La drammatica emergenza sanitaria di questi mesi, scaturita dalla rapida diffusione del virus Covid-19, ha radicalmente inciso sulle vite dei cittadini di tutto il mondo e continua a condizionarle pesantemente. La necessità di limitare il più possibile la diffusione del contagio, e quindi di evitare il sovraccarico delle strutture sanitarie, ha richiesto misure sempre più stringenti e strumenti di controllo più efficaci per vigilare sulla loro attuazione. Tra questi ha fatto discutere la scelta della Regione Lombardia, area drammaticamente travolta dal c.d. Coronavirus. La Regione ha chiesto e ottenuto dai principali operatori di telefonia mobile dati in grado di tracciare gli spostamenti dei possessori di telefoni cellullari. Questa scelta, giustificata dall’aggravarsi dell’emergenza, ha comunque suscitato diverse perplessità, specie perché sembra replicare in scala ridotta la sorveglianza imposta dai governi cinese e sudcoreano.
Il telefono cellulare ha ereditato il suo nome proprio dalla rete cellulare che permette la telecomunicazione. Semplificando, questa rete si basa sulla suddivisione del territorio in piccole aree chiamate “celle”, ciascuna delle quali è collegata e servita da una diversa stazione di telecomunicazione. Quando uno smartphone si sposta, questo varca gli invisibili confini delle celle, rendendo possibile la localizzazione del suo possessore.
Questa tecnica, assieme al riconoscimento facciale dei cittadini e all’adozione di applicazioni mobile in grado di indicare e segnalare i potenziali contagiati, rappresentano solo alcuni dei possibili impieghi della tecnologia per contrastare la diffusione del Coronavirus.
IL SISTEMA EUROPEO DI TUTELA DELLA PRIVACY ALLA PROVA DELL’EMERGENZA
Simili misure, che potrebbero presentare diverse utilità nell’attuale contesto emergenziale, comportano diversi rischi dal punto di vista della tutela dei dati personali dei soggetti interessati. Se è pur vero che la pandemia ha carattere globale e coinvolge tutti gli Stati ad ogni latitudine, diverse sono le caratteristiche ed i principi dei singoli ordinamenti giuridici che devono affrontare l’emergenza. Nell’Occidente democratico e liberale, ed in particolare in Europa, si pone il problema dell’attento bilanciamento tra la tutela della salute pubblica e le libertà individuali e, tra queste, la tutela della privacy.
Come noto, il diritto dell’Unione europea fonda il suo meccanismo di tutela della privacy sul Regolamento n. 679/2016, il c.d. GDPR, completato dalla normativa attuativa dei singoli Stati membri e dalla vigilanza delle singole Autorità di controllo. Tale complesso normativo, generalmente ritenuto un sistema in grado di offrire una efficace tutela alla privacy dei cittadini europei, è sottoposto ora alla notevole pressione dell’attuale emergenza, tale da creare diversi rischi alla sua tenuta complessiva.
COVID-19 E TRATTAMENTO DEI DATI: LA DICHIARAZIONE DEL COMITATO EUROPEO
Il Comitato europeo per la Protezione dei Dati, l’organismo garante della corretta applicazione del GDPR, ben consapevole di tale problema, ha recentemente pubblicato una specifica Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia Covid-19. L’incipit di questo documento è chiaro: «le norme in materia di protezione dei dati (come il regolamento generale sulla protezione dei dati) non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus». Tuttavia, il Comitato si affretta a precisare che «anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati». Si pone quindi la necessità di tutelare la salute pubblica garantendo comunque la liceità del trattamento dei dati personali e la generale tutela della Privacy.
Il GDPR, in effetti, prevede specificamente la base giuridica sulla quale fondare il trattamento dei dati suddetti in situazioni emergenziali. Il Considerando 46 del Regolamento indica esplicitamente il controllo dell’evoluzione delle epidemie e della loro diffusione come uno dei presupposti per i quali il trattamento di dati personali deve essere ritenuto lecito. Inoltre, l’art. 9, co. 2, lett. i, del GDPR prevede, come deroga al divieto di trattamento di alcuni particolari categorie di dati, l’evenienza che questo sia «necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici […]».
Il Comitato evidenzia che, con riferimento ai dati delle telecomunicazioni e quelli relativi all’ubicazione degli interessati, il trattamento in linea di principio potrebbe essere lecito se si basasse su dati resi anonimi o per i quali i singoli avessero prestato il loro consenso.
Quindi, con riferimento all’utilizzo dei dati personali relativi ai telefoni cellulari e alla geolocalizzazione degli interessati, il Comitato invita le autorità pubbliche a trattare tali dati in forma anonima, così da impedire la successiva re-identificazione delle persone. Si deve infatti precisare che la normativa atta a garantire la privacy non si applica in caso di dati anonimizzati.
D’altra parte, se non fosse possibile elaborare solo dati anonimi, il Comitato richiama quanto disposto dall’art. 15 della direttiva 2002/50/CE, c.d. Direttiva e-Privacy. Tale disposizione consente agli Stati membri di implementare misure legislative eccezionali per salvaguardare la sicurezza pubblica, ma ciò è possibile solo se tale legislazione si basa su misure necessarie, adeguate e proporzionate. Queste devono comunque essere «soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. In presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza».
Potrebbero dunque essere ammissibili tecniche di localizzazione ed applicazioni mobile con lo scopo di fornire alle autorità sanitarie dati utili per il contenimento del contagio. Devono, però, sempre essere privilegiate tecniche in grado di garantire l’anonimato e, solo qualora ciò non fosse possibile, bisognerebbe predisporre un sistema di garanzie adeguate, quali il diritto ad un ricorso giurisdizionale.
In ogni caso, gli Stati membri devono agire nel rispetto del principio di proporzionalità e favorire l’impiego di tecniche meno intrusive possibili: solo così facendo potrà essere garantita la tutela della privacy anche nel delicato contesto attuale.
L’INTERVENTO DEL GARANTE DELLA PRIVACY
Sul c.d. contact tracing digitale e sui rischi che questo può comportare per le libertà individuali dei cittadini, è stata interpellata anche la nostra Autorità Garante per la protezione dei dati personali.
Nei numerosi interventi pubblici degli ultimi giorni, il Garante ha confermato la possibilità di ricorrere alla mappatura e al tracciamento dei soggetti entrati in contatto con persone contagiate nonché all’utilizzo della rete cellulare per un controllo generalizzato degli spostamenti. Non esisterebbero, pertanto, divieti assoluti all’impiego della tecnologia in tal senso: ciononostante devono essere valutate modalità opportune e proporzionate alle esigenze di prevenzione.
Lo stato d’emergenza potrebbe richiedere inevitabilmente la compressione di alcuni diritti e alcune libertà in nome della tutela della salute pubblica ed individuale. Tuttavia, la disciplina a tutela della privacy non deve essere ritenuta solo un mero e superficiale ostacolo, essendo uno degli aspetti che più caratterizzano l’ordinamento giuridico italiano ed europeo. Trasparenza, proporzionalità e coerenza tra obiettivo perseguito e strumenti utilizzati devono rappresentare le linee guida dell’Esecutivo nel fronteggiare l’emergenza Coronavirus.
Il Garante, peraltro, ha auspicato che l’implementazione di ulteriori tecniche di contact tracing, che potrebbero riguardare milioni di cittadini, venga prevista da una normativa ad hoc. A tal proposito, l’Autorità ha sollecitato l’emanazione di un Decreto Legge, che, seppure adottato dal Governo, verrebbe successivamente sottoposto ad un profondo e reale confronto parlamentare, ritenendolo lo strumento normativo più adeguato per la delicatezza dei temi in questione.
Anche in prospettiva di tutela del diritto alla privacy, viene quindi evidenziata l’inadeguatezza di atti meramente amministrativi, come i decreti ministeriali e i d.p.c.m., per la predisposizione di un sistema di tecniche preventive sicuramente utili, ma potenzialmente pericolose per altri diritti fondamentali dei cittadini.
Redazione Diritto dell’informatica