COMBATTERE Il CORONAVIRUS E PROTEZIONE DELLA PRIVACY AL BIVIO: L’ORDINANZA D’EMERGENZA CON AMPI POTERI APPROVATA DAL GARANTE PRIVACY – UN EQUILIBRIO (IN)DELICATO
25/02/2020
L’ordinanza n. 630 adottata il 3 febbraio 2020 come misura urgente per combattere la diffusione del Coronavirus è stata approvata dal Garante per la Privacy. L’ordinanza conferisce ampie autorizzazioni al trattamento dei dati al personale della Protezione Civile, un organismo governativo che risponde al Presidente del Consiglio dei Ministri. Tale trattamento dei dati può comprendere la comunicazione all’interno della Protezione Civile e può riguardare i delicati aspetti disciplinati dagli articoli 9 e 10 del Regolamento Privacy dell’Unione Europea n. 679/16 ovvero aspetti come l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona nonché i dati relativi a condanne penali e ai reati o a connesse misure di sicurezza.
Il quadro giuridico
A causa della diffusione del Coronavirus, il Consiglio dei ministri, il 31 gennaio 2020, ha dichiarato lo stato di emergenza per un periodo di sei mesi. La Protezione Civile, basandosi su una ampia struttura di corpi governativi, amministrativi, regionali e locali, aveva elaborato una bozza di ordinanza contenente i primi provvedimenti urgenti con ampie autorizzazioni che limitavano le libertà civili dei cittadini, prevedendo al tempo stesso eccezioni ed un abbassamento dello standard di protezione della privacy. L’ordinanza è stata adottata a seguito dell’approvazione pervenuta dal Garante Privacy. L’unica osservazione del Garante riguardava la necessità di prevedere misure che garantissero che, al termine del semestre, tutte le amministrazioni coinvolte nelle attività della Protezione Civile, adottassero misure idonee a far rientrare il trattamento dei dati personali effettuato nell’ambito dell’emergenza nelle competenze e nelle norme ordinarie che disciplinano il trattamento dei dati personali. Per quanto riguarda il quadro normativo europeo, si precisa che ai sensi dell’art. 9 comma 2 lett. i del Regolamento Privacy n. 679/16 il trattamento di alcuni dei dati di cui sopra può essere legittimo e necessario. Ciò per esempio per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero. In questi casi, la legge dovrà garantire “misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.
Un equilibrio (in)delicato
La menzionata ordinanza n. 630 della Protezione Civile del 3 febbraio 2020 contiene un rinvio ai principi generali stabiliti dall’art. 5 del Regolamento Privacy dell’Unione Europea n. 679/16 ma non contiene misure specifiche per la salvaguardia dei diritti e delle libertà della persona interessata. Quest’ultimo aspetto è di particolare rilevanza in quanto, secondo il quotidiano ItaliaOggi, edizione del 25 febbraio 2020, il trattamento autorizzato dei dati nei confronti dei cittadini sospettati di infezione non si limiterebbe alle forme tradizionali di trattamento dei dati ma potrebbe comprendere anche l’analisi dei dati di comunicazione mobile e la geo-localizzazione al fine di stabilire possibili catene di contatti. Un altro aspetto preoccupante riguarda l’espressa autorizzazione alla Protezione Civile a trattare anche dati “relativi a condanne penali e reati o misure di sicurezza connesse”. Tale possibilità non è coperta dall’eccezione prevista dal diritto dell’Unione Europea, ovvero l’art. 9 comma 2 Regolamento Privacy. Ulteriori modifiche, prima della fine della situazione di emergenza, che garantiscano un’adeguata protezione delle persone interessate appaiono necessarie e inevitabili.
Tankred Thiem