Al fine di contenere il contagio del COVID-19, i governi europei e le organizzazioni pubbliche e private stanno adottando misure che prevedono il trattamento dei dati personali degli individui. Non vi è dubbio che una gestione efficace dell’epidemia si basi anche sulla raccolta e sulla rapida analisi dei dati sanitari (e non solo) delle persone. Tuttavia, tali misure possono sollevare problemi di privacy sia in base a quanto disposto dal regolamento europeo sulla protezione dei dati (infra, GDPR), sia rispetto alle legislazioni nazionali. Peraltro, si tratta di misure (quelle sulla privacy) che fanno parte di un più ampio contesto di forte limitazione di diritti fondamentali dell’individuo, da quello alla libertà di movimento, a quello alla socialità, a quello infine di svolgere la propria attività economica e riuscire così a sostenere sé stessi e la propria famiglia. Nei confronti di tali limitazioni non si sono sollevate molte voci critiche; si è anzi sostenuto che si tratti di misure compatibili con la nostra Costituzione, in quanto il diritto alla salute prevarrebbe su tutti gli altri diritti temporaneamente compressi, salvo il rispetto della dignità degli esseri umani e il divieto di adottare misure ingiustamente discriminatorie. Anche la questione della privacy va dunque letta in un’ottica generale di bilanciamento, chiedendosi se sia preferibile uno stop generalizzato delle attività, con confinamento dei cittadini presso le proprie abitazioni, o piuttosto un sistema di controllo del contagio che consenta ove possibile gli spostamenti, facendo anche leva sulla tecnologia più avanzata, e utilizzando le norme sulla privacy come strumento per far sì che il controllo sia misurato, proporzionale e mantenuto al minimo strettamente necessario. Per far ciò è evidentemente anche necessario ripristinare quanto prima l’efficienza del sistema giudiziario, che è l’unico presidio contro gli abusi. E’ evidente che in un contesto in cui i tribunali sono stati paralizzati, nessun tipo di limitazione, quale che essa sia (compresa quella alla privacy) può lasciare i cittadini del tutto tranquilli.

Efficienza delle misure di contrasto al contagio vs diritti fondamentali
La questione del bilanciamento tra efficienza delle misure di contrasto al COVID-19 e diritti fondamentali – tra cui il diritto alla privacy – è di centrale importanza, anche considerato che una partita importante contro la diffusione del virus sarà giocata dalla tecnologia. Sappiamo, infatti, che alcuni paesi stanno gestendo l’attuale pandemia attraverso un ricorso massivo ad app e programmi software che comportano una serie di implicazioni, più o meno invasive, in materia di privacy. Ad esempio, la app che informa della presenza di contagiati da Covid-19 entro i 100 metri di distanza dalla localizzazione dell’utente; ovvero il geotracking per tracciare i movimenti delle persone infette al fine di ricostruire tutta la loro rete di contatti e illustrarne gli spostamenti.
Proprio in questi giorni, in nome dell’emergenza e del contrasto al virus, sono state avanzate proposte di controllo che sono eccezionali rispetto al nostro tradizionale sistema di valori e principi giuridici condivisi. Si tratta più precisamente di proposte di tracciamento massivo digitale dei cittadini, fondate sull’idea che un incremento della sorveglianza possa rendere più efficace la lotta al contagio del virus. In tale contesto, la normativa europea sulla protezione dei dati personali è stata oggetto di critica, perché ritenuta d’ostacolo all’adozione di misure di contrasto alla diffusione del virus. A tale proposito, lo scorso 16 marzo 2020, il comitato europeo per la protezione dei dati (infra, EDPB) ha pubblicato una dichiarazione in cui, oltre a specificare che le norme del GDPR non ostacolano le misure adottate nella lotta contro la pandemia, ribadisce l’importanza di proteggere i dati personali anche in un momento di emergenza come quello attuale. Al riguardo, Andrea Jelinek, presidente dell’EDPB, ha sottolineato che ” il responsabile del trattamento dei dati deve garantire la protezione dei dati personali delle persone interessate. Pertanto, è necessario tenere conto di una serie di considerazioni per garantire il trattamento legittimo dei dati personali” (per la dichiarazione integrale di Andrea Jelinek, presidente dell’EDPB:
https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak). Il contenuto di tale dichiarazione è stato ribadito nel successivo statement del 19 Marzo in cui l’EDPB ha esplicitato i requisiti di legittimità del trattamento dei dati personali nell’attuale contesto di emergenza(https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf)

Trattamento dei dati personali: le regole previste dalla normativa europea
La dichiarazione dell’EDPB richiama le disposizioni del GDPR che prevedono i casi specifici in cui è consentito il trattamento di dati personali. In particolare:
– l’articolo 6 del GDPR, che consente il trattamento dei dati personali senza il consenso del titolare quando ciò sia necessario per proteggere quest’ultimo o altra persona fisica o per l’esecuzione di un compito di interesse pubblico;
– l’articolo 9 del GDPR, che consente il trattamento di particolari categorie di dati personali, come le informazioni sanitarie, senza il consenso della persona interessata, per motivi di interesse pubblico nel settore della sanità pubblica “quali la protezione da gravi minacce per la salute a carattere transfrontaliero”.
Per quanto riguarda, invece, i dati relativi alle comunicazioni elettroniche (ad esempio quelli concernenti l’ubicazione del telefono), viene richiamata la direttiva 2002/58/CE (c.d. direttiva ePrivacy), che consente l’utilizzazione dei dati relativi all’ubicazione di un individuo solo se resi anonimi o con il consenso delle persone interessate. L’EDPB sottolinea che in base all’art. 15 della citata direttiva, gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi ivi previsti qualora tale restrizione costituisca una misura necessaria, opportuna e proporzionata per la salvaguardia della sicurezza nazionale e della sicurezza pubblica.

Conclusioni
L’effettiva tutela dei dati personali nell’ambito delle misure adottate dagli Stati membri per la lotta al COVID-19 appare ad oggi confusa e frammentata: alcuni paesi hanno adottato un approccio più permissivo nei confronti dei controlli (es. Danimarca, Irlanda, Polonia, Spagna), altri maggiormente garantista (es. Francia, Lussemburgo, Olanda, Belgio).
La recente dichiarazione dell’EDPB si limita a richiamare la normativa europea sulla privacy in un contesto in cui l’esercizio effettivo dei diritti da parte dei cittadini risulta momentaneamente sospeso a causa del lockdown di interi paesi. La stessa norma invocata dall’EDPB a tutela dei dati relativi alle comunicazioni elettroniche (cfr art. 15 direttiva ePrivacy) specifica che nei casi eccezionali sopra descritti, lo Stato membro ha l’obbligo di mettere in atto adeguate salvaguardie, come la concessione ai singoli del diritto a un ricorso giurisdizionale. Ma l’accesso alla giustizia è davvero garantito in questo momento di emergenza? O piuttosto l’art. 15 della direttiva ePrivacy verrà – eventualmente – applicato senza le necessarie garanzie?
Sarebbe stata necessaria da parte dell’EDPB una presa di posizione più decisa, che ricordasse agli Stati membri l’importanza di non ignorare l’applicazione dei principi essenziali della privacy, pure in un contesto di emergenza come quello attuale. Al riguardo, si segnala la recente dichiarazione del Garante privacy italiano che lo scorso 2 marzo, rivolgendosi ai titolari del trattamento dati, ha ribadito il divieto di iniziative autonome di raccolta di dati sanitari di utenti e lavoratori che non siano state normativamente previste o disposte dagli organi competenti (per la dichiarazione integrale del Garante privacy italiano:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9282117).
Una netta presa di posizione in favore dei diritti fondamentali non è stata adottata neanche dall’European Data Protection Supervisor (infra, EDPS) con l’ultimo comunicato del 20 marzo 2020 in cui il COVID-19 viene indicato quale game changer dell’attuale contesto. L’EDPS ha, infatti, annunciato una nuova strategia per i prossimi cinque anni che comprenderà una revisione dell’attuale EDPS Strategy: “We will all be confronted with this game changer in one way or another. And we will all ask ourselves whether we are ready to sacrifice our fundamental rights in order to feel better and to be more secure” (per il comunicato integrale dell’EDPS:
https://edps.europa.eu/press-publications/press-news/blog/moment-you-realise-world-has-changed-re-thinking-edps-strategy_en).

Simona Lavagnini, Camilla Macrì