La Regione Veneto è stata condannata a pagare 100mila euro perché ha violato la privacy dei sanitari non vaccinati. La sanzione è stata inflitta dal Garante per la protezione dei dati personali e alla Regione non è rimasto che pagare, anche se ha annunciato l’intenzione di ricorrere in Tribunale, per chiedere l’annullamento del provvedimento.
Nel 2021, quando era in pieno svolgimento la campagna anti-Covid, la giunta regionale di Luca Zaia aveva deciso di coinvolgere i medici del lavoro per sensibilizzare gli operatori sull’obbligo di vaccinarsi, vista la loro attività a diretto contatto con malati e soggetti fragili nelle strutture sanitarie.
Era l’epoca delle polemiche per l’obbligo di vaccinazione in ambito sanitario. C’erano state numerosi segnalazioni e proteste, per cui il Garante ha avviato l’istruttoria. Ha ricostruito l’iter della vicenda iniziata nell’aprile 2021. Allora erano oltre 61mila i medici o gli infermieri non ancora vaccinati appartenenti a strutture pubbliche e private, tra cui 12.500 dipendenti delle strutture sanitarie regionali. La legge imponeva alle Ulss le verifiche sui singoli casi. Si trattava di una mole di circa 60 mila accertamenti. Come farvi fronte? La Regione aveva così coinvolto i medici del lavoro appartenenti a diverse aziende sanitarie perché facessero una azione di convincimento nei confronti dei colleghi. I medici del lavoro avevano così ricevuto l’elenco di chi non si era vaccinato ed era residente nella provincia di propria competenza.
In questo delicato passaggio sta la ragione della violazione di privacy.
Le sollecitazioni erano finite nelle caselle di posta elettronica individuale di ogni sanitario, con la protezione di una password “comunicata attraverso un canale separato”. Il Garante non ha ritenuto sufficiente questa cautela visto che in alternativa alla diffusione degli elenchi dei non vaccinati si sarebbero potute attuare “campagne di informazione e sensibilizzazione del personale presso le singole aziende sanitarie, se del caso con l’ausilio dei medici competenti, senza tuttavia ricorrere alla comunicazione di dati personali, non prevista dalla legge. L’Autorità che protegge i dati personali ha scritto:
“La sistematica e generalizzata messa a disposizione delle liste, pur non riguardando dati relativi alla salute, ha comunque dato luogo a una comunicazione di dati personali non prevista dalla legge.”
Il riferimento è al codice fiscale, al nome e cognome, con data di nascita e sesso. Il Garante ha dato atto alla Regione di aver operato in buona fede, vista anche la situazione di emergenza, ma ha tuttavia sanzionato una plateale violazione della privacy.