Il trattamento dei dati personali riguardanti i vaccini anti Covid-19 nel contesto lavorativo è stato esaminato in alcune FAQ pubblicate dall’Autorità Garante per la Protezione dei dati personali.

In corsivo alcune considerazioni personali a margine delle risposte elaborate dall’Autorità Garante.

1. Il datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione?

NO. Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro.

Il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (considerando 43 del Regolamento).

Tuttavia il datore di lavoro potrebbe ritenere opportuno prevedere speciali misure di sicurezza all’interno della propria organizzazione capaci di garantire la massima protezione per collaboratori e ospiti.  Si pensi alle strutture sanitarie in cui gli operatori sono a contatto con ospiti fragili perché anziani e/o immunodepressi. In quest’ottica la vaccinazione potrebbe acquisire un rilievo cruciale ai fini della garanzia della massima protezione della salute all’interno del luogo di lavoro per chiunque vi acceda.  

2. Il datore di lavoro può chiedere al medico competente i nominativi dei dipendenti vaccinati?

NO. Il medico competente non può comunicare al datore di lavoro i nominativi dei dipendenti vaccinati. Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).

Il datore di lavoro può invece acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008).

L’avvenuta vaccinazione, come del resto altre informazioni personali che attengono alla salute del personale impiegato nell’organizzazione, è un dato che ben può essere raccolto dal medico competente.  

Il medico competente è la figura titolata a raccogliere, elaborare e conservare i dati sanitari dei dipendenti/collaboratori. Resta inteso che il medico competente è tenuto a mantenere il segreto professionale e a comunicare al datore di lavoro solo informazioni relative all’idoneità allo svolgimento di specifiche mansioni all’interno dell’organizzazione datoriale. Ciò non toglie che la vaccinazione anti covid-19 ben possa essere rilevante ai fini della valutazione di idoneità allo svolgimento di particolari mansioni nel contesto lavorativo. 

3. La vaccinazione anti covid-19 dei dipendenti può essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni (ad es. in ambito sanitario)?

Nell’attesa di un intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, allo stato, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008).

In tale quadro solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del d.lgs. n.81/2008).

Se è vero che attualmente la legge nulla prevede sull’obbligatorietà del vaccino anticovid-19 nei luoghi di lavoro in presenza di rischio biologico è anche vero che la scelta in merito alle misure di sicurezza da approntare spetta al datore di lavoro con l’ausilio del medico competente e delle altre figure competenti (Responsabile del Servizio di Prevenzione e Protezione).

E’ il datore di lavoro il responsabile della tutela della personalità fisica e morale delle persone impiegate nella propria organizzazione di impresa a garanzia della massima sicurezza

 

 

La Corte di Giustizia Europea giudica non conforme al GDPR il Privacy Shield. Nella sentenza “Schrems II” la Corte ritiene che i dati personali trasferiti negli USA non siano adeguatamente protetti (https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091it.pdf)

Il Privacy Shield nella decisione  2016/1250 della Commissione Europea
La pronuncia della Corte  di Giustizia Europea mette in crisi
l’accordo scudo USA-UE (cd. Privacy Shield). Prima dell’entrata in vigore del GDPR, la Commissione Europea legittimava il trasferimento di dati personali dall’UE verso gli USA considerando adeguato il meccanismo di protezione garantito dall’accordo scudo USA-UE .

I contenuti del rinvio pregiudiziale alla Corte di Giustizia
Nella domanda di pronuncia pregiudiziale, il giudice del rinvio ha chiesto alla CGE di pronunciarsi su:

  • applicabilità del GDPR a trasferimenti di dati personali fondati su “clausole tipo” di protezione contenute nella decisione della Commissione Europea
  • livello di protezione richiesto nel quadro di un trasferimento siffatto
  • obblighi delle Autorità di controllo

I giudici irlandesi, nel rinviare la questione alla Corte di Giustizia, hanno chiesto se la decisione della Commissione Europea possa essere considerata valida nonostante le “clausole tipo” non siano vincolanti nei confronti degli Stati e non possano rimediare alle eventuali ingerenze delle autorità pubbliche nei diritti delle persone interessate relativi a tali dati. È stato chiesto alla Corte di precisare quali possano essere gli elementi da prendere in considerazione per stabilire l’effettiva garanzia nel contesto di un simile trasferimento di dati personali.

La sentenza della CGE causa C-311/18 Schrems II

Nella sentenza dd. 16/07/2020, causa C-311/18, la Corte di Giustizia rivede l’operato della Commissione Europea alla luce delle novità introdotte dal Regolamento Generale sulla Protezione dei dati personali n.2016/679.

 La Corte considera anzitutto che il GDPR dispone che per procedere al trasferimento di dati personali siano necessarie garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi. La Corte osserva che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di “clausole tipo” di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione.

Ciò premesso la Corte ritiene che le limitazioni della protezione dei dati personali  risultanti dalla normativa interna degli Stati Uniti non siano adeguate al GDPR. Si tratta delle disposizioni in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di dati trasferiti dall’Unione verso tale Paese terzo. Tali previsioni non rispettano i requisiti richiesti dall’art.47 GDPR per lacune riguardanti la tutela giurisdizionale delle persone i cui dati personali sono trasferiti verso gli USA.

Concludendo il proprio ragionamento, la Corte di Giustizia rileva come l’articolo 1 della decisione relativa al Privacy Shield sia incompatibile con l’articolo 45, paragrafo 1, del GDPR, letto anche alla luce degli articoli 7, 8 e 47 GDPR. Linvalidità della prima parte della decisione della Commissione ha l’effetto di inficiarla nel suo complesso risultando inscindibile dagli articoli da 2 a 6 e dagli allegati della medesima.

La CGUE ritiene pertanto che la decisione di adeguatezza del Privacy Shield sia invalida.

Le conseguenze della sentenza della CGE causa C-311/18
Le conseguenze della decisione della Corte di Giustizia causa C-311/18 sono dirompenti.

L’inadeguatezza delle protezioni al GDPR dei trasferimenti dei dati personali tra UE e USA avranno ripercussioni  su qualsiasi operatore che tratti dati personali utilizzando software e servizi (es. newsletter) resi da aziende statunitensi o che comunque utilizzano server con sede negli USA.

Le FAQ del Comitato Europeo per la Protezione dei dati personali 
Il Comitato Europeo per la Protezione dei Dati
(European Data Protection Board) ha provveduto in data 23/07/2020 ad adottare delle FAQ, tradotte ufficialmente in italiano a cura dell’Ufficio del Garante per la protezione dei dati personali italiano, in merito alla sentenza oggetto del presente commento (https://www.garanteprivacy.it/documents/10160/0/FAQ+dell%27EDPB+sulla+sentenza+della+Corte+di+giustizia+dell%27Unione+europea+nella+causa+C-311_18.pdf/d2f928b2-ab57-ae7c-8f17-390664610d2c?version=3.0).

Nello specifico, il Comitato Europeo ribadisce l’importanza della sentenza della Corte di Giustizia Europea. La decisione della Commissione Europea adottata nel 2016 per il Privacy Shield è priva di rilievo: qualunque trasferimento di dati dalla UE verso gli Stati Uniti non presenta le garanzie di protezione richieste dal GDPR.

Grande attenzione deve essere riservata qualora si utilizzino i servizi di un fornitore – Responsabile del trattamento (nel cui contratto sia previsto che i dati possano essere trasferiti verso gli USA).

Secondo il Comitato, devono essere introdotte apposite misure supplementari per garantire che la normativa statunitense non incida sul livello di protezione sostanzialmente equivalente a quello offerto nel SEE assicurato dagli strumenti di trasferimento oppure devono trovare applicazione le deroghe di cui allart. 49 del GDPR (es. il consenso esplicito, specifico e informato dell’interessato).

Qualora le alternative proposte non siano praticabili, l’unica soluzione suggerita dal Comitato Europeo per la protezione dei dati personali è quella di negoziare un emendamento o una clausola aggiuntiva al contratto per vietare il trasferimento di dati verso gli USA.