"Coronavirus e privacy": possibilità di legittimare operazioni di geolocalizzazione

| 06/04/2020 10:17

di Bonaventura Franchino, avvocato in Roma e Napoli e membro del comitato scientifico nazionale della fondazione School University e Angelo Ruggiero, docente SSM, direttore scientifico della fondazione School University


E' di dominio pubblico la notizia che, esponenti della Giunta della Regione Lombardia, dopo aver riscontrato il mancato rispetto dei decreti del presidente del consiglio, in relazione all'obbligo di restare in casa (una percentuale di cittadini quantificata intorno al 40%), abbiano espressamente cercato di dare seguito a tali problematiche richiedendo l'uso delle celle telefoniche, onde poter monitorare cittadini, accertati come positivi, nei loro spostamenti.

Analogamente è pacifico quanto oggetto di richiesta al dr. Soro, garante sulla privacy, in relazione alla possibilità di far uso di tale sistema al fine di monitorare e favorire il rispetto della normativa adottata per evitare il propagarsi del Virus.

E', altresì, noto il provvedimento con cui il garante ha dichiarato l'ammissibilità del ricorso a tale procedura a condizione del rispetto di protocolli ad hoc a tal fine predisposti dal suo ufficio ed alla concorrente condizione della transitorietà di tale impiego e del fatto che i nomi delle persone vengano criptati, lasciando la possibilità decriptarli solo al ministero dell'interno.

Quanto sopra, ad oggi, per fortuna solo nelle intenzioni, suscita molte perplessità in tema di libertà e violazione di diritti fondamentali dei cittadini; tale considerazione, nonostante il fine che si intende perseguire e del parere espresso in tal senso da illustri costituzionalisti teso a dichiararne la legittimità purché tale sistema sia preordinato a salvare delle vite umane.

Allo stato, la tutela dei diritti e delle libertà fondamentali riguardo al trattamento dei dati personali sono disciplinate dal regolamento UE n.679/2016 c.d. GDPR, strumento teso ad elevare il livello di protezione dei dati personali, ritenuto bene assoluto, poiché espressione della libertà di ogni individuo e, quindi, meritevole della massima tutela.

Con tale norma, ancora meritevole di aggiustamenti, sono state poste in essere le basi fondanti ed i cardini a base della privacy e, quindi, di principi quali la trasparenza, coerenza liceità, correttezza, limitazione delle finalità e responsabilizzazione, cristallizzati nell'art 5 del GDPR.

Tali principi debbono ritenersi fondanti di una moderna e civile società, per cui tali da non poter essere derogati neanche in periodi emergenziali, quali quello in cui siamo costretti a vivere adesso.

Pur consapevoli della gravità dell'attuale momento e del fatto che il flusso degli spostamenti si sia ridotto solo del 60% (cfr indagini effettuate da compagnie telefoniche) e, quindi, del mancato rispetto dei decreti del PCM, dobbiamo necessariamente porci il quesito circa la liceità o meno di simili deroghe al GDPR.

Il dr. Soro, garante della privacy, si è pronunciato dichiarando che "… in momenti come questo … ci sono naturali e dovute limitazione alla privacy e alle nostre libertà…" e che tali limitazioni vadano valutate e previste bilanciando la tutela dei diritti fondamentali, individuali e collettivi, con la tutela della salute.

A tal riguardo, è bene evidenziare che l'art.9, par.2 lett. i) del GDPR prevede espressamente che possa essere attuata una deroga a tale diritto (cfr non è vietato il trattamento dei dati) se il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica… .

Oltre a quanto sopra, è bene evidenziare che all'art 52 del GDPR è prevista la possibilità di derogare al divieto di trattare dati personali in tutte le ipotesi in cui ciò è previsto dal diritto dell'Unione e degli stati membri, con la salvezza del rispetto di adeguate garanzie, per finalità di sicurezza sanitaria, controllo e allerta, prevenzione e controllo di malattie trasmissibili e altre minacce gravi alla salute. In tale ipotesi la deroga, si ritiene ammissibile al fine di consentire di trattare tali dati di guisa da consentire la difesa del diritto sia in sede giudiziale che stragiudiziale.

A tal proposito, giusta quanto già riferito in precedenza, è opportuno ribadire che il dr. Soro, su espressa richiesta di parere del capo della protezione civile, esprimendosi favorevolmente alla deroga, aveva indicato le misure ammesse e le limitazioni poste nell'ambito del trattamento dei dati personali per contrastare il rischio di contaminazione da coronavirus.

Tale problematica è potenzialmente scaturita dalle indagini svolte dalla Regione Lombardia, con le precisazioni rese dai suoi responsabili che hanno dichiarato di aver ottenuto dati generalizzati e massivi con la unica finalità di verificare la quantità dei dispositivi presenti nell'area di loro pertinenza nel periodo successivo alla imposizione delle restrizioni rispetto al periodo precedente.

Ciò premesso passiamo a riferire della paventata ipotesi di monitoraggio su base personale e, quindi, della raccolta dei dati relativi a soggetti ben determinati, nei loro spostamenti.
In tale ipotesi, ai sensi dell'art.9 del GDPR, è consentita la possibilità di procedere al citato monitoraggio solo previo tassativo consenso da parte dell'interessato; difatti, è escluso tale obbligo solo in presenza di provvedimenti dell'autorità giudiziaria.

In ragione di quanto ora detto, deve ritenersi illegittima, in quanto in violazione dei diritti fondamentali del cittadino, qualunque operazione di geolocalizzazione, sebbene effettuata in periodo di grave emergenza sanitaria.

Quindi, si ritiene da escludere l'ammissibilità di un provvedimento che, in modo generalizzato e su base massiva, preveda operazioni di geolocalizzazione e controllo, senza la preventiva predisposizione di mezzi e strumenti di tutela in favore dei soggetti interessati; difatti, in assenza di un preciso progetto, predisposto preventivamente ed ispirato ai principi fissati nel GDPR (trasparenza, proporzionalità e coerenza tra obiettivo e strumenti) ogni provvedimento è da ritenere del tutto estraneo al nostro ordinamento giuridico ed ai principi fissati dal GDPR.

Pur nella condivisione della gravità del momento che viviamo, appare, comunque, estraneo alla nostra cultura giuridica qualsivoglia provvedimento, anche solo astrattamente, idoneo a violare i diritti di ogni cittadino, così come consacrati nella nostra carta costituzionale.

Di conseguenza, ogni richiamo a modelli operativi sperimentati in altre aree geografiche è totalmente distante (non soltanto geograficamente) dalla nostra cultura giuridica, tesa al rispetto della persona ed alla sua privacy.

A mero scopo di completezza, si reputa opportuno evidenziare come, a seguito della dichiarazione resa dall'OMS in data 25 marzo scorso, è in atto, da parte degli stati europei, la valutazione circa l'adozione di provvedimenti atti a tutela della salute, eventualmente comportanti conseguenze in relazione al trattamento dei dati personali, sanitari, di geolocalizzazione nonché di profilazione.

Conseguenza naturale è stata la manifestata preoccupazione tanto del Garante quanto dell'EDPB circa gli adottandi provvedimenti, invocando la loro legittimità ed estrema transitorietà; a tanto ha fatto seguito una dichiarazione dell'EDPB che, evidenziando la stringente esigenza di fornire adeguata tutela dei dati personali e delle persone fisiche interessate, ha individuato i punti di cui tener espressamente conto nell'operare le restrizioni di cui si è parlato.

Sono state elencate le peculiarità che dovrà connotare ogni provvedimento che, analogamente a quelli da noi già in precedenza individuati, consistono nella liceità del trattamento, principi fondamentali del trattamento, utilizzo dei dati di localizzazione e contesto lavorativo.

Solo in tale circostanza hanno ritenuto legittima l'adozione di provvedimenti restrittivi dei diritti del cittadino al fine di controllare l'evoluzione della pandemia a mente di quanto disposto dall'art.46, 9,2 lett. i) e c) del GDPR; Il tutto come meglio riferito in precedenza, i cui concetti sono stati reiterati; unica nota aggiuntiva è stata in relazione alla figura del datore di lavoro, ritenuto idoneo ad ottenere i dati personali del contagio solo al fine di ottemperare ai propri doveri e di poter porre gli strumenti più opportuni a tutela della salute.

Analogamente, è da rilevare che è intervenuta sul tema anche l'associazione AIDR al fine di ribadire l'esigenza di contemperare la tutela della salute con i diritti del cittadino sollecitando il rispetto di particolari aspetti, quali il rispetto dei diritti fondamentali, protezione dei dati anche in una ottica futura, temporaneità e trasparenza delle misure tecniche, nessuna monetizzazione di guadagno nell'utilizzo di dati. La stessa, in virtù di esperienza maturata nel settore della privacy ed in special modo nella gestione delle tecnologie a tutela della stessa, evidenzia la possibilità di poter agire con un'app già esistente denominata "SOS Italia" che, integrata con il sistema Spid, potrebbe fornire quelle garanzie di cui meglio abbiamo parlato in precedenza. Il tutto, sempre nel rispetto dei principi e garanzie più volte indicate.

In conclusione, come già riferito in precedenza, il nostro parere è negativo circa la possibilità di derogare dal rispetto dei diritti personalissimi, di cui si è già riferito innanzi, in quanto ritenuti primari; in caso di eccezionale gravità e con efficacia legata alla emergenza, la deroga può essere operata con la massima cautela nel rispetto dei diritti così come tutelativi sia dalla vigente normativa che dal GDPR e sempre di durata limitata.

Vetrina