Sempre più in questi giorni si discute di introdurre anche in Italia sistemi che consentano il monitoraggio degli spostamenti delle persone, tramite app o sulla base dei dati di carico delle celle della rete cellulare, al fine di contrastare la diffusione del virus che colpisce gravemente il nostro Paese.
Oggi sul sito del ministero per l’innovazione esce una call, con scadenza giovedì, per ” tecnologie e soluzioni per il tracciamento continuo, l’alerting e il controllo tempestivo del livello di esposizione al rischio delle persone e conseguentemente dell’evoluzione dell’epidemia sul territorio. Rientrano in questo ambito strumenti di analisi di Big Data, tecnologie hardware e software utili per la gestione dell’emergenza sanitaria”.
Ciò sulla scorta di quanto fatto in altri Paesi asiatici (Cina, Corea e Singapore) che vengono portati a modelli di esempio.
Chiariamo allora di seguito l’impianto normativo che oggi regola la possibilità di introdurre delle deroghe ai diritti, libertà ed adempimenti stabiliti dalla normativa europea e nazionale in tema di protezione dei dati personali, anche per non farsi illudere da facili entusiasmi e volontà di emulazione di Paesi con tradizioni giuridiche – e, direi, anche regimi di governo – ben differenti dai nostri, e passiamo poi a riassumere quelli che sono i passi necessari che il nostro Paese dovrebbe compiere per procedere ad un sistema di monitoraggio sul territorio tramite i dati di geolocalizzazione dei possessori di smartphone.
Geolocalizzazione, i paletti del Gdpr e del Codice privacy
Com’è noto, tali sistemi, che implicano un monitoraggio sistematico mediante strumenti di comunicazione elettronica, ricadrebbero pienamente nelle previsioni del Regolamento (UE) n. 679/2016, il GDPR, nonché delle previsioni del nostro “Codice Privacy”.
Il 16 marzo scorso sul punto è intervenuto un comunicato dell’European Data Protection Board che ha chiarito le basi giuridiche che giustificano il trattamento dei dati personali per i datori di lavoro e per le pubbliche autorità in un contesto quale quello che stiamo vivendo (riferendosi agli artt. 6 e 9 del GDPR), ma ribadito la necessità, nel contesto delle comunicazioni elettroniche, di rispettare le previsioni della direttiva n. 58/2002 (che ancora non è stata sostituita dal Regolamento e-privacy). In particolare, il Comitato ha chiarito che in contesti eccezionali come quello che stiamo vivendo, l’art. 15 della direttiva citata consente agli Stati membri di adottare disposizioni legislative tese a limitare i diritti e gli obblighi stabiliti all’art. 5 (Riservatezza delle comunicazioni), all’art. 6 (Dati sul traffico), all’art. 8 (Identificazione linea chiamante) ed all’art. 9 (Dati di ubicazione diversi dai dati di traffico), purché ovviamente tale misura sia necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale.
Già dal comunicato, e dal richiamo all’art. 15 della direttiva, emergono alcuni vincoli quindi che devono essere rispettati.
Innanzitutto, ci sia permesso di evidenziarlo, l’EDPB ha dovuto fornire un’interpretazione estensiva del concetto di “sicurezza nazionale” (usualmente ricollegato non alla salute pubblica, che non è citata né all’art. 15 della direttiva e-privacy né all’art. 13, 1° paragrafo della “vecchia” direttiva privacy a cui l’articolo fa riferimento), ma appare evidente che tale interpretazione è più che giustificata dalla situazione attuale in cui il rischio di propagazione dell’epidemia può sicuramente costituire un pericolo per la sicurezza nazionale.
In secondo luogo, la direttiva fa riferimento all’introduzione di disposizioni legislative e precisa che la misura deve essere necessaria, opportuna e proporzionata all’interno di una società democratica.
E’ stata già ampiamente analizzata su queste pagine la previsione dell’art. 14 del Decreto Legge n. 14/2020, e, correttamente, si è evidenziato che in realtà le basi giuridiche per i trattamenti dei dati particolari, ed anche giudiziari, necessari per l’espletamento della “funzioni di Protezione Civile connessa all’insorgenza delle patologie derivanti da agenti virali trasmissibili” erano già da rinvenirsi nell’art. 9, par. 2, lett. g) h) ed i) del GDPR.
L’ipotesi però di un monitoraggio sistematico della popolazione, tramite app o comunque sfruttando i dati provenienti dalla rete cellulare, attiene ad un’altra sfera, in quanto si tratta sostanzialmente di trattamento di un diverso tipo di dato (quello di geolocalizzazione, disciplinato dall’art. 126 del d.l.vo n. 196/2003 sulla base delle previsioni della Direttiva e-Privacy) per esigenza di tutela della sicurezza nazionale.
Un trattamento del genere, pertanto, deve rispettare le previsioni che abbiamo sopra indicato, e, soprattutto, quanto stabilito dall’art. 23 del GDPR che costituisce la norma chiave per poter introdurre delle deroghe al diritto alla protezione dei dati personali.
Tale articolo, che trova le sue fondamenta sia nella vecchia direttiva privacy sia nell’art. 9 della Convenzione 108 del Consiglio d’Europa (nonché nell’art. 52 della Carta dei diritti fondamentali dell’Unione Europea) prevede specifiche condizioni per la limitazione dei diritti dell’interessato e la deroga di alcuni adempimenti da parte del titolare.
Innanzitutto, è bene sottolineare che la possibilità di derogare alle previsioni del GDPR (e della direttiva e-privacy) è riferita ai diritti ed obblighi previsti dall’art. 12 a 22 (e quindi, sostanzialmente, ai diritti riconosciuti all’interessato, quale il diritto a ricevere l’informativa, il diritto di accesso, di opposizione, oblio, etc.) nonché dall’obbligo stabilito all’art. 34 (ossia la comunicazione del cd. data breach). A queste deroghe si aggiunge, con un’infelice formulazione, la possibilità di derogare alle previsioni dell’art. 5 (che stabilisce i principi applicabili al trattamento).
Inoltre, l’art. 23 specifica che la limitazione – che deve comunque essere rispettosa dei diritti e delle libertà fondamentali – può essere attuata solamente mediante misure legislative ragione per cui non sembra possibile, nel nostro contesto, introdurre un simile meccanismo mediante un decreto della Presidenza del Consiglio dei ministri, ma sarà necessario un provvedimento di rango superiore.
La norma in questione stabilisce anche quale debba essere il contenuto delle disposizioni legislative che operano l’eventuale limitazione in commento.
Esse, infatti, devono almeno specificare:
- le finalità del trattamento o le categorie di trattamento;
- le categorie di dati personali;
- la portata delle limitazioni introdotte;
- le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti;
- l’indicazione precisa del titolare del trattamento o delle categorie di titolari;
- i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;
- i rischi per i diritti e le libertà degli interessati;
- il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.
E’ bene evidenziare che il nostro legislatore si è avvalso della facoltà concessa dall’art. 23 del GDPR, in quanto con il d.l.vo n. 101/2018 ha introdotto nel nostro Codice Privacy gli artt. 2 undecies e 2 duodecies prevedendo limitazioni dei diritti dell’interessato in ambiti che però non sono quello che stiamo affrontando come Paese in questo momento.
I prossimi passi necessari
Innanzitutto, è necessario che venga adottato un provvedimento di rango legislativo che stabilisca in maniera precisa gli elementi previsti all’art. 23, comma 2 del GDPR, e quindi che circoscriva, a garanzia di tutte le persone fisiche coinvolte, tra l’altro le finalità di trattamento, i soggetti che possono accedere ai dati, i tempi di conservazione degli stessi.
In secondo luogo, è opportuno ricordare che la limitazione dei diritti ed obblighi attiene solamente ad alcuni di quelli previsti dal GDPR e non all’intera normativa.
Ciò significa che rimangono in vita le previsioni di cui all’art. 25, che richiede che il sistema sia progettato sin dall’inizio in maniera rispettosa dei principi del Regolamento, che devono essere assicurate le misure di sicurezza previste dall’art. 32, definiti i ruoli dei soggetti con l’adozione degli strumenti stabiliti dagli artt. 26 (Contitolari) e 28 /Responsabile del trattamento) e che in ogni caso è richiesta la valutazione di impatto sulla protezione dei dati (art. 35).
Si tratta di disposizioni che non sono derogabili ai sensi dell’art. 23 e che comunque devono essere attuate anche in casi eccezionali.
Conclusioni
In questo frangente appare necessaria una precisazione.
Il nostro Paese sta vivendo un momento terribile e chi scrive auspica e accoglie con favore tutti gli strumenti che possono essere messi in campo per cercare di contenere e prevenire la diffusione del virus.
Il diritto alla protezione dei dati personali è un diritto fondamentale, ma è anche, mi sia consentito il termine, un diritto “elastico”, a cui è stata data sin dall’inizio (dalla Convenzione 108 del 1981) la capacità di adattarsi in situazioni contingenti in cui altri diritti fondamentali quali il diritto alla vita ed il diritto alla salute sono minacciati.
La sua “elasticità”, però, non significa che esso possa venir meno del tutto, anche perché la storia (ed il presente) ci insegnano che l’introduzione di sistemi di monitoraggio di massa possono facilmente dar luogo a pericoli di sorveglianza e discriminazione.
È per tali motivi che le norme europee, e in primis la Carta dei diritti fondamentali dell’Unione Europea, comunque richiedono che qualsiasi limitazione sia rispettosa del contenuto essenziale dei diritti e delle libertà, secondo un necessario principio di proporzionalità della limitazione.
Ciò si riscontra proprio nell’impostazione del GDPR, che consente sì delle limitazioni, ma obbliga all’adozione di quegli accorgimenti (la sicurezza, i ruoli e la valutazione di impatto) che possono in ogni caso garantire comunque che i dati personali oggetti del trattamento siano “protetti”.
Il nostro Paese è in un momento difficile e il Governo sta cercando di fare ciò che si può in un frangente eccezionale e sconosciuto come questo.
Tra l’altro il “Decreto Cura Italia” ha previsto, all’art. 76, la costituzione di un apposito “Gruppo di supporto digitale” alla Presidenza del Consiglio dei ministri, che sicuramente potrà fornire la competenza e conoscenza necessaria a far sì che iniziative come quella di cui si discute siano adottate nel rispetto di quanto la nostra cultura e tradizione giuridica, anche europea, ha faticosamente guadagnato nel corso del nostro ultimo secolo di storia.
