Campagna di vaccinazione e tutela della privacy: i chiarimenti del Garante
Il tema del tracciamento, dei contatti delle istituzioni sanitarie con gli assistiti non vaccinati, le indagini sul mercato nero di certificati falsi e le verifiche del Green Pass sui luoghi di lavoro hanno sollevato molte questioni legate alla protezione dei dati personali.
Il Garante è intervenuto spesso negli ultimi mesi per fare chiarezza, per garantire il difficile equilibrio tra salute collettiva e tutela personale della privacy.
L’ultimo, in ordine di tempo, è l’avvio d’urgenza di un’indagine del Garante a seguito della diffusione illecita di green pass falsi, disponibili online all’interno di una nota piattaforma di file sharing. Certificati scaricabili da chiunque: senza contare l’evidente rischio di diffusione del contagio, il Garante ha sottolineato anche il serio pericolo connesso a potenziali manipolazioni o commercializzazioni.
A indagare sulla vicenda è il Nucleo Speciale Tutela Privacy e Frodi tecnologiche della Guardia di Finanza, che ha acquisito gli archivi online per accertarne la provenienza.
Privacy e chiamate ai soggetti da vaccinare
Ancora di tutela della privacy si è parlato con riguardo alle telefonate delle istituzioni sanitarie agli assistiti, per comunicazioni relative ai vaccini. A questo proposito il Garante ha messo a disposizione di regioni e province autonome un vero e proprio decalogo sul corretto trattamento dei dati nell’ambito delle azioni promozionali per la vaccinazione.
La questione era stata sollevata da Guido Bertolaso, coordinatore della campagna vaccinale della Lombardia: secondo Bertolaso, la possibilità di chiamare e sollecitare gli assistiti alla somministrazione della terza dose di vaccino limiterebbe la privacy. Ma la questione, per il Garante, è priva di fondamento, a patto che le campagne per la vaccinazione promosse dal Servizio Sanitario Nazionale coinvolgano i medici di base: a questi ultimi è nota la situazione sanitaria degli assistiti, inclusi tutti gli aspetti che portano a sconsigliare la vaccinazione, sia in termini assoluti che temporaneamente.
La salute è in mano alle autorità sanitarie: privacy assicurata
Del resto, ha precisato il Garante, la riservatezza degli assistiti è garantita dal fatto che tutte le iniziative a sostegno della campagna vaccinale, per la somministrazione della terza dose, avvengono esclusivamente da parte delle autorità sanitarie, e non da altri organi o uffici amministrativi, siano essi centrali o periferici. I precedenti non mancano. Il Garante ha infatti ricordato il caso di altre campagne di sensibilizzazione alla vaccinazione di altre patologie, come l’HPV, così come i programmi di screening tumorali. In tutti questi casi le asl e i medici di medicina generale inviano periodicamente alla cosiddetta “popolazione target” messaggi di sensibilizzazione e di invito a vaccinarsi o aderire alla campagna di screening.
Regole ad hoc del Garante per la tutela della privacy dei soggetti da vaccinare
Per fare chiarezza su tutti questi aspetti, il Garante ha redatto un decalogo ad hoc per le iniziative di promozione e completamento della vaccinazione dei soggetti da vaccinare in via prioritaria.
Destinatari: regioni e province autonome cui la legge affida il compito di gestire le diverse fasi della vaccinazione per la prevenzione delle infezioni da SARS-CoV-2. Inclusa “l’offerta attiva” alle categorie di assistiti individuate in base ai criteri indicati dal piano strategico nazionale vaccini.
Alla base del decalogo, come ha precisato il Garante, la necessità di conciliare la fase emergenziale, che richiede interventi tempestivi, con il rispetto della riservatezza (Regolamento UE 2016/679 e Codice in materia di protezione dei dati personali – Decreto Legislativo 30 giugno 2003, n. 196).
Il decalogo per gli enti territoriali
Ecco il decalogo del Garante per agevolare a regioni e province autonome nell’offerta attiva alle categorie di assistiti.
- Rispetto del diritto a non essere vaccinato.
- Rispetto della condizione in cui versano i soggetti che per motivi di salute non possono essere vaccinati.
- Rispetto del principio di liceità del trattamento: in questo senso il Garante propone una “soluzione operativa che veda coinvolti solo soggetti operanti nell’ambito del Servizio Sanitario Nazionale che hanno in cura l’interessato”. Ovvero, nel trattamento dei dati, va evitato il coinvolgimento degli enti amministrativi operanti sul territorio, come i comuni). Auspicabile, invece, il coinvolgimento dei medici di medicina generale: sono loro a conoscere la situazione sanitaria degli assistiti, anche rispetto alla situazione storica e clinica e a valutare di sconsigliare, eventualmente, la vaccinazione.
- Utilizzo del Sistemi informativi regionali cui sono collegati i medici di medicina generale per l’accesso all’anagrafe nazionale vaccini, senza la creazione di nuove banche dati o di duplicazione di banche dati già esistenti.
- Rispetto del principio minimizzazione dei dati trattati, favorendo soluzioni che prevedano che il medico di medicina generale possa rivolgere l’invito alla vaccinazione ai propri assistiti utilizzando l’indirizzo di posta ordinaria o elettronica o il numero di telefonia mobile detenuto dallo stesso.
- Rispetto del principio di trasparenza: il Garante invita a fornire agli interessati gli elementi informativi essenziali sulle caratteristiche del trattamento, contestualmente all’invio dell’invito alla vaccinazione.
- Rispetto del principio di limitazione delle finalità: il trattamento dei dati degli interessati, sottolinea il Garante, deve essere limitato alla realizzazione della campagna di sensibilizzazione.
- Divieto della raccolta della motivazione della mancata vaccinazione rispettando il principio di non discriminazione. La raccomandazione del Garante è che non ci sia nessuna conseguenza pregiudizievole nei confronti dei soggetti che eventualmente non rispondano alla campagna di sensibilizzazione.
- Divieto di comunicazione dei dati a terzi e di diffusione dei dati trattati nell’ambito della suddetta campagna di sensibilizzazione.
- Rispetto del principio di integrità e riservatezza, assicurando l’adozione di misure tecniche ed organizzative adeguate a mitigare il rischio di trattamenti non autorizzati o illeciti e di perdita o distruzione dei dati.