PRIVACY, nuova vittima del Covid-19?

| 06/04/2020 15:06

Commento a cura del Prof. Avv. Lorica Marturano

Il Consiglio d'Europa, con una dichiarazione congiunta del Chair of the Committee of Convention 108 e del Data Protection of the Council of Europe, è intervenuto sul tema del trattamento di dati nell'ambito delle misure di contrasto al COVID-19.


In sintesi, tale disposizione, nel ribadire la conciliabilità del contrasto al Covid-19 con il quadro normativo esistente, ha comunque ricordato che ogni restrizione è ammissibile, solo se ex lege, a titolo provvisorio e per un periodo di tempo esplicitamente limitato ex ante. Eventuali limitazioni devono rispondere a requisiti molto puntuali, essere in linea con i principi dello Stato di diritto e rispettare i diritti e le libertà fondamentali, costituendo una misura necessaria e proporzionata in una società democratica.


La legislazione emergenziale italiana sulla privacy presenta un'analogia tra l'approccio del Consiglio d'Europa, e le dichiarazioni del Garante per la protezione dei dati personali. Aspetti fondamentali da approfondire sono i criteri di necessità e proporzionalità.


Risulta, in proposito particolarmente interessante il contenuto del parere emesso il 2 febbraio 2020 dal Presidente del Collegio Garante per la protezione dei dati personali in Italia, avente ad oggetto la bozza di ordinanza del Dipartimento della Protezione Civile, conseguente alla citata delibera del Consiglio dei Ministri del 31 gennaio 2020.


Con tale parere, infatti, il Presidente Antonello Soro ha considerato le disposizioni contenute nella menzionata ordinanza idonee a rispettare le garanzie previste dalla normativa in materia di protezione dei dati personali nel contesto di una situazione di emergenza; in tal modo, ha implicitamente affermato che il diritto alla privacy non costituisce un diritto assoluto, ma può essere limitato ai fini del perseguimento di un obiettivo di interesse pubblico generale preminente o per fronteggiare diritti e libertà altrui, giusificando una compressione del diritto alla riservatezza.


Preso atto di questo parere, il Capo del Dipartimento della Protezione Civile, con ordinanza n.630 del 3 febbraio 2020, ha, di fatto, previsto che l'esercizio di alcuni diritti civili fondamentali dei soggetti coinvolti nell'emergenza Coronavirus, tra i quali il diritto alla protezione dei dati personali, possa subire delle compressioni in ragione dell'interesse pubblico generale della tutela della salute. In particolare, nell'art 5 della citata ordinanza, è stato stabilito che, si possa realizzare trattamenti (compresa la comunicazione tra loro) dei dati personali, anche relativi agli artt. 9 e 109 del Regolamento del Parlamento europeo n. 2016/679/UE (G.D.P.R.), necessari per l'espletamento della funzione di protezione civile, al verificarsi dei casi di cui agli artt. 23, commi 1 e 24, del Decreto Legislativo 2 gennaio 2018, n.1, fino al 30 luglio 2020. Il trattamento dei dati deve, comunque, essere effettuato nel rispetto dei principi di cui all'art. 5 del citato G.D.P.R a tutela dei diritti e delle libertà degli interessati.


Con il decreto legge n. 6 del 23 febbraio 2020 abrogato dal decreto legge n.19/2020, per evitare il contagio nei territori nei quali risultasse positiva almeno una persona per la quale non si conoscesse la fonte di trasmissione o comunque nei quali vi fosse un caso non riconducibile ad una persona proveniente da un'area già interessata dal contagio, è stato previsto che "le autorità competenti sono tenute ad adottare ogni misura di contenimento e gestione adeguata e proporzionata all'evolversi della situazione epidemiologica".


Con il D.P.C.M. in data 1° marzo 2020 sono state introdotte ulteriori disposizioni in materia di contenimento e gestione dell'emergenza epidemiologica in questione prevedendo determinati obblighi, operanti sull'intero territorio nazionale, in capo al lavoratore che sia transitato in una zona a rischio


Tale previsione ha generato confusione, perché i datori di lavoro, sia pubblici che privati, hanno effettuato delle raccolte dei dati dei prestatori di lavoro in ordine all'assenza di sintomi influenzali e le vicende relative alla sfera privata.


Gli obiettivi dei datori di lavoro sono stati quelli di garantire la sicurezza dei lavoratori, evitare un'eventuale chiusura dell'azienda da parte delle autorità preposte e scongiurare il pericolo di una eventuale quarantena di tutti i colleghi di un lavoratore eventualmente positivo al test. Tuttavia, tali misure hanno provocato la reazione dei sindacati, considerate lesive della privacy ed illegali, in quanto in contrasto con l'art. 5 dello Statuto dei Lavoratori e il D.P.C.M. in materia di coronavirus che attribuiva tale competenza al solo personale della sanità pubblica.


Si potrebbe in realtà ritenere che, teoricamente, il lavoratore avrebbe facoltà spontaneamente di prestare il proprio consenso esplicito a tali misure, sulla base del menzionato art. 9, comma 2, lett. a), del G.D.P.R.


Tuttavia, tale interpretazione non appare condivisibile in quanto il nominativo del dipendente in linea di massima non costituisce un dato anonimo e minimizzato, il lavoratore è – spesso – in stato di soggezione nei confronti del datore di lavoro ed, infine, la sorveglianza sanitaria non è di competenza del datore di lavoro, ma del solo medico competente.


Interpellato al riguardo in data 2 marzo 2020, il Garante ha precisato che "I datori di lavoro devono (…) astenersi dal raccogliere apriori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contati più stretti o comunque rientranti nella sfera extra lavorativa", pur "restando fermo l'obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro".
In una successiva intervista rilasciata all' ANSA il 17 marzo, il Presidente dell'Autorità Garante della Protezione dei Dati Personali, non si è mostrato categorico nel porre veti a priori alla possibilità del Governo e del Parlamento di approvare una regolazione che abbia maglie più larghe per l'utilizzo della tecnologia al fine di contenere l'emergenza. Sul punto ha dichiarato: "Non esistono preclusioni assolute nei confronti di determinate misure in quanto tali. Vanno studiate però molto attentamente le modalità più opportune e proporzionate alle esigenze di prevenzione, senza cedere alla tentazione della scorciatoia tecnologica solo perché

apparentemente più comoda". Ha, inoltre, escluso la possibilità di una sorveglianza di massa, osservando che nell'esperienza cinese e sud coreana vi è stata una deroga eccessiva al diritto alla privacy, ma sarebbe comunque possibile introdurre nel nostro Paese alcune limitazioni al ricorrere di determinate condizioni.


Il Governo, intanto, con D.L. n. 18 del 17 marzo 2020, ha emanato nuove misure di potenziamento del servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all'emergenza epidemiologica da Covid-19. In particolare, all'art. 76, viene istituito un Gruppo di Supporto digitale presso la Presidenza del Consiglio dei Ministri per l'attuazione delle misure di contrasto all'emergenza, prevedendo che il Presidente del Consiglio dei Ministri, fino al 31 dicembre 2020 si avvarrà di un contingente di esperti, in possesso di specifica ed elevata competenza nello studio, sviluppo e gestione di processi di trasformazione tecnologica, con particolare riferimento alla introduzione di soluzioni di innovazione tecnologica e di digitalizzazione della P.A. Tale previsione farebbe presagire un utilizzo più mirato all'uso della tecnologia per far fronte all'emergenza e una durata non breve della stessa.


Il D.L. n. 14 del 9 marzo 2020 ribadisce sostanzialmente le regole di cui alla citata ordinanza del Capo della Protezione Civile, estendendole dove ritenuto necessario; al comma 134 consente ai titolari del trattamento di poter conferire l'autorizzazione a fornire le informative ed individuare gli autorizzati al trattamento in modo semplificato; mentre l'ultimo comma prevede una clausola di garanzia, in base alla quale alla fine dell'emergenza i titolari del trattamento devono ricondurre "i trattamenti di dati personali effettuati nel contesto dell'emergenza, all'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti dei dati personali".


L'intero quadro di regole stabilite per il trattamento dei dati personali nel corso dell'emergenza richiama il rispetto dei principi di cui al citato art. 5 del G.D.P.R., adottando misure appropriate rispetto alla finalità di contenimento del contagio.


Il decreto legge all'art. 14 indica alcune disposizioni in materia di trattamento dei dati personali nel contesto emergenziale. Il comma 1 prevede che fino al termine dello stato di emergenza deliberato in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall'emergenza sanitaria a carattere transfrontaliero, mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del SSN, i soggetti operanti nella protezione civile, le autorità sanitarie ed in generale tutti i soggetti coinvolti nell'emergenza come elencati nel D,P,C.M. del 5 marzo 2020 , "anche allo scopo di assicurare la più efficace gestione dei flussi e dell'interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del G,D.P.R., che risultino necessari all'espletamento delle funzioni attribuitegli nell'ambito dell'emergenza determinata dal diffondersi del Covid-19".


Questi trattamenti vengono effettuati nel rispetto del G.D.P.R. e, nello specifico, degli articoli 9, paragrafo 2, lettera g (motivi di interesse pubblico), h (medicina preventiva) e i (motivi di interesse pubblico nel settore della sanità pubblica) e dell'articolo 10 (trattamento dei dati personali relativi a condanne penali e reati), nonché nel rispetto del codice della Privacy, come modificato dal decreto legislativo n. 101/2018, articolo 2 sexies, comma 2, lettere t (attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale) ed u (compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica).


Al comma 2, inoltre, è previsto che la comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli artt. 9 e 10 del G.D.P.R. è effettuata nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto.


E' significativo, da ultimo, che il decreto preveda che, avuto riguardo alla necessità di contemperare le esigenze di gestione dell'emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1, possono conferire le autorizzazioni di cui all'art. 2 quaterdecies del codice della Privacy con modalità semplificate, anche oralmente. Quest'ultima norma ha introdotto una figura ulteriore rispetto all'incaricato previsto dall'art. 19 del G.D.P.R., ossia una persona fisica espressamente designata a cui, titolare e responsabile possono assegnare, specifici compiti e funzioni connessi al trattamento di dati personali.


Si tratta di una disposizione dettata dall'esigenza di far fronte al momento emergenziale, ma che potrebbe dar luogo a contenziosi in una fase successiva per l'accertamento di eventuali responsabilità.


Gli obblighi del datore di lavoro e del lavoratore. In seguito al parere del Garante del 17 marzo 2020 ed alle proteste dei sindacati, le aziende hanno stabilito di limitarsi ad effettuare una mera informativa in ordine ai comportamenti da tenere, rendendo volontaria la misurazione della temperatura.


Alla luce delle considerazioni di cui sopra, diventa difficile il contemperamento degli interessi in gioco. Una soluzione prospettata da una dottrina (cfr Sara Cadelano in "Ambiente Diritto, anno 2020) suggerisce di consentire al datore di lavoro, in questi casi di avvalersi del medico competente per l'effettuazione dei suddetti controlli, in maniera tale da minimizzare i dati (conformemente a quanto previsto dal G.D,P.R,) e, contestualmente, tutelare la sicurezza del lavoro e dei lavoratori (come previsto dal decreto legislativo n, 81/2008 e ss,mm.ii., T.U. sulla salute e sicurezza sul lavoro").


Infatti, "ai sensi dell'art. 2087 c.c., la misurazione della temperatura corporea ed il rilascio di dichiarazioni aventi i contenuti sopra indicati possono essere considerati come misura di gestione preventiva dell'emergenza, a condizione che la sorveglianza sanitaria dei dipendenti sia demandata al medico competente e nel rispetto di quanto disposto dall'art. 5 dello "Statuto dei Lavoratori".


A tal fine il datore di lavoro dovrà procedere ad aggiornare il documento di valutazione del rischio (D.V.R.), indicando il medico competente che stabilisca tali pratiche come adatte a prevenire il rischio di diffusione del Coronavirus, con criteri di diligenza e prudenza.


Un esempio di tale prassi si è avuta nelle carceri dove il direttore sanitario è stato incaricato di tali adempimenti.


Occorre considerare, tuttavia, la necessità di una linea d'azione comune tra i diversi paesi dell'Unione Europea, anche in considerazione dell'esistenza di numerose aziende che hanno sedi e stabilimenti sparsi in diversi Paesi membri.


Con riferimento ai dati inerenti il Covid-19 trattati in ambito lavorativo, il Consiglio d'Europa richiama le linee guida della Raccomandazione CM/Rec (2015), esortando gli Stati ad evitare misure di monitoraggio dei dipendenti, tenendo a mente che misure non intrusive devono essere considerate prioritariamente nell'organizzazione delle attività e delle condizioni lavorative.


Anche in Italia si sta tentando un approccio tecnologico con soluzioni, basate su App già disponibili, allo studio del ministero dell'Innovazione. Tra queste, le più ricorrenti, sono:
-il gps - più invasivo - solo per avere dati aggregati utili a identificare nuovi focolai e, al limite, studiare il rispetto delle misure da parte della popolazione in generale;
-il bluetooth per tracciare in modo più individuato le persone, ma con tecniche di pseudo-minimizzazione e crittografia, in modo da proteggerne l'identità (che può restare ignota anche al Governo).


Proposta da un team internazionale e promossa dall'esperto di Intelligenza Artificiale presso la Commissione Europea Stefano Quintarelli, "Coronavirus Outbreak Control" mira ad un monitoraggio "a stretto contatto" delle persone infette. Tale soluzione "in formato App", chiamata "Covid Anonymous Tracker" fa in modo che ogni dispositivo mobile abbia un unico ID anonimo, che può essere installato a distanza usando la tecnologia Bluetooth. In questo modo, il sistema esegue una scansione continua dei dintorni e raccoglie l'ID del dispositivo che sta vicino al proprio, memorizzandolo in un unico database centralizzato e sicuro in modalità cloud. I dati degli individui affetti da Covid-19 vengono aggiornati giornalmente, cosicchè, se l'interessato risulti essere stato in prossimità di una persona infetta durante gli ultimi 14 giorni (tempo della quarantena), sarà informato ricevendo un'istruzione chiara sui passi da seguire.


A differenza delle alte soluzioni il sistema non adotta una tecnologia GPS, che avrebbe una precisione da 10 metri a 60 metri, bensì utilizza una misurazione ad alta precisazione a breve distanza mediante l'uso di una tecnologia basata sul bluetooth LE (a basso consumo energetico), preciso anche con distanze inferiori 3 metri, e rientrante alla perfezione nel raggio di contagio fisico.


Tale sistema garantisce l'anonimato e la conformità al G.D.P.R. in quanto si basa su dati anonimi, come l'ID dell'utente, la durata in secondi dell'interazione tra utenti, la distanza in metri dei diversi dispositivi di rilevamento; tutto senza l'utilizzo di dati personali "sensibili".


La soluzione adottata dal Centro Medico Sant'Agostino, invece, a differenza della precedente soluzione, riguarda un'App che utilizza sia il GPS, sia alcuni sensori presenti sui dispositivi, affinchè possano essere tracciati nuovi focolai di Covid-19. L'App è in grado di monitorare gli spostamenti effettuati dalla persona che risulterà positiva e di rintracciare e avvertire tempestivamente coloro che gli sono stati vicino nei giorni prima del contagio, rispettando l'anonimato e con il consenso all'installazione del dispositivo.


L'App funziona mediante l'incrocio dei dati acquisiti mediante GPS/sensori dello smartphone con i dati statistici forniti dall'Istat e può essere utilizzata volontariamente come una sorta di diario clinico nel quale annotare le proprie condizioni di salute.


Per quanto attiene la protezione dei dati l'App non richiede alcun dato personale, se non username e password, obbligatori al solo fine di registrazione e di utilizzo dell' App.


Un'altra soluzione è stata prospettata dall'università di Pisa, che utilizza il bluetooth e tecniche di pseudo-anonimizzazione (AlxlA). L'idea originale è quella di sfruttare nodi distribuiti sul territorio (nodi attivi) che scansionano l'area al suo intorno, per rilevare la presenza di nodi passivi. In tutti luoghi pubblici, locali, aziende, mezzi pubblici, dovrebbe essere attiva la funzione di raccolta presenze anti Coronavirus. Un QRCode esposto al pubblico riporta i dati del locale e le condizioni di trattamento dei dati. I cittadini sono tracciati non con l'App , ma con un qualunque dispositivo mobile dotato di bluetooth in loro possesso. Il tracciamento, senza scambi di dati personali, avviene ogni volta che il suo nodo passivo entra in contatto con un nodo attivo.
I cittadini risultati positivi al virus devono fornire i propri ID bluetooth in anonimato, che andranno così a popolare una mappa pubblica, con ore e luoghi dove sono stati.


Con il progetto "Innova per l'Italia", nato su iniziativa congiunta del Ministro per l'Innovazione Tecnologica e la Digitalizzazione, del Ministro per lo Sviluppo Economico e del Ministro dell'Università e della Ricerca, insieme ad Invitalia, a sostegno della struttura del Commissario Straordinario per l'emergenza Coronavirus, è stato formulato un invito ad aziende, università, enti e centri di ricerca pubblici e privati, associazioni, cooperative, consorzi, fondazioni e istituti a rendere disponibili le proprie tecnologie, per produrre soluzioni finalizzate alla prevenzione, alla diagnostica, al monitoraggio del morbo sull'intero territorio nazionale e a mettere a disposizione soluzioni di telemedicina e tecnologie di data analysis per la gestione del contagio.


L'obiettivo è quello di mettere a fattor comune tecnologie e innovazione per combattere il coronavirus. L'articolazione avviene in tre call for action e due fast call, le prime finalizzate al reperimento di dispositivi di protezione individuale(mascherine) e respiratori artificiali, alla produzione di tamponi e altri strumenti per la diagnosi facilitata e veloce, nonché allo sviluppo di tecnologie e strumenti per il contenimento, monitoraggio e contrasto alla diffusione del virus.
Tutte le call for action, invece, si rivolgono ad aziende che già producono queste soluzioni, imprese che intendono riconvertire o re-indirizzare la propria attività verso la produzione di questi strumenti e servizi, a centri di ricerca, università o altri soggetti che hanno già a disposizione piattaforme con tali caratteristiche, oppure che si possano facilmente conformare.
Alle call for action si sono aggiunte due fast call finalizzate al reperimento di tecnologie e soluzioni per il tracciamento continuo e l'alerting; esse sono rivolte a P.A., aziende e organizzazioni che hanno già realizzato soluzioni tecnologiche nell'ambito della Telemedicina e della Data Analysis.


Anche l'astrofisica potrebbe essere utilizzata nella lotta al Coronavirus, in quanto i laboratori e le officine dell'Istituto Nazionale di Astrofisica (I.N.A.F.), specializzati nello sviluppo di sofisticata strumentazione per osservazioni astronomiche da terra e dallo spazio, stanno mettendo in campo apparati tecnologici e competenze professionali.


Sono state studiate dall'I.N.A.F. le implicazioni tecnologiche ed epidemiologiche per individuare gli effetti di disinfezione sul virus Sars-Cov2 da parte della luce UV a diverse lunghezze d'onda (anche quelle emesse dal sole); numerose le idee e servizi: dall'uso immediato di stampanti 3D dei propri laboratori per fabbricare raccordi di emergenza per apparati di ventilazione, allo sviluppo di App per la telemedicina, fino all'implementazione di sistemi innovativi di monitoraggio e diagnostica di persone potenzialmente infette basati su sistemi già utilizzati in ambito astronomico e spaziale.


In conclusione, va detto che le disposizioni del Garante per la protezione dei dati personali non sono esaustive e incidono sul nostro sistema della privacy messo in pericolo continuamente dai nuovi strumenti tecnologici.


Pertanto, non dovrebbe essere necessario rivedere le norme in materia di protezione dei dati personali, che prevedono delle eccezioni per contrastare le emergenze, soprattutto sanitarie. Quindi, pur essendo necessario il bilanciamento con gli altri diritti, non vanno messi in secondo piano il diritto alla dignità, alla reputazione, all'autodeterminazione, elementi base per garantire la vita di un individuo in una società democratica.


Siamo di fronte ad un fenomeno di tale gravità, che i suoi effetti si rifletteranno anche sul funzionamento di tutto il nostro sistema economico e sociale, in tutte le sue componenti, anche quello della tutela della privacy, con una inevitabile compressione dei diritti fondamentali dell'individuo, anche se il modello garantista italiano ed europeo sembrerebbe limitare solo minimamente il perimetro del diritto alla privacy.

Vetrina