Ma la tutela dei dati non è diritto assoluto
In questi giorni si ventila l’ipotesi di voler tracciare gli spostamenti dei cittadini per monitorare come il coronavirus si diffonda sul territorio nazionale. Parliamo del cosiddetto contact tracing. Il dibattito che ne è nato vede due fronti contrapposti: da un lato l’esigenza di frenare con ogni mezzo il diffondersi ulteriore del Covid-19, dall’altro il timore di sconfinare in uno stato di polizia durante e dopo la fine dell'emergenza (si veda l’articolo sopra, ndr).
Il Gdpr già prevede alcune eccezioni sul trattamento dei dati personali in situazioni emergenziali. Il diritto alla protezione dei dati infatti non è un diritto assoluto e può essere contemperato da altri diritti costituzionali, di pari rango o superiore, come quello alla salute. Il regolamento, annoverando i dati sanitari tra quelli cosiddetti« particolari », richiede all’art.9 il consenso dell '’ interessato per il loro trattamento, salvo in alcune eccezioni. Questi sono i «motivi di rilevante interesse pubblico», «le finalità di medicina preventiva», «i motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero». In tutti questi casi però, dice il comma 3, i dati personali devono essere trattati «da o sotto la responsabilità di un professionista soggetto al segreto professionale [...] o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri». Il Gdpr, dunque, nell’operare quel bilanciamento tra interessi diversi, opta a favore del diritto alla salute, in presenza delle opportune tutele.
Diverso è il caso in cui si pensi di adottare misure che contemplino l’ uso di dati personali co mela geo localizzazione, ai fini dicontactt racing.
«Su questo punto, dobbiamo fare riferimento alla Direttiva ePrivacy, che regola la privacy delle comunicazioni. In questo caso, laddove questi dati fossero aggregati o completamente anonimizzati, non ci sarebbe nessun problema al loro utilizzo», spiega il Garante Ue della Privacy, Wojciech Wiewiórowski facendo riferimento all’art. 15 della Direttiva ePrivacy che prevede che l’uso dei dati sulla localizzazione, ove sia impossibile procedere all’uso in forma aggregata o all’ottenimento del consenso per motivi di pubblica sicurezza, sia consentito solo in presenza di misure necessarie, appropriate e proporzionate in uno Stato democratico.
«Per garantire la massima tutela dei cittadini - prosegue Wiewiórowski - sarebbero necessarie dunque tre azioni. In primo luogo delimitare una lista di scopi ben definiti e collegati alla necessità di fermare l’epidemia: questi dati non potrebbero dunque essere usati a posteriori dalle forze dell’ordine per rintracciare persone. Secondo, individuare chiaramente le entità e le organizzazioni che hanno accesso a tali dati con un monitoraggio degli accessi, per scongiurare ogni possibile abuso. Infine stabilire limiti temporali e fare nuove valutazioni al termine dell'emergenza». Ci si chiede dunque se un controllo ex post sull’operato di iniziative pubblico-private come quelle in discussione in questi giorni sarebbe sufficiente a offrire le tutele necessarie. Secondo il Garante sarebbero accettabili, come riconosciuto anche dalla Corte dei diritti dell’Uomo, solo laddove fosse fisicamente impossibile farlo ex ante. In quel caso, finita l’emergenza, si dovrebbe procedere a una disamina approfondita delle procedure e salvaguardie implementate. «Laddove fosse possibile invece, sarebbe opportuno coinvolgere sin dall’inizio rappresentanti della società civile, autorità garanti della privacy e delle comunicazioni e il Parlamento», conclude Wiewiórowski.