L’assenza per vaccinazione è giustificata
“L’assenza dal lavoro per la somministrazione del vaccino contro il COVID-19 e’ giustificata e non determina alcuna decurtazione sul trattamento economico, ne’ fondamentale ne’ accessorio”
L’assenza per la vaccinazione può essere utilizzata solo per i giorni della somministrazione del vaccino; non può essere utilizzata per assenze dovute agli, eventuali, effetti collaterali del vaccino. In questi casi si dovrà ricorrere agli strumenti disciplinati dai CCNL.
Alcuni aspetti della privacy vengono superati da questa disposizione dato che, in questi casi, il datore di lavoro sarà a conoscenza di chi si è vaccinato e chi no.
Il datore di lavoro non può chiedere conferma della vaccinazione
Tuttavia il datore di lavoro non può chiedere conferma o attestazione che la vaccinazione sia realmente avvenuta, non può chiedere la certificazione vaccinale.
Così spiega il Garante nel provvedimento citato:
“Come stabilito dai citati documenti, quando la vaccinazione viene eseguita durante il servizio, il tempo necessario alla medesima è equiparato a tutti gli effetti all’orario di lavoro. In tal caso si potrà quindi procedere alla giustificazione dell’assenza, ove richiesto, con le modalità ordinarie stabilite nei contratti collettivi nazionali applicabili, ovvero mediante rilascio da parte del soggetto che somministra la vaccinazione all’interessato di un’attestazione di prestazione sanitaria indicata in termini generici. Resta salvo che ove dall’attestazione prodotta dal dipendente sia possibile risalire al tipo di prestazione sanitaria da questo ricevuta, il datore di lavoro, salva la conservazione del documento in base agli obblighi di legge, dovrà astenersi dall’utilizzare tali informazioni per altre finalità nel rispetto dei principi di protezione dei dati (v. tra gli altri, il principio di limitazione della finalità di cui all’art. 5, par. 1, lett. b), del Regolamento) e non potrà chiedere al dipendente conferma dell’avvenuta vaccinazione o chiedere l’esibizione del certificato vaccinale (cfr. FAQ del Garante Privacy n. 1 sezione “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo)”.
Il Garante, con provvedimento del 13 maggio 2021 n. 198 (Qui il link al provvedimento) ha inteso fornire le indicazioni generali per il trattamento dei dati personali relativi alla vaccinazione sui luoghi di lavoro e per il ruolo del medico competente.
Il datore di lavoro fornisce il supporto economico e gli strumenti per l’attività di vaccinazione oltre che l’attività di sensibilizzazione in collaborazione col medico competente. Tuttavia, rispetto a qualsiasi aspetto connesso alla vaccinazione, esiste, per il datore di lavoro, un divieto assoluto di trattare i dati personali dei propri dipendenti connessi all'attività di vaccinazione e non può essere utilizzato il consenso come presupposto del trattamento.
“Il datore di lavoro non potrà infatti raccogliere, direttamente dagli interessati, tramite il medico compente, altri professionisti sanitari o strutture sanitarie, informazioni in merito a tutti gli aspetti relativi alla vaccinazione, ivi compresa l’intenzione o meno della lavoratrice e del lavoratore di aderire alla campagna, alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle condizioni di salute del lavoratore”.
Il piano vaccinale aziendale, viene quindi elaborato insieme al medico competente e presentato al datore di lavoro ma non dovrà contenere elementi che consentano di risalire all’identità dei lavoratori che intendono vaccinarsi.
Tali dati, i dati personali, non devono entrare, neanche accidentalmente, nella disponibilità del datore di lavoro o del personale che tratta i dati per la gestione del rapporto di lavoro.
Se per raccogliere le informazioni sulle adesioni vengono utilizzati software come ad esempio gestionali o altri applicativi, dovranno essere adottati accorgimenti tecnici e organizzativi perché i dati personali dei lavoratori non entrino – «neanche accidentalmente», scrive il Garante – nella disponibilità dell’azienda. Se ci si avvale di strutture sanitarie esterne i dipendenti dovranno essere messi in condizione di rivolgersi direttamente a queste ultime.
Medico competente e trattamenti di dati personali
Il provvedimento del Garante privacy del 13 maggio 2021 sottolinea gli obblighi del medico competente.
A quest’ultimo spetta anche predisporre il calendario dei vaccini che verranno effettuati nei locali predisposti insieme al datore di lavoro. Tali locali vanno organizzati in modo da «evitare per quanto possibile di conoscere, da parte di colleghi o di terzi, l’identità dei dipendenti che hanno scelto di aderire alla campagna vaccinale». Inoltre, vanno adottate tutte le misure possibili per «garantire la riservatezza e la dignità del lavoratore anche nella fase immediatamente successiva alla vaccinazione, prevenendo l’ingiustificata circolazione di informazioni nel contesto lavorativo o comportamenti ispirati a mera curiosità».
Obblighi del medico competente in materia di privacy
Il Garante per la privacy riepiloga infine i seguenti principali adempimenti del medico competente in materia di protezione dei dati personali.
Istituzione del registro delle attività di trattamento (art. 30 del Regolamento)
Il medico competente deve istituire e tenere un proprio registro, distinto da quello del datore di lavoro che gli ha conferito l’incarico (anche nel caso in cui sia un dipendente che svolge il ruolo di medico competente per il proprio datore di lavoro), potendo avvalersi anche degli strumenti (ad es. applicativi informatici) già utilizzati dal datore di lavoro
Informativa agli interessati (art. 14 del Regolamento)
All'atto del conferimento dell’incarico ovvero in caso di nuove assunzioni di personale il medico competente riceve i dati anagrafici dei lavoratori dal datore di lavoro nonchè successivamente ogni utile aggiornamento o rettifica dei dati. Di conseguenza, il medico competente potrà fornire informativa privacy (paragrafi 1 e 2 dell’art. 14 del Regolamento) al momento della prima comunicazione all’interessato
Sicurezza dei dati personali (artt. 32-34 del Regolamento)
Il medico competente dovrà identificare e adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio avvalendosi della cooperazione e del supporto, anche economico, del datore di lavoro.
Nei casi in cui vengano utilizzati strumenti (ad es. applicativi informatici) del datore di lavoro, si dovranno prevedere specifiche misure organizzative volte a escludere l’accesso ai dati da parte del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro.
Nomina del Responsabile della protezione dei dati (artt. 37-39 del Regolamento)
Il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, non è tenuto alla designazione del responsabile della protezione dei dati (RPD) con riferimento allo svolgimento della propria attività.
Non basta il primo adeguamento. Con il passare del tempo è necessario intervenire con aggiornamenti per mantenersi conformi. al regolamento. Ecco un elenco tutti i passaggi da compiere per la revisione ed aggiornamento del Sistema di gestione privacy. Responsabilità [per il GDPR "accountability"] è il principio cardine attorno a cui si sviluppa tutto il GDPR. Non basta adeguarsi, ma bisogna mantenersi "compliant" [conformi] al regolamento anche con il passare del tempo. Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e...
Scritto da: Luigi DuraccioGli antivirus free o basati sulle firme non sono più sufficienti. Gli attacchi sono cambiati e vanno cambiati anche gli strumenti per difendersi. Tutti abbiamo provato un antivirus gratuito. Molti lo utilizzano ancora oggi! Purtroppo oggi non è più possibile affidare la propria sicurezza ad un prodotto gratuito. Lo dicono i fatti e i numeri che riporto più avanti in questo articolo. Un antivirus gratuito poteva andare bene, forse, 20 anni fa, quando effettivamente il loro unico compito era quello di fermare i virus, uno alla volta. Si trattava di un virus per...
Scritto da: Luigi DuraccioSe non hai subito un attacco non aspettare il "se", invece, minimizza gli effetti del "quando". La tua decisione di agire in anticipo potrebbe valere letteralmente molte migliaia di euro! Matt Bromiley, consulente senior di Mandiant Managed Defense, ci parla dei migliori trucchi e suggerimenti per proteggere i sistemi IT aziendali dal ransomware. "Se c'è una minaccia informatica in cima alla mente di tutti in questo momento, deve essere un ransomware. Una volta una minaccia "fastidiosa", il ransomware è diventato un settore multimilionario per...
Scritto da: Luigi DuraccioFonte: Informatore Informatico Vi prego, ditemi che non utilizzate "123456" o "password". Utilizzate le vostre iniziali e la data di nascita? Forse è ancora peggio! In questo articolo voglio aiutarvi e spiegarvi come creare una password impenetrabile e facile da ricordare. C'è da dire che gli informatici continuano a dirvi di usare password complesse ma non vi spiegano perchè è importante, come fare e, soprattutto, come ricordarsela. Infatti non è difficile creare una password sicurissima, ad esempio: "$drg|gk§?__dd66uy°#!" ma poi come facciamo a ricordarla? Dovrete segnarvela da qualche...
Scritto da: Luigi DuraccioL’estate è il momento preferito dai criminali informatici per sferrare i loro attacchi. Ecco un elenco di semplici regole da seguire per non cadere vittime degli hacker! L’estate è un momento ideale per gli hacker per sferrare i loro attacchi approfittando degli uffici non presidiati e delle distrazioni degli utenti. A causa di comportamenti imprudenti accedono agli account ed ai dispositivi per rubare dati e informazioni. Una volta in viaggio si pensa a proteggere denaro ed effetti personali. Ma è necessario anche...
Scritto da: Luigi DuraccioFonte: privacylab.it Autore: Andrea Chiozzi La gestione del responsabile esterno è una questione sempre più importante, sia perché è un obbligo di legge, ma anche perché il Garante sta facendo le pulci su questo aspetto. Ti do una notizia. L’autorità Garante, in tutte le ispezioni che sta facendo, sta chiedendo ai titolari del trattamento chi sono i responsabili esterni, come sono stati identificati e come sono stati verificati. Quando, secondo il GDPR, un’azienda deve nominare un responsabile esterno? Quando decide di affidare all'esterno delle attività che potrebbe fare al suo interno e che preferisce dare fuori. I...
Scritto da: Luigi DuraccioIl 10 luglio 2021, il Garante per la protezione dei dati personali ha approvato le nuove linee guida per l’uso dei cookie. Se hai un sito web e sede in Italia, tali requisiti ti riguardano. Hai 6 mesi di tempo per adeguarti (fino al 10 gennaio 2022, 6 mesi a partire dal 9 luglio 2021, data della pubblicazione delle linee guida nella Gazzetta Ufficiale). Con questa guida vogliamo aiutarti a capire cos’è cambiato e come rispettare i requisiti con il minimo sforzo. Le novità in breve. Cookie...
Scritto da: Luigi DuraccioCookie: dal Garante privacy nuove Linee guida a tutela degli utenti No a scrolling e a cookie wall se non in casi particolari, limiti alla reiterazione della richiesta di consenso Il Garante per la protezione dei dati personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno. Clicca...
Scritto da: Luigi DuraccioAggiornare software e dispositivi è una buona prassi di sicurezza, non una perdita di tempo. Ecco perché è importante intervenire. Vi spiego come farlo senza perdere tempo! Gli aggiornamenti non si limitano solo a fornire nuove funzionalità e correggere bug, ma eliminano anche le vulnerabilità relative alla sicurezza sfruttate dai criminali informatici. Ecco perché la gestione delle patch è essenziale per la sicurezza aziendale. Tuttavia, alcuni dipendenti sono riluttanti ad aggiornare i dispositivi aziendali e lasciano che all’interno della rete aziendale ci...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.