Tiene banco in questi giorni la scelta di diversi Paesi extra UE (Cina, Singapore, ma anche Korea del Sud) di tracciare i movimenti delle persone risultate positive al test di rilevazione del COVID 19, mediante l’utilizzo dei dati sull’ubicazione geografica ricavati dagli smartphone degli interessati.
In piena emergenza sanitaria anche in Italia è stata avanzata da più parti l’ipotesi di impiegare siffatto tipo di strumento, senza tuttavia aiutare più che tanto l’opinione pubblica ad avere una comprensione piena della
tematica.
Non solo. Alla data di stesura di queste brevi osservazioni (27 marzo 2020) appare quanto mai difficile, reperire fonti che consentano di comprendere con chiarezza, anche sotto il profilo tecnico, le scelte adottate in tali Paesi.
Né a migliori e più chiari esiti appare possibile pervenire in relazione alle proposte di collaborazione offerte da operatori nel settore delle telecomunicazioni.
Il quadro è dunque a dir poco magmatico.
In tutto questo, e si viene così avvicinandosi al tema delle presenti note, ad acuire ulteriormente la confusione, non sono state poche le esternazioni di rilevanti attori istituzionali, coinvolti nella gestione dell’emergenza, che hanno descritto il rapporto tra l’impiego delle tecnologie di tracciamento con il diritto alla privacy, nei termini di un irriducibile conflitto, senza alcuna possibilità di sintesi, quasi che la riservatezza fosse contemplata dal nostro ordinamento quale diritto sottratto a qualsiasi possibilità di bilanciamento.
Ne è discesa, più o meno esplicitamente, la derubricazione delle norme che tutelano il diritto alla riservatezza ad orpello inutile, in quanto non in grado, in tesi, di prevedere ed affrontare efficacemente la situazione
eccezionale che stiamo vivendo.
E, ancora, più o meno esplicitamente, l’idea che di fondo, un sistema democratico non sia quello più adatto alla gestione di un momento di crisi come quello che stiamo vivendo.
Ma è davvero così?
Ebbene, in realtà, anche solo ad una lettura superficiale delle fonti normative rilevanti, apparirà chiaro come il legislatore europeo abbia fin da subito configurato la riservatezza quale diritto che può legittimamente, in
determinate circostanze connotate da straordinarietà, subire delle restrizioni.
Nel momento in cui per alcune finalità o in presenza di determinate situazioni oggettive è prevista la possibilità di limitare il diritto, bilanciandolo con altri, non è in dubbio il “SE”, ma il “COME”, e cioè entro quale perimetro di contenuti e secondo quali modalità (chi può farlo, con quale tipologia di atto, secondo quali procedure) ecc.
Al riguardo pare a chi scrive che il reticolo normativo attualmente vigente in materia consenta già di collocare la riflessione sull’impiego dei dati relativi all’ubicazione geografica entro binari precisi.
Tali binari consentono di contemperare le esigenze di un’efficace azione di contrasto a situazioni di carattere straordinario, con la salvaguardia dell’ordine democratico, che annovera nei c.d. “diritti di libertà” – tra cui figura anche quello alla riservatezza – uno dei propri pilastri fondamentali.
Il quadro normativo europeo: il Regolamento UE 679/2016
Venendo in primo luogo al Regolamento UE 679/2016 (meglio noto con l’acronimo di GDPR), detto corpo normativo, come efficacemente osservato dallo European Data Protection Board, già contempla la possibilità di limitare il diritto alla riservatezza, allo scopo di far fronte a situazioni emergenziali. Si pensi, ad esempio, al disposto di cui all’art. 9 lett. i) del GDPR il quale dispone che i dati particolari, relativi alla salute, possono
essere trattati “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero …..”.
Tale norma consente pertanto di derogare al generale divieto, fissato al paragrafo 1 del medesimo art. 9, di trattare dati concernenti la salute, proprio con finalità di protezione in ambito sanitario.
Più in generale, è all’ art. 23 che sono previste importanti deroghe all’applicazione del GDPR, mediante l’adozione di norme nazionali, da parte degli Stati membri, per far fronte ad esigenze di salvaguardia, fra gli
altri, anche della salute pubblica (cfr. a questo riguardo l’art. 23 paragrafo 1 lettera e).
Il medesimo articolo però, al paragrafo immediatamente successivo dispone che qualsiasi misura legislativa di cui al paragrafo 1 debba contenere disposizioni specifiche riguardanti almeno, se del caso: “a) le finalità
del trattamento o le categorie di trattamento; b) le categorie di dati personali; c) la portata delle limitazioni introdotte; d) le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti; e) l’indicazione precisa del titolare del trattamento o delle categorie di titolari; f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; g) i rischi per i diritti e le libertà degli interessati; e h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.”
Del resto, sempre il GDPR, al considerando 46, sottolinea che “il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di
un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono
rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione”.
E ancora, al Considerando 54 il legislatore UE osserva che “Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche……”
Emerge dunque, dalla lettura del GDPR, come il legislatore europeo abbia ab origine contemplato la possibilità di una limitazione straordinaria delle garanzie normalmente riconosciute al trattamento di dati personali, sottolineando però nel contempo la necessità di accompagnate tali restrizioni con delle garanzie adeguate per i diritti delle persone fisiche.
Già da tali osservazioni se ne desume che il diritto alla riservatezza e l’impianto normativo del GDPR non sono in alcun modo in contrasto con l’utilizzo delle tecnologie nell’ambito della crisi sanitaria, senza precedenti
nella storia recente, che stiamo vivendo, offrendo piuttosto criteri ed indicazioni per un efficace bilanciamento dei beni giuridici in gioco.
Il quadro normativo europeo: la Direttiva 58/2002
Altro corpo normativo che viene in rilievo, questa volta con specifico riguardo alla tracciatura dei dati di ubicazione, è la Direttiva 58/2002 (Direttiva relativa alla vita privata e alle comunicazioni elettroniche), nota anche come “Direttiva e-privacy”.
Ebbene, anche in relazione a tale Direttiva, da considerarsi alla stregua di una “lex specialis”(1)dedicata al trattamento di dati personali nell’ambito delle comunicazioni elettroniche, è possibile riscontrare la medesima tensione tra la necessità di assicurare la protezione di dati che impattano sull’effettività di alcuni diritti fondamentali all’interno di un ordinamento democratico (ad esempio la libertà di circolazione), con le esigenze di tutela di altri beni giuridici che, in conseguenza di fatti straordinari, siano messi in pericolo.
Tale tensione si ravvisa, quanto al tema del trattamento dei dati relativi all’ubicazione geografica, da un raffronto tra il disposto di cui all’art.9 e l’art. 15 della Direttiva medesima.
L’art. 9 dispone che i dati relativi all’ubicazione, diversi da quelli del traffico (2), possano essere trattati esclusivamente in forma anonima, salvo che non sia l’interessato stesso a fornire il consenso al loro trattamento in forma non anonima, al fine di poter accedere ad un determinato servizio.
Appare non di poco momento osservare come la Direttiva e-privacy, in modo quasi “profetico”, avesse fissato, ancora nel 2002, una regola generale la cui importanza sarebbe stata compresa appieno solo qualche anno dopo, con l’irruzione all’interno delle nostre vite di dispositivi (in particolare smartphone e tablet), ma anche di applicativi e social, potenzialmente in grado di far conoscere, in ogni momento e con la massima precisione, la posizione di un determinato soggetto, di ricostruirne i movimenti in un certo arco temporale,
di verificare i luoghi visitati, i ristoranti frequentati ecc. Ed è proprio in ragione di tale invasività che il legislatore stabilì la necessità del consenso quando, in rapporto alla fruizione di un c.d. “servizio a valore aggiunto” (3) , il trattamento non potesse avvenire in forma anonima.
Se l’art. 9 stabilisce la regola generale, l’art. 15, nell’ambito di questo movimento “a pendolo” teso a ricondurre anche l’eccezione dentro un quadro di garanzie per i cittadini, dispone che “gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo.”
Significativo al riguardo appare l’esplicito richiamo, a paragrafo 3 dell’art. 15 appena sopra citato, alla necessità che le disposizioni legislative nazionali si conformino ai principi di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea, il quale a propria volta richiama la Carta dei diritti fondamentali dell’Unione Europea (4), che annovera, all’art. 8, anche quello alla protezione dei dati di carattere personale.
(1) Cfr. in questo senso Opinion n. 5 del 12 marzo 2019 dello European Data Protection Board
(2) Per tali intendendosi “qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una
rete di comunicazione elettronica” (cfr. art. 3 lett. B) della Direttiva 58/2002
(3) Cfr. in questo senso il parere del WP ex art. 29 del 25 Novembre 2005
(4) “1. L’Unione riconosce i diritti, le libertà e i principi sanciti nella Carta dei diritti fondamentali dell’Unione europea del 7 dicembre 2000, adattata il 12 dicembre 2007 a Strasburgo, che ha lo stesso valore giuridico dei trattati. Le disposizioni della Carta non estendono in alcun modo le competenze dell’Unione definite nei trattati.
L’espressione utilizzata dal legislatore europeo (“disposizioni legislative”) ci mette quindi di fronte a quella che nel diritto costituzionale è una riserva di legge, rispetto alla cui natura (assoluta o relativa) è aperta la discussione.
Il riferimento minimo, ad ogni modo, è al rango primario della normativa (quindi leggi, decreti legge poi convertiti, decreti legislativi), che prevede il coinvolgimento delle assemblee elettive e quindi la partecipazione al processo decisionale anche delle minoranze/opposizioni, e all’impossibilità che un tale
bilanciamento avvenga con normativa di rango secondario.
Ne discende, pertanto, la necessità di intervenire con un atto normativo primario ad hoc, anche nella forma del decreto legge.
Il Decreto legge 14/2020 quale possibile base giuridica per il trattamento dei dati relativi all’ubicazione geografica
Venendo ora al quadro normativo nazionale “d’emergenza” ci si chiede se l’articolo 14 del Decreto legge n.14/2020, nella parte in cui attribuisce il potere di trattare dati personali, anche sensibili o giudiziari, per tutti i soggetti partecipanti al sistema di protezione civile, nei limiti di quanto necessario e indispensabile per la finalità di contrasto all’epidemia, possa costituire una valida base giuridica per l’attivazione di un sistema di tracciamento che utilizzi i dati relativi all’ubicazione, conforme al diritto dell’Unione europea.
Pare a chi scrive che alla domanda debba essere data risposta negativa. Detta norma, nella sua generica formulazione, non appare in grado di offrire alcuna garanzia specifica, specie laddove si consideri che i limiti di quanto “necessario ed indispensabile” per il contrasto all’epidemia sono tutt’altro che definiti, anche solo laconicamente, dall’art. 14 del D.L. 14/ 2020.
Né parrebbe sufficiente, in relazione al rispetto del diritto dell’Unione Europea, il riferimento, quale base giuridica legittimante il trattamento dei dati relativi all’ubicazione geografica, alla necessità di salvaguardare la vita e l’incolumità della persona. Al riguardo, se è vero che il Garante5 ebbe a ritenere in passato sufficiente tale base giuridica per trattare siffatta tipologia di dati, in assenza del consenso del proprietario del dispositivo mobile, non si può sottacere che il tracciamento di cui si discute in questi giorni è ontologicamente diverso, per estensione, durata e pervasività, rispetto al tracciamento attenzionato dal Garante nella sua pronuncia del 19 febbraio 2008.
Tale parere, lo si rammenta, riguardava l’attività di soccorso e salvataggio di singoli soggetti, mediante l’utilizzo dei dati di “aggancio” dei loro dispositivi mobili alle celle telefoniche attive in un determinato luogo,
da parte degli enti addetti alle operazioni di recupero. Appare dunque ben chiara la differente natura dell’attività di tracciamento in chiave di contrasto alla diffusione del COVID 19, o comunque in relazione ad una riattivazione “ottimizzata” di determinate aree del Paese, la quale pare richiedere la definizione di precisi limiti, anche in considerazione degli interrogativi che
essa pone.
Conclusioni
Dall’analisi dei testi normativi analizzati emerge come il legislatore europeo abbia già previsto la possibilità di deroghe, ampie e significative, al diritto alla riservatezza.
In questo quadro, appare però centrale, in relazione all’utilizzo dei dati relativi all’ubicazione geografica diversi da quelli del traffico (e cioè quelli non riguardanti la comunicazione tra due persone) il ruolo degli Stati membri.
Ad essi è infatti demandato il compito di provvedere, con proprie disposizioni legislative, alla definizione di una base giuridica che nel rispetto dei principi di proporzionalità e necessità dovrebbe chiarire quantomeno:
- i soggetti istituzionali preposti all’utilizzo dei dati relativi all’ubicazione geografica;
- la durata di tale attività di tracciamento con l’individuazione di un termine preciso, normativamente fissato, entro cui essa dovrà cessare;
- l’indicazione delle finalità;
- le modalità di utilizzo di tali dati e del loro raffronto con gli spostamenti di terzi, qualora la loro rilevazione presupponga un trattamento in formato non anonimo dei dati di ubicazione della persona fisica;
- il periodo di conservazione dei dati raccolti;
- la verifica periodica, da parte del Garante, delle modalità di utilizzo di tali dati.
Lo snodo è cruciale, dunque: l’impiego delle tecnologie di tracciamento geografico, di chi risulti positivo al test e delle sue interazioni con soggetti terzi potrebbe rappresentare uno strumento potente di lotta alla propagazione del contagio, e un valido alleato anche in chiave di una riattivazione “selettiva” delle attività
economiche.
Centrale però – lo si ribadisce – sarà il ruolo della legislazione che dovranno adottare i singoli Stati membri, cui è demandato il compito di approntare con prontezza e tempestività il quadro normativo “di garanzia” e a presidiare sullo sviluppo e implementazione di tale tecnologia, perchè il bilanciamento non si trasformi in un’assenza di limiti, anche temporali, al diritto alla riservatezza. La tentazione di rimpiangere le “cipolle d’Egitto”, attraversa le storie di crisi di ogni popolo, epoca e nazione
e ci ricorda quanto la libertà sia un talismano etereo, che spesso corre il rischio di essere venduto a prezzo vile.
Mai dunque, come in questo momento, è importante tener saldo il timone, perché l’emergenza non diventi il viatico ad una arbitraria compressione dei diritti e delle forme democratiche, del tutto priva di giustificazione alla luce degli strumenti previsti dal nostro ordinamento.
Autore: Avv. Marco Agostini, Alumnus Executive Master in Turnaround & Change Management CUOA