È proseguita l’attività del Garante in ordine alla valutazione degli aspetti di protezione dei dati personali, connessi agli obblighi vaccinali previsti dall’art. 1, d.l. n. 73/2017, che, al fine di assicurare la tutela della salute pubblica e il mantenimento di adeguate condizioni di sicurezza epidemiologia in termini di profilassi e di copertura vaccinale, prevede per i minori di età compresa tra zero e sedici anni e per tutti i minori stranieri non accompagnati una serie di vaccinazioni obbligatorie e gratuite, in base alle specifiche indicazioni del Calendario vaccinale nazionale relativo a ciascuna coorte di nascita.

Come già anticipato nella Relazione 2017, con decreto legge 16 ottobre 2017, n. 14 (art. 18-ter), è stato previsto che, anche per l’anno scolastico 2017/2018, nelle sole regioni e province autonome presso le quali sono già state istituite anagrafi vaccinali, le disposizioni di semplificazione già previste per l’a.s. 2019/2020 – relative alla possibilità che le aziende sanitarie locali restituiscano alle scuole gli elenchi dei soggetti che risultano non in regola con gli obblighi vaccinali – siano applicabili a decorrere dall’anno scolastico 2018/2019, nel rispetto delle modalità operative congiuntamente definite dal Ministero della salute e dal Miur, sentito il Garante. Il predetto decreto prevede poi che nelle medesime regioni e province autonome, le disposizioni di semplificazione sopra richiamate siano applicabili già per l’anno scolastico in corso, a condizione che il controllo sul rispetto degli adempimenti vaccinali si fosse concluso entro il 10 marzo 2018.

Al riguardo, il Garante è stato chiamato ad esprimere il proprio parere in merito ad un documento recante “Modalità tecniche per lo scambio dei dati relativi alla situazione vaccinale degli iscritti tra le istituzioni scolastiche/educative e formative e l’Azienda sanitaria locale competente”, da allegarsi alla circolare allo scopo predisposta dai competenti uffici del Ministero della salute e del Miur.

Il predetto documento prevedeva due modalità di scambio dei dati: tramite lo strumento della Pec e tramite un sistema informativo web based, messo a disposizione dalla Regione o dalla Provincia autonoma, a cui i dirigenti delle istituzioni del sistema nazionale di istruzione e i responsabili dei servizi educativi per l’infanzia, dei centri di formazione professionale regionale e delle scuole private non paritarie potevano accedere tramite adeguate credenziali.

Il parere è stato reso su una versione che ha tenuto conto degli approfondimenti e di alcune osservazioni formulate dall’Ufficio, all’esito di riunioni e contatti informali, che hanno riguardato, ad esempio, gli aspetti relativi alla necessità di conformare al dettato normativo (art. 3-bis, comma 2, d.l. n. 73/2017) le diciture che le aziende sanitarie competenti devono completare quando restituiscono gli elenchi degli iscritti ricevuti dagli istituti scolastici; la necessità di circoscrivere le informazioni da scambiare per consentire l’identificazione certa di ogni iscritto (ritendendosi eccedente l’indicazione dell’indirizzo di residenza e di domicilio); la possibilità di valutare l’istituzione di una Pec dedicata.

Nello stesso parere è stato suggerito, con riferimento alla modalità di invio dei dati tramite funzionalità web, di effettuare un sistema “single sign on-SSO” tra i sistemi regionali e il sistema informativo dell’istruzione (Sidi) del Miur, al fine di semplificare le procedure di autenticazione ai portali regionali da parte dei dirigenti scolastici, evitando al contempo la proliferazione delle credenziali di autenticazione (provv. 22 febbraio 2018, n. 117, doc. web n. 7873593).

L’Autorità è stata ulteriormente interessata al fine di fornire il proprio parere nell’ambito della normativa attuativa del decreto legge n. 73/2017. In particolare, ha fornito un parere sullo schema di decreto ministeriale relativo all’istituzione e al funzionamento dell’anagrafe nazionale vaccini, da crearsi ai sensi dell’art. 4-bis del citato d.l. n. 73/2017 e contenente i dati dei soggetti vaccinati e da sottoporre a vaccinazione, nonché i soggetti di cui sia stata accertata l’avvenuta immunizzazione a seguito di malattia naturale e quelli nei cui confronti le vaccinazioni possono essere omesse o differite per accertato pericolo per la salute, in relazione a documentate condizioni cliniche, oltre alle informazioni relative alle dosi e ai tempi di somministrazione delle vaccinazioni effettuate e agli eventuali effetti indesiderati.

Secondo quanto previsto dalla disciplina di settore, l’anagrafe nazionale vaccini (Anv) raccoglie i dati delle anagrafi regionali vaccinali (Arv) esistenti, i dati relativi alle notifiche effettuate dal medico curante nell’ambito del Sistema informativo delle malattie infettive e diffusive nonché i dati concernenti gli eventuali effetti indesiderati delle vaccinazioni che confluiscono nella rete nazionale di farmacovigilanza.

Anche in questo caso, il parere è stato reso a seguito di contatti e riunioni informali con il Ministero della salute nell’ambito dei quali sono stati introdotti dei miglioramenti, aventi ad oggetto, tra gli altri, la corretta individuazione della titolarità del trattamento delle anagrafi regionali vaccinali e della tipologia dei dati ivi trattati in relazione alle finalità perseguite; il sistema di notifiche garantito dall’anagrafe nazionale vaccini, al fine di consentire l’aggiornamento delle anagrafi regionali; il periodo di conservazione dei dati personali raccolti nell’anagrafe nazionale; l’esclusione del raccordo dell’anagrafe nazionale vaccini con il Nuovo sistema informativo del Ministero della salute; le modalità di accesso ai dati dell’anagrafe nazionale da parte del Ministero della salute e delle regioni e province autonome; le misure tecniche e organizzative per la gestione dei supporti di memorizzazione, per l’abilitazione ai servizi che prevedono l’accesso a dati riferiti ai singoli assistiti e per la registrazione nei file di log. In ogni caso, è stato precisato che, in considerazione della piena applicazione del RGPD, nel fornire agli interessati le informazioni sul trattamento dei dati personali effettuato attraverso le predette anagrafi, devono essere fornite anche le informazioni supplementari previste dagli artt. 13 e 14 del richiamato Regolamento rispetto a quelle stabilite dal decreto legislativo n. 196/2003 (provv. 26 luglio 2018, n. 438, doc. web n. 9025504).

Fonte: Autorità Garante - Relazione 2018