Pandemia e trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo – FAQ del Garante della privacy, 5 marzo 2021
Inoltriamo, per opportuna informazione, una nota dettagliata in merito al trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo, secondo le indicazione del Garante della Privacy.
Pandemia e trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo – FAQ del Garante della privacy
Il tema della vaccinazione contro il virus Sars-Cov-2 presenta risvolti legati alla privacy.
Il Garante, nelle FAQ del 17 febbraio 2021, ha affermato alcuni principi che, nonostante la grave situazione sanitaria, confermano i consueti limiti conoscitivi per il datore di lavoro, che incidono negativamente tanto sulla gestione del rapporto di lavoro quanto sulla tutela della sicurezza per il lavoratore e per i suoi colleghi.
L’ampio e puntuale obbligo di tutela della salute dei lavoratori che è al centro del Dlgs n. 81/2008 e l’obbligo – penalmente sanzionato – di tenere conto delle capacità e delle condizioni degli stessi in rapporto alla loro salute e alla sicurezza impone, in modo sempre più urgente, un intervento normativo che modifichi questa impostazione restrittiva, visto anche il consolidato orientamento in ordine all’impossibilità del datore di conoscere la causa di inidoneità.
I quesiti e le risposte
Il primo quesito al quale risponde il Garante è se “il datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione”.
Secondo il Garante la risposta è negativa: “il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l’avvenuta vaccinazione anti Covid-19. Ciò non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro”.
Questa ultima apertura sembra condizionare la conoscibilità del dato vaccinale (non sembra potersi dire lo stesso per l’individuazione o meno dell’obbligo vaccinale, vista la riserva di legge prevista dall’art. 32 della Costituzione) al fatto che essa sia prevista espressamente da un decreto-legge, un DPCM o anche una integrazione del Protocollo, al fine di tutelare il lavoratore ed i suoi colleghi.
Il datore di lavoro non può nemmeno avvalersi dell’eventuale consenso dei lavoratori, in quanto, secondo il Garante, il consenso non può “costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (considerando 43 del Regolamento)”.
Né il datore di lavoro può chiedere al medico competente i nominativi dei lavoratori vaccinati. Secondo il Garante, “solo il medico competente può, infatti, trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008)”
C’è da domandarsi, a questo punto, se, esclusa la conoscenza diretta del dato, il datore di lavoro possa almeno conoscere il giudizio di idoneità. A questa domanda, la risposta è positiva: “il datore di lavoro può invece acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008)”.
Questo vuol dire che il datore di lavoro potrebbe conoscere eventuali situazioni di inidoneità ma senza conoscerne il motivo e dovrebbe decidere le misure da adottare, sul piano organizzativo, senza sapere se la motivazione della inidoneità è la mancata sottoposizione alla somministrazione del vaccino, l’insufficienza della vaccinazione (laddove, sul piano scientifico, fosse confermato che nonostante la vaccinazione è ancora possibile tanto l’essere contagiati quanto l’essere contagiosi) ovvero altra causa.
L’ulteriore questione affrontata dal Garante è se la vaccinazione possa essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni (ad es. in ambito sanitario).
Il Garante, non essendo previsto dal legislatore che la vaccinazione sia condizione per l’accesso ai luoghi di lavoro, ritiene che “allo stato, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008)”.
A parte la improprietà del riferimento ai concetti di “esposizione diretta ad agenti biologici” e di “rischio elevato” quali presupposto per l’applicazione dell’art. 279 del d.lgs. n. 81/2008 (dove l’applicazione della norma si fonda, invece, sulla presenza del rischio biologico specifico), secondo il Garante l’unico rimedio per il datore di lavoro è applicare le disposizioni dell’art. 279 sopra richiamato, che fa espresso riferimento alla vaccinazione, (esclusivamente) nelle ipotesi di rischio specifico (e non in via generalizzata).
In tale ambito, il Garante si limita ad evidenziare che “solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica”.
Sembra delinearsi quindi una relazione tra l’efficacia e l’affidabilità del vaccino (quale risulta dalle indicazioni delle autorità scientifiche) ed il giudizio di idoneità alla mansione specifica. Se così è, il Garante attribuisce al medico competente la decisione se – nelle ipotesi di lavorazioni che espongono ad un rischio specifico – la mancata vaccinazione costituisca presupposto per un giudizio di inidoneità, che dovrebbe essere fondato anche sul carattere decisivo o meno della vaccinazione in termini di riduzione del contagio o di mitigazione della gravità della malattia.
All’esito di tale valutazione e della conseguente decisione finale da parte del medico competente, secondo il Garante, il datore di lavoro potrà “attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del d.lgs. n.81/2008)”.
In sintesi, secondo il Garante, il datore di lavoro può solamente chiedere al medico competente, nei casi di rischio specifico, se il lavoratore è idoneo o meno alle mansioni specifiche e solamente nell’ambito delle lavorazioni che presentano un rischio biologico specifico.
La vaccinazione e l’accesso a determinati locali o per la fruizione di taluni servizi
Il Garante si è pronunciato anche in merito alla ipotesi di condizionare l’accesso a determinati locali o la fruizione di alcuni servizi alla attestazione di essersi vaccinato o meno. Ovviamente, si pone immediatamente il tema dell’eventuale richiesta di attestazione ai fini dell’accesso nei locali aziendali (come avviene attualmente, secondo il Protocollo del 14 marzo 2020, per la temperatura, l’avere sintomi ovvero l’essere stato recentemente in Paesi a rischio) e l’eventuale dichiarazione di inidoneità (in mancanza di vaccinazione).
Il Garante evidenzia che i dati relativi allo stato vaccinale sono dati particolarmente delicati e un loro trattamento non corretto può determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone: conseguenze che, nel caso di specie, possono tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionali.
Il trattamento dei dati relativi allo stato vaccinale dei cittadini a fini di accesso a determinati locali o di fruizione di determinati servizi, deve quindi essere oggetto di una norma di legge nazionale, conforme ai principi in materia di protezione dei dati personali (in particolare, quelli di proporzionalità, limitazione delle finalità e di minimizzazione dei dati), in modo da realizzare un equo bilanciamento tra l’interesse pubblico che si intende perseguire e l’interesse individuale alla riservatezza.
In assenza di tale eventuale base giuridica normativa l’utilizzo in qualsiasi forma, da parte di soggetti pubblici e di soggetti privati fornitori di servizi destinati al pubblico, di app e pass destinati a distinguere i cittadini vaccinati dai cittadini non vaccinati è da considerarsi illegittimo.
Si conferma, quindi, l’esigenza di un intervento normativo che, anche per questo profilo, disciplini compiutamente la materia.
Il riferimento al rischio biologico specifico
Come unico aspetto positivo, si evidenzia che il Garante conferma la distinzione di fondo, anche dal punto di vista della sorveglianza sanitaria, tra le ipotesi di rischio biologico generico e quelle di rischio biologico specifico, dal momento che riconduce l’applicazione dell’art. 279 del Dlgs n. 81/2008 esclusivamente alle situazioni in cui è presente un rischio specifico di contagio e non anche a tutte le altre situazioni (dove, quindi, si continua a seguire il Protocollo del 14 marzo 2020).
Indirettamente, il Garante sembra, quindi, confermare che le disposizioni sulla valutazione del rischio biologico – dal quale consegue l’applicazione dell’art. 279 – riguardano solamente l’ambiente sanitario; diversamente, se tutti i datori di lavoro fossero tenuti alla valutazione del rischio biologico generico (ed esogeno all’ambiente di lavoro), dovrebbero tutti necessariamente applicare l’art. 279 del D.lgs. n. 81/2008.
Da questo punto di vista, quindi, può dirsi rafforzata la posizione espressa sin dall’inizio da Confindustria relativamente alla improprietà della richiesta di aggiornare la valutazione dei rischi e la correttezza della qualificazione del virus – fin dal Protocollo del 14 marzo 2020 – come rischio biologico generico (salve le aziende in cui è presente il rischio specifico, es. ospedali e RSA).