L’emergenza sanitaria provocata dal Covid-19 potrebbe essere il primo, vero, banco di prova per verificare come la complessa regolamentazione europea in materia di protezione dei dati personali reagisce ad una crisi che impone, in una maniera o nell’altra, la compressione di alcuni diritti per salvaguardarne altri.
Vedremo se un regolamento complesso come il Gdpr saprà esprimere la sua forza, mantenendo la sua capacità di adattarsi, di “funzionare” nonostante la contingenza del momento richieda inevitabili sacrifici.
Ne sono la prova lampante i provvedimenti adottati dal Governo italiano soprattutto negli ultimi giorni, frutto di un’intensa collaborazione con Protezione Civile ed esperti dell’Istituto Superiore di Sanità, che hanno riguardato ambiti particolarmente delicati (primo tra tutti il mondo del lavoro inteso “latu sensu”) e imposto misure stringenti che – almeno in apparenza – stridono con il tradizionale approccio “garantista” in tema di privacy.
Parallelamente, anche in ragione di un atteggiamento non troppo responsabile di alcuni cittadini, ci si è interrogati sul complesso e controverso rapporto tra nuove tecnologie, strumenti di sorveglianza e controllo e diritti civili.
Covid-19: le modalità di contenimento di Cina e Corea viste da occidente
In questo dibattito, le modalità di contenimento adottate nell’iper-tecnologizzato Oriente sono state oggetto di attenzione e hanno suscitato grande allarme ma al tempo stesso ammirazione: la Cina e la Corea hanno infatti dato prova di forza muscolare senza precedenti nella lotta alla pandemia, anche se il “modo” tramite cui la guerra contro il temibile virus è stata condotta ha previsto un ulteriore giro di vite in tema di diritti individuali.
E così, mentre, finora la sapiente (e terrificante) alchimia tra big data, internet delle cose, profilazione, utilizzo di app, limitazioni alla libertà personale e social scoring utilizzata in Cina per il controllo sociale ha indignato e fatto riflettere legislatori e comitati di esperti in protezione dei dati, il Covid-19 con la sua forza dirompente ha rimescolato le carte, costringendo molti a rivedere la propria opinione e a valutare se sul tavolo delle opportunità non ci sia anche quella di spostare l’asticella etica che separa il concetto di “salvaguardia della sicurezza nazionale e della salute pubblica” da quello di “sorveglianza di massa”.
In Italia, come in altre zone d’Europa, si sta già pensando all’utilizzo di app, big data, social network e dei dati di traffico per limitare gli impatti del coronavirus secondo il modello orientale (coreano più che cinese), adattato alle regole della società democratica.
Gli spiragli di legittimità non mancano: toccherà alle istituzioni pubbliche definire regole chiare e fornire garanzie concrete, in modo che le opportunità dell’universo digitale non ci trasformino nella società distopica della sorveglianza di massa.
Di certo c’è, infatti, che l’utilizzo dei dati e delle nuove tecnologie al fine di analizzare e combattere il temuto coronavirus comporta un prezzo: una compressione dei diritti connessi alla privacy.
Ma si può parlare, allo stato attuale, di una sospensione dei meccanismi di protezione dei diritti privacy?
Le autorità nazionali e sovranazionali hanno cercato di fornire una risposta a questo interrogativo, delineando ove possibile una sorta di “perimetro” entro cui organizzazioni pubbliche e private possono muoversi anche in deroga alle regole generali in materia di protezione dei dati e privacy, ribadendo al contempo che le normative di presidio hanno comunque già incorporato specifiche eccezioni applicabili in contesti simili.
Gli interventi del garante privacy
Il Garante per la protezione dei dati personali è intervenuto più volte nel corso della crisi Covid-19, la prima volta il 2 febbraio con il “Parere sulla bozza di ordinanza recante disposizioni urgenti di protezione civile in relazione all’emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili” esprimendo parere favorevole ma al tempo stesso evidenziando la necessità che, al termine dello stato di emergenza coronavirus, le Amministrazioni che abbiano effettuato trattamenti di dati personali in emergenza nell’ambito degli interventi di protezione civile di cui all’ordinanza pongano in essere tutte le misure idonee a ricondurre i suddetti trattamenti all’ambito delle ordinarie competenze e regole in materia di dati personali.
Il Garante è poi intervenuto ancora una volta il 2 marzo con un comunicato stampa affermando in maniera decisa il suo “no a iniziative “fai da te” nella raccolta dei dati”.
In una recente intervista all’Ansa, quindi, Antonello Soro ha sottolineato come le esperienze cinese e coreana siano maturate in ordinamenti con scarsa attenzione -sebbene in grado diverso – per le libertà individuali.
L’Autorità italiana, insomma non ravvede l’utilità di una “sorveglianza generalizzata” non bilanciata da “una gestione efficiente e trasparente di una mole così estesa di dati”.
Il Presidente Soro, ha ribadito insomma l’importanza di scegliere con cura e “molto attentamente le modalità più opportune e proporzionate alle esigenze di prevenzione, senza cedere alla tentazione della scorciatoia tecnologia solo perché apparentemente più comoda, ma valutando attentamente benefici attesi e “costi”, anche in termini di sacrifici imposti alle nostre libertà”.
La linea del Comitato Europeo per la Protezione dei Dati Personali
Il Presidente del Comitato Europeo per la Protezione dei Dati Personali (EDPB), Andrea Jelinek, il 16 marzo è intervenuto a ribadire due concetti fondamentali:
- Il GDPR, ed in generale tutto il framework normativo in materia di protezione dei dati personali, è stato concepito come una normativa flessibile e di ampio respiro e per questa ragione già contempla anche le regole da applicare ai trattamenti dei dati personali in contesti come quello venutosi a creare a seguito della pandemia Covid-19. Nello specifico, è significativo che il Regolamento europeo individui con chiarezza le basi giuridiche per consentire tanto ai datori di lavoro, quanto alle autorità di salute pubblica e alle altre autorità competenti di trattare i dati personali nel contesto di epidemie, anche senza il consenso dell’interessato ad esempio quando il trattamento dei dati personali è motivato dalla presenza di interesse pubblico nel settore della sanità pubblica, dalla necessità di tutelare interessi vitali o è necessario per adempiere a un altro obbligo di legge o di regolamento (artt. 6 e 9 del GDPR).
- Le misure eccezionali e le deroghe previste dalla normativa devono sempre e comunque essere armonizzate con i principi generali della normativa privacy e più in generale con i capisaldi del corpus di diritti individuali che sono la chiave di volta della moderna società democratica europea.
Il Board dei Garanti Eu, si concentra anche sul complesso tema dell’ePrivacy e nello specifico sull’utilizzo dei dati di localizzazione ottenuti tramite dispositivi mobili.
L’uso di questi dati, preziosissimi per analizzare i flussi di persone e elaborare strategie di contenimento, è lecito – secondo il Chair dell’EDPB – purché avvenga nel rispetto delle norme nazionali che hanno recepito l’ormai famigerata Direttiva ePrivacy. forma anonimizzati in modo tale da non poter più risalire alla persona che li ha generati.
Un pieno via libera alla cosiddetta “cartografia”, dunque, preferibilmente – specifica il Presidente Jelinek – in forma anonima ed aggregata.
