Vaccinazioni nei luoghi di lavoro, fondamentale il dialogo con il Dpo
Le recentissime indicazioni pervenute dall’Autorità Garante per la protezione dei dati personali circa le vaccinazioni nei luoghi di lavoro e relativamente al ruolo del medico competente aprono indubbiamente una serie di punti di attenzione. È chiaro innanzitutto che, nonostante la premura manifestata da molte aziende per avviare piani vaccinali, tale attività non potrà iniziare prima di un chiaro atto normativo che funga da solida base giuridica. In questo contesto si inserisce la documentazione appena rilasciata dal Garante, in modo che il legislatore possa acquisire tutte le considerazioni utili e possa collaborare con l’autorità per delineare una procedura studiata per garantire la massima tutela della riservatezza.
Ed è proprio questo aspetto in cui si inseriscono le considerazioni di chi svolge attività di sorveglianza in ambito protezione dati.
È lecito chiedersi innanzitutto, quali debbano essere le attività preliminari che il datore di lavoro ed il suo team privacy dovranno completare prima di poter avviare la compagna vaccinale. Interessante in questo contesto la precisazione del Garante: il consenso dei dipendenti non può costituire un valido presupposto di liceità. Il datore non può quindi “costruirsi” una base di trattamento per poter trattare le informazioni relative alla vaccinazione.
Sicuramente fondamentale un check approfondito ai rapporti in essere con il medico competente e con eventuali strutture sanitarie di supporto: revisione della attuale contrattualistica ed integrazione dei sopravvenuti aspetti privacy previsti dallo specifico contesto. Tale aspetto non è da sottovalutare, sia per le modalità che per i tempi di esecuzione. Non è raro infatti trovare, nelle grandi aziende, aventi varie sedi operative sul territorio, un medico coordinatore e vari medici competenti nelle varie regioni dove sono presenti unità locali con dipendenti.
Si comprende facilmente quanto sia complesso per i soggetti titolari, conferire tra loro scambiando solo i dati che non siano riconducibili ad una persona fisica. Se infatti, la sorveglianza sanitaria è un soggetto autonomo per quanto riguarda i trattamenti, le richieste dei vaccini alla ASL, con indicazione di quantità e tipologia dovranno pervenire dal datore di lavoro.
(Nella foto: Bruno Frati, Data Protection Officer e Delegato Federprivacy nella provincia di Livorno)
Pur in ossequio a quanto previsto dal Garante, nessun datore ragionevolmente potrà prescindere dal dover gestire i giustificativi previsti per consentire ai dipendenti di poter svolgere la vaccinazione. Nei casi in cui il vaccino venga somministrato all’interno dei locali dell’azienda, sarà probabilmente ancor più difficile mantenere un criterio di riservatezza assoluta. Ragionevole quindi pensare anche ad una revisione puntuale di eventuali procedure previste in ambito HR e di gestione turni e servizi. Ci si chiede fra l’altro se, altri soggetti che accederanno ai locali aziendali, come consulenti, collaboratori, addetti alle pulizie potranno opzionalmente rientrare nel piano aziendale e quali informazioni potrà avere il titolare circa il loro status riferito al covid-19.
È evidente fin da subito quanto questa tematica sarà correlata a quella del cosiddetto “green pass” che potrebbe essere adottato per l’accesso di soggetti non dipendenti e visitatori.
Tutti questi interrogativi sono probabilmente emersi anche in fase di valutazione preliminare ed infatti il Garante stesso, suggerendo prassi minimamente invasive e prive di troppi documenti cartacei, difficilmente gestibili e tracciabili, parla di software finalizzato alla gestione dell’attività messo a disposizione dal datore di lavoro. Anche in questo caso, ovviamente, non si potrà prescindere da tutte quelle valutazioni previste dall’art.32 del Gdpr, riguardo le opportune misure tecniche ed organizzative da implementare, considerando anche che ci troviamo in un contesto di dati particolari.
Certamente complesso, anche in presenza di un software, messo a disposizione dal datore ed usato in forma riservata dal medico competente, andare a registrare sia quelle vaccinazioni avviate tramite l’azienda, sia quei soggetti che avranno a questo punto già provveduto tramite le campagne in corso previste del servizio sanitario nazionale. Tali soggetti dovranno comunque essere censiti per poter compilare senza errori le liste dei soggetti da vaccinare e le richieste dei flaconi di inviare alla Asl.
Certamente il datore di lavoro avrà il suo bel daffare per poter avviare con serenità la campagna vaccinale interna ed in questo contesto si comprende quanto sia importante la figura di un DPO qualificato che sia in grado di valutare i molteplici profili di rischio di queste operazioni. Il dialogo fra DPO e consulenti/responsabili privacy dovrà essere costante ed eventuali anomalie alle procedure previste dovranno essere sempre portate all’attenzione del gruppo privacy.
Bene ricordare che il DPO, nella sua qualità di punto di contatto anche per il dipendente potrà e dovrà accogliere tutte quelle richieste di chiarimento che perverranno dal personale impiegato in azienda, fornendo chiare indicazioni. In un’ottica di best practice, sarebbe sicuramente opportuno prevedere un documento di carattere informativo redatto dall’azienda, ove vengono riportati in modo chiaro gli adempimenti previsti per il datore di lavoro e quelli svolti dal medico competente, magari con un richiamo all’informativa prodotta dal medesimo per i trattamenti svolti in autonomia.
