Summary: Il 12.05.2021 l’INAIL ha reso disponibile online un nuovo Documento Tecnico che fornisce indicazioni operative per la somministrazione dei vaccini anti-Covid in azienda.
Con riferimento alle vaccinazioni sul posto di lavoro, è intervento anche il Garante della Privacy fornendo alcune indicazioni generali per il trattamento dei dati personali e chiarendo il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale.
Inoltre, sempre il Garante della Privacy ha recentemente avuto modo di esprimersi in merito alla legittimità del c.d. pass vaccinali.
DOCUMENTO TECNICO PER LA VACCINAZIONE NEI LUOGHI DI LAVORO.
Con il “Documento tecnico operativo per l’avvio delle vaccinazioni in attuazione delle indicazioni ad interim per la vaccinazione anti-SARS-COV-2/COVID-19 nei luoghi di lavoro approvate dalla Conferenza delle Regioni e delle Province Autonome l’8 aprile 2021” del 12.05.2021, l’INAIL fornisce i seguenti chiarimenti:
• I piani devono essere inviati alle ASL di riferimento.
Il documento ribadisce che la vaccinazione anti-Covid in azienda rappresenta un’iniziativa di sanità pubblica (la cui responsabilità generale e supervisione rimane in capo al Servizio Sanitario Regionale) e che l’intera campagna vaccinale viene attuata secondo principi di priorità finalizzati alla tutela delle persone più vulnerabili al virus per età e/o stato di salute o per rischio di esposizione al contagio. Compatibilmente con la disponibilità di vaccini, la somministrazione nei luoghi di lavoro può iniziare in concomitanza con l’avvio della vaccinazione degli under 60. I piani aziendali di adesione, in particolare, devono essere inviati alle aziende sanitarie di riferimento.
• Criteri quantitativi e qualitativi.
Sono stati elaborati criteri quantitativi e qualitativi che permetteranno di valutare le priorità per i piani aziendali sulla base della disponibilità dei vaccini.
Il criterio quantitativo consentirà l’accesso alla vaccinazione a lavoratori di aziende differenti operanti nel medesimo sito produttivo o nello stesso territorio. Tale criterio tende a facilitare l’accesso di piccole aziende, anche con differenti profili di rischiosità, che più difficilmente potrebbero organizzare punti vaccinali autonomi.
Il nuovo documento tecnico fornisce anche alcuni criteri qualitativi utili a definire le priorità. I diversi settori di attività sono suddivisi in tre macro-gruppi sulla base della classificazione del rischio, secondo i parametri di esposizione, prossimità e aggregazione contenuti nel documento tecnico dell’INAIL approvato dal Comitato tecnico scientifico il 9.04.2020, insieme ai dati delle denunce di infortunio da Covid-19 analizzati per incidenza nei diversi settori produttivi. Nelle tre tabelle, articolate in ordine alfanumerico per codice Ateco, sono inoltre evidenziati alcuni settori già vaccinati o in corso di vaccinazione, come quelli degli operatori sanitari, dell’istruzione, delle forze dell’ordine e della difesa.
• L’adesione può avvenire singolarmente o in forma aggregata.
Viene pubblicato anche il modulo che deve essere utilizzato per la presentazione del piano di vaccinazione aziendale. Come previsto dal Protocollo dello scorso 6 aprile 2021, i datori di lavoro possono aderire alla campagna vaccinale singolarmente o in forma aggregata e indipendentemente dal numero di lavoratori occupati. In alternativa alla modalità della vaccinazione diretta, è prevista, inoltre, la possibilità di stipulare, anche tramite le associazioni di categoria di riferimento o nell’ambito della bilateralità, specifiche convenzioni con strutture sanitarie private in possesso dei requisiti per la vaccinazione. In entrambi i casi i costi sono a carico delle aziende, fatta eccezione per la fornitura dei vaccini, dei dispositivi per la loro somministrazione (siringhe/aghi) e degli strumenti formativi e per la registrazione delle vaccinazioni, che è assicurata dal Servizio sanitario regionale.
GARANTE PRIVACY: VACCINAZIONE NEI LUOGHI DI LAVORO E TRATTAMENTO DEI DATI PERSONALI.
Il 13.05.2021 il Garante per la privacy ha adottato il documento “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”.
Il Garante chiarisce che, anche in questo contesto eccezionale, occorre che ciascuno dei soggetti coinvolti nella realizzazione e gestione del piano vaccinale (datore di lavoro, anche in forma associata, medico competente o altro personale sanitario individuato) operi nell’ambito e nei limiti previsti dalla rispettiva disciplina applicabile, che ne costituisce la base giuridica, evitando la confusione di ruoli che può dare adito ad una circolazione illecita di informazioni, che potrebbe determinare effetti lesivi dei diritti e delle libertà degli interessati. In particolare, deve essere sempre assicurato il rispetto del tradizionale riparto di competente tra il medico competente ed il datore di lavoro, cui il Garante dedica un apposito documento.
Il Garante ribadisce, peraltro, che non è comunque consentito al datore di lavoro raccogliere direttamente dagli interessati, tramite il medico compente, altri professionisti sanitari o strutture sanitarie, informazioni in merito a tutti gli aspetti relativi alla vaccinazione, ivi compresa l’intenzione o meno della lavoratrice e del lavoratore di aderire alla campagna, alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle condizioni di salute del lavoratore.
Base giuridica del trattamento.
Il trattamento dei dati relativi alle vaccinazioni è necessario per finalità di medicina preventiva e, in pari tempo, di medicina del lavoro (art., 9, par.2, lett. h) e par. 3 del Regolamento).
Ai datori di lavoro è demandato, tra l’altro, il compito di promuovere l’iniziativa della vaccinazione presso i luoghi di lavoro fornendo alla generalità dei dipendenti le indicazioni utili relative alle complessive caratteristiche del servizio vaccinale usufruibile in azienda e sottoposto alla supervisione dell’azienda sanitaria di riferimento. Tali attività di sensibilizzazione potranno avvenire con il supporto del medico competente, anche promuovendo apposite iniziative di comunicazione e informazione sulla vaccinazione anti SARS-CoV-2/Covid-19. Anche nell’ambito dello svolgimento delle attività di supporto resta salvo il divieto, per il datore di lavoro, di trattare i dati personali relativi a tutti gli aspetti connessi alla vaccinazione dei propri dipendenti. Inoltre, tenuto conto dello squilibrio del rapporto tra titolare e interessato nel particolare contesto lavorativo, il consenso dei dipendenti non può costituire un valido presupposto di liceità.
Sulla base dello stato della regolazione attualmente in vigore e stante la libertà di scelta da parte delle persone in ambito vaccinale, fatte salve le ipotesi di vaccinazione obbligatoria, non è peraltro consentito far derivare alcuna conseguenza, né positiva né negativa, in ragione della libera scelta del lavoratore in ordine all’adesione o meno alla campagna vaccinale.
Raccolta delle adesioni e prenotazione delle dosi.
Tenuto conto che l’informazione relativa all’adesione volontaria da parte della lavoratrice e del lavoratore deve essere trattata solo dal professionista sanitario opportunamente individuato, il Garante precisa che il datore di lavoro, all’atto della presentazione del piano vaccinale aziendale all’ASL territorialmente competente, dovrà limitarsi, sulla base delle indicazioni fornite dal professionista sanitario, ad indicare esclusivamente il numero complessivo dei vaccini necessari per la realizzazione dell’iniziativa.
Nel piano, elaborato con il supporto del professionista sanitario e presentato dal datore di lavoro, non dovranno essere presenti elementi in grado di rivelare l’identità dei lavoratori aderenti all’iniziativa.
Nei casi in cui il datore di lavoro ricorra a strutture sanitarie private ovvero, in assenza del medico competente, alle strutture territoriali dell’INAIL, lo stesso adotterà iniziative per consentire ai dipendenti, qualora intendano aderire all’iniziativa, di rivolgersi direttamente alle predette strutture.
Pianificazione delle vaccinazioni.
Il datore di lavoro, attraverso le competenti funzioni interne, potrà fornire al professionista sanitario indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali, senza però trattare dati personali relativi alle adesioni di lavoratrici e lavoratori identificati o identificabili.
Somministrazione e registrazione del vaccino.
Gli ambienti selezionati per la somministrazione del vaccino dovranno avere caratteristiche tali da evitare per quanto possibile di conoscere, da parte di colleghi o di terzi, l’identità dei dipendenti che hanno scelto di aderire alla campagna vaccinale.
Per quanto possibile nei luoghi prescelti dovrebbero essere adottate misure volte a garantire la riservatezza e la dignità del lavoratore, anche nella fase immediatamente successiva alla vaccinazione, prevenendo l’ingiustificata circolazione di informazioni nel contesto lavorativo o comportamenti ispirati a mera curiosità.
Giustificazione delle assenze.
Quando la vaccinazione viene eseguita durante il servizio, il tempo necessario alla medesima è equiparato a tutti gli effetti all’orario di lavoro. In tal caso si potrà quindi procedere alla giustificazione dell’assenza, ove richiesto, con le modalità ordinarie stabilite nei contratti collettivi nazionali applicabili, ovvero mediante rilascio da parte del soggetto che somministra la vaccinazione all’interessato di un’attestazione di prestazione sanitaria indicata in termini generici.
Resta salvo che, ove dall’attestazione prodotta dal dipendente sia possibile risalire al tipo di prestazione sanitaria da questo ricevuta, il datore di lavoro, salva la conservazione del documento in base agli obblighi di legge, dovrà astenersi dall’utilizzare tali informazioni per altre finalità nel rispetto dei principi di protezione dei dati e non potrà chiedere al dipendente conferma dell’avvenuta vaccinazione o chiedere l’esibizione del certificato vaccinale.
GARANTE PRIVACY: IL RUOLO DEL MEDICO COMPETENTE.
Con comunicato stampa del 14.05.2021 il Garante ha reso disponibile il documento “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”.
Con tale documento, il Garante sottolinea a più riprese che il medico competente deve trattare i dati in modo autonomo e le sue valutazioni non possono risentire o essere condizionate dalle scelte organizzative e gestionali dell’ente/datore di lavoro.
La funzione di medico competente è espressione di un interesse pubblico (tutela del lavoratore e della collettività), individuato e disciplinato dalla legge e, in quanto tale, sottratta alla sfera di competenza del datore di lavoro e ai relativi poteri.
Nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva, il medico competente è l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro.
Sebbene gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e siano svolti a spese ed a cura del datore di lavoro, essi devono essere posti in essere esclusivamente per il tramite del medico competente. In tale quadro, quindi, il medico non tratta i dati per conto del datore di lavoro ma, in qualità di titolare del trattamento.
Trattamenti di dati personali inerenti la vaccinazione dei dipendenti.
Il medico competente, nell’ambito delle proprie attività di sorveglianza sanitaria, è l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori ed a verificare l’idoneità alla “mansione specifica”. In tale quadro, il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali. Ciò anche per l’impossibilità di considerare il consenso dei dipendenti una valida condizione di liceità per il trattamento dei dati personali in ambito lavorativo.
La vaccinazione nei luoghi di lavoro.
Il rispetto del necessario riparto di ruoli e competenze tra datore di lavoro e medico competente dovrà essere assicurato inoltre anche con riguardo alla vaccinazione nell’ambiente di lavoro.
Il servizio di medicina del lavoro presso le strutture sanitarie pubbliche ed il (diverso) caso dell’individuazione del medico competente tra i dipendenti della struttura.
Le strutture sanitarie dispongono, per legge, di un proprio servizio di medicina del lavoro, che eroga le proprie prestazioni sia nei confronti di persone fisiche che di aziende e amministrazioni convenzionate. Tale servizio, infatti, può erogare le prestazioni di sorveglianza sanitaria in favore di datori di lavoro pubblici o privati.
In tal caso, la struttura sanitaria, in qualità di titolare del trattamento, impiega proprio personale “autorizzato” per i trattamenti di dati personali dei lavoratori dipendenti delle imprese o degli enti convenzionati.
È necessario, tuttavia, evidenziare il diverso caso in cui la struttura sanitaria pubblica, in qualità di datore di lavoro, dovendo assolvere agli obblighi in materia di igiene e sicurezza nei confronti dei lavoratori alle proprie dipendenze, si avvalga invece della facoltà di impiegare, a tal fine, personale dipendente in possesso dei requisiti stabiliti dalla legge. Il medico competente, così individuato, dovrà svolgere i propri compiti, nei limiti stabiliti ed alle condizioni dettate dalla disciplina di settore e dalla disciplina di protezione dei dati personali, con le risorse fornite dall’azienda, ma in piena autonomia professionale, agendo, anche in questo caso, quale titolare del trattamento dei dati personali dei dipendenti della struttura, nel rispetto di misure volte a assicurare l’indipendenza del servizio.
I principali adempimenti del medico competente in materia di protezione dei dati personali.
• Istituzione del registro delle attività di trattamento.
Il medico competente dovrà istituire e tenere un proprio registro, distinto da quello del datore di lavoro che gli ha conferito l’incarico (anche nel caso in cui sia un dipendente che svolge il ruolo di medico competente per il proprio datore di lavoro).
• Informativa agli interessati.
Di regola, il medico competente riceve i dati anagrafici dei lavoratori dal datore di lavoro (a seguito del conferimento dell’incarico ovvero in caso di nuove assunzioni di personale) così come ogni utile aggiornamento o rettifica dei dati. Di conseguenza, il medico competente potrà fornire le informazioni di cui ai paragrafi 1 e 2 dell’art. 14 al momento della prima comunicazione all’interessato.
• Sicurezza dei dati personali.
In relazione all’obbligo di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, il medico competente dovrà identificare e adottare tali misure in proprio, fermo restando che potrà avvalersi della cooperazione e del supporto, anche economico, del datore di lavoro.
Nei casi in cui vengano utilizzati strumenti del datore di lavoro, dovranno essere adottate le misure tecniche e organizzative affinché il trattamento sia conforme alla normativa di settore in materia di salute e sicurezza sui luoghi di lavoro, prevedendo specifiche misure organizzative volte a escludere l’accesso ai dati da parte del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) ed in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro.
• Nomina del Responsabile della protezione dei dati.
Il Garante ha ribadito che il singolo professionista sanitario che operi in regime di libera professione a titolo individuale non è tenuto alla designazione del responsabile della protezione dei dati (RPD) con riferimento allo svolgimento della propria attività.
GARANTE PRIVACY: CERTIFICAZIONE VERDE COVID-19 E CRITICITÀ.
L’art. 9 del Decreto Riaperture (D.L. n. 52 del 22.04.2021) ha previsto l’introduzione, sul territorio nazionale, delle cosiddette Certificazioni verdi Covid-19.
Per certificazione verde si intende una certificazione comprovante uno dei seguenti stati:
• lo stato di completamento del ciclo vaccinale contro il SARS-CoV-2;
• la guarigione dall’infezione da SARS-CoV-2;
• il referto di un test molecolare o antigenico rapido per la ricerca del virus SARS-CoV-2 e che riporti un risultato negativo, eseguito nelle 48 ore antecedenti.
Il decreto ha previsto – oltre che per comprovate esigenze lavorative, per situazioni di necessità o per motivi di salute – la possibilità di spostamento in entrata e in uscita dai territori collocati in zona rossa o arancione, anche ai soggetti muniti di certificazione verde.
La disposizione è stata recentemente modificata dall’art. 14 del D.L. n. 65 del 18.05.2021, che prevede il rilascio della certificazione anche contestualmente alla somministrazione della prima dose di vaccino, con validità dal quindicesimo giorno successivo alla somministrazione fino alla data prevista per il completamento del ciclo vaccinale. Inoltre, la durata del pass vaccinale è stata estesa da sei a nove mesi dalla data del completamento del ciclo vaccinale.
Proprio con riferimento alle certificazioni verdi, il Garante della Privacy, in un avvertimento formale adottato ai sensi del Regolamento Ue e trasmesso a tutti i ministeri e agli altri soggetti coinvolti, ha sottolineato come la norma approvata per la creazione e la gestione dei pass vaccinali presenta criticità tali da inficiare, se non opportunamente modificata, la validità ed il funzionamento del sistema previsto per la riapertura degli spostamenti durante la pandemia.
Il Garante osserva innanzitutto che il cosiddetto “decreto riaperture” non garantisce una base normativa idonea per l’introduzione e l’utilizzo dei certificati verdi su scala nazionale ed è gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.
In contrasto con quanto previsto dal Regolamento europeo in materia di protezione dei dati personali, il decreto non definisce con precisione le finalità per il trattamento dei dati sulla salute degli italiani, lasciando spazio a molteplici e imprevedibili utilizzi futuri, in potenziale disallineamento anche con analoghe iniziative europee. Non viene specificato chi è il titolare del trattamento dei dati, in violazione del principio di trasparenza, rendendo così difficile se non impossibile l’esercizio dei diritti degli interessati: ad esempio, in caso di informazioni non corrette contenute nelle certificazioni verdi.
La norma prevede inoltre un utilizzo eccessivo di dati sui certificati da esibire in caso di controllo, in violazione del principio di minimizzazione. Il sistema attualmente proposto, soprattutto nella fase transitoria, rischia, tra l’altro, di contenere dati inesatti o non aggiornati con gravi effetti sulla libertà di spostamento individuale. Non sono, infine, previsti tempi di conservazione dei dati né misure adeguate per garantire la loro integrità e riservatezza.
