Somministrazione lavoro e staff leasing: evoluzioni della questione Francesco Chinni e Sergio Di Dato - 02/12/24  |  Il licenziamento del lavoratore a seguito di un controllo occulto e la privacy Andrea Pedicone - 24/11/24  |  La scienza smascherata United Lawyers for Freedom - ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom - ALI Avvocati Liberi - 26/03/23  |  

La privacy ai tempi del Coronavirus

Il bilanciamento tra la privacy e la sanità pubblica: i limiti alla geolocalizzazione dei cittadini quale misura di contrasto alla diffusione del Covid-19


Avv. Alfredo Cirillo e Dott. Francesco Maria Rebaudo - L'emergenza sanitaria che sta investendo gravemente il nostro Paese e, con diverse proporzioni, tutto il resto d'Europa e del mondo, ha imposto ai Governi l'introduzione di misure restrittive dei diritti dei cittadini, dalla compressione della libertà di movimento alla chiusura di innumerevoli attività commerciali, che possono incidere anche sulla privacy di ogni individuo.

Privacy e compressione diritti per emergenza sanitaria

[Torna su]

Nei giorni scorsi, infatti, buona parte dei principali quotidiani nazionali hanno reso nota l'iniziativa della Regione Lombardia, che ha provveduto ad effettuare un controllo, in via anonima, dei movimenti delle persone sul suo territorio a seguito delle restrizioni introdotte a livello nazionale e regionale, mediante la richiesta agli operatori telefonici di fornirle i dati in formato aggregato degli spostamenti dei loro clienti da una cella telefonica ad un'altra (1).
Ancora più scalpore hanno fatto le notizie provenienti dalla Corea del Sud, ove il monitoraggio dei cittadini non si è fermato al trattamento di dati in formato aggregato e, quindi, anonimo, bensì si è spinto sino alla pubblicazione dei movimenti dei contagiati negli ultimi giorni, comprese alcune attività da questi svolti, con modalità che hanno consentito di rendere individuabili e riconoscibili i soggetti coinvolti, esponendoli in certi casi ad una vera e propria gogna mediatica (2).
Perché se in una situazione emergenziale, come la presente, risulta ragionevole che alcune libertà personali debbano subire delle compressioni a favore del benessere dell'intera società, il problema si sposta evidentemente sui limiti entro i quali uno Stato può agire a tutela dei propri superiori interessi e, nello specifico, sulle modalità di utilizzo dei dati personali dei propri cittadini per la finalità di contrasto alla diffusione dell'epidemia in corso.
Nel contesto di un Paese democratico come il nostro, infatti, la protezione dei dati personali non può subire una compressione assoluta, ossia consentire una geolocalizzazione illimitata di ogni singolo individuo, ma dovrà essere contenuta nei principi della Costituzione, in cui il diritto alla privacy certamente acquista rilievo primario grazie quantomeno alla clausola aperta di cui al suo articolo 2, nonché in base a quelli ispiratori della normativa di settore, in primis quelli di minimizzazione dei dati e di limitazione della conservazione degli stessi ai sensi dell'Art. 5, lett. c) ed e), e del Considerando 39 del GDPR.
Non a caso, l'Art. 9 del GDPR prevede la possibilità di trattare alcune "categorie particolari di dati personali", tra cui quelli inerenti alla salute, anche senza il consenso di quest'ultimi, per motivi di pubblico interesse, in particolare la sanità pubblica, purché tale trattamento sia "proporzionato alla finalità perseguita", rispetti "l'essenza del diritto alla protezione dei dati", nonché preveda "misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato".
Ovviamente, poiché in un contesto emergenziale è molto facile perdere di vista i limiti invalicabili che una Società democratica non dovrebbe mai superare, risultano a tal fine essenziali gli interventi chiarificatori delle Autorità competenti, con i quali viene fornito un valido ausilio sul bilanciamento tra diritti del singolo e quelli della collettività.

Il parere del Garante Privacy

[Torna su]
In ordine cronologico, una prima indicazione in tal senso è stata fornita dal Garante per la Protezione dei dati personali che, con il Parere del 2 febbraio 2020 (3), ha ritenuto lecito, in ragione dell'emergenza sanitaria in atto, un più ampio e snello interscambio di dati fra Amministrazioni e, addirittura la loro comunicazione anche a taluni soggetti privati, ma sempre nei limiti della finalità perseguita e, in generale, "nel rispetto dei principi di cui all'art. 5 del Regolamento (UE) 2016/679".
Anche il fattore tempo, spesso ingiustamente ritenuto un aspetto secondario, è stato evidenziato dal nostro Garante quale limite ad ogni compressione dei diritti dei cittadini, affermando "la necessità che, alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all'ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell'emergenza, all'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti".

Il d.l. 14/2020 e la dichiarazione del Comitato Ue per la protezione dei dati

[Torna su]
Tali indicazioni sono state successivamente recepite integralmente dal Legislatore, che ha introdotto una disciplina eccezionale per il trattamento dei dati personali per il contrasto all'attuale emergenza sanitaria all'art. 14 del Decreto-Legge 9 marzo 2020, n. 14 (4).
Tuttavia, un intervento più mirato sull'annosa questione della geolocalizzazione di massa quale misura di contrasto lo si deve al Comitato europeo per la protezione dei dati, che con la propria "Dichiarazione sul trattamento dei dati personali nel contesto dell'epidemia di COVID-19", adottata il 19 marzo 2020, ha fornito alcuni chiarimenti a tutti gli Stati membri.
Il Comitato ha innanzitutto rammentato che, di norma, i dati relativi all'ubicazione delle persone possono essere utilizzati solo se resi in forma anonima o con il consenso degli interessati ma, tuttavia, la Direttiva 2002/58/CE del 12 luglio 2002, c.d. "Direttiva e-privacy", prevede la possibilità per gli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (5).
Posta la sussistenza di un potere di deroga in capo agli Stati, il Comitato ha dovuto chiarire nella propria Dichiarazione che "tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all'interno di una società democratica", nonché che "tali misure devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali", essendo pur sempre "soggette al controllo giurisdizionale della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo".
Ciò, in concreto, significa per il Comitato che gli Stati membri dovrebbero, in prima battuta e ove ritenuto necessario, "trattare i dati relativi all'ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone)", così da effettuare esclusivamente controlli sulla concentrazione geografica di dispositivi mobili dei cittadini, come quelli effettuati dalla Regione Lombardia qualche giorno or sono.
Solo qualora tali misure non siano adeguate alla finalità perseguita, ossia al contenimento della diffusione del Covid-19, allora gli Stati membri possono giungere all'adozione di misure di trattamento dei dati di geolocalizzazione in forma non anonimizzata, purché predispongano delle garanzie adeguate ad ogni individuo, tra cui il diritto ad un ricorso giurisdizionale.
Di conseguenza, ogni Stato membro deve impedire che si possano verificare situazioni spiacevoli come quelle accadute in Corea del Sud, dove addirittura si è arrivati a rendere conoscibili dati sulla vita sessuale delle persone risultate positive al virus, con evidente fuoriuscita dalla finalità del trattamento perseguita e in violazione di quelli che, per noi, sarebbero i principi fondamentali della Costituzione, della CEDU e del GDPR.
Ad esempio, la divulgazione pubblica dei nominativi dei contagiati pare difficilmente giustificabile, potendo ottenersi pressoché i medesimi risultati sul contenimento dell'epidemia in corso con le misure già adottate, ossia con pesanti restrizioni nei movimenti delle persone e con la ricostruzione delle catene di contagio da parte delle Autorità competenti, le quali comunicano il rischio esclusivamente alle persone che risultino essere state di recente in contatto con soggetti positivi al Covid-19, così rispettando i principi di proporzionalità e adeguatezza del trattamento dei dati personali.
Il Comitato conclude ricordando che la bussola delle Pubbliche Autorità dev'essere il principio di proporzionalità, privilegiando sempre "soluzioni meno intrusive, tenuto conto dell'obiettivo specifico da raggiungere", e ponendo come extrema ratio il trattamento di dati storici di localizzazione in forma non anonimizzata, misure che, in ogni caso, "dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità)".

Le indicazioni del presidente del Garante privacy

[Torna su]
Dello stesso avviso il Presidente del Garante per la Protezione dei Dati Personali che, intervistato proprio sulle misure di controllo massivo degli spostamenti eventualmente da adottare nel nostro Paese, ha recentemente affermato che "bisognerebbe anzitutto orientarsi secondo un criterio di gradualità e, dunque, valutare se le misure meno invasive possano essere sufficienti a fini di prevenzione. Ove così non sia, si dovrà studiare modalità e ampiezza delle misure da adottare in vista della loro efficacia, proporzionalità e ragionevolezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni" (6).

Ebbene, proprio in questi giorni il Ministro per l'innovazione tecnologica e la digitalizzazione ha lanciato una call per la ricerca di tecnologie di tracciamento e analisi dei dati della localizzazione degli individui da applicare immediatamente al contrasto del Covid-19 (7), con centinaia di progetti già presentati da Società ed Università (8).
Tuttavia, non ci si può far sopraffare da richieste di parte dell'opinione pubblica volte alla tutela con ogni mezzo del diritto alla salute, permanendo, anche in un momento critico del sistema, il bilanciamento con gli altri diritti fondamentali della persona.
Intervistato il 25 marzo u.s., il Presidente del Garante per la Privacy è tornato ancora una volta sull'argomento, stigmatizzando l'attuale disprezzo diffuso verso la protezione dei dati personali, rammentando che ogni deroga, anche se temporaneamente necessaria, non deve "diventare un punto di non ritorno" (9), con l'auspicio di un intervento omogeneo a livello nazionale sul monitoraggio dei movimenti dei cittadini, al fine di eliminare la confusione provocata dalle singole iniziative di Regioni o Comuni.
Per concludere, anche innanzi ad un'epidemia grave e straordinaria come quella del Covid-19 il diritto alla privacy degli individui non può subire compressioni assolute, perché, citando le stesse parole del Presidente del Garante per la Protezione dei Dati Personali, il bilanciamento tra questi all'apparenza opposti interessi è possibile "se rispettiamo un principio fondamentale della democrazia, la proporzionalità. Che è garantito quando un sistema anche invasivo è comunque finalizzato all'interesse generale di tutela della salute. Purché la raccolta di informazioni non ecceda rispetto alle necessità e avvenga dentro un processo ben normato, controllato e soprattutto a termine".
(1) Coronavirus, in Lombardia check sulle celle telefoniche in www.ilmessaggero.it
(2) Coronavirus, gli sms della Corea del Sud sulle tracce dei contagiati in www.repubblica.it
(3) Parere sulla bozza di ordinanza recante disposizioni urgenti di protezione civile in relazione all'emergenza sul territorio nazionale relativo al rischio sanitario connesso all'insorgenza di patologie derivanti da agenti virali trasmissibili - 2 febbraio 2020
(4) Di seguito il testo completo: "1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall'emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell'articolo 9, paragrafo 2, lettere g), h) e i), e dell'articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell'articolo 2-sexies, comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all'articolo 1 dell'ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell'Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell'ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l'esecuzione delle misure disposte ai sensi dell'articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell'interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all'espletamento delle funzioni attribuitegli nell'ambito dell'emergenza determinata dal diffondersi del COVID-19. 2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto. 3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all'articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati. 4. Avuto riguardo alla necessità di contemperare le esigenze di gestione dell'emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all'articolo 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente. 5. Nel contesto emergenziale in atto, ai sensi dell'articolo 23, paragrafo 1, lettera e), del menzionato regolamento (UE) 2016/679, fermo restando quanto disposto dall'articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l'informativa di cui all'articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione. 6. Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell'emergenza, all'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali".

(5) L'Art. 15, par. 1, della Direttiva "e-privacy" stabilisce che "gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all'articolo 8, paragrafi da 1 a 4, e all'articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell'articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l'altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all'articolo 6, paragrafi 1 e 2, del trattato sull'Unione europea".
(6) Intervista del 18 marzo 2020
(7) Telemedicina e sistemi di monitoraggio, una call per tecnologie per il contrasto alla diffusione del Covid-19
(8) Coronavirus e tecnologia, 770 candidature al ministero: ecco le app per il tracciamento dei contagi in www.ilcorriere.it
(9) Intervista del 25 marzo 2020

Data: 02/04/2020 11:30:00
Autore: Matteo Santini