Un interessante spunto di riflessione che vieta al datore di lavoro il trattamento dei dati sulle vaccinazioni in azienda

Con due documenti differenti documenti, il Garante per la protezione dei dati personali ha sintetizzato le sue indicazioni in relazione al ruolo del mc, con particolare riferimento al contesto determinato dall’emergenza Covid-19, e alle vaccinazioni in azienda.
In tali documenti il Garante precisa che si può equiparare il tema dei dati delle vaccinazioni nello stesso percorso dell’idoneità alla mansione

Il tutto  consente al medico competente, e solo a lui, di emettere giudizi di idoneità parziale e/o inidoneità temporanee per i lavoratori non vaccinati, nel rispetto delle indicazioni fornite dalle autorità sanitarie.
Conseguentemente, il Garante specifica che le attività di trattamento dei dati relativi alle vaccinazioni in azienda – dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione – devono essere effettuate dal medico competente o da altro personale sanitario appositamente individuato, ed esclude che il datore di lavoro possa raccogliere direttamente dai dipendenti, dal medico compente, o da altri professionisti sanitari o strutture sanitarie, informazioni relative all’intenzione del lavoratore di aderire alla campagna o alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle sue condizioni di salute.
Il datore di lavoro, attraverso le competenti funzioni interne, potrà fornire al professionista sanitario indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali, senza però trattare dati personali relativi alle adesioni di lavoratrici e lavoratori identificati o identificabili. Il datore di lavoro potrà, inoltre, fornire il proprio supporto mettendo a disposizione strumenti informatici per consentire, al personale sanitario addetto alle vaccinazioni, di accedere, con le proprie credenziali, ai sistemi informativi predisposti per la registrazione delle somministrazioni dei vaccini, in conformità a quanto previsto dalle disposizioni di attuazione del piano strategico nazionale vaccini.
Il garante ricorda inoltre i principali adempimenti del medico competente in materia di protezione dei dati personali, tra cui l’istituzione di un proprio registro delle attività di trattamento, distinto da quello del datore di lavoro che gli ha conferito l’incarico (art. 30 del GDPR), l’informativa agli interessati (art. 14 del GDPR) e l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (art. 32-34 del GDPR), e ribadisce che il singolo professionista sanitario che operi in regime di libera professione a titolo individuale non è tenuto alla designazione del responsabile della protezione dei dati (artt. 37-39 del GDPR).