IL RISPETTO DELLA PRIVACY AL TEMPO DEL CORONAVIRUS

L’Italia si trova oggi costretta ad affrontare l’emergenza sanitaria Covid-19 il cui contenimento, passa anche nel necessario bilanciamento tra interessi di salute pubblica e diritti fondamentali collegati alla privacy.

In uno stato eccezionale di emergenza quale quello attuale è possibile limitare le libertà e i diritti individuali, incluso il diritto alla tutela dei dati personali.

Tale diritto, infatti, come indicato al punto 4 nel Regolamento UE 2016/679 (“GDPR”), non è un diritto assoluto, ma va contemperato con altri diritti e interessi pubblici, quale quello alla salute.

In Italia, i trattamenti dei dati personali sono legittimi se rispettosi dei principi del G.D.P.R. recepito nel nostro ordinamento con il d.lgs 110/2018 e di tutte le altre normative sulla protezione dei dati personali.

Il Regolamento Generale UE 679/2016 (GDPR) è improntato al contemperamento di opposte esigenze, come la libera circolazione delle informazioni e il diritto alla protezione dei dati personali e prevede la protezione dei dati anche in contesti emergenziali.

Secondo l’articolo 9 del GDPR è consentito l’uso di dati relativi alla salute per “ragioni di interesse pubblico nel settore della sanità pubblica, come la protezione da gravi minacce transfrontaliere per la salute”. Nei considerando 52 e 53 allegati al Regolamento si prevedono deroghe al divieto di trattamento di dati sensibili giustificato da “finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute” e si specifica che le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate “soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale”; il considerando 46 considera poi leciti alcuni tipi di trattamento dei dati personali necessari a fini umanitari,  quali dover  monitorare  “l’evoluzione di epidemie e la loro diffusione”.

Ai sensi dell’art 23 GDPR, inoltre, ogni Stato membro e la stessa Unione Europea, possono, in particolari circostanze che richiedono la salvaguardia di importanti interessi pubblici generali, rivedere le limitazioni ai diritti e agli obblighi previsti in materia di trattamento dei dati personali mediante l’adozione di specifici provvedimenti qualora tale limitazione rispetti i diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata. Il criterio di necessità e proporzionalità costituisce quel bilanciamento che sta alla base delle stringenti misure adottate nella decretazione d’emergenza dettata dal Governo dall’inizio dell’epidemia, che ha come unico obiettivo la tutela del diritto fondamentale di ognuno alla salute pubblica.

Nel D.L. n. 14 del 9 marzo 2020 vengono estesi i poteri di trattamento dei dati personali anche “sensibili” a diversi soggetti pubblici e privati, se ritenuto strettamente funzionale e indispensabile alla gestione epidemiologica.

E’ possibile ricomprendervi il tracciamento digitale e la profilazione degli individui?

pexels-photo-3987225

In Cina, Corea del Sud e a Singapore il contenimento del virus è avvenuto anche mediante l’impiego della tecnologia.

Sono state, ad esempio, utilizzate app di geolocalizzazione per ricostruire la “catena di contatti” dei soggetti positivi e sono stati impiegati droni gestiti dalla polizia per monitorare gli spostamenti dei cittadini in pubblico.

In virtù delle richieste avanzate in tal senso dalle Istituzioni il Garante per la protezione dei dati personali conDichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19adottata il 19 marzo 2020, ha chiarito che per quanto riguarda il trattamento dei dati delle telecomunicazioni, come i dati relativi all’ubicazione in linea di principio possono essere utilizzati, ma l’operatore ha l’obbligo di renderli anonimi o di acquisire il consenso dei singoli; devono essere rispettate, oltre la normativa europea già citata, anche le leggi nazionali di attuazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche (c.d. direttiva e-privacy), che all’art. 15 consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica.

Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica e deve essere rigorosamente limitata alla durata dell’emergenza.

Il Garante ha inoltre ribadito che le finalità di trattamento devono essere specifiche ed esplicite, che trasparenza e dovere di informazione verso l’interessato sono garanzie imprescindibili e che, devono essere adottate adeguate misure di sicurezza e riservatezza per garantire che i dati non siano divulgati a soggetti non autorizzati, specie se non è possibile anonimizzare i dati. Ha altresì precisato che sarebbe doveroso documentare in misura adeguata le misure messe in campo per gestire l’attuale emergenza e il relativo processo decisionale.

In ogni caso, deve essere applicato il principio di proporzionalità, prediligendo le soluzioni meno invasive, come l’autocertificazione utilizzata in Italia.  Il tracciamento di dati di localizzazione in forma non anonimizzata può essere considerato proporzionato solo in circostanze eccezionali e solo se soggetto a un controllo rafforzato e a garanzie più stringenti del normale, per assicurare il rispetto dei principi in materia di protezione dei dati.

V’è da considerare che proprio le caratteristiche delle applicazioni digitali su larga scala (basti pensare alla produzione pressochè automatica di dati derivati e inferenziali) non consentono il rispetto di tale prescrizioni e le tecniche di anonimizzazione e di pseudonimizzazione non sono da sole, da ritenersi sufficienti per contrastare il rischio di identificazione del singolo.

Sebbene quindi la salute sia un diritto fondamentale che può contemperare il diritto al trattamento dei dati personali, come ha dichiarato il Garante ogni scelta in merito dovrà essere effettuata valutando attentamente il rapporto costi-benefici e le deroghe alle regole ordinarie dovranno essere attuate in un quadro di garanzie certe per la tutela di tutti i diritti fondamentali dell’individuo.

Avv. Sara Brogioni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.