Emergenza sanitaria e diritto alla privacy: la tutela di dati personali è uno dei diritti fondamentali della persona. Può essere limitato in caso di emergenza, come lo è adesso quella sanitaria. Ma solo a determinate condizioni: temporaneità, necessità e proporzionalità delle misure restrittive
di Vitalba Azzollini*
Nelle scorse settimane è stata costituita una task force di esperti (articolo 76, decreto legge n. 18/2020) con il compito di vagliare soluzioni tecnologiche per contenere la trasmissione del Covid-19. In particolare, si parla di un sistema di tracciatura di spostamenti e contatti di soggetti contagiati o ad alto rischio. Sul piano giuridico, si dibatte circa la compatibilità del tracing con il diritto alla riservatezza garantito dalla normativa vigente (regolamento Ue 2016/679 Gdpr – General Data Protection Regulation e direttiva 2002/58/Ce, ePrivacy), nonché sulla necessità di una legge che disciplini in modo puntuale i limiti alla tracciatura in funzione di tale diritto.
Per quanto riguarda il primo punto, è indubbio che in caso di emergenza sanitaria il diritto alla tutela dei dati personali possa essere compresso. Il regolamento generale sulla protezione dei dati (articolo 23) consente all’Unione o agli stati membri – in vista della salvaguardia di interessi pubblici essenziali – di “limitare, mediante misure legislative”, la portata di obblighi e diritti da esso previsti, purché tale limitazione “rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica”. Una norma sostanzialmente analoga è contenuta nella direttiva ePrivacy (articolo 15). Ancora, il Gdpr (articolo 9 par. 2, lett. i) dispone che il trattamento di dati particolari, tra cui quelli sanitari, vada considerato lecito se “necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero”. Sempre il Gdpr (considerando 46) afferma che “alcuni tipi di trattamento dei dati personali” possono rispondere a “rilevanti motivi di interesse pubblico”, tra cui “tenere sotto controllo l’evoluzione di epidemie e la loro diffusione”. Dunque, di fronte a esigenze connesse al diritto alla salute, la protezione di dati personali può essere attenuata e, quindi, garanzie inerenti alla riservatezza possono essere limitate – specificamente, i dati possono essere trattati senza consenso – purché ogni misura restrittiva sia “necessaria, opportuna e proporzionata” (articolo 15, direttiva ePrivacy). In particolare, i dati personali devono essere “trattati in modo lecito, corretto e trasparente”; “raccolti per finalità determinate, esplicite e legittime”; “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”; “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (articolo 5 Gdpr). Inoltre, va effettuata una valutazione d’impatto per l’analisi dei rischi derivanti dal loro trattamento (articolo 35 Gdpr).
Le condizioni necessarie
Sul secondo punto – la necessità di una apposita legge che concili tracciatura e riservatezza – secondo la normativa vigente servono specifiche disposizioni per “adattare l’applicazione” delle regole sulla privacy e “determinare con maggiore precisione requisiti specifici per il trattamento di dati personali” (considerando 19 Gdpr, oltre ai citati articoli 23 Gdpr e 15 direttiva ePrivacy). Ciò è stato ribadito da Comitato europeo per la protezione dei dati (Edpb), Garante privacy e Consiglio di Europa. Per calibrare il trattamento di dati personali in una emergenza, dunque, non sembra sufficiente la norma di un recente decreto legge (n. 14/2020, articolo 14) ove si prevede, con una generica disciplina, che soggetti partecipanti al sistema di protezione civile possano “effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali” per evitare il diffondersi del Covid-19.
È utile rammentare che il diritto alla tutela di dati personali è oggetto non solo della normativa sulla privacy ma anche di specifica considerazione nella Carta dei diritti fondamentali dell’Ue (articolo 8); inoltre, costituisce uno dei diritti fondamentali ai sensi della Convenzione europea dei diritti dell’uomo (articolo 8) e del Patto per i diritti civili e politici dell’Onu (articolo 17).
Tali diritti possono essere compressi, in caso di emergenza, solo a determinate condizioni: in particolare, temporaneità, necessità e proporzionalità delle misure restrittive. Le medesime condizioni per l’azione normativa – declinate come idoneità, necessità e proporzionalità in senso stretto – a tutela dei diritti individuali sono presenti anche nel Trattato sull’Unione europea (articolo 5): “idoneità” è la capacità di soddisfare i fini perseguiti; “necessità” significa scegliere la soluzione non solo più appropriata, ma meno restrittiva di diritti personali, valutando se altre meno invasive possano essere sufficienti; “proporzionalità” è bilanciamento di tutti gli interessi in gioco.
In conclusione, vogliamo richiamare le parole del Garante della privacy: «non è momento di improvvisazioni né di espressioni infelici come chi dice ‘io della privacy me ne frego’. La privacy è diritto alla libertà. (…) Dobbiamo accettare regole che senza dubbio ci limitano in nome di un bene superiore senza però mai dimenticare che la forza del nostro paese è sempre stato il modello democratico».
Vitalba Azzollini per Lavoce.info
* Le opinioni espresse in questo articolo sono esclusivamente dell’autore e non coinvolgono l’istituzione per cui lavora.
Nessun commento:
Posta un commento