Vaccinazione anti Covid-19 del lavoratore: profili privacy

L'attuale emergenza epidemiologica ha disegnato scenari nuovi anche nell'ambito giuslavoristico, ponendo una serie di questioni e di interrogativi che hanno coinvolto a tutto campo gli operatori del settore.

Una delle questioni che attualmente sta suscitando particolare interesse riguarda la possibilità per il datore di lavoro di trattare i dati relativi alla salute e, segnatamente, quelli inerenti alla vaccinazione anti Covid-19.

Si pongono, nello specifico, tre questioni fondamentali:

1) il datore di lavoro può chiedere conferma ai propri dipendenti dell'avvenuta vaccinazione?

2) Il datore di lavoro può chiedere al medico competente i nominativi dei dipendenti vaccinati?

3) Il datore di lavoro può considerare l'avvenuta vaccinazione quale condizione essenziale per l'accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni?

Va subito detto che a queste tre domande il Garante per la protezione dei dati personali ha dato risposta negativa (v. FAQ del 17 febbraio 2021).

Del resto, la risposta non poteva che essere negativa alla luce dell'attuale contesto normativo di riferimento in cui non è dato rinvenire una prescrizione di legge che configuri la vaccinazione come un obbligo o atto dovuto.

I dati relativi all'avvenuta (o meno) vaccinazione, ai sensi dell'art. 4, par. 1, punto 15, del Regolamento UE 2016/679, vanno annoverati nella categoria dei “dati relativi alla salute” ovvero ai “dati personali attinenti alla salute fisica o mentale di una persona fisica […] che rivelano informazioni relative al suo stato di salute”.

Come esplicitato nel Considerando n. 35 del Regolamento, nei dati relativi alla salute devono rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale “passata, presente o futura dello stesso”.

La protezione che l'ordinamento riconosce a questi dati è più elevata rispetto a quella stabilita per i dati c.d. comuni (v. Considerando n. 53 del Regolamento), in quanto – ha precisato l' European Data Protection Board – l'uso di tali dati sensibili può avere gravi ripercussioni negative per gli interessati, quali la potenziale assenza di bilanciamento tra diritti e libertà fondamentali.

Affinchè sia assicurata la liceità del trattamento di tale categoria particolare di dati personali”- sottolinea l' European Data Protection Board nelle Linee guida 3/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell'emergenza legata al Covid-19, adottate il 21 aprile 2020 – è necessario che il loro trattamento sia conforme ai principi di cui all'art. 5 del Regolamento (liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza) e a uno dei fondamenti di liceità di cui all'art. 6 del Regolamento , nonché alle deroghe specifiche indicate nel medesimo Regolamento negli artt. 6 e 9.

In particolare, l'art. 9 del citato Regolamento europeo, relativo al trattamento di categorie particolari di dati (ante Regolamento: dati sensibili), tra i quali rientrano come visto i dati relativi alla salute, pone un divieto generalizzato di trattamento nel par. 1, mentre nel par. 2, introduce una serie di eccezioni a tale divieto.

Rispetto alle ipotesi considerate dal secondo comma del predetto art.9, relative alle tipologie di trattamento in presenza delle quali risulta derogato il divieto di trattamento, ritengo sia opportuno soffermarsi sulla previsione della lettera i) e su quella, specifica per la materia lavoristica, della lettera b).

Ai sensi della lettera i), il divieto di trattare, tra l'altro, i dati relativi alla salute non si applica se “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale”.

Questa disposizione, che apparentemente potrebbe suggerire una interpretazione meno garantista ai fini della nostra indagine, deve, in realtà essere letta in combinato disposto con il Considerando 54 del Regolamento, secondo cui il trattamento di dati particolari può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato, sempreché vi siano state individuate misure “specificate ed appropriate a tutela dei diritti e delle libertà delle persone fisiche” e – questo è il secondo limite – non comporti “il trattamento per altre finalità da parte di terzi, quali datori di lavoro”.

Il trattamento da parte del datore di lavoro trova dunque un primo limite che risulta, poi, specificato nella lettera b), ove il trattamento dei dati relativi alla salute, necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e della protezione sociale, è possibile “nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessati”.

La liceità del trattamento trova, dunque, ancora una volta fondamento in una legge, ma non solo.

Lo Stato italiano, infatti, in applicazione del quarto paragrafo dell'art. 9 del Regolamento (ai sensi del quale “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento”, tra l'altro dei dati relativi alla salute), ha previsto, all'art. 2-septies del d.lgs. n. 196 del 2003, come modificato dal d.lgs. n. 101 del 2018, l'adozione di ulteriori misure di garanzia per il trattamento di questi dati.

Secondo la geometria delineata dal Regolamento e dalla normativa italiana di riferimento, dunque, il trattamento lecito dei dati particolari è subordinato al verificarsi di due condizioni, concorrenti e non alternative: la previsione di legge e le ulteriori misure di garanzia.

Per quanto riguarda queste ultime, va ricordato che le stesse sono state declinate nel Provvedimento del Garante per la protezione dei dati personali n. 146 del 5 giugno 2019 recante le prescrizioni relative al trattamento di categorie particolari di dati.

In particolare, nell'Allegato 1, Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro, si rinviene un passaggio, rispetto alle finalità del trattamento, che potrebbe rappresentare il fondamento per il trattamento dei dati relativi alla salute in discorso. Nel punto 1.3. si stabilisce, infatti, che il trattamento delle categorie particolari di dati può essere effettuato qualora risulti necessario, tra l'altro “per perseguire finalità di salvaguardia della vita e dell'incolumità fisica del lavoratore o di un terzo” (lett. c).

Ne risulta che, rispetto a questa finalità, il datore potrebbe acquisire informazioni sullo stato vaccinale dei lavoratori, sempreché – considerata la contestuale ricorrenza delle due condizioni sopra descritte – intervenga un atto normativo che, come previsto nel più volte citato Regolamento, autorizzi il trattamento stesso.

A completamento del quadro delineato, non possono infine sottacersi gli effetti derivanti dall'illegittimo trattamento dei dati personali e, in primis, l'inutilizzabilità dei dati.

L'art. 2-decies del d.lgs.n. 196 del 2003, come modificato dal d.lgs. n. 101 del 2018, ribadendo un principio già in vigore ante Regolamento, stabilisce, infatti, che i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati (fatta salva l'applicazione delle disposizioni processuali in caso di utilizzo in un procedimento giudiziario).

Sotto il profilo sanzionatorio, a prescindere da un danno all'immagine che un trattamento illecito potrebbe determinare ad un'azienda, è necessario ricordare che, ai sensi dell'art. 166 comma 2, d.lgs. n. 196 del 2003, come modificato dal d.lgs. n. 101 del 2018, la violazione delle misure di garanzia di cui al citato art. 2-septies dà luogo alla sanzione amministrativa di cui all'art. 83, par. 5, del Regolamento europeo: ovvero a sanzioni amministrative pecuniarie fino a 20.000.000 euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

È, altresì, prevista (art. 167, comma 2, d.lgs. n. 196 del 2003, come modificato dal d.lgs. n. 101 del 2018), salvo che il fatto costituisca più grave reato, la reclusione da uno a tre anni per chi, al fine di trarre per sé o per altri profitto, ovvero di arrecare danno all'interessato, procede al trattamento dei dati particolari di cui all'art. 9 del Regolamento in violazione delle disposizioni, tra l'altro, delle misure di garanzia previste dall'art. 2-septies.

Un'ultima considerazione riguarda l'eventualità di “bypassare” le previsioni di legge e le misure di garanzia descritte, attraverso l'acquisizione di un esplicito consenso da parte del lavoratore al trattamento dei propri dati relativi alla salute, segnatamente per quanto riguarda le informazioni concernenti la sua vaccinazione. L'ipotesi sarebbe quella di configurare il consenso quale base giuridica per il trattamento dei dati c.d. vaccinali dei dipendenti.

Anche questa opzione, però, non risulta praticabile. Come indicato nel Considerando n. 43 del Regolamento, il consenso non può essere considerato libero se vi è un evidente squilibrio tra l'interessato e il titolare del trattamento. Squilibrio che, - come evidenziato dal Gruppo di lavoro Articolo 29, nell'Opinion 2 adottata l'8 giugno 2017 - caratterizza il rapporto di lavoro, nel quale, dunque, proprio in ragione della posizione di soggezione del lavoratore, il trattamento dei dati personali non può essere basato sul consenso dei dipendenti.

Né, infine, potrebbe invocarsi il “legittimo interesse” del datore di lavoro a proteggere la propria attività e/o tutelare la sua proprietà, giacché tale base giuridica è una condizione di liceità applicabile al trattamento dei dati c.d. comuni (art. 6, comma 1, lett. ), e non a quello dei dati particolari, quali quelli relativi alla salute.

Le considerazioni che precedono e la conclusione per cui il datore di lavoro non può chiedere e/o ricevere informazioni sullo “stato vaccinale” del lavoratore, sono ovviamente legate alla situazione giuridica attuale. L'eventuale entrata in vigore di una normativa ad hoc, magari anche limitata a categorie di lavoratori e/o a settori merceologici definiti, lascerebbe chiaramente spazio a diverse soluzioni.