Il regolamento del Gabinetto n. 360 del 9 giugno 2020, Misure di sicurezza epidemiologica per limitare la diffusione dell’infezione da COVID-19 (di seguito – il Regolamento), prevede che un luogo di lavoro possa riunirsi senza utilizzare coperture per bocca e naso e senza osservare una distanza di due metri se sono stati vaccinati o hanno contratto l’infezione da COVID-19.

Inoltre, al fine di garantire la sostenibilità delle attività dell’azienda o la fornitura di servizi pubblici, il datore di lavoro ha il diritto di richiedere ed elaborare le informazioni ottenute dal dipendente in merito al rispetto dello status di una persona che è stata vaccinata o contagiati dall’infezione da COVID-19, che è evidenziato da un certificato interoperabile di malattia o certificato di vaccinazione.

Il Regolamento prevede condizioni di assembramento agevolato del personale per le persone in possesso di certificato di malattia interoperabile attestante il fatto che la persona ha contratto l’infezione da Covid-19 o di certificato di vaccinazione interoperabile attestante che la persona è stata vaccinata contro l’infezione da Covid-19 ai sensi dell’art.  38  Criteri di cui alla parte introduttiva del punto ²⁷ m ^[1] .

Le informazioni sullo stato di salute di una persona, ad esempio se un dipendente è stato contagiato o meno dal Covid-19 e se il dipendente è stato vaccinato contro il Covid-19, costituiscono una categoria specifica di dati personali ai sensi del Regolamento generale sulla protezione dei dati documenti e quindi nel sistema di conservazione dei dati (file) o la conservazione di tali informazioni nel sistema elettronico è il trattamento dei dati personali. I dati sanitari personali possono essere trattati solo se ricorrono i presupposti di cui agli artt. 6 e 9 del Regolamento.

La base giuridica per ottenere informazioni sullo stato vaccinale o informazioni sull’incidenza di Covid-19 in questo caso è l’articolo 6 (1) (e) del regolamento – il trattamento è necessario per l’esecuzione di un compito svolto nell’interesse pubblico dalla legge, e 9 Articolo 2 (2) (i) – il trattamento è necessario nell’interesse pubblico per proteggere da gravi minacce transfrontaliere per la salute o per garantire elevati standard di qualità e sicurezza ^[2].

Finché sono in vigore le normative pertinenti, i datori di lavoro hanno il diritto di richiedere ai dipendenti di presentare un certificato interoperabile attestante che il dipendente soddisfa i seguenti criteri: è stato vaccinato o ha contratto il Covid-19 negli ultimi 180 giorni. 

Se il lavoratore non fornisce le informazioni, il datore di lavoro lo considera inadempiente e non può beneficiare dello sgravio dei requisiti epidemiologici dei dipendenti.

Spetta a ciascun datore di lavoro valutare se è in grado di soddisfare i relativi requisiti, il contributo di risorse all’implementazione di strumenti di verifica delle informazioni e decidere se introdurre o meno l’agevolazione dei requisiti epidemiologici nei luoghi di lavoro.

La legislazione emessa a seguito della situazione epidemiologica nel paese fornisce ai datori di lavoro una chiara base giuridica per il trattamento dei dati, tuttavia, oltre alla base giuridica, devono rispettare anche altre disposizioni del regolamento. 

In questo caso particolare, richiamiamo l’attenzione sui principi del trattamento dei dati di cui all’articolo 5 del Regolamento, che sottolineano in particolare che il trattamento dei dati deve essere ridotto al minimo, corretto, lecito, accurato e sicuro nei confronti dei soggetti i cui dati sono trattati.

Ciò significa che un datore di lavoro può trattare solo la quantità di dati personali necessaria per raggiungere lo scopo, vale a dire, è necessario rilevare il fatto che la persona rispetta il regolamento 38 dei 27 di cui ai criteri.  Al fine di stabilire il fatto che una persona è stata vaccinata o infettata da Covid-19 non è necessario copiare il certificato interoperabile, ma basta scalare il sistema (o giornale di bordo) indicando il nome della persona, il titolo e le informazioni che la persona rispetta al regolamento 38 dei 27 criteri elencati al punto, trattando così al minimo i dati personali e nel contempo raggiungendo lo scopo.

Inoltre, va tenuto presente che, pur esistendo un chiaro quadro normativo per il trattamento dei dati personali per una determinata finalità, deve comunque essere possibile assicurarne la tempestiva e corretta distruzione entro la data prevista e che i dati non siano conservati più a lungo del necessario.

Datori di lavoro, assicurandosi che i dipendenti rispettino i criteri del Regolamento possono:

• Effettuare un esame di un certificato di vaccinazione o malattia funzionante 

Tale ispezione può aver luogo giornalmente all’arrivo del dipendente al lavoro e dietro presentazione del Certificato. Se il Certificato è valido, il dipendente può continuare a lavorare senza rispettare i requisiti epidemiologici stabiliti. Tuttavia, se il certificato non è valido, il membro del personale può svolgere le sue funzioni a distanza o di persona, fatte salve eventuali esigenze epidemiologiche.

Il regolamento non prevede registrazioni scritte obbligatorie del rispetto dei criteri (in un giornale o in un sistema informativo). 

È così possibile effettuare un sopralluogo in loco per il rispetto dei criteri, presentando di volta in volta un certificato senza alcun trattamento scritto dei dati personali (da parte del datore di lavoro). In tali casi, il trattamento di tali dati personali non sarà soggetto alle prescrizioni del Regolamento, in quanto le registrazioni non saranno conservate in archivio o in formato elettronico.

Nei casi in cui i collettivi non siano numerosi ed è possibile identificare specifiche 20 persone, l’Ispettorato non vede la necessità di creare particolari verbali scritti, in quanto la verifica dei criteri del Regolamento può essere assicurata dalla verifica del Certificato, riducendo al minimo il personale elaborazione dati. Ad esempio, se la squadra ha 10 dipendenti e il datore di lavoro si è assicurato una volta che tutti i dipendenti sono stati vaccinati, non sarebbe necessario richiedere la presentazione del Certificato tutti i giorni, poiché in questo caso il rispetto del criterio non può cambiare.

• Creare un inventario (elenco) dei dipendenti che soddisfano i criteri di cui alla parte introduttiva del paragrafo 38. ^{27 del} Regolamento

Il datore di lavoro può tenere un registro generale dei dipendenti idonei. La contabilità può essere effettuata compilando un elenco o utilizzando un altro strumento elettronico. L’inventario/elenco dovrebbe riflettere la conformità ai criteri in quanto tali, piuttosto che separare ciascun criterio separatamente (se il lavoratore è stato vaccinato o malato).

L’inventario/lista dovrebbe includere informazioni che identificano il dipendente – nome e posizione. L’elenco non dovrebbe includere e separare le informazioni sui lavoratori vaccinati e le informazioni sui lavoratori che hanno contratto il Covid-19. 

Questi due criteri sono uguali e non esiste una base giuridica per i datori di lavoro per dividere i dipendenti in gruppi in base al criterio che soddisfa il dipendente. Il datore di lavoro può chiedere al lavoratore di informare il datore di lavoro quando il lavoratore non soddisfa più i criteri, se scade il periodo di ammissibilità specificato nel Regolamento (ad esempio, 180 giorni dopo la fine della malattia o 99 giorni dalla prima vaccinazione ma la seconda ha fatto non aver luogo).

Per poter accertare il periodo specificato durante il quale il dipendente soddisferebbe i requisiti, il datore di lavoro può compilare registri per un certo periodo di tempo in futuro. L’elenco potrà essere redatto per il mese successivo (o per due o altri periodi) e comprenderà tutti i dipendenti che rispetteranno i criteri del Regolamento per l’intero mese (o due o altri periodi). 

Al momento della compilazione dell’elenco, il datore di lavoro ha il diritto di richiedere al dipendente la presentazione di documenti attestanti la conformità del dipendente ai criteri.

Se il datore di lavoro desidera indicare la scadenza / data specifica entro la quale il dipendente soddisfa i criteri durante la compilazione dell’inventario / elenco, dovrebbe indicare la scadenza / data per tutti i dipendenti. Questo sarebbe 180 giorni dopo aver ricevuto Covid-19, 99 giorni dopo aver ricevuto il primo vaccino Vaxzevria. Dato che la durata dell’esposizione alla vaccinazione non è attualmente nota, si può legalmente presumere che sia di almeno 180 giorni dal giorno quattordici giorni dopo il completamento del ciclo completo di vaccinazione.

In questo modo, tutte le scadenze saranno elencate per il datore di lavoro e il dipendente dovrebbe essere rimosso dall’elenco alla scadenza della scadenza.

IN BREVE:

Il datore di lavoro può :

1. Tenere un registro solo di quei dipendenti che lavorano di persona. Se il dipendente lavora a distanza, non c’è motivo di obbligarlo a rispettare i criteri del Regolamento.
2. Richiedere al personale di presentare un certificato di vaccinazione o malattia interoperabile.
3. Tenere un registro delle persone che sono state vaccinate o hanno contratto il Covid-19, indicando nome, cognome, qualifica e una nota che la persona soddisfa i criteri menzionati nel Regolamento.
4. Incaricare i dipendenti che lavorano di persona di informare le persone responsabili se lo stato del dipendente cambia e non soddisfa più i criteri del Regolamento.

Il datore di lavoro non può:

1. Copiare il documento attestante la vaccinazione o malattia con Covid-19;
2. Riscrivi tutte le informazioni contenute nella vaccinazione o certificato di vaccinazione per il Covid-19. Ad esempio, un’organizzazione non ha bisogno di raccogliere informazioni sulla data della vaccinazione, sul particolare vaccino o se una persona è stata vaccinata o malata;
3. Conservare le informazioni su una determinata persona più a lungo del necessario per raggiungere lo scopo (obiettivo). Ad esempio, dato che le informazioni cambiano, un’organizzazione può aggiornare le informazioni su base mensile cancellando l’elenco precedente e cancellando l’ultimo elenco quando tali regole non esistono più;
4. Ottenere e trasferire informazioni a terzi. Ad esempio, non esiste una base legale per un datore di lavoro per chiedere al centro vaccinale di fornire informazioni sui lavoratori vaccinati, né esiste una base legale per trasmettere queste informazioni ai propri partner;
5. Rendere disponibile l’elenco ai dipendenti dell’organizzazione per i quali l’accesso alle informazioni sulla vaccinazione contro il Covid-19 o sulla malattia da Covid-19 non è correlato a responsabilità lavorative dirette. Il risultato che il datore di lavoro vuole ottenere attraverso la pubblicazione deve essere qualcosa che non può essere raggiunto in altro modo senza trattare i dati personali.

Si prega di notare che se le circostanze effettive cambiano, la spiegazione preparata dall’Ispettorato dello Stato dei dati potrebbe cambiare.

1. Persone in possesso di un certificato di vaccinazione interoperabile attestante una persona che ha contratto un’infezione da Covid-19 o di un certificato di vaccinazione interoperabile attestante che una persona è stata vaccinata contro un’infezione da Covid-19 e ha completato quattordici giorni dopo aver completato un ciclo completo di vaccinazione con il vaccini dell’Agenzia europea per i medicinali registrati dall’Agenzia o da un organismo di regolamentazione equivalente o riconosciuti dall’Organizzazione mondiale della sanità in conformità con le istruzioni per l’uso del vaccino o tra ventidue e novanta giorni dopo la prima dose di Vaxzevria e immediatamente dopo la seconda dose di Vaxzevria, o persone con episodi di infezione da SARS-CoV-2 confermati in laboratorio mediante rilevamento dell’RNA del virus SARS-CoV-2,non sono trascorsi più di 180 giorni e sono trascorsi quattordici giorni dalla ricezione di una singola dose di vaccino registrata dall’Agenzia Europea dei Medicinali o da enti di regolamentazione equivalenti o riconosciuti dall’Organizzazione Mondiale della Sanità.
2.  i) il trattamento è necessario nell’interesse pubblico, come la protezione contro gravi minacce per la salute a carattere transfrontaliero o standard elevati di qualità e sicurezza, tra l’altro per i medicinali o i dispositivi medici, sulla base di norme dell’Unione o nazionali normativa che preveda misure adeguate e specifiche a tutela dei diritti e delle libertà dell’interessato, in particolare il segreto professionale.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA LETTONIA