Avv. Victoria Parise - Patner The Legal Match

Dott.ssa Viviana Cataldi - collaboratrice The Legal Match

Molte aziende si sono dichiarate disponibili a vaccinare i loro dipendenti, e molte si scontreranno con i limiti imposti dalla normativa privacy e con i limiti della normativa giuslavoristica.

Come eseguire la vaccinazione senza ledere la riservatezza della scelta sul vaccino del lavoratore? (Scelta, lo ricordiamo, libera e molto personale).

E se non si procede ad un vaccino in azienda il datore di lavoro può richiedere il cosiddetto green pass per riammettere in servizio un dipendente e/o per scegliere il soggetto da mandare in trasferta? E ancora: condotte che portino ad un’esclusione del lavoratore che non sia vaccinato o libero di circolare (es. collocazione in CIG, non rientro al lavoro e/o esclusione dalle trasferte, etc.) possono integrare una discriminazione?

Per rispondere a queste domande è bene guardare alla normativa vigente, ricordandoci che il panorama normativo è più mutevole che mai e quel che vale oggi non è detto valga domani ed è bene chiedere un consulto al professionista prima di intraprendere questo tipo di iniziative.

Indice degli argomenti

a)       Vaccinazioni in azienda, il nodo della privacy

b)      Come procedere in modo corretto

c)       Come comportarsi con i lavoratori che siano in possesso di Green Pass

d)      Come comportarsi se il lavoratore ha reso manifestatamente pubblico il dato relativo alla vaccinazione o al possesso di Green Pass

e)       Le questioni privacy relative ai vaccini in azienda e al green pass che il Governo dovrà superare

Partiamo dalle vaccinazioni in azienda e dalla loro pianificazione: la vaccinazione implica l’allontanamento temporaneo del lavoratore durante la somministrazione del vaccino ed è evidente che organizzare una turnazione dei vaccini – compatibile con le esigenze di produzione e/o di attività – possa rivelare facilmente chi abbia scelto di vaccinarsi e chi no (si pone inoltre la problematica relativa al conteggio del tempo di somministrazione del vaccino quale orario di lavoro, indicato come tale dal Protocollo condiviso dalle parti sociali^[1]).

Le prescrizioni del Garante per la Privacy non lasciano molta discrezionalità, e in particolare riguardo agli ambienti destinati alla vaccinazione questi dovrebbero avere caratteristiche tali da “evitare per quanto possibile di conoscere, da parte di colleghi e di terzi, l’identità dei dipendenti che hanno scelto di aderire alla campagna vaccinale” e dovrebbero altresì essere adottate non meglio identificate misure che prevengano “l’ingiustificata circolazione di informazioni nel contesto lavorativo o comportamenti ispirati a mera curiosità”. Compito piuttosto arduo, come ben si può immaginare, che carica il datore di responsabilità che certo non lo incoraggiano a dare il suo contributo alla campagna vaccinale.

Peraltro, viene da chiedersi se, in un momento in cui si discute dell’introduzione di un green pass vaccinale per accedere a determinati luoghi o attività, abbia davvero senso, in un’ottica di bilanciamento tra libertà del singolo e diritto alla salute collettiva, inibire sempre e comunque al datore di lavoro la conoscenza dello stato di vaccinazione o meno del lavoratore, privandolo così della possibilità di organizzare l’attività, nelle sue varie articolazioni (turni, trasferte, mansioni a rischio), in modo più sicuro.^[2]

E allora come poter procedere con le vaccinazioni in modo corretto?

Sempre il Garante è intervenuto lo scorso 13 maggio 2021 con il documento di indirizzo^[3] dedicato proprio a questo tema evidenziando che è necessario che sia il medico competente a mantenere riservato il dato sanitario relativo allo stato di vaccinazione, limitandosi ad informare il datore di lavoro sull’idoneità all’attività lavorativa del lavoratore.

Dunque, il Garante ribadisce che nel quadro dall’ordinamento vigente, anche alla luce delle specifiche disposizioni adottate nella attuale fase emergenziale, deve essere sempre assicurato il rispetto del tradizionale riparto di competenze tra il medico competente e il datore di lavoro (da ultimo ribadito nell’ambito del documento denominato: Protezione dei dati: il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale^[4]). La figura del medico competente è a questo punto centrale per gli obiettivi vaccinali aziendali (v. anche Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARSCoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021, che ha aggiornato il protocollo del 24 aprile 2020), anche in ragione del raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo.

Nella pratica il datore di lavoro, in base alle proprie esigenze e in considerazione dei rischi di cui al DVR, potrà chiedere al medico l’idoneità per alcune categorie di lavoratori alla mansione, in modo da evitare di conoscere lo stato vaccinale del lavoratore, ma allo stesso tempo organizzare l’attività lavorativa. La terzietà del professionista sanitario tenuto per legge alla riservatezza sarebbe per l’Autorità la scelta più compliance con la normativa privacy.

Se questo sembra possibile in realtà aziendali medio grandi (dove, comunque, non si escludono problematicità relative all’effettiva riservatezza del dato) lo stesso non può dirsi per realtà piccole o medio piccole. In considerazione che per esigenze di servizio, turnazione e trasferta il dato sulla vaccinazione potrebbe indirettamente evincersi (es. anche dal generico giudizio di idoneità del medico competente) è consigliabile – a parere di chi scrive – adottare quale misura di sicurezza organizzativa del trattamento di questi dati la predisposizione di un incarico ad hoc per il responsabile delle risorse umane, o chi si occupi della pianificazione lavorativa, ai sensi dell’art. 2 quaterdecies Codice Privacy, fornendo allo stesso tutte le indicazioni circa la corretta gestione dei dati dei lavoratori, magari con una specifica formazione sul punto. Per realtà più piccole è consigliabile una sensibilizzazione al tema della riservatezza o comunque l’indicazione circa il corretto trattamento di queste informazioni da parte del personale, con rendicontazione scritta di quanto svolto.

Fra gli adempimenti documentali sarà necessario che il lavoratore riceva, in caso di vaccinazione, indicazione sull’effettivo Titolare del trattamento dei dati e dunque dovrebbe ricevere un’informativa – a stretto rigore – sia dal medico che dal Titolare del trattamento^[5].

Sempre con riferimento a documenti privacy di cui il Titolare potrebbe doversi munire in questa fase del DPIA, da svolgersi prima dell’inizio delle attività e in ogni caso previo parere del professionista o se del caso del DPO.

Come comportarsi con i lavoratori che siano in possesso di green pass? L’imprenditore può richiederlo?

La richiesta di esibizione o possesso del green pass avrà la stessa sorte dei dati relativi alla vaccinazione. Ossia potrà essere trattata nel contesto lavorativo solo dal medico competente.

Qualsiasi tipo di discriminazione discendente dalla mancata vaccinazione o dal mancato possesso del Green Pass potrà essere rivendicata dal lavoratore in base alle norme di diritto del lavoro, artt 5 e 8 della L. 300/70 e la normativa pertinente al tema).

L’informazione personale quando resa manifestatamente pubblica dall’interessato (ipotesi prevista quale condizione di legittimità del trattamento ex art. 9 comma 2 lett. e) è dato trattabile dal Titolare qualora la finalità sia legittima. Ebbene qualora un lavoratore di sua sponte abbia reso il dato pubblico lo si potrà trattare, ma resta a carico del Titolare (in sede di eventuale richiesta del Garante o di altra Autorità) dimostrare tale circostanza. Infatti, trattandosi di un soggetto c.d. debole (in ragione del metus tipico del lavoratore dipendente verso il datore di lavoro) tale conferimento di dati dovrebbe essere, similmente al consenso, reso dal lavoratore in modo totalmente libero e ciò, in questo caso, comporta che non si tratti di una risposta ad una domanda del datore di lavoro, ma di una dichiarazione spontanea resa dal lavoratore. La finalità del trattamento – ossia lo scopo per il datore di lavoro – incontrerà comunque i limiti dello Statuto dei Lavoratori e della normativa in materia di diritto del lavoro (divieto di indagini, accertamenti sanitari, etc.)

Sulla campagna vaccinale in azienda: probabilmente chi abbia effettiva necessità della presenza in sede di lavoratori e/o svolga attività al pubblico predisporrà campagne vaccinali aziendali che se non adeguatamente organizzate, lato privacy, potranno dar luogo a elevate sanzioni o richieste di risarcimento da parte degli interessati. Il Governo dovrebbe – in accordo con l’Autorità e di concerto con le parti Sociali – razionalizzare le disposizioni in tema di vaccinazione in azienda in modo favorire le soluzioni pratiche per realizzarla. Rivolgersi ad un professionista o coinvolgere la funzione preposta è per l’imprenditore l’unica chiave per evitare problematiche legali nonché evitare condizionamenti del clima lavorativo.

Infatti, non va tralasciato quest’ultimo che permette al lavoratore di richiedere il risarcimento di eventuali danni patiti per la mancata protezione dei suoi dati in ragione della normativa privacy, nonché in forza della normativa in materia di diritto del lavoro (es. in tema di discriminazione o di indagini sul lavoratore) per il ristoro degli eventuali danni anche non patrimoniali arrecati al dipendente da tali condotte.

Per il green pass: sembra difficile per il Governo raggiungere l’obiettivo di far partire questo progetto senza violare la normativa privacy. Il Garante ha indicato precisamente – nel suo avvertimento formale ^[6]del 23 aprile scorso – quali siano le criticità del Decreto-legge del 22 aprile 2021, n. 52 (artt. 2 e 9, nonché degli allegati relativi ai dati della c.d. Certificazione Verde anche detto Green Pass). E in particolare l’Autorità ritiene:

• che sia mancata la necessaria consultazione preventiva dell’Autorità Garante^[7] da parte delle Istituzioni e del Governo;
• Non idonea la base giuridica per il trattamento dei dati relativi all’emissione, gestione e utilizzo della Certificazione Verde o Green Pass, in quanto il decreto-legge non rappresenta una condizione di legittimità per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies)^[8].
• Sussistere una violazione del Principio di minimizzazione dei dati: il decreto legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento), e in particolare il Garante ritiene che ritiene non sia pertinente indicare sulla certificazione ulteriori informazioni e che non sia necessario l’utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate, atteso che il decreto non prevede ipotesi diverse per il relativo utilizzo.
• Il decreto-legge del 22 aprile 2021, 52, violerebbe anche il principio di esattezza dei dati: secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. d) del Regolamento). Il sistema transitorio non consentirebbe infatti di verificare l’attualità delle condizioni attestate nella certificazione, perché non può tener conto, in assenza della piattaforma, delle eventuali modificazioni delle condizioni relative all’interessato (sopraggiunta positività) successive al momento del rilascio della stessa (art. 9, comma 4).
• Il decreto-legge violerebbe poi il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento). Il decreto, infatti, oltre a non individuare in modo puntuale le finalità, non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi.
• Le disposizioni del decreto violerebbero anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento).Ciò assume particolare rilievo tenuto conto che le disposizioni sembrerebbero introdurre misure temporanee, destinate a essere sostituite da quelle individuate in sede europea.
• Il Garante precisa anche che l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, determinando un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le libertà degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle libertà personali, avrebbe reso sicuramente opportuno effettuare una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10 del Regolamento. Ciò, in particolare, in quanto la misura, prevista dal decreto-legge, entra in vigore sin dal giorno successivo alla sua pubblicazione.

Il datore di lavoro in questo quadro dovrà mantenere salda l’impostazione tesa alla riservatezza del lavoratore e valutare preventivamente insieme ad un professionista rischi e benefici della campagna vaccinale in base alle singole esigenze e soprattutto tenere monitorata l’evoluzione normativa e ci auguriamo che anche l’EDPB a livello europeo si pronunci sulle certificazioni in modo da permettere l’esercizio di quei diritti fondamentali che contraddistinguono l’Unione come la libertà di circolazione delle persone.

Note

1. https://www.salute.gov.it/imgs/C_17_pagineAree_5383_0_file.PDF 
2. https://www.federprivacy.org/strumenti/accesso-ristretto/vaccinazioni-in-azienda-le-criticita-del-rispetto-della-privacy 
3. https://www.gpdp.it/documents/10160/0/Documento+di+indirizzo+-+Vaccinazione+nei+luoghi+di+lavoro+indicazioni+generali+per+il+trattamento+dei+dati+personali.pdf/6c626cd4-a43a-99b9-507c-ac9e048b8a61?version=3.0 
4. Tale documento, in linea di continuità con la posizione assunta dal Garante nel corso del tempo, individua proprio nella titolarità del trattamento dei dati, attribuita al medico dal quadro normativo di settore (es. d.lgs. 81/2008), il principale elemento di garanzia per gli interessati sui luoghi di lavoro. 
5. Soprattutto qualora per l’organizzazione della vaccinazione il personale preposto tratti informazioni che possano indirettamente permettere di risalire al dato sanitario (di tipo particolare ex art. 9 GDPR). 
6. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9578184
7. Il tempestivo e necessario coinvolgimento dell’Autorità, previsto anche “durante l’elaborazione di una proposta di atto legislativo”, oltre a evitare il vizio procedurale, avrebbe consentito all’Autorità di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione. Il carattere di urgenza della norma non costituisce condizione ostativa al preventivo coinvolgimento dell’Autorità, atteso che il Garante, nell’ultimo anno, consapevole della necessità che le disposizioni sottoposte alla sua attenzione fossero adottate tempestivamente, ha sempre reso i pareri di propria competenza sugli atti normativi predisposti in merito all’emergenza sanitaria in tempi molto ristretti, fornendo, laddove necessario, il proprio parere anche d’urgenza a firma del Presidente (cfr. ex multis Parere sulla proposta normativa per la previsione di un’applicazione volta al tracciamento dei contagi da Covid-19  del 29 aprile 2020; Parere su uno schema di disposizione normativa volta a consentire indagini di sieroprevalenza sul SARS-COV-2 al Ministero della salute e all’Istat per finalità epidemiologiche e statistiche del 4 maggio 2020; Autorizzazione al Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19, di cui all’art. 6 del d.l. 30 aprile 2020, n. 20 del 1.6.2020; Parere su schema di decreto del Ministero dell’Economia e delle Finanze, di concerto con il Ministero della salute, relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria nell’ambito del sistema di Allerta Covid 19 di cui all’art. 6, comma 1 del decreto legge n. 30/04/2020, n. 28 del 1.6.2020; Parere d’urgenza del Presidente al MEF sulla ricetta elettronica dematerializzata del 19.3.20, ratificato dal Collegio il 26.3.20). 
8. In via principale, l’impianto normativo non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica .

https://www.agendadigitale.eu/sicurezza/privacy/vaccinazioni-in-azienda-e-green-pass-del-dipendente-le-domande-aperte-sulla-normativa/