Trattamento dei dati relativi alla vaccinazione Covid-19 nel contesto lavorativo in ambito privato.

di Consuelo Leonardi

In Italia la campagna vaccinale contro il Covid-19 si trova ancora in una fase iniziale e il mondo imprenditoriale non è stato finora coinvolto, tuttavia le domande e i dubbi che circolano all’interno delle aziende, e non solo, sono molteplici. 

La dottrina, giuslavoristica in particolare, ma non solo, ha tentato di trovare risposte ai diversi interrogativi sollevati dalla vaccinazione nel contesto lavorativo, che spaziano dall’eventuale obbligatorietà della vaccinazione per la generalità dei dipendenti ovvero per determinate categorie e/o settori, alla corretta gestione e trattamento dei dati personali sulla vaccinazione. 

L’Autorità Garante per la Privacy, con nota del 17 febbraio 2021, ha ritenuto necessario fornire uno strumento utile ai titolari delle aziende, nonché Enti e Amministrazioni pubbliche per la corretta applicazione della disciplina della normativa applicabile (Regolamento UE 2016/679 “GDPR” e D.lgs. 196/2003 novellato dal D.lgs. 101/2018) nell’ambito della gestione e del trattamento dei dati personali relativi alla vaccinazione in ambito lavorativo. A riguardo, il Garante ha pubblicato sul sito www.gpdp.it delle FAQ, al fine di fornire indicazioni e suggerimenti per il legittimo e corretto trattamento dei suddetti dati cd. “particolari” ai sensi dell’art. 9 GDPR. 

I quesiti a cui risponde il Garante sono i seguenti:

Il Datore di lavoro (inteso ai sensi del D.Lgs. 81/2008):

  1. può chiedere conferma direttamente ai propri dipendenti dell’avvenuta vaccinazione?
  2. può chiedere al medico competente i nominativi dei dipendenti vaccinati? 
  3. può chiedere ai propri dipendenti di vaccinarsi contro il Covid-19 per accedere ai luoghi di lavoro e per svolgere determinate mansioni?

In merito al primo quesito il Garante si pronuncia negativamente. La richiesta di informazioni da parte del Datore di lavoro al dipendente sull’avvenuta vaccinazione e/o la richiesta di consegnare una copia della documentazione comprovante la stessa non è consentito né dalle disposizioni dell’emergenza sanitaria, né dalla normativa in materia di tutela della salute e della sicurezza nei luoghi di lavoro. Inoltre, il trattamento dei dati in questione da parte del datore di lavoro non può essere reputato lecito sulla base del consenso del dipendente, ex art. 9 GDPR, in quanto il Considerando n. 43 del GDPR precisa che il consenso non possa rappresentare una valida base del trattamento ogniqualvolta vi sia un “evidente squilibrio tra l’interessato e il titolare del trattamento”, come nel rapporto tra Datore di lavoro e dipendente. Un simile squilibrio pregiudica, infatti, la libera espressione del consenso.

Il Garante assume una posizione prudenziale anche in riferimento al secondo quesito. Difatti, solo il Medico competente nominato dall’azienda può legittimamente trattare i dati sanitari dei lavoratori, ivi comprese le informazioni relative alla vaccinazione contro il Covid-19. Trattamento, consentito al medico, unicamente nell’ambito delle attività, indicate dagli artt. 25, 39 comma 5, e 41 comma 4, del D.lgs. 81/2008, di sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica del lavoratore. Pertanto, la richiesta del Datore di lavoro di ricevere informazioni dal medico competente in merito allo stato della vaccinazione dei propri dipendenti non è consentita in base alla Normativa applicabile. Il Medico competente, invece, dovrà fornire al Datore di lavoro i giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni del caso (ex art. 18 comma 1, lett. c), g) e bb) del D.lgs. 81/2008).

Il terzo interrogativo è indubbiamente più complesso, vista l’assenza, ad oggi, di interventi legislativi che stabiliscano l’obbligatorietà del vaccino contro il Covid-19 per poter svolgere determinate attività lavorative, eccezion fatta per l’art. 279 del D.lgs. 81/2008, che sempre su parere conforme del Medico competente, prevede l’adozione da parte del Datore di lavoro di “misure protettive particolari” come può essere il vaccino contro il Covid-19, per quei lavoratori ad esposizione diretta degli “agenti biologici” nell’ambito lavorativo. Allo stato attuale, quindi, solo nel contesto sanitario è possibile ipotizzare un obbligo vaccinale, tenuto conto dell’elevato rischio a cui sono esposti i lavoratori. 

In aggiunta, parte predominante della dottrina, ha precisato che un simile obbligo di vaccinazione, allo scopo di tutelare i lavoratori e gli utenti dell’impresa, non può trovare base normativa nell’art. 2087 del Codice civile, che sancisce l’obbligo in capo all’imprenditore di “adottare nell’esercizio dell’impresa le misure che, secondo le particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro,” poiché l’art. 32 della Costituzione stabilisce l’impossibilità di obbligare un soggetto “a un determinato trattamento sanitario se non per disposizione di legge.” 

Pertanto, fintantoché il legislatore non interviene con un provvedimento normativo specifico e dedicato alla vaccinazione contro il Covid-19, che raccolga la riserva di legge precisata nel dettato costituzionale, il Datore di lavoro non può richiedere ai propri dipendenti di sottoporsi a vaccino per poter accedere ai luoghi di lavoro. 

Si auspica che il legislatore provveda prontamente all’emanazione di linee guida e/o di disposizioni legislative al fine di agevolare il processo decisionale aziendale in materia e assicurare il rispetto della normativa giuslavoristica e concernente il trattamento dei dati personali.

Nelle more, si ricorda l’importanza di procedere, con il supporto del Medico competente, all’implementazione delle misure indicate nel “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” nel rispetto della normativa vigente in materia. 

Versione vademecum FAQ – Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo al link:ba389a97-5cc5-6bd5-fef7-debe613524c6 (garanteprivacy.it)

DISCLAIMER

La presente Newsletter ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica. 

LE CONSEGUENZE DELLA BREXIT IN MATERIA DI TRATTAMENTO E DI FLUSSO DEI DATI PERSONALI TRA PROBLEMATICHE E POSSIBILI SOLUZIONI

Autrice Dr.ssa Lisa Ilaria Maiorca

Il 24 dicembre 2020 è stato finalmente raggiunto un accordo di principio sugli scambi e la cooperazione (Trade and Cooperation Agreement – l’Accordo) tra l’Unione Europea e il Regno Unito.

A quasi quattro anni, infatti, dal fatidico Referendum con cui i cittadini britannici manifestarono la volontà di non voler più far parte dell’Unione Europea e a un anno dall’entrata in vigore dell’Accordo di Recesso del Regno Unito dall’Unione Europea, le parti sono giunte ad un Accordo in grado di creare uno spazio di cooperazione e di collaborazione non solo di carattere economico, ma anche sociale. 

L’obiettivo prefissato dall’Unione Europea è sempre stato quello di raggiungere degli accordi che permettessero l’uscita del UK in modo ordinato e graduale, in grado di tutelare i diritti dei cittadini e delle imprese, ma anche di disciplinare questioni molto delicate come quella irlandese. Non sorprende, quindi che il Trade and Cooperation Agreement sia stato raggiunto dopo lunghi negoziati e trattative.

Per far sì che l’uscita del Regno Unito fosse graduale, le parti hanno previsto nell’Accordo di Recesso un periodo di transizione, fino al 31 dicembre 2020, durante il quale – nonostante il UK fosse diventato Paese terzo – all’interno del Regno Unito avrebbe continuato a trovare applicazione gran parte dell’apparato normativo dell’Unione Europea e le parti si sarebbero impegnate a trovare un accordo per regolare gli aspetti riguardanti la cooperazione e gli scambi commerciali.

Se con l’Accordo di Recesso si stabilivano le modalità dell’uscita del Regno Unito dall’Unione Europea e si disciplinavano aspetti come i diritti delle persone che risedevano in UK, delle imprese che avevano una sede lì, e gli aspetti legati agli adempimenti degli obblighi finanziari della Gran Bretagna, con l’Accordo di Cooperazione le parti, invece, mirano alla creazione di uno spazio economico e sociale molto particolare.

L’Accordo raggiunto è strutturato in base a tre pilastri, in grado di dare vita ad una forma di partenariato in materia di libero scambio, di sicurezza dei cittadini e di governance nel lungo periodo. 

Tra le varie questioni da risolvere e tra i vari aspetti da regolamentare, rientra anche lo spinoso tema sul trattamento e trasferimento dei dati personali e sulla loro disciplina post Brexit. Il timore di molti era infatti quello che, formalizzata l’uscita della Gran Bretagna dall’Unione Europea, non si sarebbe più potuto, o sarebbe diventato molto complicato e rischioso, trasferire dati personali da e verso l’Unione Europea Moltissime sono infatti le aziende con sede in UK che quotidianamente trattano e trasferiscono dati personali verso altri paesi europei e viceversa. 

Questo timore è stato, per il momento scongiurato, in quanto l’Accordo prevede l’impegno da parte di Unione Europea e UK, di garantire il flusso di dati transfrontalieri – così da non gravare eccessivamente soprattutto sugli scambi con riferimento all’e-commerce – e di garantire un alto livello di protezione dei dati per un periodo di transizione di massimo sei mesi. Il periodo di transizione dà il tempo non solo alle imprese di adeguarsi alla nuova normativa, ma anche alla Commissione di predisporre una cd. decisione di adeguatezza. Se al termine di questo periodo non venisse predisposta questa dichiarazione, troverebbe applicazione la disciplina di trasferimento di dati verso Paesi Terzi contenuta nel Regolamento 679/2016 (GDPR) agli articoli 44 e seguenti. 

Non sono poche, infatti, le imprese che hanno una sede sia nell’Unione Europea che in Gran Bretagna e che  trattano e trasferiscono tra loro dati personali; queste hanno sei mesi per adeguarsi e per predisporre degli strumenti per essere compliant. Particolare problema non si pone per i dati provenienti dal UK verso l’Unione Europea, qui, infatti, è sempre comunque obbligatorio il rispetto del GDPR. Le problematiche si pongono nel caso inverso, ossia il trasferimento di dati dall’Unione al Regno Unito.

Per accompagnare le imprese in questa fase non proprio semplice le istituzioni europee e quelle britanniche hanno messo a disposizione dei tool e del materiale informativo ausiliario.

Entrando un po’ più nel merito, sul sito della Commissione Europea sono disponibili, oltre che degli avvisi riassuntivi  per ogni settore interessato maggiormente dalla Brexit (tra questi anche quello sui dati personali e sul loro trattamento/trasferimento), una flowchart in materia, utile per le aziende soprattutto nella fase iniziale di mappatura delle attività più esposte al rischio di non compliance e di sicurezza del trasferimento dei dati personali.

Flowchart: data transfers in the context of Brexit: PowerPoint Presentation (europa.eu)

Avvisi: Prepararsi alla fine del periodo di transizione | Commissione europea (europa.eu)

Mentre sul sito dell’Information Commission Officer (ICO) – l’organismo competente a far rispettare il Data Protection Act (DPA) della Gran Bretagna – è disponibile una piccola guida composta da cinque steps ciascuno corrispondente all’attività e/o alla procedura che le imprese dovrebbero predisporre e seguire  per essere alla fine del periodo di transizione compliant con la nuova disciplina.

Law enforcement processing: Five steps to take: law-enforcement-processing-5-steps-202001.pdf (ico.org.uk)

Sempre sul sito dell’ICO sono disponibili dei tool interattivi che forniscono un ausilio concreto alle aziende: un questionario per verificare il loro livello di compliance, dei draft e dei template  scaricabili, utili per la predisposizione delle clausole di protezione (SCCs). Queste SCCs o clausole contrattuali standard in quanto particolari tipi di contratti permettono alle parti contraenti – utilizzati in particolare dalle aziende con sedi dislocate al di fuori dell’Unione Europea – di regolamentare e regolare tutti gli aspetti e le condizioni riguardanti il trasferimento e il trattamento dei dati, così da raggiungere il livello di compliance richiesto dalla normativa.

Peraltro, l’ICO fornisce informazioni e strumenti diversificati sia per quanto riguarda le multinazionali o comunque i grandi gruppi, che le PMI.

Qui sotto i link che rimandano ai tool e agli strumenti messi a disposizione dell’ICO:

– Data Protection after the end of the transition period | ICO

– End of transition – interactive tool for small businesses | ICO

– Data protection after the end of the Brexit transition period for small businesses and organisations | ICO

– Keep data flowing from the EEA to the UK – interactive tool | ICO

DISCLAIMER

La presente Newsletter ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.