Al fine di monitorare meglio i cittadini sottoposti a isolamento casalingo perché positivi al Covid-19, alcuni esponenti politici hanno recentemente proposto di imitare il modello cinese, per un tempo limitato e al fine di individuare chi non rispetta le restrizioni imposte. Ma si possono geolocalizzare le persone, al fine di contenere la diffusione del contagio? È una cosa legittima alla luce delle stringenti normative sulla privacy dei paesi occidentali?
Partiamo, come sempre dal quadro normativo, comunitario e nazionale, e poi cerchiamo di tirare le fila del discorso; proprio come quel gioco della settimana enigmistica, il disegno viene fuori solo dopo aver unito tutti i punti.
La regola e le sue eccezioni
Si parta dal seguente presupposto: in generale è vietato trattare i dati sanitari e quelli di geolocalizzazione.
Fatta questa premessa, ci sono poi delle eccezioni che consentono il già menzionato trattamento.
La prima e più importante è la presenza di un consenso da parte dell’interessato e, del resto, si sa: il consenso dell’interessato è un po’ il jolly del GDPR, se c’è quello è (quasi) sempre tutto lecito.
Sarebbe comunque difficile ipotizzare che tutti i cittadini possano concedere espressamente il consenso alla geolocalizzazione. E allora, se il consenso manca, esistono sono altri presupposti in grado di consentire un trattamento lecito dei dati sanitari in assenza di consenso. Quello di nostro interesse si rinviene nell’art. 9 par.2 lett. G) ed I).
La lettera g) consente il trattamento quando ciò è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Più specifica è la lettera i) che consente il trattamento quando questo sia reso necessario da motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.
Quindi, trattamento dei dati sanitari in assenza di consenso sì, purché:
- ciò trovi fondamento nei motivi di interesse pubblico rilevante e, nel caso che ci occupa, in particolar modo nel settore della sanità pubblica;
- si mettano in atto delle misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati.
Quanto detto si riflette nei principi di privacy by design e privacy by default di cui all’articolo 25 del regolamento europeo nonché nei principi di liceità, correttezza e trasparenza, minimizzazione e limitazione nella conservazione di cui all’articolo 5.
L’informativa
E l’informativa? Siamo proprio sicuri che debba essere sempre fornita? Ebbene, l’articolo 23 del Regolamento Europeo consente, in determinate e ovviamente gravi circostanze di omettere persino l’informativa, e ciò quando (ad esempio) sia necessario salvaguardare altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale.
È proprio il caso dell’emergenza Covid-19.
Quanto detto dal Regolamento europeo viene confermato e specificato dalla normativa nazionale, invece, gli articoli di riferimento sono gli articoli 2 sexies, 2 septies e 75 del Codice della Privacy (D.lgs. 196/2003).
In modo particolare, l’articolo 2 sexies consente il trattamento di categorie particolari di dati personali per motivi di interesse pubblico rilevante affermando che i trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Condizione necessaria per la geolocalizzazione individuale così come ipotizzata è quindi la presenza di una disposizione di legge ad hoc: probabilmente, nell’emergenza, sarebbe sufficiente un Decreto.
Il secondo paragrafo del medesimo articolo realizza una presunzione di interesse pubblico rilevante in alcune materie tra cui (lettera U): compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché’ compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica.
Tutto ciò, ferma restando, ovviamente, la clausola di salvaguardia di cui all’ultimo paragrafo dell’art. 2 septies, che impone che il trattamento avvenga nel rispetto delle misure di garanzia via via disposte dal Garante per la protezione dei dati personali.
Come sempre (e come ovvio) quindi il regolamento comunitario e la normativa nazionale si pongono nella stessa identica prospettiva, consentendo il trattamento dei dati in assenza di consenso quando ciò sia richiesto e determinato da fattori eccezionali e particolarmente importanti, tali da essere definiti “interesse pubblico rilevante”.
Non dimentichiamoci che in un sistema, come il nostro, che pone la privacy dell’individuo al centro del sistema attribuendogli un peso fortissimo, occorre che nel bilanciamento degli interessi, si ponga sull’altro lato della bilancia un peso ancor più forte; una pandemia è sicuramente un fatto talmente grave, eccezionale ed importante da giustificare una compromissione del diritto alla privacy.
L’articolo 75 del decreto legislativo 196/2003, da ultimo, ci ricorda che il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del Regolamento, dell’articolo 2-septies del presente codice, nonché nel rispetto delle specifiche disposizioni di settore.
Geolocalizzazione e profilazione
La geolocalizzazione, come noto, è una particolare forma di profilazione.
L’articolo 4 del Gdpr, infatti, definisce profilazione qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare (tra altri) l’ubicazione o gli spostamenti di detta persona fisica.
Ai sensi dell’articolo 22 paragrafo 4 del Regolamento Europeo, le decisioni basate unicamente sul trattamento automatizzato, compresa la geolocalizzazione (in quanto forma di profilazione), non possono basarsi sulle categorie particolari di dati di cui all’articolo 9, a meno che non trovi applicazione l’articolo 9 paragrafo 2 lettera a (consenso dell’interessato) o lettera g) ( interesse pubblico rilevante, cui abbiamo fatto riferimento all’inizio del nostro articolo) e sempre che siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
Dall’Europa è tutto?
La posizione dei Garanti europei
No. Questo orientamento trova conferma anche nella Direttiva 2002/58/CE (direttiva ePrivacy) che sebbene preveda che la geolocalizzazione sia possibile soltanto se i dati relativi agli interessati siano anonimi o vi sia il consenso dell’interessato, all’articolo 15 conferma che sia possibile fare ricorso ad una legislazione d’emergenza in casi del tutto particolari come, appunto, quello in cui ci troviamo.
Prima di congedarci, un brevissimo sguardo merita di essere rivolto allo EPBD che il 16 marzo ha ricordato a tutti che, anche in questi tempi eccezionali, il responsabile del trattamento deve garantire la protezione dei dati personali degli interessati. Il presidente dell’EPBD ha dichiarato che il GDPR è una legislazione ampia e prevede anche le regole da applicare al trattamento di dati personali in un contesto come quello relativo a COVID-19 ricordando come il GDPR consenta il trattamento dei dati, a determinate condizioni, a prescindere dal consenso. Ciò vale ad esempio quando il trattamento dei dati personali è necessario per il datore di lavoro per motivi di interesse pubblico nel settore della sanità pubblica o per proteggere interessi vitali (Art. 6 e 9 del GDPR) o per ottemperare a un altro obbligo legale.
Il Presidente ha continuato affermando che, per l’elaborazione di dati di comunicazione elettronica, come dati di localizzazione trova applicazione la direttiva e-privacy che prevede, in linea di principio, che o i dati sulla posizione possono essere utilizzati dall’operatore solo quando sono resi anonimi o con il consenso degli individui, ricordando poi che, quando ciò non sia possibile, viene in soccorso, come detto, l’art. 15.
Ma “questa legislazione di emergenza è possibile a condizione che costituisca una misura necessaria, adeguata e proporzionata all’interno di una società democratica.”
L’articolo 14 del Decreto Legge 9 marzo 2020, n. 14 recante “Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19.” pubblicato in Gazzetta Ufficiale il 9 marzo ed entrato in vigore il giorno seguente, sebbene non parli di geolocalizzazione, apre le porte a trattamenti particolarmente limitativi della libertà personale, sulla base dell’emergenza che stiamo vivendo e tenendo in considerazione tutti gli articoli da noi già citati.
Ci auguriamo che tutto ciò sia sufficiente, ma se così fosse?
Ecco, in conclusione, ci sembra di poter dire che se le cose non miglioreranno, se non si riuscirà a contenere in tempi brevi questa pandemia, se tutti i sistemi più garantisti falliranno, se ci saranno sufficienti garanzie di privacy by design e by default, se si procederà attuando un effettivo bilanciamento degli interessi, una ponderata valutazione d’impatto e tutti i principi di cui all’art. 5 del regolamento europeo, allora e solo allora, si potrà procedere a geolocalizzazione individuale in stile cinese, con buona pace della privacy.
