L’approccio della normativa nazionale all’uso dei dati personali relativi ai telefoni cellulari per contrastare la diffusione del Covid-19 appare poco meditato e scarsamente adeguato. Le garanzie per le persone vanno rafforzate e precisate e un ruolo di indirizzo e controllo va assegnato al garante privacy
Anche in Italia è imminente l’utilizzo delle tecnologie dell’informazione per la lotta alla diffusione del coronavirus, come è avvenuto in molti altri paesi, in particolare in Cina. Si parla in particolare della possibilità di tracciare lo spostamento dei contagiati, ma non solo di questi, anche al fine di rafforzare i controlli sul rispetto dei divieti imposti dall’emergenza sanitaria.
Queste tecniche prevedono e consentono la raccolta di enormi volumi di dati, con rischi notevoli per la sicurezza della loro gestione. Si tratta inoltre di dati che riguardando la salute delle persone per i quali, in condizioni normali, vige un generale divieto di trattamento in assenza di consenso esplicito o, nel caso di trattamento per motivi di interesse pubblico nel settore della sanità, con l’adozione di misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Come coniugare quindi le esigenze di una lotta efficace alla pandemia e la privacy delle persone, che è anch’esso un diritto fondamentale come lo è la salute?
Di cosa parliamo quando parliamo dei nostri dati
Occorre, al riguardo, premettere che quando parliamo di “nostri” dati, tendiamo a pensare che le informazioni che ci riguardano ci appartengano in termini di “proprietà” privata, come ci può appartenere una casa, l’auto o qualsiasi altra “cosa”. Per le informazioni non è così. Infatti la normativa prevede le due distinte figure del titolare del trattamento e dell’interessato: il primo è colui che detiene i dati legittimamente e altrettanto legittimamente li può utilizzare nell’ambito della sua attività, economica o istituzionale. Il secondo è colui al quale i dati si riferiscono che ha alcuni diritti, ma tra questi non rientra quello di impedire l’uso legittimo dei dati stessi.
Questa premessa è il contesto in cui si colloca il nostro tema, che ci serve a comprendere che quello che occorre realizzare è un equilibrio adeguato tra la sfera dell’individuo e quella di coloro che accedono alle informazioni che lo riguardano, nell’ambito di attività, che in alcuni casi possono rivestire un’importanza significativa per la collettività.
La normativa che regola la materia
Venendo alla normativa che regola la materia, occorre ricordare che l’art. 8 della carta dei diritti fondamentali dell’Unione Europea afferma che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano e pone i principi di lealtà e trasparenza, richiedendo che il trattamento si fondi o sul consenso o su un altro fondamento legittimo previsto dalla legge. Impone inoltre che il rispetto di tali regole sia affidato al controllo di un’autorità indipendente.
Sempre a livello comunitario il dettaglio della disciplina della materia si trova nel Regolamento n. 679 del 2016, più noto con l’acronimo GDPR e nella Direttiva n. 58 del 2002 (Direttiva e-privacy). Del primo testo rilevano in particolare l’art. 5, che pone i principi di ogni tipo di trattamento, tra i quali di notevole impatto è quello della minimizzazione, che impone di limitare sempre l’utilizzo dei dati personali a quanto strettamente necessario in relazione alla finalità. Viene poi in gioco l’art. 9, relativo a categorie particolari di dati, tra cui rientrano quelli relativi alla salute, per i quali il trattamento nel settore della sanità pubblica o per motivi di rilevante interesse pubblico è consentito solo se accompagnato da appropriate e specifiche misure a tutela dei diritti e degli interessi delle persone.
Quando poi, come nel nostro caso, i dati sono raccolti ed utilizzati con tecnologie delle telecomunicazioni, la Direttiva e-privacy alza notevolmente il livello delle tutele e delle garanzie, prevedendo in particolare, all’art. 5, un espresso divieto di utilizzare queste tecnologie per intercettare e sorvegliare le comunicazioni e i dati sul traffico, prevedendo come unica eccezione, all’art. 15, quella delle esigenze di tutela della sicurezza nazionale. Circostanza che in passato è stata sempre esclusivamente riferita a vicende connesse al contrasto con il terrorismo internazionale, la difesa ed i compiti di polizia. Con l’ulteriore limite che un’eventuale eccezione, al divieto, risulti effettivamente necessaria, adeguata e proporzionata all’interno di una società democratica. Precisazione, quest’ultima, che da la misura della preoccupazione e del rischio che il legislatore comunitario ha avuto ben presente nel formulare la disposizione.
Autorevoli commentatori, tra i quali l’ex presidente del Garante Privacy, Franco Pizzetti, si sono espressi nel senso che il “combinato disposto” dell’art.9 del GDPR e dell’art. 15 della Direttiva e-privacy consentirebbe agli Stati, in una condizione come quella che stiamo attraversando, di derogare al regime ordinario di tutela dei dati, a due condizioni: la prima che si proceda con legge; la seconda che l’individuazione delle misure sia procedimentalizzata, cioè affidata ad un comitato tecnico, con garanzie adeguate di trasparenza, controllo e di ricorso, che assicurino la compatibilità con il carattere democratico della nostra società.
Una posizione che appare nella sostanza in linea con la dichiarazione del 19 marzo scorso del Comitato Europeo per la protezione dei dati, che ha affrontato espressamente la questione della legittimità dell’uso dei dati personali relativi ai telefoni cellulari per contrastare la diffusione del Covid-19. In tale dichiarazione si formula l’indirizzo che le Autorità si orientino, quanto meno in prima battuta, per un trattamento delle ubicazioni in forma aggregata e quindi anonima. Solo in una eventuale seconda fase, si dovrebbero adottare soluzioni intrusive, come il tracciamento, da considerarsi comunque come misura proporzionata solo in circostanze eccezionali e quindi soggetta ad un controllo rafforzato e a garanzie più stringenti, in termini di durata e di limitazione delle finalità.
L’approccio della nostra normativa nazionale
Se questo è il quadro di riferimento normativo e di principio, in cui si pone la questione, appare ancora poco meditato e scarsamente adeguato l’approccio della nostra normativa nazionale. Infatti, l’art.14 del Decreto-legge 9 marzo 2020 n. 14 autorizza il trattamento dei dati personali nel contesto emergenziale anche senza il consenso degli interessati, omettendo l’informativa e con la possibilità di conferire autorizzazioni a terzi con modalità semplificate. Con l’unico “baluardo” del richiamo ai principi dell’art. 5 del GDPR e la generica previsione di “misure appropriate a tutela del diritti e delle libertà degli interessati”, con il che rinviandone l’individuazione al momento delle scelte operative.
E’ quindi fortemente auspicabile che in sede di conversione in legge di questo decreto le garanzie per le persone vengano rafforzate e meglio precisate e che nell’individuazione della specifica tecnologia di tracciamento sia assicurato un ruolo importante di indirizzo, controllo e garanzia al Garante per la protezione dei dati personali, affinché il bilanciamento tra tutela della salute e privacy si collochi ad un punto di equilibrio effettivo e non si sacrifichino, in nome dell’emergenza, i valori dello stato di diritto.