Gestione aziendale dei dati sul Covid-19 e legge sulla Privacy
27 Aprile 2021
Articolo aggiornato a seguito del provvedimento del Garante Privacy del 13 maggio 2021: “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”
In questo difficile periodo in cui le Aziende stanno cercando di conciliare Smart-Working, riaperture in sicurezza con protocolli vari, stiamo assistendo ad un’interpretazione, a volte distorta, delle indicazioni fornite dalle autorità sulla gestione dei dati sanitari legati al Covid-19.
In ambiente lavorativo, il coordinamento di queste attività secondo privacy dovrebbe seguire un iter preciso, individuato anche dal Garante nelle FAQ relative al “Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria”
Facciamo quindi un po’ di chiarezza su quanto disposto…
Indicazioni del Regolamento Europeo
Secondo l’articolo 9, paragrafi 2 e 3 del GDPR, le condizioni che possiamo prendere in considerazione sono due:
- Il consenso al trattamento dei dati dell’interessato
- Finalità di medicina del lavoro e valutazione della capacità lavorativa del dipendente;
Escludendo la prima opzione, come chiarito dal considerando 43 (che riporta che non può essere considerato lecito il trattamento dei dati sulla base del consenso in ragione dello squilibrio tra titolare e interessato), resta possibile solo la seconda ipotesi, a patto che il tutto sia svolto sotto la responsabilità di un professionista (leggi Medico Competente).
Il ruolo del Medico Competente
Fondamentale quindi il coinvolgimento del Medico Competente che, nel contesto dell’emergenza, predispone gli adempimenti connessi alla sorveglianza sanitaria tra cui la possibilità di sottoporre i lavoratori a visite e controlli straordinari o esami clinici (tamponi o test sierologici), segnalando i casi che reputa a maggior rischio. Al datore di lavoro sarà consentito conoscere solo il giudizio di idoneità ed eventuali prescrizioni o limitazioni alla mansione, ma non le informazioni specifiche su diagnosi e referti, ad eccezione di quelle fornite direttamente dal lavoratore o dalle autorità sanitarie in caso di presenza di sintomi di infezione da Covid-19.
Focus sulle vaccinazioni Covid-19
Capitolo a parte quello sui vaccini che, pur prevedendo gli stessi accorgimenti visti prima, è gestito spesso in autonomia dalle aziende che faticano a comprendere in modo chiaro le indicazioni, talvolta contrastanti, che ricevono dalle ATS (azienda sanitaria locale) di competenza.
In linea generale è sempre il Medico Competente a dover individuare i soggetti esposti a rischi biologici e far applicare le misure speciali di protezione previste dall’articolo 279 del Testo Unico 81/08 tra le quali la messa a disposizione di vaccini. Datore di lavoro che non può però imporne la somministrazione ma, al limite, allontanare temporaneamente il lavoratore dalla mansione.
A districare la situazione di stallo creatasi, per cui le aziende che operano in ambito sanitario si trovavano chiuse tra vincoli normativi e riluttanza da parte di alcuni lavoratori, ci ha pensato il Decreto Legge n°44 del I° aprile 2021. L’introduzione dell’obbligo vaccinale per operatori, personale medico e farmacisti, prescrive al datore di lavoro di inviare l’elenco dei dipendenti alla regione o alla provincia autonoma di appartenenza che dovranno verificare la situazione vaccinale e segnalare all’ATS i soggetti che non risultano vaccinati; a questo punto l’azienda sanitaria di residenza accerta l’inosservanza dell’obbligo e ne dà immediata comunicazione al datore di lavoro che potrà adibire ad altra mansione il dipendente o sospenderlo momentaneamente dall’attività.
Tutta la gestione della relativa modulistica, come ad esempio la scheda anamnestica da far compilare ai soggetti, è di competenza degli operatori delle ATS che, coadiuvati dal Medico Competente di struttura, inseriscono i dati nel portale regionale. La realtà dei fatti è invece che spesso è il personale amministrativo, per mancanza di risorse o per snellire le attività, che si occupa di far compilare, raccogliere, inviare e archiviare il materiale.
A rimarcare la delicatezza dell’argomento e dei dati trattati il Documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”, pubblicato sul sito del Garante, ribadisce che ciascuno dei soggetti coinvolti nella realizzazione e gestione del piano vaccinale operi nell’ambito e nei limiti previsti, evitando la confusione di ruoli che può dare adito a una circolazione illecita di informazioni.
Resta quindi precluso al datore di lavoro raccogliere informazioni in merito a tutti gli aspetti relativi alla vaccinazione, compresi l’adesione alla campagna, l’avvenuta somministrazione del vaccino e ad altri dati relativi alle condizioni di salute del lavoratore.
E ancora: nei casi in cui vengano utilizzati strumenti informatici del datore di lavoro, nel rispetto del principio di responsabilizzazione, dovranno essere adottate misure tecniche e organizzative a garanzia che i dati personali relativi alle adesioni e all’anamnesi dei dipendenti non entrino, neanche accidentalmente, nella disponibilità del personale che svolge compiti amministrativi.
Precedenza alla privacy o alla tutela della salute?
Compito direi arduo e, anche se in concreto si tratta del segreto di Pulcinella, poiché le informazioni relative a soggetti positivi al Covid o vaccinati sono praticamente di dominio pubblico, non possiamo dimenticare che il GDPR prevede e pretende che siano solo i soggetti autorizzati a trattare questi dati personali.
Ricordiamoci quindi che serve sempre equilibrio e attenzione in tutto quello che si fa anche in buona fede per far sì che non vada a discapito della protezione di diritti e libertà fondamentali degli interessati.
