Il Garante si è pronunciato sul trattamento dei dati personali dei dipendenti in due contesti – ed occasioni – diverse.
In data 17 febbraio sono state pubblicate le FAQ sul trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo e, in data 19 febbraio, nella Newsletter del Garante n. 473, viene riportata una recente sanzione comminata in ambito lavorativo (“Garante, no all’uso delle impronte digitali dei dipendenti se manca base normativa”).

Di Giada Iovane


Le FAQ sul trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo

Conferma dell’avvenuta vaccinazione

Il datore di lavoro non può chiedere informazioni al lavoratore dipendente sul proprio stato vaccinale o copia di documenti che comprovino l’avvenuta vaccinazione.

Il consenso del dipendente non può essere ritenuto una valida condizione di liceità (artt. 6 e 9 Regolamento UE n. 679/2016, d’ora in poi, “Regolamento” o “GDPR”) a causa dello squilibrio del rapporto in essere tra le parti: il Titolare del trattamento (il datore di lavoro) è, infatti, in una posizione “forte” rispetto al soggetto interessato (il lavoratore dipendente).

Quanto summenzionato è esplicitato al Considerando n. 43 del Regolamento ove si legge: “per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

E’ evidente che, per la posizione assunta dal lavoratore, il consenso non sarebbe liberamente prestato.

Nominativi dei dipendenti vaccinati

Il medico competente non può informare il datore di lavoro sui nominativi dei dipendenti vaccinati.

I dati sanitari dei dipendenti e, tra questi, anche le informazioni sulla vaccinazione possono essere trattati solo dal medico competente.

Tale decisione è in linea con quanto già statuito dal Garante nelle “FAQ -Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria” ove, al punto 4, si legge: “4. Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori”.

Il datore di lavoro può invece acquisire, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) D. Lgs. n. 81/2008,  in materia di tutela della salute e della sicurezza nei luoghi di lavoro).

Inoltre, già nel maggio 2020, il Garante aveva precisato che “nell’ambito del sistema di prevenzione e sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio, il datore di lavoro può richiedere ai propri dipendenti di effettuare test sierologici solo se disposto dal medico competente o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica. Solo il medico del lavoro infatti, nell’ambito della sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici”.

La vaccinazione come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di specifiche mansioni

Solo il medico competente può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del D. Lgs. n. 81/2008).

Attualmente, in assenza di specifiche disposizioni del legislatore in tal senso, trovano – pertanto – attuazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del D. Lgs. n. 81/2008).

La sanzione del Garante ad una Azienda sanitaria provinciale: il trattamento di dati biometrici dei dipendenti

L’Azienda sanitaria provinciale (ASP) di Enna, a seguito di ordinanza di ingiunzione del 14 gennaio 2021, è stata sanzionata dal Garante per aver adoperato strumenti di rilevazione delle presenze dei dipendenti, basati sul trattamento di dati biometrici.

Si ricordi che i dati biometrici, ai sensi dell’art. par. 1, n. 14, del GDPR, sono i “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”: tali dati, ai sensi dell’art. 9 par. 1 GDPR (“Trattamento di particolari categorie di dati”) non possono essere trattati, se non nei casi (eccezioni) previsti dal successivo paragrafo 2.

Fatte queste precisazioni, si evidenzia come a seguito dell’introduzione del GDPR, l’installazione di strumenti basati sul trattamento di dati biometrici deve necessariamente adottarsi su una base normativa proporzionata all’obiettivo perseguito e diretta a tutelare i diritti degli interessati.

Già in sede di istruttoria il Garante precisava che “il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del Regolamento). I dati devono, inoltre, essere “trattati in maniera da garantire un’adeguata sicurezza” degli stessi, “compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), e art. 32 del Regolamento)”.

L’Azienda sanzionata, come è emerso a seguito di istruttoria, acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. L’identità del dipendente veniva verificata mediante confronto tra un modello biometrico di riferimento (previamente memorizzato nel badge del lavoratore dipendente) e l’impronta rilevata dallo strumento. Successivamente, veniva trasmesso il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.

Secondo il Garante, il trattamento posto in essere (comprensivo, sia della rilevazione dell’impronta da inserire nel badge, sia della rilevazione della medesima all’atto di accesso di ogni dipendente) veniva eseguito in assenza di una idonea base giuridica, non potendo il consenso dell’interessato assolvere tale onere poiché, come già ravvisato per le FAQ in materia di vaccinazione, il Considerando n. 43 ritiene liberamente prestato il consenso che non sia espresso nell’ambito di un rapporto “squilibrato” tra i soggetti (come può essere il rapporto datore di lavoro/titolare  – dipendente/interessato).

La ASP, in aggiunta, non aveva ottemperato correttamente all’obbligo di informativa in relazione al trattamento esaminato, così come richiesto dagli artt. 13 e 14 GDPR: l’informativa veniva trasmessa, invero, solo in un secondo tempo, su sollecitazione del Garante.

L’informativa – resa quindi in una fase di molto successiva al trattamento – presentava inoltre lacune, in violazione dei principi di liceità, trasparenza e correttezza (art. 5, par. 1, lett. a), del GDPR.

Sulla base di tali motivi il Garante ha ritenuto illecito il trattamento dei dati biometrici, ha sanzionato l’Azienda (della somma di  euro 30.000) e ha imposto la cancellazione dei dati biometrici memorizzati, chiedendo altresì di essere informato sulle successive iniziative che l’ASP intraprenderà per far cessare tale illecito trattamento.

Author Giada Iovane

More posts by Giada Iovane