Il tema della vaccinazione dei lavoratori è stato oggetto di uno specifico intervento di chiarimento da parte dell’Autorità Garante per la protezione dei dati personali, con la pubblicazione di FAQ dedicate. Tale ambito è analogo a quello dei test sierologici e riguarda le attività di trattamento che possono essere svolte sui dati sanitari dei dipendenti.
È bene ricordare che il contesto emergenziale della pandemia non può in alcun caso giustificare trattamenti illeciti, in quanto la protezione dei dati personali ha l’effetto di tutelare i diritti e le libertà fondamentali dei lavoratori. Vero è che da art. n.4 GDPR tale diritto “va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”, ma proprio per l’effetto di tale disposizione in alcun modo un’attività di trattamento può essere svolta, ad esempio, in assenza di una base giuridica valida o in violazione del principio di minimizzazione. Già la formazione di un database comporta rischi intrinseci, pertanto la valutazione di proporzionalità e sostenibilità di tali rischi è emblematicamente svolta mediante la corretta individuazione di un fondamento di liceità dell’attività di raccolta dei dati e la selezione dei dati che è possibile raccogliere. L’effetto, altrimenti, sarebbe quello di esporre gli interessati (in questo caso: i lavoratori) a rischi non sostenibili.
Considerando ora la raccolta dei dati che, in via diretta o mediata possano fornire informazioni circa lo stato di salute dei dipendenti e l’essere stati sottoposti a vaccinazioni, tale attività non può essere svolta in assenza di una specifica previsione normativa che stabilisca tale obbligo in capo al datore di lavoro.
Una raccolta indiretta tramite comunicazione da parte del medico competente non può avere alcuna liceità in quanto è l’esclusivo titolare del trattamento dei dati necessari allo svolgimento dell’attività di sorveglianza sanitaria ai sensi del TUSL. Ad oggi, infatti, ciò che può essere oggetto di acquisizione da parte del datore di lavoro in tale ambito è il solo giudizio di idoneità alla mansione fornito da parte del medico competente. Il trattamento di tale dato avviene per il datore di lavoro sulla base dell’art. 9.2 lett. b) GDPR mentre per il medico competente sulla base dell’art. 9.2 lett. h) GDPR, in quanto sono soggettivamente inquadrati come due distinti titolari del trattamento.
Da ultimo, è bene ricordare che anche raccolta diretta di un’evidenza circa l’avvenuta vaccinazione non può essere svolta. Ogni eventuale consenso (esplicito, ai sensi dell’art. 9.2 lett. a) GDPR) prestato a tale riguardo è invalido in quanto non libero stante l’evidente squilibrio di potere fra titolare del trattamento ed interessati. Citando le linee guida sul consenso – WP 259 adottate dall’EDPB, infatti, “è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto”.
