Le disposizioni sull’emergenza sanitaria e quelle in materia di tutela della salute nei luoghi di lavoro, non consentono al datore di lavoro di chiedere ai dipendenti dell’avvenuta vaccinazione, neanche con il loro consenso. I dati vaccinali sono dati di natura sensibile; attenendo allo stato sanitario dei soggetti il legislatore ha voluto garantire una maggiore protezione rispetto a quella accordata in genere ai dati personali, attraverso una disciplina più severa del loro trattamento. Nemmeno il medico competente può comunicare al datore di lavoro i nominativi dei dipendenti vaccinati. Il medico competente, infatti, può trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica.
Il medico competente, nella sua funzione di raccordo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica. Il datore di lavoro deve quindi limitarsi ad attuare, sul piano organizzativo, le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea
inidoneità. Le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta. Le strutture sanitarie sono tenute al pieno rispetto dei principi di correttezza e trasparenza, adottando misure tecniche e 
organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare violazioni di dati personali, in particolare quelli più delicati, i dati sensibili, come quelli sulla salute. Il Garante per la privacy richiama l’attenzione dei decisori pubblici e degli operatori privati italiani sull’obbligo di rispettare la disciplina in materia di protezione dei dati personali. I dati relativi allo stato vaccinale, infatti, sono dati particolarmente delicati e un loro trattamento non corretto può determinare conseguenze gravi per la vita e i diritti fondamentali delle persone, possono tradursi in discriminazioni e compressioni illegittime di libertà costituzionali. Il Garante per la Privacy ha sanzionato alcune strutture sanitarie per le violazioni di dati personali causati da procedure inadeguate e da semplici errori materiali del personale che avevano comunicato informazioni sulla salute alle persone sbagliate. Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone. Due Ospedali hanno ricevuto la sanzione di diecimila euro per aver spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute di un’altra persona e per aver consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone. In entrambi i casi le strutture sanitarie hanno dimostrato un elevato grado di cooperazione con il Garante per la Privacy e che gli episodi sono risultati isolati e non volontari e per ridurre al minimo l’errore umano. Inoltre il Garante per la protezione dei dati personali, per uso di informazioni non necessarie rispetto alle finalità di controllo, per ricorso a dati non corretti o incompleti, per inadeguata valutazione dei rischi per la privacy, ha ordinato all’Inps il pagamento di una sanzione di trecento mila euro, in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto
riguardo al “bonus Covid” per le partite IVA. L’INPS non ha valutato adeguatamente i rischi collegati a un
trattamento di dati così delicati come è quello riguardante i richiedenti un beneficio economico classificato
come ammortizzatore sociale, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati. Il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dall’Inps e ha applicato la sanzione.
Avv. Pietro Cusati
Direttore Amministrativo del
Tribunale di Sala Consilina e Giudice
Tributario presso la Commissione
Tributaria Provinciale di Salerno
pietrocusati@tiscali.it
