Le normative2 in materia di protezione dei dati hanno sempre previsto un generale divieto di trattamento per le particolari categorie di dati personali per ciò qualificate dati sensibili, salva comunque la possibilità di derogare tale divieto al verificarsi di determinate situazioni ed in presenza di misure di salvaguardia.
In un simile contesto, lo stato di emergenza sanitaria causato dall’imperversare del Coronavirus e deliberato in Italia con delibera del Consiglio dei Ministri del 31 Gennaio 20203, ha inevitabilmente richiesto di operare una compressione dell’ampiezza dei diritti a privacy e riservatezza dei dati personali dei cittadini, che trova la sua legittimazione normativa nella clausola di riserva costituita dal Considerando 464 al GDPR e nel combinato disposto degli artt. 6 par. 1 lett. C) ed E) e 9 par. 2 lett. C), G), H) ed I) del GDPR5.
Su questi assunti, oltre che sui pareri positivi emessi dal Garante per la Privacy6, l’art. 14 d.l. 9 Marzo 2020 n. 147 ha esteso i margini di discrezionalità legislativa del legislatore al fine di regolamentare l’emergenza sanitaria, abilitando soggetti “che operano nell’ambito del servizio sanitario nazionale” ad effettuare, per motivi di interesse pubblico nel settore della sanità pubblica ed al fine di garantire la salute dei cittadini messa in pericolo dalla diffusione transfrontaliera del Covid-19, trattamenti dei dati anche relativi agli artt. 9 e 10 GDPR, che risultino necessari all’espletamento delle funzioni attribuitegli.
Dunque, sebbene la restrizione dei diritti alla privacy ed alla riservatezza dei dati personali, in favore del diritto alla salute e della maggior trasparenza dei dati sulla mappa del contagio trovi una sua giustificazione normativa (laddove sia cronologicamente circoscritta al periodo in cui le deroghe alla disciplina ordinaria siano necessarie e proporzionate al raggiungimento dell’obiettivo di sanità pubblica), rimangono criticità applicative di rilievo.
Una tra le principali concerne il momento in cui lo stato d’emergenza sanitaria verrà revocato e, con esso, le deroghe alla stringente disciplina ordinaria in tema di diritto alla privacy ed alla riservatezza dei dati personali, connotata da oscura applicazione e passibile di divenire solo apparente alla luce del progresso tecnologico.
L’avanzamento tecnologico, infatti porta con sé il rischio di esporre i singoli ad un trattamento dei dati potenzialmente sine die8: il dibattito giuridico interno ed eurounitario ha individuato la grave criticità della data retention, inerente il tempo di conservazione dei dati, in potenza senza limiti in una legislazione emergenziale come quella che connota il contrasto all’odierna pandemia, anche alla luce del disposto dell’art. 6 comma 3 d.l. 28\20209.
Un simile pericolo, peraltro privo di soluzioni di carattere tecnico10, si è notevolmente acuito in occasione dell’emergenza sanitaria, a causa della più consistente mole di dati trattati a livello sovranazionale.
Pertanto, avendo più ordinamenti optato per la creazione di app finalizzate a monitorare la pandemia11 con funzionalità idonee ad incidere su più diritti fondamentali sanciti dalla Carta dei Diritti fondamentali dell’Unione, Commissione e Consiglio hanno varato, mediante la Raccomandazione 8 Aprile 2020 n. 2020\C518, un pacchetto di orientamenti e strumenti comuni UE nell’uso della tecnologia e dei dati al fine di contrastare la pandemia e sviluppare un approccio europeo comune e coordinato per le app mobili. Tale raccomandazione stabilisce sia i principi generali cui dovrebbe improntarsi il pacchetto, indicando il principio di minimizzazione12 quale leitmotiv del sistema, sia i requisiti e i caratteri cui le app dovrebbero rispondere per limitare la loro intrusività e garantire il rispetto della legislazione eurounitaria in tema di protezione dei dati personali13.
In tempi contemporanei anche l’EPDB ha emesso più serie di linee guida a contrasto delle violazioni in materia di protezione dei dati personali connesse all’emergenza sanitaria.
La controversa interazione tra il diritto alla privacy e alla riservatezza e il diritto alla salute nell’ambito dell’emergenza sanitaria ha trovato ulteriori conferme nelle pronunce del Garante italiano14 e nel rapporto del Consiglio d’Europa del 12 Ottobre 202015 che, analizzato il quadro legislativo e le politiche adottate dagli ordinamenti statali, ha individuato più lacune circa il rispetto della privacy e la protezione dei dati personali, segnalando rischi elevati per la sicurezza dei dati, la loro archiviazione e la trasmissione.
Dunque, giungendo a conclusione di quest’istantanea del contrasto tra diritti inviolabili di pari rango ed indiscutibile rilievo giuridico e sociale, di palese evidenza appare come un evento spropositato quanto imprevedibile quale l’emergenza sanitaria da Covid-19 ha sconvolto l’indubbia evoluzione del diritto alla privacy ed alla riservatezza dei dati personali.
In un simile contesto, diviene indispensabile evitare di considerare tali diritti un limite all’applicazione delle avanguardie tecnologiche d’ambito sanitario, non potendo contemplare gerarchie tra diritti fondamentali inviolabili ai sensi dell’art. 52 Cdfue16, tra i quali è necessario che gli ordinamenti interni e sovranazionali operino un contemperamento idoneo a salvaguardarli, tutelando i cittadini.
Un contemperamento auspicabile che, alla prova del diritto eurounitario appare assente, relegando il singolo ad una continua oscillazione tra diritti.
1 – Si rinvia qui al diritto delle nuove tecnologie, per sua natura dalla multiforme applicazione (es.: sicurezza informatica e contrasto del cybercrime, e-health e telemedicina, didattica a distanza, telelavoro o smart working), idoneo a coinvolgere ogni tematica inerente la protezione, trasmissione, ricezione ed archiviazione di ogni categoria di dati.
2 – Cfr., tra gli altri, l’art. 9 par. 2 GDPR.
3 – Al momento prorogato sino al 31 Gennaio 2021 a mezzo del d.l. 7 Ottobre 2020 n. 125.
4 – Secondo cui “Il trattamento di dati personali dovrebbe altresì essere considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica […] alcuni tipi di trattamento dei dati possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato […] per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione”: tale norma, di fatto, fornisce la base giuridica del trattamento dei dati sanitari, secondo un’interpretazione indubbiamente idonea a contribuire alla certezza del diritto.
5 – Rispettivamente inerenti le condizioni di liceità del trattamento dei dati e le deroghe all’operatività del generale divieto di trattare particolari categorie di dati personali dati sanitari.
6 – Emessi in data 2 Febbraio e 2 Marzo 2020.
7 – Abrogato dalla legge di conversione 24 Aprile 2020 n. 27, ove è tuttavia integralmente riproposto ex art. 17-bis.
8 – Avuto particolare riguardo a strumenti come l’uso dei big data, le tecnologie di tracing o la digitalizzazione degli archivi, idonei a far sì che le informazioni estratte da un precedente trattamento dei dati rimangano nella disponibilità dei terzi, in aperta violazione del diritto all’oblio, quale diritto a non rimanere esposti sine die alla circolazione di notizie che ci hanno riguardati in passato, secondo quanto stabilito dalle Corti sovranazionali (cfr. Corte Edu, Grande Sezione, 13 Maggio 2014 – Caso Google Spain SL e Google Inc. c. Agencia Espanol de Proteccion de Datos (AEPD) e M. Costeja Gonzales).
9 – Che contempla la possibilità di cotinuare a trattare i dati personali raccolti dalle app a fini di ricerca scientifica.
10 – Accade sovente che, dopo la cancellazione dei file sorgente, i motori di ricerca si servano di algoritmi idonei a continuare la conservazione dei file per il tramite di uno strumento quale la memoria cache.
11 – Le app possono infatti mirare ad: informare sulla pandemia; offrire questionari di autovalutazione e controllo dei sintomi; tracciare i contatti ed allertare i soggetti in prossimità di individui infetti; instaurare un canale di comunicazione tra pazienti e medici in situazioni di autoisolamento anche al fine di dare ulteriori diagnosi e consulenze sui trattamenti.
12 – Secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto lle finalità per cui sono trattati ai sensi dell’art. 6 par. 1 lett. C) del GDPR.
13 – Dunque del GDPR, Reg. n. 2016\679\UE del 27.05.2016, e della direttiva E-privacy, n. 2002\58\CE del 12.07.2002.
14 – Da ultimo nella Memoria sul d.d.l. di conversione in legge del d.l. 7 Ottobre 2020 n. 125 recante “Misure connesse alla proroga della dichiarazione dello stato di emergenza epidemiologica e per la continuità operativa del sistema di allerta Covid in attuazione della direttiva UE 2020\739 del 03.06.2020” ma già nelle FAQ del Maggio 2020.
15 – Denominato “Digital Solutions to fight Covid-19”.
16 – Come confermato in via giurisprudenziale anche da Corte Cost. sent. 85\2013.
