Con proprio provvedimento n. 198/2021 l’Autorità ha fornito le proprie indicazioni in materia di vaccinazioni nei luoghi di lavoro.
La sottoscrizione del “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro” dello scorso 6 aprile ha avviato l’inizio della campagna vaccinale anche all’interno delle aziende. In risposta alle numerose richieste pervenute al Garante, sulla corretta gestione delle attività di trattamento, è stato emanato un documento di indirizzo dedicato ai datori di lavoro. Sono state fornite, inoltre, chiare indicazioni in merito al ruolo del Medico Competente.
Vediamone il contenuto.
Preliminarmente, è doveroso precisare che si tratterà in ogni caso di un’iniziativa oggetto di “[…] un’attività di sanità pubblica che si colloca nell’ambito del Piano strategico nazionale per la vaccinazione anti-SARS-CoV-2/Covid-19 predisposto dal Commissario Straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica” a cui le aziende decideranno di aderire.
Dal punto di vista della protezione dei dati personali la parola d’ordine è la chiara delimitazione dei ruoli, e la limitazione delle attività di trattamento che coinvolgano i dipendenti.
Il Medico Competente è un titolare autonomo del trattamento e nell’ambito delle proprie prerogative è l’unico soggetto legittimato al trattamento dei dati sanitari dei dipendenti.
Si legge, infatti, nel documento riguardante il Medico Competente che: “Con specifico riguardo ai trattamenti di dati personali inerenti la vaccinazione di dipendenti si osserva che, nel quadro generale, in un contesto finalizzato a mantenere un livello elevato di salute e sicurezza del dipendente, degli altri lavoratori e dei terzi, il datore di lavoro deve assicurare che i dipendenti “non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità” […] e di tenere conto, nell’affidare i compiti ai lavoratori, “delle capacità e delle condizioni degli stessi in rapporto alla loro salute e sicurezza” (art. 18, comma 1, lettera c), d.lgs. n. 81/2008). Il medico competente, nell’ambito delle proprie attività di sorveglianza sanitaria, è invece l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008)”.
Inoltre, nell’ambito dell’organizzazione della campagna vaccinale in azienda: “[…] le principali attività di trattamento dati – dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione- devono essere effettuate dal medico competente o da altro personale sanitario (il citato Protocollo prevede infatti il necessario coinvolgimento dei medici competenti o di altri operatori sanitari convenzionati ovvero il ricorso ai servizi territoriali di INAIL, cfr. parr.7, 9,10, 11, 13, 14)”.
Pertanto, nell’ambito delle precedenti attività il sanitario sarà obbligato alla tenuta del Registro delle attività di trattamento (art. 30 GDPR), a fornire l’informativa agli interessati (art. 13 GDPR), nominare il DPO, se necessario, e garantire la sicurezza delle attività di trattamento (art. 32 GDPR).
Con riferimento alla base giuridica da utilizzare per le attività di trattamento effettuate, viene indicato in modo netto l’art., 9, par.2, lett. h) GDPR, ovvero finalità di medicina preventiva o di medicina del lavoro.
Infine, viene ribadito più volte che il Datore di lavoro non è autorizzato in alcun modo ad accedere ai dati personali riguardanti il personale che ha deciso di aderire alla campagna vaccinale, neppure con il loro consenso esplicito.
Comments