La collaborazione tra autorità sanitarie e aziende, disciplinata dal “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro” è un punto qualificante della campagna vaccinale in corso, in quanto consente di sfruttare gli spazi e le risorse messe a disposizione dalle imprese per procedere a immunizzare i dipendenti “a lavoro”, senza bisogno di impegnare le strutture sanitarie regionali. Anche le associate di Confindustria Radio Televisioni a suo tempo hanno dato la loro disponibilità ad aderire alla campagna, interpellando attraverso l’Associazione la struttura commissariale su alcune modalità operative. Ovviamente nel processo vengono coinvolte problematiche legate alla riservatezza dei lavoratori e il Garante Privacy, con il documento di indirizzo allegato al provvedimento numero 198 del 13 maggio 2021, ha ritenuto di dover dare alcune indicazioni di comportamento alle imprese. Ma la loro applicazione nella pratica sarà tutt’altro che agevole.

Dal punto di vista strettamente tecnico-giuridico il Garante ritiene che il trattamento dei dati relativi alle vaccinazioni sia “necessario per finalità di medicina preventiva e, in pari tempo, di medicina del lavoro, come indica il GDPR   (art., 9, par.2, lett. h) e par. 3 del Regolamento. Il paragrafo 3 dello stesso articolo prevede che tale trattamento debba essere fatto da (o sotto la responsabilità di) un professionista soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza (per il nostro ordinamento, il medico competente). Siamo pertanto, quindi, nell’ambito di un trattamento lecito operato dal datore di lavoro.

Tuttavia, secondo il Garante, “resta salvo” il divieto di trattare i dati personali relativi a tutti gli aspetti connessi alla vaccinazione dei dipendenti. Inoltre, tenuto conto dello squilibrio del rapporto tra titolare e interessato nel particolare contesto lavorativo, il consenso dei dipendenti non può costituire un valido presupposto di liceità. Tali affermazioni di principio si traducono in una serie di prescrizioni piuttosto severe e rigide: per es. in tema di raccolta delle adesioni e prenotazione delle dosi, per le quali si prevede che le relative informazioni debbano essere trattate solo dal professionista sanitario opportunamente individuato (ossia il medico competente o in mancanza gli uffici INAIL); o in tema di presentazione, da parte del datore di lavoro alla ASL, dei dati raccolti in forma anonima dal sanitario per il piano con la predisposizione di misure tecnico-organizzative affinché il trattamento sia conforme alla normativa, garantendo che i dati personali non entrino nella disponibilità delle funzioni aziendali che svolgono compiti datoriali.

In caso di convenzione con strutture sanitarie private, ovvero di ricorso alle strutture territoriali dell’INAIL, il percorso si semplifica, perché il lavoratore si rivolge direttamente a tali strutture. Ma complessità si intravedono anche successivamente, quando si arriverà finalmente alla somministrazione del vaccino: gli ambienti selezionati per tale operazione dovranno avere caratteristiche tali da evitare per quanto possibile di conoscere da parte di colleghi o di terzi l’identità dei dipendenti che hanno scelto di aderire la campagna vaccinale, con misure volte a garantire la riservatezza e la dignità del lavoratore anche nella fase immediatamente successiva la vaccinazione, evitando l’ingiustificata circolazione di informazioni del contesto lavorativo. Infine, per quanto riguarda la giustificazione delle assenze, fermo restando che il tempo necessario alla vaccinazione è equiparato a tutti gli effetti all’orario di lavoro, si procederà con le modalità ordinarie stabilite dai contratti collettivi, ovvero mediante rilascio da parte del soggetto che somministra la vaccinazione di un’attestazione di prestazione sanitaria indicata in termini generici. Laddove l’attestazione prodotta dal dipendente consenta di risalire al tipo di prestazione sanitaria ricevuta, il datore di lavoro non può utilizzare tali informazioni per altre finalità nel rispetto dei principi di protezione dei dati.

Avv. Giuseppe Colaiacomo

Avvocato in Roma, esperto in materia di privacy e diritto del lavoro

https://www.linkedin.com/giuseppe-colaicomo