Vietato al datore di lavoro trattare i dati sulle vaccinazioni in azienda: il Garante Privacy ribadisce il ruolo centrale del medico competente.
Con due documenti di indirizzo, il Garante per la protezione dei dati personali ha sintetizzato le sue indicazioni in relazione al ruolo del medico competente in materia di sicurezza sul luogo di lavoro, con particolare riferimento al contesto determinato dall’emergenza Covid-19, e alle vaccinazioni in azienda.
In tali documenti il Garante precisa che il tema del trattamento dei dati relativi alla vaccinazione può essere inquadrato nell’ambito della verifica dell’idoneità alla mansione specifica, che consente al medico competente, e solo a lui, di emettere giudizi di idoneità parziale e/o inidoneità temporanee per i lavoratori non vaccinati, nel rispetto delle indicazioni fornite dalle autorità sanitarie.
Conseguentemente, il Garante specifica che le attività di trattamento dei dati relativi alle vaccinazioni in azienda – dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione – devono essere effettuate dal medico competente o da altro personale sanitario appositamente individuato, ed esclude che il datore di lavoro possa raccogliere direttamente dai dipendenti, dal medico compente, o da altri professionisti sanitari o strutture sanitarie, informazioni relative all’intenzione del lavoratore di aderire alla campagna o alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle sue condizioni di salute.
Il datore di lavoro, attraverso le competenti funzioni interne, potrà fornire al professionista sanitario indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali, senza però trattare dati personali relativi alle adesioni di lavoratrici e lavoratori identificati o identificabili. Il datore di lavoro potrà, inoltre, fornire il proprio supporto mettendo a disposizione strumenti informatici per consentire, al personale sanitario addetto alle vaccinazioni, di accedere, con le proprie credenziali, ai sistemi informativi predisposti per la registrazione delle somministrazioni dei vaccini, in conformità a quanto previsto dalle disposizioni di attuazione del piano strategico nazionale vaccini.
Il garante ricorda inoltre i principali adempimenti del medico competente in materia di protezione dei dati personali, tra cui l’istituzione di un proprio registro delle attività di trattamento, distinto da quello del datore di lavoro che gli ha conferito l’incarico (art. 30 del GDPR), l’informativa agli interessati (art. 14 del GDPR) e l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (art. 32-34 del GDPR), e ribadisce che il singolo professionista sanitario che operi in regime di libera professione a titolo individuale non è tenuto alla designazione del responsabile della protezione dei dati (artt. 37-39 del GDPR).
Clicca qui per scaricare il documento di indirizzo del Garante per la protezione dei dati personali “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”
Clicca qui per scaricare il documento di indirizzo del Garante per la protezione dei dati personali “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”