le Faq

Covid, Garante per la privacy: "Il datore di lavoro non può avere i nomi del personale vaccinato"

Non si possono acquisire neanche con il consenso del dipendente o tramite il medico competente

© IPA

Il datore di lavoro può chiedere ai propri dipendenti di vaccinarsi contro il Covid per accedere ai luoghi di lavoro e per svolgere determinate mansioni, ad esempio in ambito sanitario? Può chiedere al medico competente i nominativi dei dipendenti vaccinati? O chiedere conferma della vaccinazione direttamente ai lavoratori? A queste domande ha risposto il Garante per la privacy con le Faq pubblicate sul sito, in cui è spiegato che il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico competente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali.

Acquisire i nominativi del personale vaccinato o la copia delle certificazioni vaccinali non è consentito dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro né dalle disposizioni sull'emergenza sanitaria. Il consenso del dipendente non può costituire, in questi casi, una condizione di liceità del trattamento dei dati. Il datore di lavoro può, invece, acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica redatti dal medico competente. 

Il Garante ha chiarito inoltre che - in attesa di un intervento del legislatore nazionale che eventualmente imponga la vaccinazione anti Covid quale condizione per lo svolgimento di determinate professioni, attività lavorative e mansioni - nei casi di esposizione diretta ad "agenti biologici" durante il lavoro, come nel contesto sanitario, si applicano le disposizioni vigenti sulle "misure speciali di protezione" previste per tali ambienti lavorativi (art. 279 del d.lgs. n. 81/2008). 

Anche in questi casi, solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario e il contesto lavorativo, può trattare i dati personali relativi alla vaccinazione dei dipendenti. Il datore di lavoro deve quindi limitarsi ad attuare, sul piano organizzativo, le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità. 

L'intento dell'Autorità - sottolinea il Garante in una nota - è quello di fornire indicazioni utili ad imprese, enti e amministrazioni pubbliche affinché possano applicare correttamente la disciplina sulla protezione dei dati personali nel contesto emergenziale, anche per prevenire possibili trattamenti illeciti di dati personali e di evitare inutili costi di gestione o possibili effetti discriminatori. 

Sullo stesso tema