L’Autorità Garante per la protezione dei dati personali (il “Garante”) lo scorso 14 maggio ha pubblicato un documento sul ruolo del medico competente anche con riferimento alla realizzazione dei piani vaccinali per l’attivazione di punti straordinari di vaccinazione anti Covid-19, prevista dal Protocollo nazionale sottoscritto il 6 aprile 2021.

Con tale documento, il Garante chiarisce, innanzitutto, che i compiti assegnati al medico competente assumono la funzione di “misure di prevenzione di carattere generale” da attuare, tra le altre, nel rispetto della disciplina di settore in materia di sicurezza sul lavoro, dei principi di protezione dei dati personali, dei protocolli di sicurezza e delle indicazioni di volta in volta fornite dal Ministero della Salute.

Il medico competente deve collaborare costantemente con il datore di lavoro e con il servizio di prevenzione e protezione sanitario:

• nella valutazione dei rischi;
• nell’individuazione, nell’attuazione e nel perfezionamento delle misure nonché nell’osservanza dei protocolli anti-contagio;
• nell’informazione e formazione dei lavoratori sul rischio di contagio da SARS-CoV-2;
• nell’esame dei rischi riguardanti gruppi di lavoratori maggiormente esposti al contagio o in particolari situazioni di “fragilità”.

Considerata la situazione emergenziale ancora in corso, è opportuno che il medico competente prosegua e intensifichi l’attività di sorveglianza sanitaria anche prevedendo ulteriori visite mediche, ad esempio, in occasione del rientro al lavoro dei dipendenti dopo la sospensione delle attività produttive, o in caso di progressivo ritorno delle risorse “in presenza”.

Richiamando quanto già espressamente chiarito con le FAQ (“Frequently Asked Questions”) dello scorso 17 febbraio, il Garante ribadisce che il datore di lavoro deve assicurare che i dipendenti “non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità” tenendo conto, “delle capacità e delle condizioni degli stessi in rapporto alla loro salute e sicurezza” (art. 18, comma 1, lettera c), d.lgs. n. 81/2008). Nell’ambito delle proprie attività di sorveglianza sanitaria il medico competente è l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, D.Lgs. n. 81/2008).

Il rispetto del necessario riparto di ruoli e competenze tra datore di lavoro e medico competente, si legge nel documento condiviso, dovrà essere assicurato anche con riguardo alla vaccinazione nell’ambiente di lavoro che – pur avendo origine dalla duplice esigenza di concorrere alla rapida attuazione della campagna vaccinale a livello nazionale e di accrescere i livelli di sicurezza nelle realtà lavorative – resta una “iniziativa di sanità pubblica”, in relazione alla quale “la responsabilità generale e la supervisione dell’intero processo rimane in capo al servizio sanitario regionale, per il tramite dell’azienda sanitaria di riferimento”.

L’uscita del Regno Unito dall’Unione Europea (cd. “Brexit”) avrà impatti sulla mobilità internazionale a fini lavorativi e sul trasferimento dei dati personali verso il Regno Unito.

• Mobilità internazionale a fini lavorativi

Il Regno Unito ha previsto la possibilità per i cittadini UE già presenti da almeno 5 anni sul territorio britannico alla data del 31 dicembre 2020 di richiedere la conferma del diritto di soggiorno (per lavoro, studio etc.) oltre tale data. La richiesta potrà essere inoltrata on-line entro il 30 giugno 2021 attraverso la compilazione dell’EU Settlement Scheme messo a disposizione sul sito del Governo britannico, ottenendo il settled status.

Se il periodo di permanenza è inferiore a 5 anni sarà possibile richiedere di restare nel Regno Unito per completarlo ottenendo, sempre attraverso il modulo di cui sopra, il pre-settled status. A differenza del settled status, il pre-settled status si perde con un’assenza dal paese pari o superiore a due anni.

Questa procedura garantirà gli stessi diritti di cui un cittadino facente parte dell’UE e residente nel Regno Unito godeva prima della Brexit. Sarà infatti possibile restarvi indefinitamente, lavorare, avvalersi del servizio sanitario, studiare e usufruire dell’accesso ai fondi pubblici, quali prestazioni sociali e pensioni.

Per i nuovi ingressi effettuati dal 1° gennaio 2021 sarà, invece, necessario richiedere il visto secondo il nuovo sistema di immigrazione a punti, il Points-based immigration system.

Anche l’Italia ha previsto una procedura di conferma dei diritti acquisiti dai cittadini britannici presenti sul territorio nazionale alla data del 31 dicembre 2020; questi, infatti, potranno richiedere il “documento di soggiorno in formato elettronico” presso la Questura competente per luogo di residenza. Mentre a coloro che effettueranno il proprio ingresso a partire dal 1° gennaio 2021 verranno applicate le stesse procedure previste per i cittadini extracomunitari.

Protezione dei dati personali

Per il trasferimento dei dati personali verso il Regno Unito, sarà necessario, come chiarisce l’Autorità Garante per la protezione dei dati personali (il “Garante”), fare riferimento all’”Accordo commerciale e di cooperazione” (“Accordo”) sottoscritto lo scorso 30 dicembre 2020 dall’Unione Europea e dal Regno Unito (“Trade And Cooperation Agreement Between The European Union And The European Atomic Energy Community, Of The One Part, And The United Kingdom Of Great Britain And Northern Ireland, Of The Other Part”).

Secondo l’Accordo, nel Regno Unito continuerà a trovare applicazione il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”) per un periodo massimo di 6 mesi, ovvero fino al 30 giugno 2021. Di conseguenza, stando a quanto precisato dal Garante, “in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo”.

Sempre secondo l’Accordo, durante questo periodo di transizione, il Regno Unito e l’Unione Europea si sono impegnate ad adottare delle decisioni di adeguatezza reciproche. In mancanza di tali decisioni, troverebbero applicazione le disposizioni di cui al Capo V del GDPR che disciplinano il trasferimento di dati dall’UE verso Paesi Terzi. Tali disposizioni richiedono l’esistenza di garanzie adeguate, quali ad esempio norme vincolanti di impresa, clausole contrattuali tipo e codici di condotta (cfr art. 46 del GDPR). Ciò salvo deroghe specifiche, come il consenso dell’interesso o trasferimento necessario per l’esecuzione di un contratto o per importanti motivi di interesse pubblico (art. 49 del GDPR).

Inoltre, dal 1° gennaio 2021, i Titolari e i Responsabili del trattamento che hanno la propria sede nel Regno Unito e che sono comunque soggetti all’applicazione del GDPR, poiché trattano dati per l’offerta di beni e servizi o per il monitoraggio del comportamento di interessati all’interno dell’Unione (cfr. art. 3, par. 2, GDPR), dovranno designare un Rappresentante nello Spazio Economico Europeo ai sensi dell’articolo 27 del GDPR.

Altri insights correlati:

• INPS – Brexit: chiarimenti sul rilascio del Modello A1 per i periodi di lavoro nel Regno Unito
• Privacy Shield: pubblicate le FAQ dell’EDPB sulla sentenza della Corte di Giustizia Europea Schrems