(German version below)
Covid-19 vaccines, which are being proposed and administered for the time being to certain sections of the Italian population, are raising issues and doubts related to privacy. On the one hand, there are those who would like to exploit the fact that they have been vaccinated in order to have free and safe access to certain places and activities (e.g. to stadiums and airports, but there are many other possibilities), and on the other hand, there are those who fear discrimination because they have or have not been vaccinated: in most cases, it will be the choice not to be vaccinated or the impossibility of doing so (think of people who, because of previous health problems or allergies, will not be able to receive the vaccine).
The first premise, which is necessary, is that there is no Italian law that imposes the Covid-19 vaccination as an obligation.
The second premise, which is necessary to understand the subject, concerns the Electronic Health File (Fascicolo Sanitario Elettronico – FSE), i.e. the electronic system that can be consulted online, in which “digital data and documents relating to a person’s entire medical history” generated by both public and private health structures are entered, including those relating to the Covid-19 vaccination. It is important to understand the prerequisites for supplying and consulting this file, which represents, therefore, in itself, a very valuable database of data relating to the vaccination of the Italian population.
The FSE is now fed automatically and, therefore, the annotation of the Covid-19 vaccination takes place independently of the consent of the person concerned.
This is the situation following the Italian decree-law no. 34/2020, whose Article 11 has repealed Article 12, paragraph 3-bis of Italian decree-law 179/2012, i.e. the provision that the FSE could “be fed exclusively on the basis of free and informed consent by the (concerned) person”. It follows that the annotation in the FSE of any data or document relating to the person’s medical history cannot be prevented in any way, either by a revocation of consent that is no longer required, or by requests to oppose treatment or similar.
Instead, access to and consultation of the FSE is subject to the granting of the consent of the person concerned, which is, therefore, necessary to allow health professionals to access (i) for treatment purposes and (ii) in cases of health emergency, serious, imminent and irreparable risk to such person’s health or physical safety. It is also possible not to give consent for consultation by third parties, so that the FSE remains consultable only by the data subject.
Without the consent of the data subject, there is only the possibility for the Italian Regions and the Ministry of Health to access it for government and research purposes, but without the direct identification of the person and in compliance with the principles of indispensability, necessity, relevance and non-excessiveness (enshrined in the well-known GDPR).
Therefore, as pointed out by the Italian Data Protection Supervisor, “experts, insurance companies, employers, medical examiners, unauthorized third parties” cannot access the FSE in any way. It follows that the individual is the only one who can dispose of the information about his Covid-19 vaccination, possibly giving appropriate consent to its treatment, for precise and indicated purposes.
A final consideration concerning the consequences of vaccination in the workplace, which is a very topical issue in this period.
Can the employer ask the employee directly about the vaccination and process this information with the employee’s explicit consent?
The answer is no, because, in the workplace, the provision of consent by the employee is not considered an appropriate legal basis for the processing of his/her data. Consent cannot constitute a valid condition of lawfulness in this context because of the imbalance in the relationship between data controller (employer) and data subject (employee) in the employment context, which leads to the assumption that any consent given by the employee could never be free and unconditional.
And so, it was recently clarified by the Italian Data Protection Supervisor, in special FAQ published on 17 February 2021 on the “Treatment of data relating to vaccination against Covid-19 in the context of workplace”.
The employer cannot, therefore, ask his employees to provide information on their vaccination status or copies of documents proving that they have been vaccinated against Covid-19. Similarly, the competent doctor (if he has been informed) cannot inform the employer of the names of the vaccinated employees. In fact, only the competent doctor can process the employee’ health data and, among these, if necessary, the information relating to the vaccination, in the context of health surveillance and when verifying suitability for the specific task (Articles 25, 39, paragraph 5 and 41, paragraph 4, Italian Legislative Decree no. 81/2008). On the other hand, according to the regulatory framework in force, the employer can only acquire the judgements of suitability for the specific task and any prescriptions and/or limitations contained therein (e.g. Article 18, paragraph 1, lett. c), g) and bb) of Italian Legislative Decree no. 81/2008).
The employer shall, therefore, limit him/herself to implementing the measures indicated by the competent doctor in cases of judgement of partial or temporary unfitness for the task to which the employee is assigned.
COVID-IMPFUNG UND DATENSCHUTZ
Die Antiviren-Impfstoffe, die vorgeschlagen und vorerst an bestimmte Bevölkerungsgruppen verabreicht werden, werfen Fragen und Bedenken in Bezug auf die Privatsphäre auf. Und das in den gegensätzlichen Ansichten derjenigen, die einerseits die Impfung nutzen möchten, um freien und sicheren Zugang zu bestimmten Orten und Aktivitäten zu erreichen (z.B. Fußballstadien, Flughäfen usw.) und derjenigen, die andererseits Angst vor Diskriminierungen für eine erfolgte oder nicht erfolgte Impfung haben: in den meisten Fällen wird es eine persönliche Entscheidung sein, sich nicht impfen zu lassen oder aber die Unmöglichkeit, dies zu tun (zum Beispiel für diejenigen, die wegen gesundheitlicher Probleme oder Allergien den Impfstoff nicht einnehmen können).
Die erste notwendige Prämisse ist, dass es keine Norm gibt, die zur Schutzimpfung verpflichtet. Die zweite Prämisse, die zum Verständnis des Themas notwendig ist, betrifft die Elektronische Gesundheitsakte (Fascicolo Sanitario Elettronico – FSE), dem online verfügbaren elektronischen System, in dem “Daten und digitale Dokumente zur gesamten Krankengeschichte einer Person” enthalten sind, die sowohl von öffentlichen als auch von privaten Gesundheitseinrichtungen generiert wurden, einschließlich derjenigen, die sich auf die Covid-Impfung beziehen.
Es ist wichtig, die Grundlage der Versorgung und der Einsichtnahme dieser Datei zu verstehen, die an für sich eine wertvolle Datenbank mit Daten über die Impfung der italienischen Bevölkerung darstellt. Die Versorgung des ESF erfolgt derzeit automatisch und der Vermerk der Antiviren-Impfung erfolgt somit unabhängig von der Zustimmung der betroffenen Person. Dies ist die Situation infolge dem Gesetzesdekret Nr. 34/2020, dessen Artikel 11 den Artikel 12, Absatz 3-bis des Gesetzesdekrets 179/2012 aufgehoben hat, d.h. die Bestimmung, dass der ESF “ausschließlich auf der Grundlage der freien und informierten Zustimmung des Betreuten gespeist werden kann”. Daraus folgt, dass die Eintragung von Daten oder Dokumenten zur Krankengeschichte der Person in den ESF in keiner Weise verhindert werden kann, weder mit einem Widerruf der Einwilligung, die nicht mehr erforderlich ist, noch mit Anträgen auf Widerspruch gegen die Behandlung oder Ähnlichem.
Stattdessen ist der Zugang und die Konsultation des ESF von der Einwilligung der betroffenen Person abhängig, die somit erforderlich ist, um den Zugang dem medizinischen Fachpersonal zu ermöglichen (i) zu Behandlungszwecken und (ii) in Fällen eines gesundheitlichen Notfalls, einer ernsten, unmittelbaren und nicht wiedergutzumachenden Gefahr für die Gesundheit oder die körperliche Unversehrtheit der betroffenen Person zu ermöglichen.
Es ist auch möglich, keine Zustimmung zur Abfrage durch Dritte zu erteilen, so dass der ESF nur von der betroffenen Person abrufbar bleibt. Ohne die Zustimmung der betroffenen Person besteht nur die Möglichkeit des Zugriffs der Regionen und des Gesundheitsministeriums zu Regierungs- und Forschungszwecken, jedoch ohne die direkten Identifikationsdaten der betroffenen Person und in Übereinstimmung mit den Prinzipien der Unerlässlichkeit, Notwendigkeit, Relevanz und Nicht-Überflüssigkeit (verankert in der bekannten GDPR).
Daher können, wie vom Datenschutzgarant signalisiert, in keiner Weise auf den ESF “Experten, Versicherungsgesellschaften, Arbeitgeber, medizinische Gutachter, unbefugte Dritte” zugreifen. Daraus folgt, dass der einzelne Bürger der Einzige ist, der die Informationen über seine Impfung, durch entsprechende Zustimmung, für bestimmte Zwecke angegeben kann.
Eine letzte Überlegung zu den Folgen der Impfung am Arbeitsplatz, derzeit ein sehr aktuelles Thema. Darf also der Arbeitgeber den Arbeitnehmer direkt über die Covid-Impfung befragen und diese Daten mit der ausdrücklichen Zustimmung des Arbeitnehmers selbst behandeln? Die Antwort ist negativ, da die Erteilung einer Einwilligung durch den Arbeitnehmer am Arbeitsplatz nicht als geeignete Rechtsgrundlage für die Verarbeitung der ihn betreffenden Daten angesehen wird. Die Zustimmung kann in einem solchen Bereich keine gültige Bedingung für die Rechtmäßigkeit darstellen, da das Verhältnis zwischen dem Arbeitgeber und der interessierten Arbeitnehmer im Arbeitskontext unausgewogen ist, was zu der Annahme führt, dass die eventuelle Zustimmung des Arbeitnehmers niemals frei und bedingungslos sein könnte. So hat es der Datenschutzbeauftragte kürzlich in speziellen FAQs zum “Umgang mit Daten zur Impfung gegen Covid-19 im Zusammenhang mit der Arbeit” am 17. Februar 2021 klargestellt. Der Arbeitgeber kann daher von seinen Mitarbeitern keine Auskunft über den Impfstatus oder Kopien von Dokumenten verlangen, die die Impfung gegen Covid belegen. Ebenso kann der zuständige Arzt (wenn er davon Kenntnis erlangt hat) dem Arbeitgeber nicht die Namen der geimpften Mitarbeiter mitteilen. Nur der zuständige Arzt kann nämlich im Rahmen der Gesundheitsüberwachung und bei der Überprüfung der Eignung für die jeweilige Tätigkeit die Gesundheitsdaten der Arbeitnehmer und darunter ggf. auch die Angaben zur Impfung verarbeiten (Art. 25, 39, Abs. 5 und 41, Abs. 4, Gesetzesverordnung Nr. 81/2008).
Andererseits kann der Arbeitgeber nach dem geltenden Rechtsrahmen nur die Beurteilung über die Eignung für die spezifische Aufgabe und die darin enthaltenen Vorschriften und/oder Einschränkungen einholen (z. B. Art. 18 Abs. 1, Buchst. c), g) und bb) der Gesetzesverordnung Nr. 81/2008). Der Arbeitgeber hat sich daher darauf zu beschränken, die vom zuständigen Arzt angegebenen Maßnahmen durchzuführen, wenn der Arbeitnehmer als teilweise oder vorübergehend untauglich für die ihm zugewiesene Tätigkeit beurteilt wird.