Mentre prosegue a rilento la campagna di vaccinazione anti Covid-19, che per il momento e’ rivolta agli over 80, si puo’ gia’ prevedere i problemi che si verificheranno nell’applicazione delle misure di sicurezza al trattamento dei dati personali quando saranno vaccinati i soggetti in eta’ lavorativa.

Il titolare del trattamento dei dati personali dei soggetti sottoposti a vaccinazione e’ notoriamente l’Azienda Sanitaria Locale che, in materia di trattamento dei dati, non sembra uniformarsi a un disegno operativo nazionale ne’, come nel caso che ho avuto modo di analizzare, alle norme del Regolamento europeo GDPR n. 2016/679.

Nel caso in esame la ASL ha proposto un protocollo di intesa a ogni Comune con allegata nomina del Sindaco in qualita’ di responsabile del trattamento ex art. 29 del Dlgs. 196/2003. Si, ho scritto bene, perche’ il contratto di nomina sottoposto al sindaco di ogni comune per la sottoscrizione e la spedizione fa riferimento esclusivamente al Dlgs. 196/2003 e ai suoi articoli abrogati, ignorando completamente il GDPR n. 2016/679. E questa la dice lunga sulla preparazione e sull’istruzione dei soggetti autorizzati al trattamento dei dati personali che comporta, altresi’, un problema di liceita’ del trattamento.
In parole povere i nostri dati personali trattati nel settore sanitario sono protetti? Chi controlla?
Molti sindaci hanno accettato la nomina e firmato. Spesso hanno costituito degli staff ad hoc per contattare i soggetti da vaccinare, Cosi’, con elenchi consultabili dai piu’, c’e’ stata una gara per “avvertire” i vaccinandi dimostrando la pietas per lo stato di salute dei concittadini.

Ma andiamo avanti.
Il Garante della privacy si e’ preoccupato anche nelle faq pubblicate di dare istruzioni per mantenere la segretezza delle vaccinazioni e l’impossibilita’ dei datori di lavoro di chiedere ai propri dipendenti informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19.
Il Garante ribadisce che il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione neanche sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo come previsto nel  considerando 43 del Regolamento GDPRn. 2016/679.
Solo il medico competente può trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).
E neanche al medico competente il datore di lavoro può chiedere i nominativi dei dipendenti vaccinati.

Le chiare guide del Garante della privacy portano a questa riflessione.
Considerando che i sindaci sono datori di lavoro di milioni di dipendenti pubblici, cosa accadra’ quando a vaccinarsi saranno chiamati  i soggetti in attivita’ lavorativa?
Come faranno i lavoratori a non essere condizionati nelle loro scelte pro o contro vaccinazione se le convocazioni e gli elenchi saranno detenuti e gestiti dai sindaci, loro datori di lavoro?

Per la protezione dei dati personali e la salvaguardia dei diritti di liberta’ individuali, e’ tempo di attenersi alle disposizioni del GDPR da parte di tutte le istituzioni, incluse quelle sanitarie, che spesso si chiudono in un isolamento autarchico giuridico e amministrativo che non aiuta al superamento di una pandemia che non si annuncia breve.

Igino Addari
DPO

 

 

 

Actaprivacy software online per l’adempimento del GDPR

Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software web based ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679. 

 

   

ACTAINFO Servizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione. 
Realizzazione, gestione, fornitura di: siti web, servizi privacy, firme digitali, marche temporali, PEC, conservazione digitale, archiviazione

    

 

Leggi anche

Strategia Cloud Italia: trasmissione dei piani di migrazione

Con la firma del decreto n. 3 del 19 gennaio 2023, che stabilisce le modalità di trasmissione dei piani di migrazione predisposti dalle PA, prosegue il percorso di adozione del cloud da parte delle pubbliche amministrazioni italiane. Dopo aver presentato lo scorso anno la classificazione dati e servizi secondo le indicazione dell’Agenzia per la cybersicurezza nazionale (ACN), […]

Attacco ransomware massivo minaccia i server ESXi

Arrivano segnalazioni di una esplosione di compromissioni degli hypervisor VMware ESXi con oltre 500 macchine colpite dal ransomware questo fine settimana, con gli attacchi che sfruttano la CVE-2021-21974. Come pubblicato da The Stack, circa 20 macchine ESXi venivano colpite ogni ora, utilizzando i dati messi a disposizione da Shodan che mostravano che la maggior di […]

Accessibilità dei siti web e delle app di soggetti privati con fatturato medio superiore a € 500 milioni

Il DL 76/2020 ha esteso al settore privato alcuni obblighi sull’accessibilità, previsti già dalla Legge 4/2004 per le Pubbliche Amministrazioni, ai soggetti che offrono servizi al pubblico, attraverso siti web o applicazioni mobili, con un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia […]