Garante della Privacy: quando la ragione astratta pregiudica l’efficienza dei piani di vaccinazione aziendale
Di Luca Menichino e Giorgio Solbiati
La campagna vaccinale procede, pur tra le mille difficoltà che tutti ben conosciamo. Nondimeno, si avvicina l’obiettivo tendenziale di vaccinare quanti più residenti possibile, per proteggere loro e chi vaccinarsi non può (per ragioni di salute). A questo obiettivo avrebbero dovuto concorrere in modo cospicuo anche le aziende italiane, cui il legislatore emergenziale ha offerto la possibilità (forniture di vaccino permettendo) di concertare con le strutture di sanità pubblica appositi piani di vaccinazione aziendale dei lavoratori, paralleli al piano vaccinale nazionale; una grande idea che, però, subisce più di un intralcio.
Ci ha pensato nelle settimane scorse il Garante dei dati personali a complicare, nei fatti, ciò che in realtà era un’idea semplice: vaccinare prima chi lavora. Il tema è, ovviamente, quello dei limiti imposti ai datori di lavoro, che sarebbero chiamati a fornire il vaccino senza però poter venire in alcun modo a conoscenza delle scelte dei loro dipendenti. In proposito, il Garante ha da poco pubblicato un paio di informative/vademecum, reperibili e consultabili liberamente sul suo sito, ove si afferma, in parole povere, che al datore di lavoro non è in alcun modo concesso di conoscere chi intenda vaccinarsi. Unico soggetto legittimato a raccogliere simili informazioni è il medico competente e ciò sulla base di una serie di richiami normativi: “art. 9, par. 2, lett. b) e 88 Regolamento; art. 113 del Codice; d. lgs. n. 81/2008; (…) art. 5, l. 20.5.1970, n. 300”.
Ora, il richiamo a tutte quelle norme, dove non è generico, quantomeno rischia di non essere del tutto pertinente (si consideri che l’art. 9 del Regolamento GDPR non vieta soltanto, ma anzi consente con il consenso il trattamento dei dati sensibili, come quelli sanitari). Ma ciò che più colpisce è quanto poi il Garante dispone dopo: “tenuto conto dello squilibrio del rapporto tra titolare e interessato nel particolare contesto lavorativo” neppure “il consenso dei dipendenti (…) può costituire un valido presupposto di liceità (cfr. Considerando 43 del Regolamento)”. Il datore di lavoro quindi “anche nell’ambito dello svolgimento delle attività di supporto” non può in alcun modo “trattare i dati personali relativi a tutti gli aspetti connessi alla vaccinazione dei propri dipendenti”.
A nessuno sfugge che si tratta di una misura, nella fattispecie, eccessiva e peraltro tendente ad un fine irrealizzabile. E il perché è presto detto.
Il Considerando 43 del Regolamento GDPR, richiamato dal Garante, è infatti espressione di un principio generale: quando c’è effettiva e comprovata soggezione tra le parti di un rapporto (come può facilmente accadere tra cittadino e PA), il consenso a fornire dati personali e sensibili non può essere posto, da solo, alla base del trattamento, perché si presume che tale consenso venga comunque carpito dalla parte dominante.
Ma in questo caso tra il datore di lavoro che offre il vaccino al proprio lavoratore e quest’ultimo che soggezione mai può aversi in forza della scelta del lavoratore di vaccinarsi o meno? Si consideri anzi, a contrario, che è un principio del nostro ordinamento giuridico quello secondo cui la produzione di effetti positivi nel patrimonio altrui (che non siano in rapporto con equivalente controprestazione) nemmeno richiede il consenso necessario del beneficiato. Offrire il vaccino al proprio dipendente (accollandosene pure il costo e senza conseguenze) significa certamente offrire un vantaggio al medesimo, pure in un’ottica più generale di salute individuale e pubblica.
Non si vede bene in che misura possa essere estorto il consenso in un caso del genere. E comunque, proprio in virtù delle disposizioni del Regolamento GDPR che tutelano l’equilibrio nei rapporti tra lavoratore e datore di lavoro (Considerando 43), va da sé che, in caso di abusi, il trattamento diverrebbe pacificamente illecito, con conseguenze sanzionatorie draconiane in capo al datore di lavoro.
Non solo. Conoscere gli intendimenti dei lavoratori è necessario per organizzare direttamente la campagna vaccinale aziendale sul piano logistico e per gestirne correttamente le relative tempistiche, ciò minimizzando le ricadute sull’organizzazione del lavoro e sveltendo le procedure. D’altra parte, è pure impraticabile che il medico competente possa gestire la vaccinazione di un numero significativo di persone al giorno (solo le società di medie e grandi dimensioni offriranno questo servizio ai dipendenti), senza prima verificare con il datore di lavoro che non vi sia un pregiudizio operativo e di business, a causa delle assenze nei vari reparti.
In altri termini, la necessità organizzativa è più che evidente.
Certo, va bene pretendere che il datore di lavoro faccia finta di non sentire e non vedere, ma considerato che le assenze non sono certo all’ordine del giorno per molti lavoratori, è ben difficile sostenere che il datore di lavoro non possa intuire chi ha fatto o meno il vaccino quando organizza (e paga) il servizio di vaccinazione, conosce il numero dei vaccinati (partendo dalle dosi che deve acquisire) ed è al corrente del numero dei permessi per assentarsi dal lavoro.
Del resto in ordinamenti più pragmatici del nostro (come quelli di matrice anglosassone) le scelte dei relativi Garanti (è il caso, ad esempio, dell’ICO del Regno Unito) sono andate proprio in questa direzione, senza vietare a priori al datore di lavoro l’acquisizione dei dati sulle vaccinazioni, ma avendo cura che ciò avvenga sulla base di ragioni di stretta necessità e comunque minimizzando il dato (in altri termini ciò significa che una volta che il dipendente sarà vaccinato, il relativo dato non potrà essere conservato dal datore di lavoro).
Ciò che deve fare la differenza allora non è qualche divieto a priori, basato su qualche malcelato pregiudizio, ma fiducia, trasparenza, responsabilità. In definitiva, non ha senso vietare, ha invece senso pretendere che il datore di lavoro gestisca i dati per ragioni di stretta necessità e sempre nella logica della minimizzazione del dato. Semplificare le comunicazioni, basandole sul consenso espresso e manifesto del lavoratore significa anche snellire i processi organizzativi e, a valle, favorire la campagna vaccinale stessa (che è pure chiaro interesse pubblico). Seguendo invece il Garante si finisce soltanto per dare ragione una volta di più al vecchio aforisma di Ennio Flaiano, arrendendosi al fatto che "in Italia la linea più breve tra due punti è l’arabesco …"
Milano, 1 luglio 2021