Contrasto dell’epidemia e rispetto delle norme sulla privacy
La situazione di emergenza determinata dall’epidemia di Covid -19 pone anche la questione del rispetto delle norme in tema di protezione dei dati personali. Non è la prima volta che superiori ragioni di sicurezza pubblica richiedono il sacrificio di una parte del proprio diritto alla riservatezza. È sufficiente ricordare ad esempio le misure adottate dagli Stati allo scopo di combattere il terrorismo.
È bene inquadrare innanzitutto la problematica all’interno delle norme di riferimento.
Il Regolamento Generale sulla Protezione dei Dati Personali 679/2016 (più noto con l’acronimo inglese GDPR) fa espresso cenno alla liceità di alcuni trattamenti di dati personali che rispondono sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, ad esempio “per tenere sotto controllo l’evoluzione di epidemie” (considerando n. 46).
In particolare, l’art. 9 consente il trattamento di dati “particolari” (quali sono i dati relativi alla salute) anche in assenza di consenso degli interessati quando esso sia necessario o per tutelare un interesse vitale dell’interessato (lett. c)), o per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero (lett. i). Ciò a condizione che siano previste misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.
Sin dalla comparsa dei primi casi di contagio in Italia, con la previsione da parte della normativa d’urgenza emanata dal Governo dell’obbligo di segnalare ogni contatto avuto nelle zone a rischio epidemiologico, il Garante era intervenuto stabilendo alcune regole chiare, avuto riguardo in particolare alla raccolta di informazioni da parte dei datori di lavoro sul proprio personale o sui visitatori delle aziende, anche attraverso questionari.
Il Garante ha quindi precisato che le informazioni relative allo stato di salute o al possibile rischio di contagio per contatto con un soggetto, familiare o collega, ammalato devono essere raccolte soltanto dai soggetti che svolgono le funzioni di prevenzione in modo qualificato, quali operatori sanitari, il medico di base, le aziende sanitarie territoriali e le strutture della protezione civile.
È preclusa invece al datore di lavoro l’indagine sistematica e la richiesta al lavoratore circa l’esistenza di sintomi di possibile contagio, anche a livello familiare, fermo restando l’obbligo del lavoratore di segnalare la presenza di situazioni di pericolo per la salute e la sicurezza sul luogo di lavoro.
L’incalzare del contagio ha poi costretto il Governo ad introdurre via via sempre maggiori restrizioni alla libertà di movimento dei cittadini. Taluni hanno auspicato l’adozione di sistemi massivi di geolocalizzazione degli individui attraverso i cellulari allo scopo di prevenire la diffusione del virus nelle zone frequentate da un soggetto contagiato. Si pensi al caso di un individuo ricoverato in terapia intensiva e perciò impossibilitato a riferire in merito ai propri contatti e spostamenti. Gli organi di stampa hanno descritto come modalità di questo tipo sarebbero state decisive per impedire il diffondersi del contagio in certi Paesi. Alcuni, poi, hanno suggerito di utilizzare tale modalità di tracciamento anche al fine di sanzionare i soggetti che si trovino in aree esterne e lontane dal proprio domicilio, in violazione dei divieti via via introdotti. E’ stato osservato da più parti come certe misure, rivelatesi efficaci ai fini del contenimento dell’epidemia, non siano tuttavia compatibili con la democrazia e i diritti fondamentali dell’individuo, in primis quello alla riservatezza personale.
Su tutti questi delicatissimi temi, è intervenuto il 19 marzo il Comitato Europeo per la Protezione dei dati Personali (EDPB European Data Protection Board), con una propria dichiarazione, preceduta di alcuni giorni da un comunicato stampa della sua Presidente. Il Comitato Europeo è un organismo previsto dal GDPR, volto a garantire l’uniformità di interpretazione e di applicazione del Regolamento. Esso è composto dai rappresentanti delle singole autorità per la protezione dei dati, cioè il Garante italiano e i suoi omologhi degli altri Stati Membri.
In generale, il documento afferma che l’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza. In merito alla liceità dei trattamenti relativi alla localizzazione, il Comitato ha dichiarato che “i dati relativi all’ubicazione, (…) possono essere utilizzati dall’operatore solo se resi anonimi o con il consenso dei singoli. Tuttavia, l’articolo 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica (..) le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza.”
Pertanto “Le autorità pubbliche dovrebbero innanzitutto cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”) … Quando non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15).” A giudizio del Comitato, quindi, “Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.”
Circa il trattamento dei dati personali nell’ambito del rapporto di lavoro, il documento citato riconosce che “Nel contesto lavorativo, il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria.” A tale riguardo, il Comitato menziona le norme del GDPR sopra citate, a conferma della liceità dei trattamenti alle condizioni predette.
In conclusione, risulta dalla breve disamina sopra esposta che è certamente complesso orientarsi in questo contesto. Le soluzioni, che le aziende possono trovare con l’aiuto del loro consulente esperto della materia, non possono prescindere dalla fissazione di un punto di equilibrio tra le diverse e a volte confliggenti esigenze.