HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Vaccinazione nei luoghi di lavoro e trattamento dei dati personali

Vaccinazione nei luoghi di lavoro e trattamento dei dati personali

PrintMailRate-it

Ultimo aggiornamento del 17.05.2021 | Tempo di lettura ca. 5 minuti


È stato pubblicato sul sito del Garante per la  protezione dei dati personali (“Garante per la privacy”) il provvedimento del 13 maggio 2021 titolato "Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali" che si compone di due documenti scaricabili al link


Facendo seguito al Protocollo per il piano di vaccinazione del 6 aprile u.s. (“Protocollo”) e alle annesse Indicazioni ad interim dell’INAIL (“Indicazioni ad interim”), nonché ai diversi provvedimenti adottati durante l’emergenza sanitaria da SARS-CoV-2, fermo quanto già precisato in occasione delle FAQ in tema di vaccini del febbraio 2021, il Garante per la privacy precisa che anche la realizzazione e la gestione del piano vaccinale opera nell’ambito e nei limiti previsti dalla rispettiva disciplina applicabile (Reg. UE 2016/679, di seguito il “Regolamento”), evitando la confusione di ruoli che potrebbe determinare effetti lesivi dei diritti e delle libertà degli interessati.

In particolare, nel quadro dall’ordinamento vigente, anche alla luce delle specifiche disposizioni adottate nella attuale fase emergenziale, deve essere sempre assicurato il rispetto del tradizionale riparto di competenze tra il medico competente e il datore di lavoro sempre richiamato dal Garante per la privacy e il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche e soprattutto con riferimento al contesto emergenziale. 

In linea di continuità con la posizione assunta dal Garante per la privacy nel corso del tempo, pertanto, la titolarità del trattamento dei dati, già attribuita al medico dal quadro normativo di settore (es. d.lgs. 81/2008), viene ribadita nel quadro nazionale legato all’emergenza epidemiologica che ha confermato la centralità della figura del medico competente nel contrasto e nel contenimento della diffusione del virus SARS-CoV-2 nel contesto lavorativo.

In tale quadro, non è consentito al datore di lavoro raccogliere, direttamente dagli interessati, ovvero per il tramite del medico compente, di altri professionisti sanitari o di strutture sanitarie, informazioni in merito a tutti gli aspetti relativi alla vaccinazione, ivi compresa l’intenzione o meno della lavoratrice e del lavoratore di aderire alla campagna, alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle condizioni di salute del lavoratore.

Con riferimento alla base giuridica, il trattamento dei dati relativi alle vaccinazioni è necessario per finalità di medicina preventiva e, in pari tempo, di medicina del lavoro (art., 9, par.2, lett. h) e par. 3 del Regolamento). Tali trattamenti sono infatti espressamente affidati, anche dal Protocollo e dalle Indicazioni ad interim, esclusivamente a professionisti sanitari (es. medico competente, altro personale medico o medici INAIL. 

In questo contesto, i richiamati documenti presuppongono altresì che la vaccinazione nei luoghi di lavoro avvenga con il supporto strumentale ed economico dei datori di lavoro, anche in forma associata, ai quali è altresì demandato il compito di promuovere l’iniziativa della vaccinazione presso i luoghi di lavoro fornendo, in particolare, alla generalità dei dipendenti, le indicazioni utili relative alle complessive caratteristiche del servizio vaccinale usufruibile in azienda e sottoposto alla supervisione dell’azienda sanitaria di riferimento, ad esempio, rendendo disponibile, anche sulla rete intranet, documenti esplicativi. Tali attività di sensibilizzazione potranno avvenire con il supporto del medico competente, anche promuovendo apposite iniziative di comunicazione e informazione sulla vaccinazione anti SARS-CoV-2/Covid-19.

Il datore di lavoro, all’atto della presentazione del piano vaccinale aziendale all’ASL territorialmente competente, dovrà limitarsi, sulla base delle indicazioni fornite dal professionista sanitario, a indicare esclusivamente il numero complessivo dei vaccini necessari per la realizzazione dell’iniziativa il datore di lavoro, attraverso le competenti funzioni interne, potrà fornire al professionista sanitario indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali, senza però trattare dati personali relativi alle adesioni di lavoratrici e lavoratori identificati o identificabili.

Per effettuare le operazioni di trattamento dei dati personali richieste, il medico competente deve porre in essere gli obblighi che il Regolamento pone in capo ai titolari del trattamento e, in particolare:
  • istituzione del registro delle attività di trattamento (art. 30 del Regolamento). In tale caso, il medico potrà avvalersi degli strumenti (ad es. applicativi informatici) già utilizzati dal datore di lavoro per assolvere all’obbligo di redazione e tenuta del registro;
  • informativa agli interessati (art. 14 del Regolamento). Di regola, il medico competente riceve i dati anagrafici dei lavoratori dal datore di lavoro; pertanto, deve predisporre l’informativa di cui all’art. 14 del Regolamento al momento della prima comunicazione all’interessato;
  • sicurezza dei dati personali (artt. 32-34 del Regolamento). Il medico competente dovrà identificare e adottare tali misure in proprio, fermo restando che potrà avvalersi della cooperazione e del supporto, anche economico, del datore di lavoro. Nei casi in cui vengano utilizzati strumenti (ad es. applicativi informatici) del datore di lavoro, nel rispetto del principio di responsabilizzazione, dovranno essere adottate le misure tecniche e organizzative affinché il trattamento sia conforme alla normativa di settore in materia di salute e sicurezza sui luoghi di lavoro (cfr. artt. 24 e 25 del Regolamento), garantendo, ad esempio, che i dati personali relativi alla diagnosi dei dipendenti non entrino, anche accidentalmente, nella disponibilità del datore di lavoro, predisponendo a tal fine misure che assicurino l’accesso selettivo ai dati o che li rendano non comprensibili ai soggetti non autorizzati, ad esempio mediante ricorso alla cifratura degli stessi dati. In tali casi dovrà essere regolamentato, limitatamente a tali profili, il rapporto tra le parti ai sensi dell’art. 28 del Regolamento, tenuto conto delle forme di cooperazione tra titolare e responsabile e dei rispettivi obblighi previsti dal Regolamento (v. artt. 28, par. 2, lett. c) e f) nonché 32, 33, 34, 35 e 36 del Regolamento), prevedendo specifiche misure organizzative volte a escludere l’accesso ai dati da parte del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro;
  • nomina del Responsabile della protezione dei dati (artt. 37-39 del Regolamento). Il singolo professionista sanitario che opera in regime di libera professione a titolo individuale, non è tenuto alla designazione del Responsabile della protezione dei dati.

Autore:
Flavia Terenzi - Senior Associate

dalla newsletter
Legal Newsletter

contatti

Contact Person Picture

Nadia Martini

Avvocato

Partner

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi

data protection
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu