Vaccinazioni Covid: le chiamate attive a norma privacy. Il decalogo del Garante

Silvia Melchionna – Funzionario Area Direttiva presso Autorità Garante per la Protezione dei Dati Personali – Dipartimento “Sanità e Ricerca”
Mario Mazzeo – Responsabile Protezione Dati Asl Roma 2
Roberta Taurino – Direttore Amministrativo Territoriale e Responsabile Ufficio Privacy Asl Roma 2

 

Nel contesto della Pandemia tuttora drammaticamente in atto, non v’è dubbio che la diffusione dei vaccini costituisca uno strumento di tutela della salute pubblica essenziale soprattutto con riferimento alle categorie di persone più fragili. Al fine di sensibilizzare la popolazione, in molte parti d’Italia si vanno diffondendo iniziative, a volte estemporanee, adottate con lo scopo, certamente meritorio, di superare la diffidenza degli interessati su un tema, quello della vaccinazione, che anche nel recente passato si è dimostrato divisivo. Pur guidati dalle migliori intenzioni, alcuni di questi interventi sembrano trascurare le più elementari regole di corretto trattamento dati personali specialmente quando si tratta di realizzare interventi di “offerta attiva” dei vaccini. Allo scopo quindi di agevolare il compito delle regioni e province autonome in questo contesto, l’Autorità Garante per la protezione dei dati personali ha recentemente elaborato un vero e proprio “decalogo” che sintetizza, con un taglio molto operativo, gli elementi da dover considerare per l’effettuazione “a norma privacy” di queste chiamate.

Come ricordato dall’Autorità, il quadro normativo vigente affida a regioni e province autonome le diverse fasi della vaccinazione per la prevenzione delle infezioni da SARS-CoV-2 ivi inclusa l’offerta attiva alle categorie prioritarie di assistiti individuate in base ai criteri indicati dal piano strategico nazionale vaccini.

Come noto, infatti, l’art. 1 comma 457 della Legge 30 dicembre 2020, n. 1781 ha stabilito che “Per garantire il più efficace contrasto alla diffusione del virus SARS CoV-2, il Ministro della salute adotta con proprio decreto avente natura non regolamentare il piano strategico nazionale dei vaccini per la prevenzione delle infezioni da SARS-CoV-2, finalizzato a garantire il massimo livello di copertura vaccinale sul territorio nazionale.”. Il Piano, elaborato da Ministero della Salute, Commissario Straordinario per l’Emergenza, Istituto Superiore di Sanità, Agenas e Aifa, è stato adottato con Decreto del 12 marzo 2021 e risulta costituito dal documento “Elementi di preparazione della strategia vaccinale”, di cui al decreto del Ministro della salute 2 gennaio 2021, nonché dalle “Raccomandazioni ad interim sui gruppi target della vaccinazione anti-SARS-CoV-2/COVID-19” del 10 marzo 2021 allo stesso allegati.

Se, dunque, nel primo di questi due documenti, si chiarisce l’obiettivo di “identificare e definire i gruppi prioritari, stimare le dimensioni dei gruppi target e le dosi di vaccino necessarie e, in base alle dosi disponibili (che all’inizio del programma potrebbero essere molto limitate), identificare i sottogruppi a cui dare estrema priorità”, individuando sin da subito fra questi gli operatori sanitari e sociosanitari, i residenti e il personale delle RSA e, più in generale, le persone di età avanzata e le persone con almeno una comorbidità cronica, nel secondo si precisa che “sulla base delle analisi condotte negli studi scientifici sinora disponibili, l’età e la presenza di condizioni patologiche rappresentano le variabili principali di correlazione con la mortalità per Covid-19”.

Nel prosieguo della campagna vaccinale, quindi, ferme le categorie già individuate sin dalle prime fasi, si propone un ordine di priorità basato su cinque categorie legate ad età e condizioni patologiche2 cui si aggiungono altre categorie professionali ritenute prioritarie in ragione dei servizi resi3.

Nelle Raccomandazioni vengono dettagliate le condizioni personali e particolari specifiche che conducono all’immissione della singola persona nella categoria prioritaria di riferimento con l’avvertenza che, ovviamente, col progresso delle conoscenze scientifiche, tali indicazioni potranno essere soggette ad aggiornamento.

Il 13 marzo 2021 è stato diffuso il Piano vaccinale del Commissario straordinario per l’esecuzione della campagna vaccinale nazionale elaborato in armonia con il Piano strategico del Ministero della Salute che fissa le linee operative per completare al più presto la campagna vaccinale.

Infine, con l’ordinanza n. 6 del 9 aprile 2021, il Commissario per l’emergenza Covid-19 Generale Figliuolo ha disposto l’ordine di priorità ai fini della vaccinazione4, prevedendo altresì che venga completata la vaccinazione di tutto il personale sanitario e sociosanitario e di tutti coloro che operano in presenza presso strutture sanitarie e sociosanitarie pubbliche e private e che, a seguire, siano vaccinate le altre categorie considerate prioritarie dal Piano nazionale, parallelamente alle fasce anagrafiche secondo l’ordine indicato5.

In questo contesto, se alcuni dei criteri individuati risultano sufficientemente “oggettivi” da non lasciare spazio ad errate interpretazioni (ad esempio l’età), altri elementi richiedono un maggiore approfondimento legato alle caratteristiche soggettive della popolazione target (ad esempio le comorbidità). Sotto altro profilo, la gestione delle informazioni personali degli interessati, certamente rientranti nel novero delle categorie particolari di dati come definite dall’art. 9 del Regolamento 2016/679/UE (il cosiddetto “GDPR”)6, richiede una particolare attenzione alla corretta applicazione della vigente normativa in materia di protezione dati personali anche con riferimento ai soggetti legittimati al trattamento di dette informazioni per finalità di sensibilizzazione e, più in generale, alle cautele da adottare per garantire il rispetto dei diritti e delle libertà delle persone.

Allo scopo, quindi, di evitare violazioni seppur involontarie e, soprattutto, di offrire adeguata tutela agli interessati, nella riunione del 22 luglio 2021, l’Autorità Garante “ha ritenuto utile fornire talune specifiche indicazioni, per i profili di competenza…per agevolare il compito delle regioni e delle province autonome nell’offerta attiva alle categorie di assistiti” sintetizzate nel Decalogo predisposto a cura del Dipartimento Sanità e Ricerca diretto dal Dott. Claudio Filippi.

La premessa da cui parte il documento, trasmesso a tutte le regioni e le province autonome e alla Conferenza che tutte le raccoglie lo scorso 23 luglio, è la necessità di rammentare che, al netto delle note previsioni di legge per il personale sanitario e sociosanitario7 e quelle ancor più recenti relative al personale scolastico del sistema nazionale di istruzione e universitario nonché agli studenti universitari8, sussiste a tutt’oggi un generale diritto “a non essere vaccinati”, cui deve accompagnarsi la considerazione da parte di tutti del pieno rispetto di coloro i quali, per le proprie condizioni di salute, non possono essere vaccinati.

Non si tratta certo di considerazioni di mero stile. La volontà di non sottoporsi alla vaccinazione e, ancor di più, l’impossibilità di fruire di questa modalità di prevenzione, non può e non deve essere causa, anche in ossequio ai fondamentali principi incorporati nella nostra Carta Costituzionale, di alcun tipo di discriminazione né di provvedimenti limitativi dei diritti e delle libertà personali che non siano fondati su di un’adeguata base normativa statale9.

Al riguardo, si rappresenta che lo stesso Regolamento (UE) 2021/953 sul green pass 10 al Considerando 36 ricorda come sia “necessario evitare la discriminazione diretta o indiretta di persone che non sono vaccinate, per esempio per motivi medici, perché non rientrano nel gruppo di destinatari per cui il vaccino anti Covid-19 è attualmente somministrato o consentito”.

Da un punto di vista operativo, fatte queste doverose premesse, il Garante richiama nel Decalogo il “principio di liceità del trattamento” (art. 5 par. 1 lett. a del GDPR) proponendo una soluzione operativa nell’effettuazione delle chiamate attive di sollecitazione al vaccino alle categorie prioritarie individuate dal Piano Strategico Nazionale Vaccini limitata al coinvolgimento dei soggetti che operano nell’ambito del servizio sanitario nazionale. Spetta quindi a chi, per missione istituzionale, ha in cura gli interessati effettuare le comunicazioni in questione e non anche ad altri enti amministrativi territoriali, quali ad esempio i comuni. In tal senso, regioni e province autonome sono chiamate dal Garante a coinvolgere, per il tramite delle aziende sanitarie, i medici di medicina generale in ragione della specifica conoscenza che questi ultimi certamente possiedono della peculiare condizione di salute dei propri assistiti che gli consente di determinare quali fra loro siano in concreto le persone “fragili” da chiamare a vaccinazione.

Del resto, ricorda il Garante, il coinvolgimento dei MMG e delle ASL è già da tempo una realtà con riferimento ad altre campagne di sensibilizzazione relative a diverso tipo di vaccini e all’adesione ai programmi di screening clinico.

Allo scopo di procedere alle chiamate attive, dovranno essere messi a disposizione i sistemi informativi regionali già attualmente utilizzati dai MMG per l’accesso all’anagrafe nazionale vaccini, evitando l’inutile creazione di nuove banche dati, la duplicazione di quelle già esistenti e garantendo al contempo il principio di esattezza dei dati previsto dal Regolamento. In concreto, quindi, sfruttando le infrastrutture informatiche create per supportare la registrazione delle vaccinazioni somministrate direttamente dai medici di medicina generale, si potrà consentire a questi ultimi di accedere alla lista dei propri pazienti al fine di verificarne lo stato vaccinale e, seguendo l’ordine delle priorità fissato nei documenti richiamati in premessa, dar seguito, se del caso, alla sollecitazione alla vaccinazione, favorendo a tale scopo, nel rispetto del principio di minimizzazione dei dati trattati, l’uso di quei dati di contatto (tipicamente indirizzo di posta ordinaria o elettronica e/o recapiti telefonici fissi e mobili) di cui questi già disponga.

Dalle indicazioni che precedono si evidenzia, pertanto, l’impossibilità che regioni e province autonome provvedano direttamente alla formazione degli elenchi di persone da chiamare da mettere a disposizione dei MMG così come che siano la fonte di reperimento dei dati di contatto degli assistiti. A quegli enti rimane in capo la necessità di configurare i propri sistemi informatici in maniera tale da consentire ai medici di svolgere le prescritte verifiche preliminari alla sollecitazione così come l’invito alle aziende sanitarie di individuare, sulla base delle competenze anche organizzative loro proprie, la platea dei MMG da coinvolgere nelle chiamate attive.

Ma questo non basta.

Anche in tale fase di preliminare è necessario che siano adottate misure tecniche e organizzative adeguate per attuare, in modo efficace, i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal Regolamento e a tutelare i diritti degli interessati (art. 25, par. 1, del Regolamento).

Come dovrebbe accadere con riferimento a qualsiasi attività di trattamento dati personali, poi sussistono altri elementi di cui si deve tenere conto. Anzitutto il principio – cardine con riferimento alla materia privacy – della corretta informazione degli interessati. Senza bisogno di predisporre testi di sterminata lunghezza o eccessiva complicazione giuridica11, infatti, occorre rappresentare ai destinatari delle chiamate attive, gli elementi informativi essenziali sulle caratteristiche del trattamento che li vede protagonisti “contestualmente all’invio dell’invito alla vaccinazione”. La possibilità di fornire una informativa semplificata del resto, fino alla cessazione dello stato di emergenza, è espressamente prevista dalla normativa adottata nel contesto emergenziale nei limiti e con le modalità indicate dall’art. 17- bis del d.l. n. 18/2020.

In calce o in allegato alla missiva, cartacea o elettronica, in tal senso inviata, ovvero, nell’ambito della chiamata telefonica inoltrata (nel caso anche mediante il richiamo espresso ad una pagina web ove rinvenire il testo completo), il medico è tenuto quindi a somministrare ad ogni interessato le informazioni di cui agli artt. 13 e del GDPR. A ciò si aggiunga la necessità di rammentare il rispetto del principio di limitazione delle finalità: i dati raccolti e trattati per le chiamate attive non potranno essere conservati e, soprattutto, utilizzati per scopi diversi.

Ciò significa anche che la campagna di sensibilizzazione deve essere volta esclusivamente a fornire elementi utili all’interessato per addivenire ad una scelta informata e quindi consapevole in merito all’adesione alla vaccinazione anti Covid-19 o a facilitare la prenotazione della stessa, garantendo, come già indicato, che non ci sarà nessuna conseguenza negativa per chi non risponderà alla campagna di sensibilizzazione, né tantomeno facilitazioni sull’uso di beni e servizi -anche non sanitari -per chi deciderà di aderirvi.

Terminata la campagna di sensibilizzazione, gli stessi dovranno dunque essere adeguatamente cancellati e distrutti. Ciò prestando sempre attenzione, anche in ossequio al principio di integrità e riservatezza dei dati trattati, alla necessaria applicazione, anche a questa tipologia di trattamento, degli obblighi di sicurezza imposti dall’art. 32 del GDPR12 a protezione dal rischio che si verifichi una violazione di dati personali (il cosiddetto “data breach”13) tanto più grave quando realizzatasi con riferimento alle categorie particolari di dati. Con specifico riferimento al trattamento dei dati in questione è necessario infatti che siano adottate procedure tali da garantire il rispetto del principio di esattezza dei dati, al fine di scongiurare il rischio che possano essere contattati soggetti già vaccinati o che vengano utilizzati dati di contatto dell’interessato non aggiornati, con la possibile conseguenza di rivelare a terzi non autorizzati lo stato di non vaccinazione dell’interessato.

Spetta, dunque, da un lato alle regioni e province autonome organizzare tale campagna di sensibilizzazione utilizzando i sistemi di anagrafi vaccinali ufficiali, nonché garantire la sicurezza dei collegamenti ai propri sistemi informativi da parte dei MMG e, dall’altro, a questi ultimi, garantire che i dati dei propri assistiti siano, anche presso i rispettivi studi, adeguatamente protetti con l’adozione di stringenti misure di sicurezza tecniche, logistiche e organizzative.

Essenziale, anche alla luce delle già descritte premesse del Decalogo, il rispetto del divieto di raccolta della motivazione della mancata vaccinazione. Chi effettua le chiamate attive non potrà, pertanto, tenere traccia delle ragioni eventualmente addotte dall’interessato alla base della propria scelta. Il Garante ribadisce, infatti, il principio di non discriminazione in virtù del quale deve essere garantito che non vi sia alcuna conseguenza pregiudizievole a carico di chi decida di sottrarsi alla campagna vaccinale. Infine, una precisazione importante: i dati trattati nell’ambito di questa tipologia di iniziative non potranno essere comunicati a terzi né, soprattutto, diffusi ad esempio mediante pubblicazione sul web. Le stesse regioni e province autonome non saranno quindi legittimate ad acquisire dai MMG gli esiti “nominativi” delle chiamate effettuate.

Con uno sguardo di sintesi è possibile affermare che l’Autorità Garante ancora una volta è intervenuta con l’ottica non solo di tutelare i diritti delle persone in un ambito tanto delicato quale quello della gestione degli aspetti relativi alla salute, ma anche di prevenire la commissione da parte degli Enti e dei soggetti professionali coinvolti, di violazioni normative che, come noto, sono ormai presidiate da rilevantissime sanzioni amministrative14.

Di tali indicazioni, operative e sintetiche, sarà certo il caso di tenere conto.

1 “Bilancio di previsione dello Stato per l’anno finanziario 2021 e bilancio pluriennale per il triennio 2021-2023” (GU Serie Generale n.322 del 30-12-2020 – Suppl. Ordinario n. 46) entrata in vigore in data 01-01-2021.
2 1) elevata fragilità (persone estremamente vulnerabili e disabilità grave), 2) persone di età compresa fra 70 e 79 anni, 3) fra 60 e 69 anni, 4) persone con comorbidità di età inferiore a 60 anni senza quella connotazione di gravità riportata nella prima categoria, 5) resto della popolazione di età inferiore ai 60 anni.
3 Personale scolastico e universitario docente e non docente, Forze Armate, Forze di Polizia e del soccorso pubblico, servizi penitenziari e altre comunità residenziali.
4 Persone di età superiore agli 80 anni; persone con elevata fragilità e, ove previsto dalle specifiche indicazioni contenute alla Categoria 1 delle citate Raccomandazioni ad interim, familiari conviventi, caregiver, genitori/tutori/affidatari; persone di età compresa tra i 70 e i 79 anni e, a seguire, di quelle di età compresa tra i 60 e i 69 anni.
5 Cfr. anche ordinanza del Commissario straordinario n. 8/2021, “Disposizioni per la prenotazione e la vaccinazione di persone gravemente disabili e dei loro familiari conviventi, assistenti -caregiver- e genitori/tutori/affidatari”.
6 Ovvero “…l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, non ché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” fra i quali certamente rientra anche l’informazione relativa allo stato vaccinale di una persona.
7 Si veda in proposito l’art. 4 del D.L. 01.04.2021 n. 44 convertito con modificazioni dalla L. 28 maggio 2021, n. 76.
8 Cfr. art. 9-ter del decreto-legge 22 aprile 2021, n. 52, convertito, con modificazioni, dalla legge 17 giugno 2021, n. 87 come introdotto dall’art. 1 del Decreto-Legge 6 agosto 2021, n. 111 in vigore dal 07.08.2021 ed espressamente dichiarato applicabile per quanto compatibili, anche alle Istituzioni di alta formazione artistica musicale e coreutica, nonché alle attività delle altre istituzioni di alta formazione collegate alle università.
9 La stessa Corte Costituzionale, con comunicato stampa del 24 febbraio 2021, ha ricordato, ad esempio, che “il legislatore regionale, anche se dotato di autonomia speciale, non può invadere con una propria disciplina una materia avente ad oggetto la pandemia da COVID-19, diffusa a livello globale e perciò affidata interamente alla competenza legislativa esclusiva dello Stato, a titolo di profilassi internazionale”. Sul punto si vedano anche il “Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COvid-19 prevista dal d.l. 22 aprile 2021, n. 52”, il “Provvedimento di avvertimento alla regione Campania in merito all’uso delle certificazioni verdi Covid-19” del 25.05.2021, il “Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19” del 18.06.2021 e il “Provvedimento del 22 luglio 2021 (Avvertimento alla Regione Sicilia)” dell’Autorità Garante per la Protezione dei Dati Personali.
10 Regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021, su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla Covid-19 (certificato Covid digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di Covid-19 (Gazzetta ufficiale dell’Unione europea L 211 del 15 giugno 2021)
11 Anche nel rispetto di quanto in tal senso previsto dall’art. 12 del GDPR a mente del quale – par. 1 – le informazioni agli interessati devono sempre essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. cfr. anche in tal senso il Considerando n. 60 al Regolamento.
12 “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per  garantire un livello di sicurezza adeguato al rischio…”.
13 La “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
14 cfr. in tal senso, da ultimo, provvedimento del 22 luglio 2021 di Avvertimento nei confronti della Regione Siciliana, consultabile su www.gpdp.it, doc. web n. 9683814.

 

 

Condividi