Anche il diritto alla privacy va in quarantena?
È notizia del 23 marzo scorso che l’Ente Nazionale per l’Aviazione Civile (ENAC) ha concesso l’autorizzazione all’uso in deroga dei droni per monitorare gli spostamenti dei cittadini sul territorio comunale “nell’ottica di garantire il contenimento dell’emergenza epidemiologica coronavirus”[1].
Ma non solo, in questi giorni si discute l’ipotesi di tracciare, attraverso un’apposita app, gli spostamenti dei cittadini e ricostruire la loro rete di contatti per monitorare l’espansione del coronavirus sul territorio nazionale, il cd. contact tracing; qualcosa di simile è già stato fatto dalla Regione Lombardia analizzando i dati anonimi ed aggregati delle celle delle reti mobili per verificare se i cittadini -non i singoli, ma complessivamente- si stiano muovendo o meno oltre le poche centinaia di metri consentiti dalla propria abitazione.
Ma “spiare” gli italiani in nome della lotta al coronavirus è giuridicamente legittimo o è un abuso di potere?
Ne è emerso un dibattito che sostanzialmente vede contrapporsi due differenti fronti: se da un lato vi è l’esigenza di contenere il più possibile l’espansione del virus, dall’altro vi è il timore di trascendere in uno stato di polizia.
A prescindere da ogni considerazione politico-sociale, è legittimo subire limitazioni dei propri diritti purché conformi ai principi generali del nostro ordinamento, ovvero a condizione che tali limitazioni siano proporzionate ad esigenze specifiche e limitate nel tempo.
Questo è vero anche per il diritto alla privacy, che è un diritto fondamentale riconosciuto sia a livello comunitario (il principio, espresso in prima battuta dalla Carta dei diritti fondamentali dell’UE, nella quale all’art. 8 viene affermato che “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”, è stato fatto proprio dal recente GDPR – General Data Protection Regulation n. 679/2016) sia nazionale (la sentenza della Corte Costituzionale n. 38 del 12.04.1973[2] ha collocato il diritto in esame tra i diritti inviolabili dell’uomo di cui all’art. 2 della nostra Costituzione ed è tutelato dal nostro Codice della Privacy che è stato adeguato GDPR).
Nello spirito complessivo del Regolamento GDPR il diritto alla protezione dei dati personali ha assunto un significato profondo: il GDPR nasce proprio con lo scopo di facilitare e rendere più sicura la circolazione dei dati, enfatizzando e ponendo quale fulcro di tutta la disciplina la tutela dei diritti degli interessati comunque coinvolti nelle attività di trattamento dei dati personali. Il Regolamento GDPR infatti si fonda sul principio che le attività di trattamento dei dati debbano essere rivolte “al servizio dell’uomo” (come affermato nel Considerando n. 4) in un’ottica di tutela globale e complessiva. Da questo assunto discende che il diritto alla protezione dei dati non è un diritto assoluto, ma un diritto che viene riconosciuto per la sua funzione sociale e che va, pertanto, contemperato con gli altri diritti fondamentali dell’uomo di volta in volta rilevanti e prevalenti, come nel caso di specie, il diritto alla salute.
Proprio nell’ottica di operare un bilanciamento tra i diritti in questione e fermo restando che la geolocalizzazione, quale misura di prevenzione del contagio da Covid-19, astrattamente non è incompatibile con la normativa sulla protezione dei dati stabilita dal GDPR[3], il 19 marzo scorso il comitato europeo per la protezione dei dati – European Data Protection Board[4] (“EDPB”) ha reso la propria opinione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19, chiarendo, tra l’altro, che i dati delle telecomunicazioni relativi all’ubicazione possono essere utilizzati dall’operatore “solo se resi anonimi[5] o con il consenso dei singoli”. Tuttavia, l’EDPB ha precisato che “l’articolo 15 della direttiva e-privacy[6] consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica. Tali misure devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Inoltre, esse sono soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo”. E ancora: l’EDPB, ha precisato che “in presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza”.
Anche in tema di utilizzo dei dati di localizzazione da dispositivi mobili (ad esempio l’ipotesi di geolocalizzare le persone o di inviare i messaggi di sanità pubblica ai soggetti che si trovano in una determinata area, via telefono o SMS) l’EDPB ha precisato che le autorità dovrebbero cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”). Nel caso, poi, in cui dati anonimi e aggregati non dovessero rivelarsi sufficienti o utili a scopi specifici, l’EDPB ricorda che, sempre all’articolo 15 della direttiva e-privacy, è prevista la possibilità di disposizioni nazionali di emergenza finalizzate a introdurre misure nell’interesse della sicurezza nazionale e della salute pubblica purché compatibili con i valori democratici (quali, ad esempio, la preservazione del diritto di difesa dell’interessato).
Anche il Garante per la Protezione dei Dati Personali italiano ha reso noto che nell’attuale contesto sanitario emergenziale l’adozione di misure “straordinarie” per il contrasto della pandemia del coronavirus è del tutto legittima, a condizione che vengano privilegiate le soluzioni meno invasive (ad esempio, optando per l’anonimizzazione dei dati) e che vengano rispettati i principi volti alla protezione dei dati, quali la proporzionalità delle misure in termini di durata e portata, la ridotta conservazione dei dati e la limitazione della finalità.
In Italia il decreto-legge del 9 marzo per il potenziamento del Servizio sanitario nazionale non autorizza espressamente la tracciabilità degli smartphone, né la geolocalizzazione o l’utilizzo di droni come mezzo per monitorare eventualmente i cittadini in quarantena o risultati positivi al virus per i quali è imposto divieto assoluto di uscire da casa.
Tuttavia, l’art. 14 del decreto[7] prevede, in via eccezionale, per la durata dell’emergenza COVID-19, una certa deroga al GDPR per il trattamento e la comunicazione da parte di soggetti qualificati dei dati sanitari dei cittadini interessati dal coronavirus. È a questa norma, come disposizione di carattere speciale, che qualcuno guarda, interrogandosi se essa non possa rappresentare uno spiraglio per l’introduzione di forme di contact tracing analoghe a quelle cinesi, in deroga alla norma generale del Codice Privacy, l’art. 132[8], che prevede trattamento dei dati di traffico (celle telefoniche o georeferenziazione) solo in casi eccezionali e nel rispetto di uno specifico procedimento.
In conclusione: non esistono preclusioni assolute nei confronti di misure come il tracciamento dei cellulari o l’utilizzo di droni per controllare gli spostamenti dei cittadini all’interno del territorio nazionale purché adottate le modalità più opportune in relazione alle esigenze di prevenzione, sempre nel rispetto del principio di proporzionalità, e che si tratti di misure temporalmente limitate.
[1] “Considerate le esigenze manifestate da numerosi Comandi di Polizie locali”, si legge nel documento, fino al 3 aprile 2020 si dispone che “le operazioni condotte con sistemi aeromobili a pilotaggio remoto con mezzi aerei di massa operativa al decollo inferiore a 25 kg, nella disponibilità dei Comandi di Polizia locale ed impiegati per le attività di monitoraggio” in questione, “potranno essere condotte in deroga ai requisiti di registrazione e di identificazione” fissate dall’articolo 8 del Regolamento Enac “Mezzi aerei a pilotaggio remoto” edizione 3 dell’11 novembre 2019″.
[2] La Corte Costituzionale con sentenza 12/04/1973 n. 38 colloca il diritto in esame tra quelli inviolabili dell’uomo garantiti costituzionalmente, richiamandosi anche all’art. 12 della “Dichiarazione Universale dei diritti dell’uomo” e all’art. 8 della “Convenzione europea dei diritti dell’uomo”. Afferma la Corte: “Non contrastano con le norme costituzionali ed anzi mirano a realizzare i fini dell’art. 2 affermati anche negli art. 3, comma 2, e 13, comma 1, che riconoscono e garantiscono i diritti inviolabili dell’uomo, fra i quali rientra quello del proprio decoro, del proprio onore, della propria rispettabilità, riservatezza , intimità e reputazione, sanciti espressamente negli art. 8 e 10 della Convenzione Europea sui diritti dell’uomo, gli art. 10 c.c., 96 e 97 L. 22/04/1941 n. 633…”.
[3] Il GDPR, all’art. 9, paragrafo 2, lettera i), detta una specifica base giuridica dei trattamenti che siano finalizzati a perseguire motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o degli Stati membri, purché siano previste misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.
[4] Il comitato europeo per la protezione dei dati, istituito dal regolamento generale sulla protezione dei dati, è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. Il comitato ha il potere di adottare orientamenti generali per chiarire le disposizioni della normativa europea sulla protezione dei dati, così da fornire a tutti i destinatari di tali disposizioni un’interpretazione uniforme dei loro diritti e obblighi.
[5] Le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.
[6] Il riferimento è alla direttiva 2002/58/CE del 12.7.2002 relativa alla vita privata e alle comunicazioni elettroniche (in attesa dell’emanazione del Regolamento e-privacy che è ancora in discussione) che, avendo natura di lex specialis, precisa e integra le previsioni generali in materia di protezione dei dati personali contenute nel GDPR (la natura di lex specialis della direttiva e-privacy risulta evidente alla luce della lettura dell’art. 95 del GDPR, secondo il quale il medesimo GDPR non impone obblighi supplementari per quanto riguarda le materie che sono soggette a obblighi specifici fissati dalla direttiva e-Privacy; nonché dal considerando 173, che conferma l’applicabilità del GDPR a tutti gli aspetti che non rientrano in obblighi specifici della Direttiva e-Privacy).
[7] Art. 14 Disposizioni sul trattamento dei dati personali nel contesto emergenziale.
1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonchè per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g), h) e i), e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonchè dell’articolo 2-sexies, comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonchè gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.
2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonchè la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.
3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.
4. Avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 Possono conferire le autorizzazioni di cui all’articolo 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente.
5. Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e), del menzionato regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.
6. Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.
[8] Art. 132 Cod. Privacy – Conservazione di dati di traffico per altre finalità 1. Fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione.19 1-bis. I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.20 2. [già abrogato] 3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell’imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall’articolo 391-quater del codice di procedura penale. La richiesta di accesso diretto alle comunicazioni telefoniche in entrata può essere effettuata solo quando possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; diversamente, i diritti di cui agli articoli da 12 a 22 del Regolamento possono essere esercitati con le modalità di cui all’articolo 2-undecies, comma 3, terzo, quarto e quinto periodo. 4. [già abrogato] 4-bis. [già abrogate] 4-ter. Il Ministro dell’interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell’Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell’articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei dati e l’eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.25 4-quater. Il fornitore o l’operatore di servizi informatici o telematici cui è rivolto l’ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all’autorità richiedente l’assicurazione dell’adempimento. Il fornitore o l’operatore di servizi informatici o telematici è tenuto a mantenere il segreto relativamente all’ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall’autorità. In caso di violazione dell’obbligo si applicano, salvo che il fatto costituisca più grave reato, le disposizioni dell’articolo 326 del codice penale. 4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia. 5. Il trattamento dei dati per le finalità di cui al comma 1 è effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante secondo le modalità di cui all’articolo 2-quinqiuesdecies, volti a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonchè ad indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1. 5-bis. E’ fatta salva la disciplina di cui all’articolo 24 della legge 20 novembre 2017, n. 167.