AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Provvedimento n. 198 13 maggio 2021
VACCINAZIONI SUL LUOGO DI LAVORO: LE INDICAZIONI DEL GARANTE DELLA PRIVACY.
ARTT. 24, 25, 32 del Regolamento (UE) 2016/679 del 27 aprile 2016

Il Garante ha adottato il documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazione generali per il trattamento dei dati personali”, al fine di fornire indicazioni generali sul trattamento dei dati personali, in attesa di un definitivo assetto regolatorio. Inoltre, il Garante ha pubblicato sul proprio sito web anche il documento “Protezione dei dati – il ruolo del “medico competente” in materia di sicurezza sui luoghi di lavoro, anche con riferimento al contesto emergenziale”. Dall’analisi del contenuto di entrambi i documenti si evince l’obbligo per il quale l’informazione relativa all’adesione volontaria da parte della lavoratrice e del lavoratore deve essere trattata solo dal professionista sanitario opportunamente individuato, che potrà valutare preliminarmente specifiche condizioni di salute, nel rispetto della privacy, che indirizzino la vaccinazione in contesti sanitari specifici della Azienda Sanitaria di riferimento, che ne assicura la necessaria presa in carico, nonché ai fini dell’individuazione del numero delle dosi e della tipologia di siero/vaccino. Il datore di lavoro, contestualmente alla presentazione del piano vaccinale aziendale all’ASL territorialmente competente, dovrà limitarsi, sulla base delle indicazioni fornite dal professionista sanitario, a indicare esclusivamente il numero complessivo dei vaccini necessari per la realizzazione dell’iniziativa. Infatti, all’interno del piano, elaborato con il supporto del professionista sanitario e presentato dal datore di lavoro, non dovranno essere presenti elementi in grado di rivelare l’identità dei lavoratori aderenti all’iniziativa. Il professionista sanitario (o la struttura sanitaria di riferimento), una volta che siano state raccolte le adesioni, procederà a pianificare le sedute vaccinali, adottando le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato per il trattamento dei dati (art. 32 del GDPR), potendo avvalersi, in tal caso, del supporto, anche economico, del datore di lavoro. Nei casi in cui, al fine di raccogliere le informazioni in merito all’adesione dei dipendenti al servizio vaccinale presso l’azienda, vengano utilizzati strumenti (ad es. applicativi informatici) del datore di lavoro, nel rispetto del principio di responsabilizzazione, dovranno essere adottate le misure tecniche e organizzative affinché il trattamento sia conforme alla normativa di settore (cfr. artt. 24 e 25 del GDPR), garantendo, ad esempio, che i dati personali relativi alle adesioni e all’anamnesi dei dipendenti non entrino, nemmeno accidentalmente, nella disponibilità del personale preposto agli uffici, o analoghe funzioni aziendali, che svolgono compiti datoriali (es. risorse umane, uffici disciplinari) e in generale a uffici o altro personale che trattano i dati dei dipendenti per finalità di gestione del rapporto di lavoro. Nei casi in cui il datore di lavoro ricorra a strutture sanitarie private ovvero, in assenza del medico competente, alle strutture territoriali dell’Inail, lo stesso adotterà iniziative per consentire ai dipendenti, qualora intendano aderire all’iniziativa, di rivolgersi direttamente alle predette strutture.