati dalla società stessa al trattamento dei dati personali.

Vengono disattese le ricostruzioni degli esperti che, valorizzando l’indipendenza dell’Organismo di Vigilanza rispetto alla società avevano ricondotto il ruolo dei suoi componenti a quello del Responsabile del trattamento (art29 GDPR) o addirittura di Titolare autonomo.

https://www.aodv231.it/images/img_editor/888489_12.05.2020.pdf

Following a request for consultation from the European Commission, the #European #Data #Protection #Board adopted a letter concerning the European Commission’s draft Guidance on apps supporting the fight against the COVID-19 pandemic. 

The #EDPB addresses the use of #app for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with #private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a #DataProtectionImpactAssessment #DPIA all the implemented #privacybydesign and #privacybydefault mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.

The EDPB strongly supports the Commission’s proposal for a #voluntary adoption of such apps, a #choice that should be made by individuals as a token of #collectiveresponsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the #GDPR and the #EPrivacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish #Guidelines in the upcoming days on #geolocation and tracing tools in the context of the #COVID-19 out-break

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

Nella causa C-673/2017 la #CortediGiustizia conferma #illegittimità del #consenso al #trattamento dei dati ottenuto tramite casella pre-spuntata di un #sito web.

Nel caso preso in esame si trattava di un sito web che organizzava un #gioco a premi consentendo la partecipazione agli #utenti #visitatori che fornivano il proprio codice postale, nome e indirizzo in presenza di due #caselle di #spunta, già #prespuntate in cui si chiedeva il consenso informando che i dati trasmessi sarebbero serviti per l’invio di #comunicazioni #commerciali e per l’analisi della #navigazione e l’invio di #pubblicità personalizzata.

http://curia.europa.eu/juris/document/document.jsf;jsessionid=2CA0DA07180F037F1D07956113760753?text=&docid=218462&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=430407

L’Autorita’ Garante francese per la protezione del dato personale (CNIL) ha lanciato una consultazione pubblica destinata a coloro che si occupano di ricerca scientifica.

La finalità dell’iniziativa è consentire una migliore comprensione dei trattamenti dei dati personali nell’ambito delle attività di ricerca scientifica, chiarire il quadro giuridico applicabile e definire buone prassi applicative.