On 13 May 2021, the Authority for the Protection of Personal Data (after this referred to as “the Authority”) adopted a policy document on Covid-19 vaccination in the workplace, providing general guidance on processing personal data in this context.
This document, therefore, contributes to regulating, from the point of view of personal data protection, the implementation of vaccination plans aimed at activating extraordinary points of vaccination against Covid-19, as provided for in the National Protocol signed on 6 April 2021 by the Government and the social partners.
In the document, which is available on the Authority website, it is, first of all, mentioned that the roles and competences between health workers and employers must be respected to avoid possible violations of the rights and freedoms of the persons concerned.
The Authority, specifying that the main data processing activities must be carried out exclusively by specifically identified health care professionals, confirmed that employers:
-may not collect, either directly or indirectly (through the competent doctor, other health professionals, or health facilities), personal information from workers regarding vaccination in the workplace, including their intention or otherwise to participate in such a campaign;
– they may not oblige workers to declare that they have received the vaccine or any other data relating to their health conditions.
Moreover, the Authority clarified that given the imbalance in the relationship between the data controller and the data subject in the employment context, the possible consent of employees cannot, in any event, represent a valid premise for the lawfulness of the processing (see recital 43 of Regulation (EU) 2016/679 – GDPR), nor can the employer derive any consequence, positive or negative, from the employee’s decision to join or not to join the vaccination campaign.
The employer, therefore, in submitting the vaccination plan to the competent local health authority, shall limit itself, based on the information provided by the health professional, to indicating only the total number of vaccines necessary for the implementation of the initiative, omitting any reference to the identity of the workers participating in the initiative.
The health professional, once the adhesions have been collected, will proceed to plan the vaccination sessions, adopting, in the processing of the data, technical and organizational measures suitable to guarantee a level of security appropriate to the risk, being able to avail itself of the support, also economic, of the employer for this purpose.
As far as the purposes of the treatment are concerned, as specified by the Authority, they are to be found in the preventive and occupational medicine (under Art. 9, para 2, letter h) and para 3 of the GDPR) and, for these reasons – given the necessity of specific technical competence – the personal data in question must be treated exclusively by health professionals, such as the competent doctor, other medical personnel, or Inail doctors.
Therefore, as indicated by the Guarantor, vaccinations in the workplace must be organized in such a way as to always ensure the confidentiality and dignity of workers; the latter, however, where they choose to be vaccinated, can justify the absence from work through a certificate of health care issued by the operator who administered the vaccination, which should mention only the provision of general health treatment, without specifying that the employee has been vaccinated.
If, on the other hand, it is possible to trace the type of health care received by the employee from the abovementioned certificate, employers must limit themselves to retaining the document based on their legal obligations, refraining from processing this information for other purposes, and may not, therefore, ask the employee to confirm that he or she has been vaccinated, nor to produce the vaccination certificate.
****
VACCINAZIONI ANTI COVID-19 SUL POSTO DI LAVORO: LE INDICAZIONI DEL GARANTE
Il 13 maggio 2021 il Garante per la protezione dei dati personali (di seguito “il Garante” o “l’Autorità”) ha adottato un documento di indirizzo sulla vaccinazione anti Covid-19 nei luoghi di lavoro, atto a fornire indicazioni generali sul trattamento dei dati personali in tale contesto.
Detto documento contribuisce, pertanto, a regolare sotto il profilo della protezione dei dati personali, la realizzazione di piani vaccinali finalizzati all’attivazione di punti straordinari di vaccinazione anti Covid-19, come previsto dal Protocollo nazionale firmato il 6 aprile 2021 dal Governo e dalle parti sociali.
Nel documento, disponibile sul sito web dell’Autorità, si fa anzitutto chiara menzione del rispetto dei ruoli e delle competenze tra operatori sanitari e datore di lavoro, in modo da scongiurare possibili violazioni dei diritti e delle libertà degli interessati.
Difatti il Garante, precisando che le principali attività di trattamento dati devono essere effettuate esclusivamente da personale sanitario appositamente individuato, ha confermato che i datori di lavoro:
-non possono raccogliere, né direttamente né indirettamente (tramite il medico competente, altri professionisti sanitari o strutture sanitarie), informazioni personali dei lavoratori in merito alla vaccinazione sul posto di lavoro, compresa la loro intenzione o meno di partecipare a tale campagna;
– non possono obbligare i lavoratori a dichiarare l’avvenuta somministrazione del vaccino, né altri dati relativi alle proprie condizioni di salute.
Peraltro, il Garante ha chiarito che, considerato lo squilibrio del rapporto tra titolare e interessato nel contesto lavorativo, l’eventuale consenso dei dipendenti non può comunque rappresentare un valido presupposto di liceità del trattamento (cfr. considerando 43 del Regolamento (UE) 2016/679 – GDPR), né il datore di lavoro può far derivare alcuna conseguenza, positiva o negativa, dalla decisione del lavoratore di aderire o meno alla campagna vaccinale.
Il datore di lavoro, pertanto, nel presentare il piano vaccinale all’ASL territorialmente competente, dovrà limitarsi, sulla base delle indicazioni fornite dal professionista sanitario, ad indicare esclusivamente il numero complessivo dei vaccini necessari per la realizzazione dell’iniziativa, omettendo qualunque riferimento da cui possa risalirsi all’identità dei lavoratori aderenti all’iniziativa.
Il professionista sanitario, una volta raccolte le adesioni, procederà a pianificare le sedute vaccinali adottando, nel trattamento dei dati, delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, potendo a tal fine avvalersi del supporto, anche economico, del datore di lavoro.
Quanto alle finalità del trattamento, come specificato dall’Autorità, vanno ravvisate nella medicina preventiva e del lavoro (ai sensi dell’art. 9, par. 2, lett. h) e par. 3 del GDPR) e, per tali ragioni – vista la necessità di specifiche competenze tecniche – i dati personali in parola devono essere trattati esclusivamente da professionisti sanitari, quali il medico competente, altro personale medico o medici Inail.
Dunque, come indicato dal Garante, le vaccinazioni sul posto di lavoro devono essere organizzate in modo da garantire sempre la riservatezza e la dignità dei lavoratori; quest’ultimi, peraltro, laddove scelgano di essere vaccinati, possono giustificare l’assenza dal lavoro attraverso un’attestazione di prestazione sanitaria rilasciata dall’operatore che ha somministrato la vaccinazione, che dovrebbe menzionare solo la fornitura di un trattamento sanitario generico, senza specificare che il dipendente è stato vaccinato.
Nel caso in cui, invece, dall’attestazione suddetta sia possibile risalire al tipo di prestazione sanitaria ricevuta dal dipendente, i datori di lavoro dovranno limitarsi a conservare il documento sulla base degli obblighi di legge, astenendosi dal trattare tali informazioni per scopi diversi, e non potranno, pertanto, chiedere al dipendente conferma dell’avvenuta vaccinazione, nè l’esibizione del certificato vaccinale.