Di fronte alle misure che Governi e organismi pubblici e privati di tutta Europa stanno adottando nel tentativo di contenere ed attenuare l’epidemia in corso, l’EDPB è intervenuto per fare chiarezza su un tema molto dibattuto negli ultimi giorni: come si concilia il diritto alla salute con il diritto alla privacy?

A tal proposito occorre premettere che le norme in materia di protezione dei dati personali non ostacolano l’adozione di misure per il contrasto della pandemia in corso: la lotta contro le malattie trasmissibili è un importante obiettivo condiviso da tutte le nazioni e, pertanto, dove essere sostenuta nel miglior modo possibile, anche facendo ricorso all’utilizzo di tecnologie evolute.

L’EDPB ha tuttavia sottolineato che, anche in momenti eccezionali come quelli che stiamo vivendo, i titolari e i responsabili del trattamento sono tenuti a garantire la protezione dei dati personali degli interessati, tenendo sempre presente che qualsiasi misura adottata deve rispettare i principi generali del diritto e non può essere irrevocabile: se da un lato, quindi, l’epidemia è una condizione giuridica che legittima limitazioni delle libertà degli interessati, dall’altro è necessario che le stesse siano proporzionate e confinate alla durata del periodo di emergenza.

Quali sono le basi giuridiche che legittimano il trattamento di dati personali nella gestione dell’emergenza da Covid-19?

Il GDPR (Reg. UE 2016/679) è una normativa di ampia portata le cui disposizioni trovano applicazione anche al trattamento dei dati personali effettuato in un contesto come quello della attuale emergenza sanitaria.

Ove il trattamento di dati personali indicativi dello stato di salute della popolazione sia necessario per motivi di interesse pubblico (la tutela della salute pubblica, appunto), esso può avvenire anche senza la previa manifestazione del consenso da parte dei singoli interessati, purchè nel rispetto delle condizioni previste dal GDPR e le relative basi giuridiche si trovano negli articoli 6 e 9 del GDPR.

E’ lecito il trattamento di dati delle telecomunicazioni, inclusi i dati di ubicazione?

In linea di principio, i dati relativi all’ubicazione possono essere utilizzati dall’operatore solo se resi anonimi o se i singoli interessati hanno prestato il consenso.

Tuttavia l’art. 15 della c.d. Direttiva E-privacy consente agli Stati membri di introdurre misure legislative eccezionali a salvaguardia della sicurezza pubblica.

Tali misure devono essere rigorosamente limitate alla durata dell’emergenza, nel rispetto dei principi di necessità, adeguatezza e proporzionalità e devono conformarsi ai principi stabiliti nella Carta dei diritti fondamentali dell’Unione Europea e nella Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU). Il controllo giurisdizionale sulle misure adottate compete sia alla Corte di Giustizia dell’Unione europea che alla Corte europea dei diritti dell’uomo.

I governi degli Stati membri possono utilizzare i dati personali relativi ai telefoni cellulari dei singoli nell’intento di monitorare, contenere o attenuare la diffusione del COVID-19?

In alcuni Stati membri i governi prevedono di utilizzare i dati di localizzazione dei dispositivi mobili per monitorare, contenere o attenuare la diffusione del COVID-19.

Ciò consentirebbe, ad esempio, di geolocalizzare le persone o di inviare messaggi o avvisi ai soggetti che si trovano in (o si allontanano da) una determinata area.

A tal proposito l’EDPB ha affermato che le autorità pubbliche dovrebbero innanzitutto cercare di trattare i dati relativi all’ubicazione in modo anonimo.

Cosa significa trattare i dati in modo anonimo?

Si ha trattamento di dati anonimi quando l’operzione avviene su dati in forma aggregata e tali da non consentire la successiva re-identificazione delle persone (ove l’anonimizzazione sia reversibile si parla, invece, di pseudonimizzazione).

Trattare in forma anonima i dati relativi alla geolocalizzazione potrebbe permettere, ad esempio, di condurre analisi sulla concentrazione di dispositivi mobili in un determinato luogo (c.d. “cartografia”) senza creare alcun problema sotto il profilo della tutela della privacy, dal momento che le norme in materia di protezione dei dati personali non si applicano ai dati anonimi.

Cosa fare nel caso in cui non sia possibile il trattamento in forma anonima?

La citata Direttiva E-privacy (art. 15) consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica.

L’EDPB ha tuttavia puntualizzato che, qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate (ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale) e di garantire il rispetto del principio di proporzionalità, privilegiando le misure che risultino meno intrusive.

Misure invasive come il “tracciamento” (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) possono essere considerate proporzionate solo in circostanze eccezionali e in funzione delle modalità concrete del trattamento.

Sarebbe tuttavia opportuno sottoporre tali misure a un controllo rafforzato e a garanzie più stringenti al fine di assicurare, anche in simili situazioni di emergenza, il rispetto dei principi in materia di protezione dei dati (es: proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati nel tempo, rispetto del principio di limitazione della finalità).

Cosa si intende per contact tracing digitale? Il c.d. modello coreano.

Tra le strategie messe in atto per contenere il contagio da coronavirus si sta vagliando anche in Italia la possibilità di ricorrere al cosiddetto contact tracing digitale, cioè l’uso dei dispositivi mobili dei cittadini per effettuare la mappatura e il tracciamento dei soggetti che sono entrati in contatto con persone infette, sulla scia del modello già sperimentato in Corea del Sud.

La posizione del Garante privacy italiano

Antonello Soro, in un’intervista del 26 marzo 2020 rilasciata a “La Repubblica” e pubblicata sul sito istituzionale del Garante privacy  (per la lettura integrale dell’intervista v. link) ha chiarito che “Non si tratta di sospendere la privacy, ma di adottare strumenti efficaci di contenimento del contagio, pur sempre nel rispetto dei diritti dei cittadini. (…) La disciplina di protezione dei dati coniuga esigenze di sanità pubblica e libertà individuale, con garanzie di correttezza e proporzionalità del trattamento. Ma una misura quale il contact tracing, che incide su un numero elevatissimo di persone, ha bisogno di una previsione normativa conforme a questi principi“.

Come affermato anche in una precedente intervista rilasciata a “La Stampa”, “L’equilibrio tra diritti individuali e della collettività è sancito dalla Costituzione“, ed eventuali limitazioni alla privacy sono lecite a patto che non diventino un “punto di non ritorno”.

Nel conformarsi, quindi, a quanto già evidenziato dall’EDPB, anche il Garante privacy italiano ha ribadito l’importanza che le limitazioni al diritto alla privacy siano limitate alla durata dello stato di emergenza e che, in ogni caso, le stesse siano adottate nel rispetto del principio di proporzionalità.

Quest’ultimo può ritenersi “garantito quando un sistema anche invasivo è comunque finalizzato all’interesse generale di tutela della salute. Purché la raccolta di informazioni non ecceda rispetto alle necessità e avvenga dentro un processo ben normato, controllato e soprattutto a termine” (v. intervista rilasciata da Antonello Soro a “La Stampa” – 25 marzo 2020, pubblicata sul sito del Garante al seguente link).