Pandemia e trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo - FAQ del Garante della privacy
Confindustria comunica che il Garante della Privacy, nelle FAQ del 17 febbraio 2021,
ha affermato alcuni principi che, nonostante la grave situazione sanitaria,
confermano i consueti limiti conoscitivi per il datore di lavoro, che incidono
negativamente tanto sulla gestione del rapporto di lavoro quanto sulla tutela
della sicurezza per il lavoratore e per i suoi colleghi.
L’ampio
e puntuale obbligo di tutela della salute dei lavoratori che è al centro del
Dlgs n. 81/2008 e l’obbligo – penalmente sanzionato – di tenere conto delle
capacità e delle condizioni degli stessi in rapporto alla loro salute e alla
sicurezza impone, in modo sempre più urgente, un intervento normativo che
modifichi questa impostazione restrittiva, visto anche il consolidato
orientamento in ordine all’impossibilità del datore di conoscere la causa di
inidoneità.
I quesiti e le risposte
Il primo quesito al quale risponde il Garante è se “il
datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta
vaccinazione”.
Secondo
il Garante la risposta è negativa: “il datore di lavoro non può chiedere ai
propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia
di documenti che comprovino l’avvenuta vaccinazione anti Covid-19. Ciò non è
consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di
tutela della salute e sicurezza nei luoghi di lavoro”.
Questa
ultima apertura sembra condizionare la conoscibilità del dato vaccinale (non
sembra potersi dire lo stesso per l’individuazione o meno dell’obbligo
vaccinale, vista la riserva di legge prevista dall’art. 32 della Costituzione)
al fatto che essa sia prevista espressamente da un decreto-legge, un DPCM o
anche una integrazione del Protocollo, al fine di tutelare il lavoratore
ed i suoi colleghi.
Il
datore di lavoro non può nemmeno avvalersi dell’eventuale consenso dei
lavoratori, in quanto, secondo il Garante, il consenso non può “costituire
in tal caso una valida condizione di liceità in ragione dello squilibrio del
rapporto tra titolare e interessato nel contesto lavorativo (considerando 43
del Regolamento)”.
Né
il datore di lavoro può chiedere al medico competente i nominativi dei
lavoratori vaccinati. Secondo il Garante, “solo il medico competente può,
infatti, trattare i dati sanitari dei lavoratori e tra questi, se del caso, le
informazioni relative alla vaccinazione, nell’ambito della sorveglianza
sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt.
25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008)”
C’è
da domandarsi, a questo punto, se, esclusa la conoscenza diretta del dato, il
datore di lavoro possa almeno conoscere il giudizio di idoneità. A questa
domanda, la risposta è positiva: “il datore di lavoro può invece acquisire,
in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione
specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es.
art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008)”.
Questo
vuol dire che il datore di lavoro potrebbe conoscere eventuali situazioni di
inidoneità ma senza conoscerne il motivo e dovrebbe decidere le misure da
adottare, sul piano organizzativo, senza sapere se la motivazione della inidoneità
è la mancata sottoposizione alla somministrazione del vaccino, l’insufficienza
della vaccinazione (laddove, sul piano scientifico, fosse confermato che
nonostante la vaccinazione è ancora possibile tanto l’essere contagiati quanto
l’essere contagiosi) ovvero altra causa.
L’ulteriore questione
affrontata dal Garante è se la vaccinazione possa essere richiesta come
condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di
determinate mansioni (ad es. in ambito sanitario).
Il Garante, non essendo
previsto dal legislatore che la vaccinazione sia condizione per l’accesso ai
luoghi di lavoro, ritiene che “allo stato, nei casi di
esposizione diretta ad "agenti biologici" durante il lavoro, come nel
contesto sanitario che comporta livelli di rischio elevati per i lavoratori e
per i pazienti, trovano applicazione le “misure speciali di
protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del
Titolo X del d.lgs. n. 81/2008)”.
A
parte la improprietà del riferimento ai concetti di “esposizione diretta ad
agenti biologici” e di “rischio elevato” quali presupposto per l’applicazione
dell’art. 279 del d.lgs. n. 81/2008 (dove l’applicazione della norma si fonda,
invece, sulla presenza del rischio biologico specifico), secondo il Garante
l’unico rimedio per il datore di lavoro è applicare le disposizioni dell’art.
279 sopra richiamato, che fa espresso riferimento alla vaccinazione,
(esclusivamente) nelle ipotesi di rischio specifico (e non in via
generalizzata).
In
tale ambito, il Garante si limita ad evidenziare che “solo il medico
competente, nella sua funzione di raccordo tra il sistema sanitario
nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle
indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e
all’affidabilità medico-scientifica del vaccino, può trattare i dati
personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne
conto in sede di valutazione dell’idoneità alla mansione specifica”.
Sembra
delinearsi quindi una relazione tra l’efficacia e l’affidabilità del vaccino
(quale risulta dalle indicazioni delle autorità scientifiche) ed il giudizio di
idoneità alla mansione specifica. Se così è, il Garante attribuisce al medico
competente la decisione se – nelle ipotesi di lavorazioni che espongono ad un
rischio specifico – la mancata vaccinazione costituisca presupposto per un
giudizio di inidoneità, che dovrebbe essere fondato anche sul carattere
decisivo o meno della vaccinazione in termini di riduzione del contagio o di mitigazione
della gravità della malattia.
All’esito
di tale valutazione e della conseguente decisione finale da parte del medico
competente, secondo il Garante, il datore di lavoro potrà “attuare le misure
indicate dal medico competente nei casi di giudizio di parziale o temporanea
inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del
d.lgs. n.81/2008)”.
In
sintesi, secondo il Garante, il datore di lavoro può solamente chiedere al
medico competente, nei casi di rischio specifico, se il lavoratore è idoneo o
meno alle mansioni specifiche e solamente nell’ambito delle lavorazioni che
presentano un rischio biologico specifico.
La
vaccinazione e l’accesso a determinati locali o per la fruizione di taluni
servizi
Il
Garante si è pronunciato anche
in merito alla ipotesi di condizionare l’accesso a determinati locali o la
fruizione di alcuni servizi alla attestazione di essersi vaccinato o meno.
Ovviamente, si pone immediatamente il tema dell’eventuale richiesta di
attestazione ai fini dell’accesso nei locali aziendali (come avviene
attualmente, secondo il Protocollo del 14 marzo 2020, per la temperatura,
l’avere sintomi ovvero l’essere stato recentemente in Paesi a rischio) e
l’eventuale dichiarazione di inidoneità (in mancanza di vaccinazione).
Il
Garante evidenzia che i dati relativi allo stato vaccinale sono dati
particolarmente delicati e un loro trattamento non corretto può determinare
conseguenze gravissime per la vita e i diritti fondamentali delle persone:
conseguenze che, nel caso di specie, possono tradursi in discriminazioni,
violazioni e compressioni illegittime di libertà costituzionali.
Il
trattamento dei dati relativi allo stato vaccinale dei cittadini a fini di
accesso a determinati locali o di fruizione di determinati servizi, deve quindi
essere oggetto di una norma di legge nazionale, conforme ai principi in materia
di protezione dei dati personali (in particolare, quelli di proporzionalità,
limitazione delle finalità e di minimizzazione dei dati), in modo da realizzare
un equo bilanciamento tra l’interesse pubblico che si intende perseguire e
l’interesse individuale alla riservatezza.
In
assenza di tale eventuale base giuridica normativa l’utilizzo in qualsiasi
forma, da parte di soggetti pubblici e di soggetti privati fornitori di servizi
destinati al pubblico, di app e pass destinati a distinguere i cittadini
vaccinati dai cittadini non vaccinati è da considerarsi illegittimo.
Si
conferma, quindi, l’esigenza di un intervento normativo che, anche per questo
profilo, disciplini compiutamente la materia.
Il
riferimento al rischio biologico specifico
Come
unico aspetto positivo, si evidenzia che il Garante conferma la distinzione di
fondo, anche dal punto di vista della sorveglianza sanitaria, tra le ipotesi di
rischio biologico generico e quelle di rischio biologico specifico, dal momento
che riconduce l’applicazione dell’art. 279 del Dlgs n. 81/2008 esclusivamente
alle situazioni in cui è presente un rischio specifico di contagio e non anche
a tutte le altre situazioni (dove, quindi, si continua a seguire il Protocollo
del 14 marzo 2020).
Indirettamente,
il Garante sembra, quindi, confermare che le disposizioni sulla valutazione del
rischio biologico – dal quale consegue l’applicazione dell’art. 279 –
riguardano solamente l’ambiente sanitario; diversamente, se tutti i datori di
lavoro fossero tenuti alla valutazione del rischio biologico generico (ed
esogeno all’ambiente di lavoro), dovrebbero tutti necessariamente applicare
l’art. 279 del D.lgs. n. 81/2008.
Da
questo punto di vista, quindi, può dirsi rafforzata la posizione espressa sin
dall’inizio da Confindustria relativamente alla improprietà della richiesta di
aggiornare la valutazione dei rischi e la correttezza della qualificazione del
virus – fin dal Protocollo del 14 marzo 2020 - come rischio biologico generico
(salve le aziende in cui è presente il rischio specifico, es. ospedali e RSA).