Sanzionato per violazione della privacy il datore di lavoro che ha intimato alla dipendente di somministrarsi il vaccino anti-covid. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy
Indice
1. I fatti: il datore di lavoro viola la privacy sui vaccini
Una ex dipendente di una cooperativa che svolgeva l’attività di struttura medico-sanitaria inviava un reclamo al Garante per la protezione dei dati personali in cui sosteneva di essere stata impiegata della predetta cooperativa e di aver ricevuto una lettera di diffida, dal proprio datore di lavoro, a procedere con la somministrazione del vaccino anti covid, anche se non era obbligata a farlo, pena la sospensione dell’attività lavorativa.
Il Garante inviava quindi alla Cooperativa una richiesta di informazioni volta a sapere quale fosse stata la fonte attraverso cui la stessa avesse acquisito il dato relativo alla salute della reclamante (cioè il fatto che non fosse stata vaccinata).
La cooperativa dichiarava che l’informazione relativa allo stato vaccinale della dipendente non era stato acquisito dalla ASL territorialmente competente, bensì dalla stessa interessata che aveva spontaneamente manifestato la propria intenzione di non sottoporsi alla vaccinazione anti-covid.
In secondo luogo, la cooperativa, per il tramite del legale rappresentante, sosteneva di avere una responsabilità che imponeva di adottare tutte le misure anti-covid previste dalla legge per tutelare i medici, i dipendenti e i pazienti della struttura sanitaria. In particolare, il D.L. 44/2021 aveva imposto l’obbligo vaccinale a tutti gli operatori dell’ambito sanitario. Pertanto, la cooperativa, ritenendo che la propria dipendente rientrasse in questa categoria, si era preoccupata di capire se la stessa fosse munita della apposita certificazione che dimostrava l’assolvimento del predetto obbligo vaccinale. Tale controllo era avvenuto prima che la ASL territorialmente competente comunicasse alla Cooperativa l’esito sull’assolvimento dell’obbligo vaccinale da parte dei lavoratori della Cooperativa (come indicati nella lista che quest’ultima aveva inviato alla precedentemente alla stessa ASL), in quanto il legale rappresentante aveva valutato la preminenza della tutela e della garanzia della salute. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
60.80 €
2. La valutazione del Garante
Come noto, il D.L. 44/2021 ha introdotto una procedura, rimasta in vigore fino al novembre 2022, volta alla verifica dell’assolvimento dell’obbligo vaccinale da parte degli esercenti le professioni sanitarie e gli operatori di interesse sanitario.
Con l’introduzione di nuovi decreti e norme varie nei mesi di pandemia, il novero delle categorie di lavoratori interessati dall’obbligo vaccinale è stato via via aumentato dal Governo e sono state altresì modificate le procedure relative alla verifica dell’assolvimento dell’obbligo vaccinale (quale requisito essenziale per poter esercitare la professione sanitaria e per svolgere le relative prestazioni lavorative).
Per quanto riguarda la procedura, era prevista la comunicazione “entro cinque giorni dall’entrata in vigore del decreto” da parte dei datori di lavoro di un elenco contenente i nominativi degli operatori di interesse sanitario che svolgono la loro attività nelle strutture sanitarie, sociosanitarie, socio-assistenziali, pubbliche o private, alla regione o alla provincia autonoma nel cui territorio operano.
Nel caso di specie, la Cooperativa ha inviato alla reclamante (all’epoca propria dipendente) la lettera di diffida in questione (con cui le intimava di presentarsi sul luogo di lavoro con il certificato di assolvimento dell’obbligo vaccinale), prima di procedere con l’invio alla ASL competente della comunicazione dei dipendenti (quindi prima di avere il relativo riscontro dalla ASL con l’indicazione dell’assolvimento o meno dell’obbligo vaccinale).
In considerazione di ciò, secondo il Garante, la Cooperativa ha trattato il dato relativo allo stato vaccinale della propria dipendente, ancora prima di ricevere, dagli organismi preposti, l’atto di accertamento dell’inosservanza dell’obbligo vaccinale.
Pertanto, il trattamento dei dati relativi allo stato vaccinale della reclamante è stato effettuato in violazione della normativa privacy, che prevede il divieto di trattare i dati relativi alla salute tranne che nei casi espressamente previsti dalla legge.
Infatti, il presupposto normativo che rendeva lecito il trattamento del dato relativo alla salute della dipendente (cioè il fatto di essersi sottoposta o meno all’obbligo vaccinale) era proprio il D.L. 44/2021.
Il mancato rispetto della procedura di accertamento dell’inadempimento all’obbligo vaccinale previsto dalla citata normativa (cioè il previo invio all’ASL della lista dei dipendenti e l’attesa della risposta di quest’ultima dell’assolvimento o meno dell’obbligo da parte di ogni dipendente), ha reso illecito il trattamento effettuato dalla Cooperativa relativo alla informazione circa la mancata vaccinazione della propria dipendente (dato che aveva acquisito precedentemente).
Tra l’altro, il Garante ha evidenziato che – durante il periodo emergenziale pandemico – aveva più volte ribadito che il datore di lavoro non era legittimato a chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia dei documenti comprovanti l’avvenuta vaccinazione (cosa non consentita dalle disposizioni emergenziali) e che non poteva considerarsi lecito il trattamento dei dati relativi alla vaccinazione neanche in presenza del consenso del dipendente (in quanto in tali casi il consenso non poteva ritenersi una valida condizione di liceità del trattamento a causa dello squilibrio del rapporto tra titolare del trattamento e interessato all’interno del contesto lavorativo).
Potrebbero interessarti anche:
-Il Garante detta le regole per la privacy nella vaccinazione sui luoghi di lavoro
-Accesso del paziente con green pass viola la privacy
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che la condotta posta in essere dalla cooperativa consistente nell’inviare la richiamata diffida alla propria dipendente, comporta la violazione del divieto di trattare i dati particolari degli interessati e conseguentemente ha ritenuto di comminare una sanzione amministrativa pecuniaria al titolare del trattamento.
Per quanto concerne la quantificazione della predetta sanzione, il Garante ha preso in esame, quale circostanza aggravante, il fatto che la natura della violazione fosse rilevante (in quanto avente ad oggetto dati particolari dell’interessata, anche se riferiti ad un solo soggetto); quale circostanze attenuanti, invece, il Garante ha valutato l’assenza di precedenti violazioni pertinenti commessa dal titolare del trattamento e il grado di cooperazione da questi avuta con l’Autorità, oltre che la complessità connesse all’applicazione della disciplina nel contesto emergenziale.
In conclusione, il Garante ha comminato alla cooperativa la sanzione di €. 5.000 (cinquemila).
Scrivi un commento
Accedi per poter inserire un commento