Il telefono cellulare ha ereditato il suo nome proprio dalla rete cellulare che permette la telecomunicazione. Semplificando, questa rete si basa sulla suddivisione del territorio in piccole aree chiamate “celle”, ciascuna delle quali è collegata e servita da una diversa stazione di telecomunicazione. Quando uno smartphone si sposta, questo varca gli invisibili confini delle celle, rendendo possibile la localizzazione del suo possessore.
Questa tecnica, assieme al riconoscimento facciale dei cittadini e all’adozione di applicazioni mobile in grado di indicare e segnalare i potenziali contagiati, rappresentano solo alcuni dei possibili impieghi della tecnologia per contrastare la diffusione del Coronavirus.
Il sistema europeo di tutela della privacy alla prova dell’emergenza
Simili misure, che potrebbero presentare diverse utilità nell’attuale contesto emergenziale, comportano diversi rischi dal punto di vista della tutela dei dati personali dei soggetti interessati. Se è pur vero che la pandemia ha carattere globale e coinvolge tutti gli Stati ad ogni latitudine, diverse sono le caratteristiche ed i principi dei singoli ordinamenti giuridici che devono affrontare l’emergenza. Nell’Occidente democratico e liberale, ed in particolare in Europa, si pone il problema dell’attento bilanciamento tra la tutela della salute pubblica e le libertà individuali e, tra queste, la tutela della privacy.
Come noto, il diritto dell’Unione europea fonda il suo meccanismo di tutela della privacy sul Regolamento n. 679/2016, il c.d. GDPR, completato dalla normativa attuativa dei singoli Stati membri e dalla vigilanza delle singole Autorità di controllo. Tale complesso normativo, generalmente ritenuto un sistema in grado di offrire una efficace tutela alla privacy dei cittadini europei, è sottoposto ora alla notevole pressione dell’attuale emergenza, tale da creare diversi rischi alla sua tenuta complessiva.
Covid-19 e trattamento dei dati: la dichiarazione del comitato europeo
Il Comitato europeo per la Protezione dei Dati, l’organismo garante della corretta applicazione del GDPR, ben consapevole di tale problema, ha recentemente pubblicato una specifica Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia Covid-19. L’incipit di questo documento è chiaro: «le norme in materia di protezione dei dati (come il regolamento generale sulla protezione dei dati) non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus». Tuttavia, il Comitato si affretta a precisare che «anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati». Si pone quindi la necessità di tutelare la salute pubblica garantendo comunque la liceità del trattamento dei dati personali e la generale tutela della Privacy.
Il GDPR, in effetti, prevede specificamente la base giuridica sulla quale fondare il trattamento dei dati suddetti in situazioni emergenziali. Il Considerando 46 del Regolamento indica esplicitamente il controllo dell’evoluzione delle epidemie e della loro diffusione come uno dei presupposti per i quali il trattamento di dati personali deve essere ritenuto lecito. Inoltre, l’art. 9, co. 2, lett. i, del GDPR prevede, come deroga al divieto di trattamento di alcuni particolari categorie di dati, l’evenienza che questo sia «necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici […]».Il Comitato evidenzia che, con riferimento ai dati delle telecomunicazioni e quelli relativi all’ubicazione degli interessati, il trattamento in linea di principio potrebbe essere lecito se si basasse su dati resi anonimi o per i quali i singoli avessero prestato il loro consenso.
L’intervento del garante della privacy
Sul c.d. contact tracing digitale e sui rischi che questo può comportare per le libertà individuali dei cittadini, è stata interpellata anche la nostra Autorità Garante per la protezione dei dati personali.Nei numerosi interventi pubblici degli ultimi giorni, il Garante ha confermato la possibilità di ricorrere alla mappatura e al tracciamento dei soggetti entrati in contatto con persone contagiate nonché all’utilizzo della rete cellulare per un controllo generalizzato degli spostamenti. Non esisterebbero, pertanto, divieti assoluti all’impiego della tecnologia in tal senso: ciononostante devono essere valutate modalità opportune e proporzionate alle esigenze di prevenzione.
Il Garante, peraltro, ha auspicato che l’implementazione di ulteriori tecniche di contact tracing, che potrebbero riguardare milioni di cittadini, venga prevista da una normativa ad hoc. A tal proposito, l’Autorità ha sollecitato l’emanazione di un Decreto Legge, che, seppure adottato dal Governo, verrebbe successivamente sottoposto ad un profondo e reale confronto parlamentare, ritenendolo lo strumento normativo più adeguato per la delicatezza dei temi in questione.Anche in prospettiva di tutela del diritto alla privacy, viene quindi evidenziata l’inadeguatezza di atti meramente amministrativi, come i decreti ministeriali e i d.p.c.m., per la predisposizione di un sistema di tecniche preventive sicuramente utili, ma potenzialmente pericolose per altri diritti fondamentali dei cittadini.