Finita l’emergenza sanitaria Covid-19, compressione ed elisione della tutela della privacy diventeranno regola e non più eccezione?
Autore
Avv. Angelo Russo – Avvocato Cassazionista, Diritto Civile, Diritto Amministrativo, Diritto Sanitario, Catania.[otw_shortcode_dropcap label=”L” background_color_class=”otw-no-background” size=”large” border_color_class=”otw-no-border-color” label_color=”#008185″][/otw_shortcode_dropcap]a drammatica situazione venutasi a creare a seguito della diffusione, in tutte le zone del pianeta, del Covid- 19 (Coronavirus) solleva, in maniera vieppiù crescente, dubbi, incertezze e quesiti sul necessario contemperamento fra l’adozione di modalità di controllo della pandemia (così ufficialmente definita dall’OMS) e la tutela della privacy del cittadino che rischia, quasi inevitabilmente, di dovere essere (seppur momentaneamente) sacrificata sull’altare dell’obiettivo di elidere (se non annullare) le nefaste conseguenze della pandemia.
Il Comitato europeo per la protezione dei dati – EDPB, il 19 marzo 2020, ha pubblicato la “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19” col dichiarato intento di fissare linee guida quanto più uniformi nell’azione che i Governi e gli organismi pubblici e privati di tutta Europa stanno intraprendendo per contenere e attenuare il COVID-19.
Le norme in materia di protezione dei dati (come il regolamento generale sulla protezione dei dati) non ostacolano, com’evidente, l’adozione di misure per il contrasto della pandemia di coronavirus non foss’altro perché la lotta contro le malattie trasmissibili è un importante obiettivo condiviso da tutte le nazioni e, pertanto, da sostenere nel miglior modo possibile.
Se, quindi, è necessario, nell’interesse dell’umanità, arginare la diffusione delle malattie e utilizzare tecniche moderne nella lotta contro i flagelli che colpiscono gran parte del mondo, il Comitato europeo per la protezione dei dati non poteva esimersi dal sottolineare che “anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati.”
Occorre, pertanto, tenere conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali dovendosi sottolineare che qualsiasi misura, adottata in questo contesto, deve rispettare i principi generali del diritto e non può, soprattutto, essere irrevocabile.
Emergenza COVID-19: condizione giuridica
L’emergenza, invero, è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e astrattamente confinate al periodo di emergenza.
Il regolamento generale sulla protezione dei dati (RGPD) è, come noto, una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello attuale relativo al COVID-19.
Il RGPD consente, invero, alle competenti autorità sanitarie pubbliche e ai datori di lavoro, di trattare dati personali nel contesto di un’epidemia, conformemente al diritto nazionale e alle condizioni ivi stabilite.
A titolo esemplificativo, se il trattamento afferisce motivi di interesse pubblico, rilevante nel settore della sanità pubblica, in tali circostanze non è necessario basarsi sul consenso dei singoli.
Covid-19 e trattamento dei dati personali
Per quanto riguarda il trattamento dei dati personali, comprese le categorie particolari di dati, da parte di autorità pubbliche competenti (ad es. autorità sanitarie pubbliche), il Comitato ritiene che gli articoli 6 e 9 del RGPD consentano tale trattamento, in particolare quando esso ricada nell’ambito delle competenze che il diritto nazionale attribuisce a tale autorità pubblica e nel rispetto delle condizioni sancite dal RGPD.
Nel contesto lavorativo, il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria.
Il RGPD prevede, altresì, deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell’Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali dell’interessato (articolo 9.2.c).
Per quanto riguarda il trattamento dei dati delle telecomunicazioni, come i dati relativi all’ubicazione, devono essere rispettate anche le leggi nazionali di attuazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche (direttiva e-privacy).
In linea di principio, i dati relativi all’ubicazione possono essere utilizzati dall’operatore solo se resi anonimi o con il consenso dei singoli anche se l’art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica.
Tale legislazione eccezionale è possibile, tuttavia, solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica.
Tali misure devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.
Inoltre, esse sono soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo.
In presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza.
I dati personali necessari per conseguire gli obiettivi perseguiti dovrebbero, peraltro, essere trattati per finalità specifiche ed esplicite così come gli interessati dovrebbero ricevere informazioni trasparenti sulle attività di trattamento svolte e sulle loro caratteristiche principali, compreso il periodo di conservazione dei dati raccolti e le finalità del trattamento.
Le informazioni dovrebbero essere, inoltre, facilmente accessibili e formulate in un linguaggio semplice e chiaro.
È importante, in quest’ottica, che vengano adottate adeguate misure di sicurezza e riservatezza che garantiscano che i dati personali non siano divulgati a soggetti non autorizzati.
Si dovrebbero, in ogni caso, documentare in misura adeguata le misure messe in campo per gestire l’attuale emergenza e il relativo processo decisionale.
Sempre più spesso, in questi giorni, si accenna alla possibilità di uso dei dati di localizzazione da dispositivi mobili.
Non è chi non percepisca il rischio di abuso di siffatte modalità di accesso a dati personali che, se pur ampiamente giustificato in un contesto emergenziale, quale quello attuale, sarà oltremodo privo di legittimità alla fine del periodo (ci si augura breve) che stiamo vivendo.
La domanda che ci si pone è, pertanto, se i governi degli Stati membri possono utilizzare i dati personali relativi ai telefoni cellulari dei singoli nell’intento di monitorare, contenere o attenuare la diffusione del COVID-19.
In alcuni Stati membri i governi prevedono di utilizzare i dati di localizzazione da dispositivi mobili per monitorare, contenere o attenuare la diffusione del COVID-19.
Ciò implicherebbe, ad esempio, la possibilità di geolocalizzare le persone o di inviare messaggi di sanità pubblica ai soggetti che si trovano in una determinata area, via telefono o SMS.
Le autorità pubbliche dovrebbero innanzitutto cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia“).
Le norme in materia di protezione dei dati personali, è bene precisare, non si applicano ai dati che sono stati adeguatamente anonimizzati.
Quando, tuttavia, non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15).
Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate, ad esempio, fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.
Sembrerebbe logico sottolineare che si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere.
Misure invasive come il “tracciamento” (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento.
Tuttavia, tali misure dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità).
Altra problematica ricorrente e se un datore di lavoro può chiedere ai visitatori o ai dipendenti di fornire informazioni sanitarie specifiche nel contesto del COVID-19.
Nel caso di specie, è particolarmente pertinente l’applicazione dei principi di proporzionalità e di minimizzazione dei dati.
Il datore di lavoro dovrebbe chiedere informazioni sanitarie soltanto nella misura consentita dal diritto nazionale.
La questione se il datore di lavoro è autorizzato a effettuare controlli medici sui dipendenti va risolta sulla base delle leggi nazionali in materia di lavoro o di salute e sicurezza con la conseguenza che i datori di lavoro dovrebbero accedere ai dati sanitari e trattarli solo se ciò sia previsto dalle rispettive norme nazionali.
In quest’ottica i datori di lavoro dovrebbero informare il personale sui casi di COVID-19 e adottare misure di protezione ma non dovrebbero comunicare più informazioni del necessario e qualora occorra indicare il nome del dipendente o dei dipendenti che hanno contratto il virus (ad esempio, in un contesto di prevenzione) e il diritto nazionale lo consenta, i dipendenti interessati ne devono essere informati in anticipo tutelando la loro dignità e integrità.
I datori di lavoro, invero, potranno ottenere informazioni personali nella misura necessaria ad adempiere ai loro obblighi e a organizzare le attività lavorative, conformemente alla legislazione nazionale.
Non è chi non percepisca quanto difficile sia (e soprattutto sarà, cessata l’emergenza) mantenere un equilibrio fra esigenza di tutela della salute pubblica e diritto alla riservatezza.
L’Italia oggi è costretta ad affrontare, forse per la prima volta nella sua storia repubblicana, un dilemma: quale compromesso può essere accettato nel bilanciamento tra interessi di salute pubblica e diritti fondamentali collegati alla privacy?
Si ha la percezione che scelte più forti e radicali di quelle già praticate dal nostro Governo (a volte impropriamente, contestate) dovranno essere adottate, crescente essendo la pressione di diversi esperti tecnologici e alcuni settori della politica verso soluzioni di tracciamento cittadini stile Corea del Sud.
Se, tuttavia, l’elevata capacità di analisi predittiva e in tempo reale consentita dalle più recenti tecnologie rappresenta una risorsa preziosa e strategica specie in situazioni di emergenza, gli impatti, anche di lungo periodo per i diritti e le libertà degli individui, non possono essere sottovalutati.
La comprensione della trasmissione del nuovo coronavirus (2019-nCoV) è per ora la chiave del suo contenimento e della sua futura prevenzione.
Se, infatti, la ricerca sul possibile vaccino prosegue intensamente, ad oggi non esiste alcuna specifica terapia per il trattamento del 2019-nCoV.
Una situazione analoga è stata vissuta in Cina con la SARS nel 2002 – 2003 e nell’Africa occidentale con l’epidemia del virus Ebola nel 2014 – 2015.
Si ricorda che almeno otto protocolli speciali furono messi in atto in quelle circostanze emergenziali per mettere in quarantena qualsiasi persona infetta e identificare i contatti dei pazienti a rischio.
Anche allora non esistevano trattamenti antivirali specifici per SARS o Ebola e questo è ciò che rende quelle situazioni simili a quanto i sistemi sanitari di tutto il mondo stanno affrontando oggi con 2019-nCoV.
Gli attuali sforzi delle nostre Istituzioni si concentrano, pertanto, sull’isolamento volontario degli individui e sulla quarantena degli infetti, come anche sulle misure straordinarie previste dai provvedimenti d’urgenza e incidenti in tutti gli ambiti dal settore sanitario a quello produttivo e sociale.
Il perseguimento di questo altissimo compito, urgente e necessario, coinvolge profondamente la sfera della protezione dei dati personali prevedendo che numerosi soggetti non soltanto governativi possano raccogliere e analizzare, se a ciò autorizzati da provvedimenti formali, informazioni personali su un gran numero di persone, compresi i dati relativi alla salute e altri dati particolari ex art 9 GDPR, paragrafo 2, lettere g), h) e i), dati giudiziari ex art 10 GDPR, dati relativi agli spostamento e alle relazioni personali.
I diritti fondamentali, invero, non sono assoluti.
Non lo è neppure il diritto alla protezione dei dati che, come gli altri, rientra nell’alveo dell’art 52, paragrafo 1 e 3 della Carta UE, disposizione che prevede che possa essere attribuita una specifica preminenza, ricorrendone determinati presupposti tra cui senz’altro le situazioni emergenziali in ambito sanitario, agli obiettivi di interesse generale, sanciti nell’articolo 3 del Trattato sull’Unione europea (TUE).
Nel caso specifico, all’interesse alla protezione della salute pubblica, contenuto nell’articolo 35 della Carta dei diritti fondamentali dell’Unione Europea, se questo fosse risultato prevalente a seguito del bilanciamento con gli altri diritti incidenti tra i quali: il rispetto della vita privata e della vita familiare (art.7 Carta) e la protezione dei dati di carattere personale (art.8 Carta).
