Il Garante privacy ha pubblicato sul proprio sito delle FAQ sul trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo. Il Garante privacy ha pubblicato le sue FAQ sulla vaccinazione Covid-19 dei dipendenti, stabilendo limiti rigorosi su quali dati personali e informazioni i datori di lavoro possono trattare.
Con la prima ondata di vaccinazioni anti-Covid-19 in corso in tutta Italia, abbiamo ricevuto diverse richieste di consulenza da parte di clienti che chiedevano istruzioni sulla possibilità di indagare sulla vaccinazione dei loro dipendenti e limitare l’accesso al posto di lavoro ai soli dipendenti vaccinati.
Il Garante è stato più veloce del ritmo delle vaccinazioni nel nostro Paese e ha emesso le sue FAQ su alcune questioni emerse negli ultimi mesi riguardanti il trattamento dei dati personali relativi alla vaccinazione Covid-19 sul posto di lavoro.
Il Garante privacy per la protezione dei dati personali ha affrontato le seguenti tre questioni in relazione alla vaccinazione anti-Covid dei dipendenti:
- Il datore di lavoro può chiedere ai suoi dipendenti di confermare che sono stati vaccinati?
Il Garante privacy sostiene che un datore di lavoro non può chiedere ai suoi dipendenti di fornire informazioni sull’avvenuta vaccinazione o copie di documenti che provano la vaccinazione contro il Covid-19, escludendo anche che questa attività possa essere basata sul loro consenso. Alla luce del Considerando 43 del GDPR, il Garante per la protezione dei dati personali sottolinea che il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, poiché il consenso non può costituire in questo caso una valida condizione di liceità.
- Il datore di lavoro può chiedere al medico competente i nomi dei dipendenti vaccinati?
Il Garante privacy chiarisce che il medico competente non è autorizzato a fornire al datore di lavoro alcun dato relativo ai nomi dei dipendenti che hanno ricevuto il vaccino Covid-19. In linea con questa impostazione, ritengono che solo il medico competente può trattare i dati sanitari dei lavoratori e tra questi, eventualmente, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e della verifica dell’idoneità alla mansione specifica. Il Garante per la protezione dei dati personali ritiene che il datore di lavoro abbia comunque il diritto di acquisire valutazioni di idoneità alla mansione specifica del dipendente e le prescrizioni/limitazioni in essa contenute.
- La vaccinazione Covid-19 dei dipendenti può essere richiesta come condizione per l’accesso ai luoghi di lavoro e lo svolgimento di determinate mansioni (ad esempio, nel settore sanitario)?
Il Garante privacy sottolinea che, attualmente, in assenza di un quadro normativo che valuti se porre la vaccinazione Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, le particolari misure di protezione previste per determinati ambienti di lavoro si applicano nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta alti livelli di rischio per lavoratori e pazienti.
In questo quadro normativo, il medico competente è l’unico soggetto autorizzato a trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, a considerare lo stato vaccinale nella valutazione dell’idoneità del lavoratore alla mansione specifica. D’altro canto, il datore di lavoro si limiterà invece ad attuare le misure indicate dal medico competente nei casi di giudizio di inidoneità parziale o temporanea alla mansione cui il lavoratore è adibito.
Oltre alle suddette vaccinazioni, il Garante privacy ha ritenuto non conforme al GDPR la pratica di sviluppare app in grado di identificare i soggetti vaccinati per consentire loro l’accesso a determinati luoghi, come aeroporti, stazioni ferroviarie, palestre e alberghi attraverso i c.d. pass vaccinali.
Il Garante ritiene che tale pratica sarebbe legale solo con una legge ad hoc che permetta questo tipo di controlli. In effetti, il messaggio del Garante italiano suona come un avvertimento contro la raccolta indiscriminata di dati personali relativi a persone vaccinate. A questo proposito, vale la pena ricordare che l’interesse pubblico può essere una base giuridica del trattamento dei dati secondo il diritto italiano solo se espressamente identificato da una legge che consente il trattamento dei dati personali associati a tale pratica.
Su di un simile argomento, è possibile leggere l’articolo “Il Garante privacy consente l’esecuzione di test sierologici COVID-19”.