Mentre prosegue a rilento la campagna di vaccinazione anti Covid-19, che per il momento e' rivolta agli over 80, si puo' gia' prevedere i problemi che si verificheranno nell'applicazione delle misure di sicurezza al trattamento dei dati personali quando saranno vaccinati i soggetti in eta' lavorativa.

Il titolare del trattamento dei dati personali dei soggetti sottoposti a vaccinazione e' notoriamente l'Azienda Sanitaria Locale che, in materia di trattamento dei dati, non sembra uniformarsi a un disegno operativo nazionale ne', come nel caso che ho avuto modo di analizzare, alle norme del Regolamento europeo GDPR n. 2016/679.

Nel caso in esame la ASL ha proposto un protocollo di intesa a ogni Comune con allegata nomina del Sindaco in qualita' di responsabile del trattamento ex art. 29 del Dlgs. 196/2003. Si, ho scritto bene, perche' il contratto di nomina sottoposto al sindaco di ogni comune per la sottoscrizione e la spedizione fa riferimento esclusivamente al Dlgs. 196/2003 e ai suoi articoli abrogati, ignorando completamente il GDPR n. 2016/679. E questa la dice lunga sulla preparazione e sull'istruzione dei soggetti autorizzati al trattamento dei dati personali che comporta, altresi', un problema di liceita' del trattamento.
In parole povere i nostri dati personali trattati nel settore sanitario sono protetti? Chi controlla?
Molti sindaci hanno accettato la nomina e firmato. Spesso hanno costituito degli staff ad hoc per contattare i soggetti da vaccinare, Cosi', con elenchi consultabili dai piu', c'e' stata una gara per "avvertire" i vaccinandi dimostrando la pietas per lo stato di salute dei concittadini.

Ma andiamo avanti.
Il Garante della privacy si e' preoccupato anche nelle faq pubblicate di dare istruzioni per mantenere la segretezza delle vaccinazioni e l'impossibilita' dei datori di lavoro di chiedere ai propri dipendenti informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19.
Il Garante ribadisce che il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione neanche sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo come previsto nel  considerando 43 del Regolamento GDPRn. 2016/679.
Solo il medico competente può trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).
E neanche al medico competente il datore di lavoro può chiedere i nominativi dei dipendenti vaccinati.

Le chiare guide del Garante della privacy portano a questa riflessione.
Considerando che i sindaci sono datori di lavoro di milioni di dipendenti pubblici, cosa accadra' quando a vaccinarsi saranno chiamati  i soggetti in attivita' lavorativa?
Come faranno i lavoratori a non essere condizionati nelle loro scelte pro o contro vaccinazione se le convocazioni e gli elenchi saranno detenuti e gestiti dai sindaci, loro datori di lavoro?

Per la protezione dei dati personali e la salvaguardia dei diritti di liberta' individuali, e' tempo di attenersi alle disposizioni del GDPR da parte di tutte le istituzioni, incluse quelle sanitarie, che spesso si chiudono in un isolamento autarchico giuridico e amministrativo che non aiuta al superamento di una pandemia che non si annuncia breve.

Igino Addari
DPO