Indice
1. La tutela dei dati cc.dd. sensibili tra legislatore statale e comunitario
2. La risposta dello Stato per fronteggiare la pandemia: eventuali implicazioni problematiche
2.1 L’esigenza del tracciamento per prevenire il contagio
2.2 Covid-19 e diritto di accesso: è ammissibile l’istanza di accesso generalizzato concernente i dati del soggetto positivo?
3. Osservazioni conclusive sul bilanciamento tra diritti fondamentali: il diritto alla riservatezza e il diritto alla salute
1. La tutela dei dati cc.dd. sensibili tra legislatore statale e comunitario
Tra i dati sensibili sono annoverati quelli relativi all’origine razziale o etnica, alle convinzioni politiche o religiose ma anche e specialmente quelli idonei a rivelare lo stato di salute dell’interessato, di particolare interesse per la presente analisi. A tale categoria di informazioni è stata offerta una protezione multilivello, tanto a livello europeo quanto in ambito nazionale: la Direttiva 95/46/CE ha fissato un generale divieto[1] di trattamento per tali dati, la cui indebita diffusione sarebbe abile a ledere la dignità dell’interessato. In deroga a questo principio, la disciplina in parola prevede delle eccezioni, riprodotte e rafforzate nel successivo Regolamento (UE) 679/2016[2], che ha abrogato la Direttiva del 1995.
L’Ordinamento italiano, in ottica attuativa dei principi stabiliti a livello comunitario, ha adottato ex multis il D.lgs. 30 giugno 2003, n. 196, conosciuto come Codice in materia di protezione dei dati personali, sostanzialmente innovato dopo l’entrata in vigore del Regolamento europeo poc’anzi menzionato. Il Codice prevede molteplici garanzie riferibili al trattamento dei dati sensibili, quindi anche di quelli sanitari, ponendo in primis nella legge – o, nei casi stabiliti dalla legge, nel Regolamento – la base giuridica per il trattamento effettuato in esecuzione di un interesse pubblico[3]: a tale proposito, la norma in questione è chiamata a individuare la specie dei dati sottoponibili al trattamento e le relative modalità. In attuazione del Regolamento (UE) 679/2016, l’articolo 2-septies del Codice prevede anche speciali previsioni relative al trattamento dei dati sanitari, legittimato nelle modalità stabilite dal Garante[4].
Il Legislatore nazionale ha quindi adottato nel corso del tempo un sistema di tutele crescenti, idoneo a garantire agli individui una piena riservatezza in relazione alle informazioni personali coinvolte.
2. La risposta dello Stato per fronteggiare la pandemia: eventuali implicazioni problematiche
“Il diritto fondamentale alla salute e quello alla riservatezza sono legati da un nesso indissolubile, ma tale relazione può alle volte mostrare diversi profili di conflittualità per la “pluralità di beni, valori ed interessi che si contendono il campo[5]”.
Il fenomeno pandemico ha creato un orizzonte di incertezza diffuso e trasversale: l’adozione di moduli semplificati per fronteggiare prontamente l’emergenza ha suscitato un intenso dibattito, non solo relativo alla ritualità ma anche alla legittimità delle soluzioni individuate.
La base giuridica per il trattamento dei dati nell’ambito dell’emergenza è attualmente stabilita all’articolo 17-bis della Legge 24 aprile 2020, n. 27, che legittima i soggetti individuati dalla medesima disposizione a effettuare i trattamenti “anche relativi agli articoli 9 e 10[6] del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni ad essi attribuite nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”.
Tale disposizione sarà vigente sino alla revoca della dichiarazione dello stato d’emergenza e comunque – nonostante le semplificazioni procedurali[7] – non sembra creare una sostanziale sproporzione tra le esigenze pubbliche di prevenzione sanitaria e il diritto dei singoli alla protezione dei dati[8].
2.1. L’esigenza del tracciamento per prevenire il contagio
L’innovazione tecnologica ha permesso l’elaborazione di sistemi di tracciamento idonei a limitare il diffondersi dell’infezione. Trasversalmente, in Europa, ogni Stato ha sviluppato applicazioni mobili che permettono – mediante il sistema di localizzazione GPS – di allertare l’utente del contatto con un soggetto contagiato, per poi consentire l’attivazione delle misure di prevenzione. È sorto a livello comunitario un intenso dibattito sullo sviluppo e sulla diffusione di tali sistemi: nell’implementazione di questi è ad ogni modo seguita una quasi totale aderenza ai principi già esistenti in materia di privacy elettronica[9].
Il Decreto-Legge 30 aprile 2020, n. 28, ha previsto all’articolo 6 la necessità di sviluppare un simile sistema di tracciamento utilizzabile su base volontaria, predeterminando puntualmente le modalità del trattamento e individuando nel Ministero della Salute l’unico possibile titolare[10].
Il Ministero della Salute, sulla base del combinato disposto tra la misura appena esposta e l’articolo 35 del Regolamento (UE) 679/2016, ha successivamente presentato al Garante Privacy la valutazione d’impatto per il trattamento configurato dall’app Immuni sulla quale si è pronunciato positivamente[11].
Altri paesi hanno invece individuato soluzioni di tracciamento difficilmente compatibili con i diritti fondamentali[12]. L’utilizzo dell’app polacca Home Quarantine è stato infatti imposto ai soggetti in quarantena domiciliare[13] poiché in caso contrario sarebbero stati sottoposti a controlli non programmati degli organi di Polizia per verificare il rispetto dell’isolamento.
2.2. Covid-19 e diritto di accesso: è ammissibile l’istanza di accesso generalizzato concernente i dati del soggetto positivo?
Si inserisce nel dibattito de quo anche una recente controversia[14] attinente alla liceità di una richiesta di accesso generalizzato relativa a dati che concernono la salute di soggetti positivi al Covid- 19. Sulla questione, in occasione di un parere richiesto dal Responsabile per la prevenzione della corruzione e della trasparenza della Valle d’Aosta, si è espresso il Garante Privacy.
La Regione aveva infatti emesso un provvedimento di diniego parziale in risposta ad un’istanza di accesso di cui all’art. 5, comma 2, del D.lgs. n. 33/2013, avente ad oggetto “il rilascio di dati concernenti la distribuzione dei casi di Covid-19 nella Regione Val d’Aosta[15]”, motivando tale diniego sulla base della circostanza per la quale alcune informazioni richieste avrebbero potuto “arrecare pregiudizio alla protezione dei dati personali” appartenenti alla categoria dei dati sensibili, quali sono – senza dubbio – i dati in ambito sanitario[16].
Il Garante ha osservato che la questione sottoposta alla sua attenzione rientrava proprio tra le ipotesi di cui all’art. 5-bis, comma 3, del decreto trasparenza, quelle ipotesi cioè nelle quali il “diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali” – dati tra i quali rientrano anche quelli relativi alla salute.
Appare di conseguenza evidente – e fondamentale in questo contesto storico – che laddove un’istanza di accesso abbia ad oggetto dati attinenti alla salute, sia possibile negare l’accesso civico allo scopo di tutelare la privacy del singolo e di scongiurare – come nel caso di specie – il rischio che si possa risalire all’identità dei soggetti coinvolti e ai dati concernenti la loro salute[17].
3. Osservazioni conclusive sul bilanciamento tra diritti fondamentali: il diritto alla riservatezza e il diritto alla salute
In questo periodo storico nel quale i governi si sono trovati a combattere un virus sconosciuto e molto aggressivo anche le garanzie costituzionali sono state messe in discussione. Si è, in particolar modo, posto il problema del risalente conflitto tra il diritto alla salute e il diritto alla riservatezza, tra la tutela della privacy e la tutela della sanità pubblica.
Come è stato precedentemente esposto, a preoccupare sono le derive che potrebbero prendere misure quali i provvedimenti che autorizzano l’accesso generalizzato ai dati sanitari dei cittadini o le app di tracciamento. Nel corso dell’emergenza, infatti, accanto alle esigenze di riservatezza si sono affiancate una serie di altre esigenze – talvolta anche opposte – quali l’esigenza di tutela della salute pubblica attuata per il tramite di sistemi di tracciamento dei soggetti positivi e dei relativi contatti[18].
Proprio con l’obiettivo di bilanciare queste contrapposte esigenze, il Governo ha emanato una serie di regolamentazioni che permettessero a tutto il personale sanitario di svolgere le funzioni attribuitegli nel periodo emergenziale, come anche l’individuazione dei contatti del soggetto positivo. Quello che però preoccupa è che – nel nome dell’interesse pubblico a superare il prima possibile la situazione emergenziale da Covid-19 – si sia operato uno sbilanciamento a favore del diritto alla salute a totale svantaggio del diritto alla riservatezza intesa quale garanzia costituzionale storica.
Senza dubbio la disciplina della tutela della privacy già conteneva in sé delle limitazioni atte a garantire altri diritti fondamentali – quale il diritto alla salute – ma poiché il dato sanitario risulta innegabilmente legato alla persona resta necessario per il suo uso – tanto più in questo momento storico – un coinvolgimento del consenso del singolo, anche quando l’utilizzazione ha come fine quello della salute pubblica.
Ciò che però non deve essere dimenticato è che la salute pubblica – per quanto fondamentale e imprescindibile – non può e non deve costituire l’unico fine ultimo da perseguire e nemmeno, di conseguenza, comportare la compressione totale di ogni libertà o diritto individuale[19].
È per questo motivo auspicabile che – nel contesto del diritto emergenziale – le Istituzioni tengano in considerazione, insieme all’esigenza di un intervento urgente ed efficace per contrastare l’epidemia da Covid-19, anche l’esigenza di approcciarsi in termini di proporzionalità, temporaneità e soprattutto precauzione ad ogni misura che sia in qualsiasi modo limitativa delle libertà individuali fondamentali.
1 Direttiva 95/46/CE, articolo 8, par. 1: “Gli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale”.
2 Regolamento (UE) 679/2016, articolo 9, par. 2. Ex multis, si ritiene di menzionare le lettere c), h), i), j): “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.
3 D.lgs. 30 giugno 2003, n. 196, articolo 2-sexies che, al comma 2, lett. v) considera rilevante l’interesse pubblico per “compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica”. 4 Mediante un provvedimento da aggiornare con cadenza biennale.
5 C. COLAPIETRO, F. LAVIOLA, I trattamenti di dati personali in ambito sanitario, in dirittifondamentali.it, 2019, 2, p. 7. 6 Disposizioni relative al «trattamento di categorie particolari di dati personali» e al «trattamento dei dati personali relativi a condanne penali e reati», che richiedono particolari garanzie, come esposto supra.
7 Ex multis, Legge 24 aprile 2020, n. 27, articolo 17-bis, comma 5: “Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e), del citato regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del codice di cui al decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 del presente articolo possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire un’informativa semplificata, previa comunicazione orale agli interessati dalla limitazione”.
8 Appare chiaro che la semplificazione nella circolazione dei dati è un provvedimento necessario e funzionale alla prevenzione nel diffondersi dell’infezione, per via della celerità con cui è richiesta l’attuazione delle misure previste a tale scopo. La semplificazione, riducendo in parte le prerogative degli interessati, non costituisce un vulnus insopportabile, contando che continuano ad applicarsi al trattamento le principali disposizioni in materia di dato sensibile. Per approfondimenti, si legga Gruppo di Lavoro ISS Bioetica COVID-19. Protezione dei dati personali nell’emergenza COVID-19. Versione del 28 maggio 2020. Roma: Istituto Superiore di Sanità; 2020. (Rapporto ISS COVID-19 n. 42/2020), p. 8 e ss.
9 Lo European Data Protection Board ha emesso le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 – Adottate il 21 aprile 2020. Esso ha ivi specificato come nella legislazione esistente in materia di privacy e privacy elettronica vengano già definite le modalità di trattamento conformi alle tutele apprestate per gli utenti, ed esistano già modalità tecniche strumentali al rispetto del principio di proporzionalità (anonimizzazione, pseudonimizzazione, conservazione predeterminata). A seguito di ciò, viene altresì ribadita la necessità di rendere volontario l’utilizzo di tali applicazioni di tracciamento.
10 L’Autorità garante per la protezione dei dati personali si è pronunciata positivamente su tale proposta. Nel Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19 – 29 aprile 2020 [doc. web n. 9328050], essa specifica che “(l’utilizzo) è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente determinatezza ed escludendo il trattamento secondario dei dati così raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal Regolamento) di utilizzo, in forma anonima o aggregata, a fini statistici o di ricerca scientifica; appare conforme ai principi di minimizzazione e ai criteri di privacy by design e by default, nella misura in cui prevede la raccolta dei soli dati di prossimità dei dispositivi, il loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso a dati di geolocalizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine”.
11 Il Garante ha concesso l’autorizzazione segnalando particolari misure da adottare nell’informare gli utenti, nel rendere il trattamento trasparente e immune da rischi di re-identificazione degli utenti (ad esempio, si prevede la necessità di “consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche visualizzate all’atto dell’installazione dell’applicazione”).
12 M. SCOTT, Z. WANAT, Poland Coronavirus app offers playbook for other governments, su Politico.com, aprile 2020. 13 L’app richiede di inviare un selfie entro venti minuti dalla ricezione della notifica per dimostrare la propria presenza in abitazione, a pena di visite non programmate da parte degli organi di Polizia.
14 V. TEVERE, Coronavirus: soggetti contagiati e profili di riservatezza, 29 ottobre 2020; Redazione diritto dell’informatica, I controlli del Garante sulle fughe di dati dei positivi al Covid-19: privacy a rischio!, 14 novembre 2020.
15 Garante della Privacy, provvedimento 3 settembre 2020, n. 155, parere su istanza di accesso civico: in particolare “dall’istruttoria risulta[va] […] presentata una richiesta di accesso civico – ai sensi dell’art. 5 comma 2, del d.lgs. n. 33/2013 – avente a oggetto il rilascio dei dati concernenti la «Distribuzione dei casi di Covid-19 registrati nella regione Valle d’Aosta, suddivisi per comune, sesso, età, esito (guariti, deceduti, casi attivi), domicilio (al proprio domicilio oppure casa di riposo/microcomunità/RSA), data delle diagnosi di infezione, numero ed esiti dei tamponi eseguiti per paziente», nonché concernenti «Numero, distribuzione per comune e data dei contatti telefonici della Centrale a ciò deputata con le persone prese in carico per infezione da Covid-19”.
16 Garante della Privacy, provvedimento 3 settembre 2020, n. 155, parere su istanza di accesso civico: questo perché “l’esiguità demografica che caratterizza molti Comuni valdostani, tale da consentire la verosimile identificazione dei soggetti colpiti dal virus”.
17 Come confermato anche dalle Linee Guida ANAC in materia di accesso civico “alcuni divieti di divulgazione sono previsti dalla normativa vigente in materia di tutela della riservatezza con riferimento a: dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati”.
18 M. IASELLI, Coronavirus e privacy: attenti alle pericolose derive tecnologiche, 25 marzo 2020; A. VENCHIARUTTI, Diritto alla riservatezza del paziente ed emergenza da covid-19, in “Virus in fabula. Diritti e Istituzioni ai tempi del covid- 19”, Trieste, EUT Edizioni Università di Trieste, 2020, pp. 357-369.
19 G.L. GATTA, I diritti fondamentali alla prova del coronavirus. Perché è necessaria una legge sulla quarantena, 2 aprile 2020.