Vaccinazione anti Covid in azienda e privacy

---

Condividi l'articolo:

---

Un documento di indirizzo con le indicazioni generali per il trattamento dei dati personali per la vaccinazione nei luoghi di lavoro e un documento sul ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale. Sono i documenti adottati dal Garante per la privacy, che ne ha dato notizia sul proprio sito con nota del 14 maggio 2021.

Le prescrizioni, che fanno parte integrante del provvedimento del 13 maggio 2021 n. 198, guidano alla migliore comprensione delle norme sul trattamento dei dati personali da parte dei soggetti a vario titolo coinvolti nell'iniziativa di vaccinazione in azienda (datori di lavoro, medico competente, altri professionisti sanitari individuati).

Vaccinazione presso i luoghi di lavoro

Il Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARSCoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021 (che ha aggiornato il protocollo del 24 aprile 2020) nonchè le “Indicazioni ad interim per la vaccinazione anti-SARS-CoV-2/Covid-19 nei luoghi di lavoro” del 6 aprile 2021, adottate dal Ministero della salute e dal Ministero del lavoro e delle politiche sociali, d’intesa con la Conferenza delle Regioni e delle Province Autonome, con il Commissario Straordinario per il contrasto dell’emergenza epidemiologica e con il contributo tecnico-scientifico dell’Inail confermano il ruolo centrale del medico competente nel contrasto e nel contenimento della diffusione del virus SARS-CoV-2 nel contesto lavorativo e come raccordo con il sistema sanitario nazionale/locale.

Il Garante privacy spiega che l'attività di vaccinazione nei luoghi di lavoro avviene con il supporto strumentale ed economico dei datori di lavoro, anche in forma associata, ai quali è anche demandato il compito di promuovere l’iniziativa di vaccinazione fornendo ai dipendenti le indicazioni utili sulle caratteristiche del servizio vaccinale in azienda, rendendo disponibile, ad esempio, anche sulla rete intranet, documenti esplicativi. Attività di sensibilizzazione che potranno avvenire con il supporto del medico competente.

Anche  nell’ambito dello svolgimento delle attività di supporto è fatto però divieto assoluto al datore di lavoro di trattare i dati personali relativi a tutti gli aspetti connessi alla vaccinazione dei propri dipendenti anche in presenza di consenso dei dipendenti. Il datore di lavoro non potrà infatti raccogliere, direttamente dagli interessati, tramite il medico compente, altri professionisti sanitari o strutture sanitarie, informazioni in merito a tutti gli aspetti relativi alla vaccinazione, ivi compresa l’intenzione o meno della lavoratrice e del lavoratore di aderire alla campagna, alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle condizioni di salute del lavoratore.

Raccolta delle adesioni e prenotazione delle dosi

L’informazione relativa all’adesione volontaria da parte della lavoratrice e del lavoratore deve essere trattata solo dal professionista sanitario opportunamente individuato “che potrà valutare preliminarmente specifiche condizioni di salute, nel rispetto della privacy, che indirizzino la vaccinazione in contesti sanitari specifici della Azienda Sanitaria di riferimento, che ne assicura la necessaria presa in carico” nonché ai fini dell’individuazione del numero delle dosi e della tipologia di siero/vaccino.

Il datore di lavoro, all’atto della presentazione del piano vaccinale aziendale all’ASL territorialmente competente, dovrà limitarsi, sulla base delle indicazioni fornite dal professionista sanitario, a indicare esclusivamente il numero complessivo dei vaccini necessari per la realizzazione dell’iniziativa.

Il piano vaccinale aziendale, elaborato con il supporto del professionista sanitario e presentato dal datore di lavoro, non dovrà contenere elementi in grado di rivelare l’identità dei lavoratori aderenti all’iniziativa.

Il professionista sanitario (o la struttura sanitaria di riferimento), una volta che siano state raccolte le adesioni, procederà a pianificare le sedute vaccinali, adottando, nel trattamento dei dati, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, con il supporto, anche economico, del datore di lavoro.

I dati personali relativi alle adesioni e all’anamnesi dei dipendenti non devono entrare, neanche accidentalmente, nella disponibilità del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro.

Nei casi in cui il datore di lavoro ricorra a strutture sanitarie private ovvero, in assenza del medico competente, alle strutture territoriali dell’Inail, lo stesso adotterà iniziative per consentire ai dipendenti, qualora intendano aderire all’iniziativa, di rivolgersi direttamente alle predette strutture.

Pianificazione delle vaccinazioni

Il datore di lavoro potrà fornire al professionista sanitario indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali esimendosi dal trattare dati personali relativi alle adesioni di lavoratrici e lavoratori identificati o identificabili.

Il professionista sanitario potrà elaborare il calendario delle sedute vaccinali tenendo conto, ove possibile, delle indicazioni fornite dal datore di lavoro, anche alla luce del numero e della tipologia dei vaccini resi disponibili dalla struttura sanitaria pubblica e nel rispetto delle “indicazioni tecniche e delle buone pratiche relative a conservazione, preparazione e somministrazione del vaccino”.

Somministrazione e registrazione del vaccino 

La somministrazione del vaccino “è riservata ad operatori sanitari in grado di garantire il pieno rispetto delle prescrizioni sanitarie adottate per tale finalità e in possesso di adeguata formazione per la vaccinazione anti SARS-CoV-2/Covid-19” e deve essere effettuata all’interno dei locali, individuati dal datore di lavoro nel rispetto dei requisiti indicati nelle “Indicazioni ad interim” , con la supervisione dell’autorità sanitaria competente.

Il datore di lavoro potrà fornire il proprio supporto mettendo a disposizione strumenti informatici per consentire, al personale sanitario addetto alle vaccinazioni, di accedere, con le proprie credenziali, ai sistemi informativi predisposti per la registrazione delle somministrazioni dei vaccini.

Inoltre, evidenzia il Garante privacy, per quanto possibile nei luoghi prescelti dovranno essere adottate misure che garantiscano la riservatezza e la dignità del lavoratore, anche nella fase immediatamente successiva alla vaccinazione, prevenendo l’ingiustificata circolazione di informazioni nel contesto lavorativo.

Giustificazione delle assenze 

II tempo necessario alla vaccinazione eseguita durante il servizio è equiparato a tutti gli effetti all’orario di lavoro.

La giustificazione dell’assenza, ove richiesta, potrà essere fornita con le modalità ordinarie stabilite nei contratti collettivi nazionali applicabili, ovvero mediante rilascio da parte del soggetto che somministra la vaccinazione all’interessato di un’attestazione di prestazione sanitaria indicata in termini generici.

Dall’attestazione prodotta dal dipendente non deve essere possibile risalire al tipo di prestazione sanitaria ricevuta.

Il datore di lavoro, salva la conservazione del documento in base agli obblighi di legge, dovrà astenersi dall’utilizzare le informazioni per altre finalità e non potrà chiedere al dipendente conferma dell’avvenuta vaccinazione o chiedere l’esibizione del certificato vaccinale.

Medico competente e trattamenti di dati personali

Il secondo documento allegato al provvedimento del Garante per la privacy del 13 maggio 2021 si sofferma sulla centralità del ruolo medico competente in materia di sicurezza sul luogo di lavoro, nel contesto dell’emergenza epidemiologica da virus SARS-CoV-2  e nel rispetto del necessario riparto di ruoli e competenze con il datore di lavoro e medico competente.

Vaccinazione dei dipendenti

Con specifico riguardo ai trattamenti di dati personali inerenti la vaccinazione di dipendenti si osserva che solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’efficacia e all’affidabilità medico-scientifica della somministrazione dei vaccini, può emettere giudizi di idoneità parziale e/o inidoneità temporanee per i lavoratori non vaccinati, fatto salvo che il rischio non possa essere ridotto con misure di protezione e/o organizzative alternative e di eguale efficacia.

Il datore di lavoro a propria volta, qualora venga espresso un giudizio di inidoneità alla mansione specifica, è tenuto ad adibire il lavoratore, ove possibile, a mansioni equivalenti o inferiori garantendo il trattamento corrispondente alle mansioni di provenienza (art. 42 d.lgs. n. 81/2008).

Un discorso a parte va fatto per i casi di esposizione diretta ad "agenti biologici" durante il lavoro, come nel contesto sanitario, ove trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008).

Si ricorda che per le professioni sanitarie l’art. 4 del D.L. 1° aprile 2021, n. 44 ha introdotto l'obbligo vaccinale, requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative rese dai soggetti obbligati.

Principali adempimenti in materia di privacy

Il Garante per la privacy riepiloga infine i seguenti principali adempimenti del medico competente in materia di protezione dei dati personali:

Adempimento	Obblighi del medico competente
Istituzione del registro delle attività di trattamento (art. 30 del Regolamento)	Il medico competente deve istituire e tenere un proprio registro, distinto da quello del datore di lavoro che gli ha conferito l’incarico (anche nel caso in cui sia un dipendente che svolge il ruolo di medico competente per il proprio datore di lavoro), potendo avvalersi anche degli strumenti (ad es. applicativi informatici) già utilizzati dal datore di lavoro
Informativa agli interessati (art. 14 del Regolamento)	All'atto del conferimento dell’incarico ovvero in caso di nuove assunzioni di personale il medico competente riceve i dati anagrafici dei lavoratori dal datore di lavoro nonchè successivamente ogni utile aggiornamento o rettifica dei dati. Di conseguenza, il medico competente potrà fornire informativa privacy (paragrafi 1 e 2 dell’art. 14 del Regolamento) al momento della prima comunicazione all’interessato
Sicurezza dei dati personali (artt. 32-34 del Regolamento)	Il medico competente dovrà identificare e adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio avvalendosi della cooperazione e del supporto, anche economico, del datore di lavoro. Nei casi in cui vengano utilizzati strumenti (ad es. applicativi informatici) del datore di lavoro, si dovranno prevedere specifiche misure organizzative volte a escludere l’accesso ai dati da parte del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro.
Nomina del Responsabile della protezione dei dati (artt. 37-39 del Regolamento)	Il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, non è tenuto alla designazione del responsabile della protezione dei dati (RPD) con riferimento allo svolgimento della propria attività.