Azione in corso...

Nuovo intervento del Garante - Provvedimento del 13 maggio 2021 – Documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”.

L’assenza per vaccinazione è giustificata

“L’assenza dal lavoro per la somministrazione del vaccino contro il COVID-19 e’ giustificata e non determina alcuna decurtazione sul trattamento economico, ne’ fondamentale ne’ accessorio”

L’assenza per la vaccinazione può essere utilizzata solo per i giorni della somministrazione del vaccino; non può essere utilizzata per assenze dovute agli, eventuali, effetti collaterali del vaccino. In questi casi si dovrà ricorrere agli strumenti disciplinati dai CCNL.

Alcuni aspetti della privacy vengono superati da questa disposizione dato che, in questi casi,  il datore di lavoro sarà a conoscenza di chi si è vaccinato e chi no.

Il datore di lavoro non può chiedere conferma della vaccinazione

Tuttavia il datore di lavoro non può chiedere conferma o attestazione che la vaccinazione sia realmente avvenuta, non può chiedere la certificazione vaccinale.

Così spiega il Garante nel provvedimento citato:

“Come stabilito dai citati documenti, quando la vaccinazione viene eseguita durante il servizio, il tempo necessario alla medesima è equiparato a tutti gli effetti all’orario di lavoro. In tal caso si potrà quindi procedere alla giustificazione dell’assenza, ove richiesto, con le modalità ordinarie stabilite nei contratti collettivi nazionali applicabili, ovvero mediante rilascio da parte del soggetto che somministra la vaccinazione all’interessato di un’attestazione di prestazione sanitaria indicata in termini generici. Resta salvo che ove dall’attestazione prodotta dal dipendente sia possibile risalire al tipo di prestazione sanitaria da questo ricevuta, il datore di lavoro, salva la conservazione del documento in base agli obblighi di legge, dovrà astenersi dall’utilizzare tali informazioni per altre finalità nel rispetto dei principi di protezione dei dati (v. tra gli altri, il principio di limitazione della finalità di cui all’art. 5, par. 1, lett. b), del Regolamento) e non potrà chiedere al dipendente conferma dell’avvenuta vaccinazione o chiedere l’esibizione del certificato vaccinale (cfr. FAQ del Garante Privacy n. 1 sezione “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo)”.

Il Garante, con provvedimento del 13 maggio 2021 n. 198 (Qui il link al provvedimento) ha inteso fornire le indicazioni generali per il trattamento dei dati personali relativi alla vaccinazione sui luoghi di lavoro e per il ruolo del medico competente.

Il datore di lavoro fornisce il supporto economico e gli strumenti per l’attività di vaccinazione oltre che l’attività di sensibilizzazione in collaborazione col medico competente. Tuttavia, rispetto a qualsiasi aspetto connesso alla vaccinazione, esiste, per il datore di lavoro, un divieto assoluto di trattare i dati personali dei propri dipendenti connessi all'attività di vaccinazione e non può essere utilizzato il consenso come presupposto del trattamento.

“Il datore di lavoro non potrà infatti raccogliere, direttamente dagli interessati, tramite il medico compente, altri professionisti sanitari o strutture sanitarie, informazioni in merito a tutti gli aspetti relativi alla vaccinazione, ivi compresa l’intenzione o meno della lavoratrice e del lavoratore di aderire alla campagna, alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle condizioni di salute del lavoratore”.

Il piano vaccinale aziendale, viene quindi elaborato insieme al medico competente e presentato al datore di lavoro ma non dovrà contenere elementi che consentano di risalire all’identità dei lavoratori che intendono vaccinarsi.

Tali dati, i dati personali, non devono entrare, neanche accidentalmente, nella disponibilità del datore di lavoro o del personale che tratta i dati per la gestione del rapporto di lavoro.

Se per raccogliere le informazioni sulle adesioni vengono utilizzati software come ad esempio gestionali o altri applicativi, dovranno essere adottati accorgimenti tecnici e organizzativi perché i dati personali dei lavoratori non entrino – «neanche accidentalmente», scrive il Garante – nella disponibilità dell’azienda. Se ci si avvale di strutture sanitarie esterne i dipendenti dovranno essere messi in condizione di rivolgersi direttamente a queste ultime.

Medico competente e trattamenti di dati personali

Il provvedimento del Garante privacy del 13 maggio 2021 sottolinea gli obblighi del medico competente.

A quest’ultimo spetta anche predisporre il calendario dei vaccini che verranno effettuati nei locali predisposti insieme al datore di lavoro. Tali locali vanno organizzati in modo da «evitare per quanto possibile di conoscere, da parte di colleghi o di terzi, l’identità dei dipendenti che hanno scelto di aderire alla campagna vaccinale». Inoltre, vanno adottate tutte le misure possibili per «garantire la riservatezza e la dignità del lavoratore anche nella fase immediatamente successiva alla vaccinazione, prevenendo l’ingiustificata circolazione di informazioni nel contesto lavorativo o comportamenti ispirati a mera curiosità».

Obblighi del medico competente in materia di privacy

Il Garante per la privacy riepiloga infine i seguenti principali adempimenti del medico competente in materia di protezione dei dati personali.

Istituzione del registro delle attività di trattamento (art. 30 del Regolamento)         
Il medico competente deve istituire e tenere un proprio registro, distinto da quello del datore di lavoro che gli ha conferito l’incarico (anche nel caso in cui sia un dipendente che svolge il ruolo di medico competente per il proprio datore di lavoro), potendo avvalersi anche degli strumenti (ad es. applicativi informatici) già utilizzati dal datore di lavoro

Informativa agli interessati (art. 14 del Regolamento)
All'atto del conferimento dell’incarico ovvero in caso di nuove assunzioni di personale il medico competente riceve i dati anagrafici dei lavoratori dal datore di lavoro nonchè successivamente ogni utile aggiornamento o rettifica dei dati. Di conseguenza, il medico competente potrà fornire informativa privacy (paragrafi 1 e 2 dell’art. 14 del Regolamento) al momento della prima comunicazione all’interessato

Sicurezza dei dati personali (artt. 32-34 del Regolamento)         
Il medico competente dovrà identificare e adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio avvalendosi della cooperazione e del supporto, anche economico, del datore di lavoro.

Nei casi in cui vengano utilizzati strumenti (ad es. applicativi informatici) del datore di lavoro, si dovranno prevedere specifiche misure organizzative volte a escludere l’accesso ai dati da parte del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro.

Nomina del Responsabile della protezione dei dati (artt. 37-39 del Regolamento)
Il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, non è tenuto alla designazione del responsabile della protezione dei dati (RPD) con riferimento allo svolgimento della propria attività.

Martinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.