Privacy dei vaccini, come funziona il trattamento dei dati nella campagna anti-Covid - Cyber Security 360

L'analisi

Privacy dei vaccini, come funziona il trattamento dei dati nella campagna anti-Covid

Nell’ambito della campagna vaccinale anti-Covid vengono gestiti numerosi dati dei soggetti che aderiscono al programma, per cui non mancano gli impatti privacy: approfondiamo questi aspetti, considerando la compliance al GDPR

21 Apr 2021
J
Gianluca Jesu

Privacy Officer di Regione Lombardia e Data Protection Officer di Arexpo

La gestione del trattamento dei dati degli aderenti alla campagna vaccinale nell’ambito della pandemia appare essere una delle tematiche più delicate e complesse soprattutto per quanto riguarda il ruolo degli attori che vengono coinvolti a diverso titolo nel procedimento della gestione dei dati e delle misure di sicurezza.

Per inquadrare in modo possibilmente chiaro il procedimento e il ruolo dei diversi soggetti pubblici e privati che intervengono nelle diverse fasi della gestione vaccinale, appare necessario partire da un’analisi della base giuridica e della cornice normativa che dovrebbe rendere lecito il trattamento per poi analizzare e fare alcune riflessioni su molti aspetti critici e di non semplice lettura che sono collegati al trattamento dei dati nell’ambito della gestione vaccinale e delle misure di sicurezza che vanno applicate dal punto di vista tecnico alle piattaforme su cui transitano gli stessi dati.

Vaccini e privacy, base giuridica e inquadramento normativo

La Costituzione italiana riconosce la salute come bene primario dell’individuo e della comunità (art.32 della Costituzione) e nessun trattamento sanitario puo’ essere imposto all’individuo se non per disposizione di legge.

Questo principio e valore fondamentale è richiamato ed evidenziato nel “ Piano Strategico della Vaccinazione Anti Sars COV2 /Covid 19 “ approvato dallaPresidenza del Consiglio dei Ministri e dal Ministero della Salute in data 12 dicembre 2020 e pubblicato in G.U. il 24.3.2021.

Il Piano tra i vari aspetti logistici e organizzativi prevede dal punto di vista strategico e della governance l’attuazione del Piano da parte del Ministero della Salute con il coordinamento del Commissario straordinario, le Regioni e le Province Autonome.

Falsi certificati vaccinali e test, boom nel Dark Web: i consigli antitruffa

Nel contesto normativo entra prepotentemente in gioco il DL 14 gennaio 2021 n.2 “Ulteriori disposizioni urgenti in materia per il contenimento e la prevenzione dell’emergenza epidemiologica da Covid e 19” e nello specifico all’art.3 dello stesso decreto legge laddove si cita che al fine di dare piena attuazione del Piano strategico dei vaccini è istituito con decreto del Ministero della salute con legge 30 dicembre 20202 n.178, art.1 comma 457, una piattaforma nazionale senza oneri a carico della finanza pubblica, idonea ad agevolare la distribuzione dei vaccini e a trattare i dati in forma aggregata.

Il passaggio fondamentale viene richiamato nella parte finale del comma 1 dell’art.3 dove si cita “… la piattaforma esegue in sussidiarietà le operazioni di prenotazione delle vaccinazioni, di registrazione delle somministrazioni e di certificazione delle stesse nonche della comunicazione al Ministero della Salute” e sicuramente questo passaggio risulta molto importante nell’ambito della base giuridica che legittima il trattamento dei dati in ambito emergenza pandemica delle vaccinazioni.

Il ruolo del Commissario straordinario

Nei successivi commi dell’art.3 si evidenzia il ruolo del Commissario Straordinario che si avvale anche dei soggetti operanti nel Servizio sanitario nazionale SSN e dei soggetti attuatori dell’ordinanza del Dipartimento della Protezione Civile n,630 del 3 febbraio 2020.

È necessario focalizzare l’attenzione sul comma 4 art.3 laddove si cita testualmente che viene affidato alle Regioni e Province autonome il ruolo previsto dal piano strategico di attuazione delle operazioni l’offerta attiva alle categorie degli assistiti, ivi incluse le operazioni di prenotazione delle vaccinazioni, registrazione delle somministrazioni e certificazione quali titolari autonomi del trattamento dei dati o attraverso propri sistemi informativi o attraverso la piattaforma nazionale di cui al citato art.3 del DL 14 gennaio 2021.

Gli obblighi di rendicontazione

In questo contesto giova ricordare l’obbligo posto in capo alle Regioni ai sensi del decreto del Ministero della Salute del 17 settembre 2018 istitutivo dell’anagrafe nazionale vaccini al fine di monitorare i dati dei soggetti vaccinati.

Le Regioni e le province autonome tramite propri sistemi informativi gestiscono i dati personali dei soggetti che hanno effettuati i vaccini di qualsiasi tipologia al fien di rendicontare e inviare poi l’elenco completo ai fini della rendicontazione all’anagrafe nazionale di cui al citato decreto ministeriale.

La gestione dei dati personali dei vaccini tranite proprie piattaforme regionali per le specifiche finalità di interesse pubblico di cui all’art.85 ex D.lgs. 196/2003 sono definite all’interno degli schemi tipo dei regolamenti per il trattamento dei dati sensibili e giudiziari di cui all’ex art.20 del D.lgs. 196/2003 all’interno dei quali sono definiti i tipi di dati e le relative operazioni eseguibili che permettono la comunicazione dei dati da parte delle strutture sanitarie tramite le Regioni al Ministero all’anagrafe nazionale vaccini.

Piattaforma vaccini e dati personali

In questo contesto si inserisce il comma 5 di cui all’art.3 del Dl 14 gennaio 2021 che prevede la trasmissione da parte delle Regioni /Province Autonome al Ministero della Salute, dei dati personali dei soggetti sottoposti a vaccinazione anti Covid 19, tramite proprie piattaforme informatiche o utilizzando la piattaforma nazionale.

La titolarità del trattamento posta in capo alle Regioni e le Province autonome nella gestione dei dati personali dei vaccini se da un lato trova la sua base giuridica nel citato art.3 del DL 14 gennaio 2021 n.2, dall’altro lato pone una serie di riflessioni sul tipo di operazioni possibili da parte delle Regioni e sul ruolo delle strutture sanitarie che non vengono menzionate all’interno della citata normativa.

Preliminarmente va affrontato il ruolo dei soggetti fornitori della piattaforma informatica che nel caso di utilizzo di piattaforme regionali vede coinvolti fornitori che saranno designati responsabili del trattamento e adeguatamente istruiti con compiti e istruzioni capillari.

Nel caso di utilizzo della piattaforma nazionale (Poste) si può prefigurare un’architettura privacy con le Regioni e Province Autonome che formalizzano la nomina a responsabile della Struttura Commissariale che a sua volta designa Poste Italiane come subresponsabile del trattamento.

Questa organizzazione però potrebbe anche trovare una sua logica e coerenza, cosi come previsto ai sensi dell’art.28 comma 2 e 3 del Regolamento Ue 2016/679 (GDPR), prevedendo un rapporto diretto tra le Regioni e Poste Italiane che sarebbero designate responsabili del trattamento direttamente dai titolari del trattamento.

Entrambe le soluzioni potrebbero essere compliant al Regolamento e rispondere ad una logica che vede Poste Italiane quale soggetto deputato al precaricamento del set di dati da richiedere all’interessato e all’attuazione e previsione delle misure di sicurezza adeguate oltre all’analisi dei rischi informatici legati all’utilizzo della piattaforma.

Data retention e ruoli privacy nella campagna vaccinale

Il comma 6 dell’art.3 del DL 14 gennaio 2021 n.2 pone inoltre l’attenzione sulla data retention tema molto importante e strettamente legato all’esigenza di tutela della riservatezza dell’interessato relativamente alla durata dell’emergenza pandemica.

Il richiamato comma prevede la cancellazione dei dati presenti sulla piattaforma entro il 3 dicembre 2021 con l’obbligo di cancellazione o anonimizzazione degli stessi e la restituzione dei dati alle Regioni/Province autonome quali titolari del trattamento.

Nel decreto legge non viene fatto alcun riferimento ad eventuali ruoli svolti da parte delle strutture sanitarie nell’ambito delle operazioni effettuate dalle Regioni quali titolari autonomi del trattamento in regime di sussidiarietà.

Sicuramente alcune Regioni potrebbero prevedere all’interno della piattaforma regionale o di quella nazionale di Poste, un’eventuale inserimento di schede o set di dati relativi all’anamnesi del paziente che potrebbero essere richiesti in occasione della somministrazione e inoculazione del vaccino, da compilarsi a cura del personale sanitario.

La tematica si presta sicuramente a valutazioni di liceità e di necessità e minimizzazione dei dati richiesti al cittadino e la cui risoluzione si presta a diverse interpretazioni che possono trovare una logica e una motivazione legate all’emergenza sanitaria.

Se da un lato l’eventuale utilizzo di dati particolari legati all’anamnesi del soggetto vaccinando all’interno di specifiche piattaforme regionali dedicate alle strutture sanitarie, possono rispondere all’esigenza di monitoraggio e rendicontazione dell’obbligo vaccinale a cui sono tenute le strutture del SSN tramite le Regioni, dall’altro lato la previsione di specifiche operazioni da parte delle Strutture sanitarie titolari del trattamento per finalità di cura e prevenzione all’interno della piattaforma nazionale di Poste potrebbe essere perfezionata con l’implementazione di specifici compiti e istruzioni formalizzati dalle Regioni quali titolari del trattamento a Poste Italiane quale responsabile del trattamento.

Questa interpretazione della base giuridica legata all’eventuale ruolo delle strutture sanitarie ai sensi dell’art.3 della citata normativa appare sicuramente degna di accurate riflessioni che naturalmente devono contemperare l’esigenza di riservatezza e di risposta ala necessità di risposte immediate all’emergenza sanitaria.

La base giuridica del trattamento

Nell’ambito della gestione del trattamento dati legati ai vaccini possono essere coinvolti a diverso titolo diversi attori che sono legittimati al trattamento dei dati particolari e alla comunicazione degli stessi cosi come previsto dalla normativa di riferimento (L.24 aprile 2020 n,27 art.17 bis e Ordinanza del Dipartimento della Protezione Civile n,630 del 3 febbraio 2020) nell’ambito dell’espletamento delle funzioni attribuite agli stessi in occasione dell’emergenza sanitaria.

I soggetti legittimati sono espressamente indicati dalle citate normative (Ministero della Salute, Istituto Superiore della Sanità nonche i soggetti deputati ad attuare le misure di contenimento dell’emergenza sanitaria di cui al DL 25 marzo 2020 n.19 art.2).

In questo contesto puo’ essere importante e utile focalizzare l’attenzione sul ruolo di altri attori che potrebbero a diverso titolo trattare i dati dei soggetti vaccinati/vaccinandi. Appare opportuno chiarire il ruolo degli enti locali e del Sindaco che nell’ambito della situazione emergenziale possono avere la necessità di monitorare in modo più efficace il territorio ed avere l’esigenza di conoscere e verificare i dati e le informazioni dei soggetti vaccinati tramite apposti elenchi.

Questa esigenza deve però trovare fondamento in una base giuridica adeguata che va puntualmente verificata. Dalla lettura del DL 18/2020 art.17 bis, la comunicazione e soprattutto la diffusione di dati personali a soggetti pubblici e privati diversi da quelli indicati espressamente nella citata normativa, possono essere effettuate solo laddove risultino indispensabili per lo svolgimento dell’attività sanitarie legate all’emergenza sanitaria.

La norma non renderebbe pertanto lecita la comunicazione degli elenchi dei soggetti vaccinati agli enti locali e nello specifico al soggetto svolgente le attività di pubblico ufficiale (il Sindaco) e non risponderebbe neppure ai principi di necessità e proporzionalità come peraltro già evidenziato nelle FAQ dell’Autorità Garante “ Trattamento dei dati da parte degli entri locali in situazioni di emergenza sanitaria”.

La cornice normativa non legittimerebbe il Sindaco e gli enti locali alla visualizzazione dei dati dei soggetti vaccinati o da sottoporre a vaccinazione, anche per le eventuali finalità connesse a specifici bisogni (es. trasporto degli anziani) che potrebbero essere comunque perseguite con strumenti meno intrusivi della libertà e dignità degli interessati e con conseguenze di possibili rischi di discriminazione nei confronti dei soggetti non aderenti alla campagna vaccinale.

Come si evince dalla lettura e interpretazione della normativa di settore la base giuridica e la liceità del trattamento, per quanto debbano essere adeguatamente bilanciate con la situazione di emergenza sanitaria, restano il primo step da affrontare soprattutto su questi temi di stretta attualità che hanno comunque visto alcune aperture di posizione dell’Autorità Garante (vedi tematiche analoghe sulle ricette dematerializzate Provvedimento del dicembre 2020 ).

Conclusione

Il Piano strategico vaccinale e l’utilizzo di dati e piattaforme da parte dei diversi interlocutori e attori che sono parte in causa in questa importante procedura sono sicuramente legittimati a trattare i dati sulla base di specifiche normative di settore ma dopo aver sviscerato in modo capillare la cornice normativa riscontro alcune aperture e posizioni meno rigide che tengono in debita considerazione la situazione di emergenza sanitaria e che pur contemperando un attento bilanciamento dei diritti e le libertà degli interessati focalizzano in modo più netto il bene primario della salute sancito dalla Costituzione.

Alcuni orientamenti dell’Autorità garante potrebbero anche essere prorogati dopo la scadenza dell’emergenza Covid ed essere applicati a regime per alcuni trattamenti come il passaporto vaccinale di cui si sta discutendo a livello europeo per trovare un adeguata e omogenea normativa applicabile in tutti gli stati membri.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5