Uno dei temi maggiormente dibattuti degli ultimi giorni, a livello non solo nazionale ma soprattutto europeo, ha riguardato la possibilità di limitare lecitamente alcune libertà fondamentali, prima fra tutte il diritto alla privacy, per arginare la diffusione della pandemia. Tale disquisizione si pone all’interno di un più ampio dibattito sul rispetto dei diritti fondamentali in generale ed in particolare sul principio democratico. In questo quadro analizzeremo la possibilità di applicare il c.d. modello cinese e degli altri paesi orientali, di lotta contro il coronavirus, in Europa, alla luce del Regolamento Europeo sulla Protezione dei Dati Personali 679/2016, della Carta dei Diritti Fondamentali dell’UE, della CEDU e della giurisprudenza della Corte di Giustizia Europea.
La sorveglianza intrusiva
Il Covid-19 ha contribuito ad implementare l’imperialismo digitaledella Cina, caratterizzato da un ampio sistema di sorveglianza pubblica dei cittadini. Le telecamere infatti sono giunte fin dentro le abitazioni e le metropolitane, permettendo così alle autorità di collegare direttamente i volti dei passanti, tramite un sistema di riconoscimento facciale, alle informazioni dei loro dispositivi elettronici (smartphone, tablet e laptop), i cui dati erano già stati acquisiti attraverso l’uso di determinate stazioni radiobase[1]. Il Governo cinese, inoltre, per monitorare gli spostamenti della popolazione, non ha creato un’apposita app, bensì si è servito di app largamente utilizzate dalla stessa, quali Alipay o WeChat, evitando così il rischio che non venissero scaricate.
Il Reg. (Ue) 2016/679ostacola l’adozione delle misure designate per combattere il Covid-19?
Ci si è chiesti più volte se la normativaeuropea sulla protezione dei dati personali fosse compatibile con l’adozione di misure stringenti volte a contrastare la diffusione del coronavirus. Le risposte a questo interrogativo vengono fornite dallo stesso GDPR: il diritto alla protezione dei dati personali non è un diritto assoluto ma deve essere considerato in relazione alla sua funzione sociale ed essere bilanciato con gli altri diritti fondamentali, nel rispetto del principio di proporzionalità. In particolare, con l’art. 9.2 lettera c) ed i) del Reg. (Ue) 2016/679viene espressamente derogato il divieto al trattamento di particolari categorie di dati personali, i c.d. dati “personalissimi”, tra i quali rientrano i dati relativi alla salute, ogniqualvolta il trattamento sia necessario per tutelare gli interessi vitali dell’interessato o di altra persona fisica nonché per motivi di interesse pubblico rilevanti nel settore della sanità pubblica, sulla base del diritto dell’Unione o degli Stati membri. Inoltre, lo stesso articolo 6.1 lettera d) ed e) del GDPR considera lecito il trattamento dei dati personali quando risponde ad interessi vitali dell’interessato o di altra persona fisica nonché nel caso in cui sia necessario per l’esecuzione di un compito di interesse pubblico di cui è investito il titolare del trattamento (le autorità sanitarie pubbliche ad esempio). Tali articoli devono essere considerati il fondamento normativo che legittima le limitazioni delle libertà fondamentali in caso di emergenza sanitaria, anche in considerazione dell’esplicito riferimento fatto dal considerando n. 46 del GDPR alle epidemie e al rischio della loro diffusione.
A tal proposito, si è anche espresso l’European Data Protection Supervisor (EDPS) il 6 aprile 2020. Wojciech Wiewiórowski ha infatti affermato che in questa situazione di emergenza sanitaria globale le insolite modalità di trattamento dei dati personali, compresi quelli sulla salute, debbano considerarsi necessarie. L’EDPS si è inoltre impegnato a collaborare con la Commissione per garantire che tutte le misure adottate a livello europeo e nazionale siano: temporanee e proporzionate agli obiettivi perseguiti, precisando che l’accesso ai dati dovrà essere limitato e che dovrà essere ben chiara la via per tornare alla normalità una volta trascorso questo periodo emergenziale.
Il contact tracing, come sottolineato dallo stesso European Data Protection Supervisor, sembra offrire un valido strumento di prevenzione e contenimento del coronavirus nel rispetto della privacy e della tutela dei dati personali. Tale strumento consente la mappatura a ritroso dei contatti tenuti dai soggetti covid positivi durante il periodo dell’incubazione, grazie all’uso della tecnologia bluetooth e all’incrocio di dati diversi derivanti da interazioni con altri dispositivi. Tale soluzione presuppone però la possibilità, non solo economica ma anche cognitiva, della popolazione di possedere uno smartphone e utilizzare determinate funzioni.
La fase successiva alla rilevazione dei dati consiste nella conservazione degli stessi in vista del loro eventuale utilizzo. In particolare, il tracciamento viene affidato a un flusso di dati pseudonimizzati, i quali non sempre potranno essere reidentificati in caso di contatto con soggetti covid positivi, come previsto ad esempio dall’app Immuni in Italia. Il periodo di conservazione dei dati dovrebbe comunque limitarsi al tempo strettamente necessario alla rilevazione dei potenziali contagiati.
L’intervento umano del medico sul processo algoritmico richiesto dal Regolamento 2016/679 consentirebbe di evitare la totale soggezione umana a decisioni automatizzate, correggendo inoltre eventuali inesattezze.
Questa misura si differenzia, dunque, non solo dalla geolocalizzazione per il suo scopo solidaristico e non repressivo/di sorveglianza della quarantena obbligatoria, ma anche dal sistema cinese, laddove il consenso al trattamento non è affatto valido, essendo una condizione necessaria per usufruire di semplici funzioni di uso quotidiano, come fare un acquisto online (Alipay) o pubblicare una foto, acquistare un biglietto, cercare un’offerta o ancora mandare un messaggio (WeChat). Tale modus operandi, qualora fosse applicato in Europa, risulterebbe in netto contrasto con l’art. 7.4 del GDPR.
Gli standard richiesti dalla legge europea nella limitazione del diritto alla privacy
L’applicabilità in ambito europeo delle misure adottate nel mondo orientale per combattere la diffusione del virus deve essere valutata anche alla luce degli artt. 7 e 8 della Carta dei diritti fondamentali dell’UE, i quali tutelano, rispettivamente, il rispetto della vita privata e familiare e la protezione dei dati di carattere personale. Tuttavia, come si evince dalla lettura della stessa Carta, tali diritti non sono diritti assoluti. L’art. 52 della Carta di Nizza precisa infatti che possono essere apportate limitazioni a tali libertà fondamentali, purché sussistano determinati presupposti espressamente indicati. Precisamente, ogni limitazione dovrà essere prevista dalla legge (riserva di legge), il nucleo essenziale di tali diritti dovrà comunque essere rispettato e le stesse dovranno rispondere ad un interesse generale riconosciuto dall’Unione Europea. Inoltre, viene richiesto che la valutazione venga assolta tenendo conto del principio di necessità e proporzionalità.
Pertanto, nel caso in esame, si dovrà valutare se le misure adottate dalla Cina e dagli altri paesi orientali siano idonee a limitare il diritto alla protezione dei dati personali e alla privacy alla luce dell’obiettivo generale perseguito, ossia la salute pubblica, effettuando una valutazione sulla necessità e, nel caso in cui questa abbia avuto esito positivo, sulla proporzionalità delle risposte date.
Ad entrare in gioco, a tal proposito, è anche l’art. 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU), il quale riconosce il diritto al rispetto della vita privata e familiare. Tale articolo vieta l’ingerenza delle autorità pubbliche nella sfera privata dei singoli, salvo il caso in cui questo abbia base legale e sia necessario alla sicurezza nazionale, alla tutela della salute pubblica o alla protezione dei diritti e libertà altrui. Pertanto, anche tale norma parrebbe autorizzare la limitazione del diritto fondamentale alla vita privata qualora sia necessario per garantire la sicurezza nazionale e la salute pubblica.
Nel 2016 le autorità europee per la protezione dei dati hanno formulato un elenco di requisiti per i meccanismi di sorveglianza che interferiscono con il diritto alla privacy e alla protezione dei dati. Successivamente, la Corte di Giustizia dell’Unione Europea ha confermato le linee guida utilizzate dalle autorità di protezione dei dati e sono state stilate le c.d. “European Essential Guarantees”. Le stesse, così come recentemente sottolineato dall’European Data Protection Supervisor, sono così riassumibili:
- il trattamento dovrà basarsi su regole chiare, precise e accessibili
- i principi di necessità e proporzionalità dovranno essere rispettati e dimostrati
- dovrà sussistere un sistema di controllo indipendente
- dovranno essere individuati e introdotti rimedi efficaci per i singoli; come la possibilità di richiedere l’intervento umano ove siano previste misure completamente automatizzate
Il bilanciamento di diritti fondamentali al tempo del coronavirus
In un’ottica di bilanciamento di diritti fondamentali confliggenti, il diritto alla privacy e alla protezione dei dati personali, da un lato, e il diritto alla salute pubblica e sicurezza nazionale dall’altro, questi ultimi devono ritenersi prevalenti rispetto ai primi purché vengano rispettati i criteri di liceità, trasparenza e minimizzazione (art. 5 GDPR), necessità e proporzionalità, rimarcati dalla giurisprudenza europea. L’osservanza dei principi di base della protezione dei dati contribuirà anche a garantire il “buy-in” da parte dei singoli e a prevenire il contraccolpo pubblico contro le misure di raccolta ed elaborazione dei dati.
Sebbene, dunque, come dichiarato dallo stesso Antonello Soro, “Il modello cinese, con la sua sorveglianza totale, figlia di una sorta di imperialismo digitale, non può essere un nostro riferimento”, in una situazione emergenziale, come quella che stiamo vivendo, sembrerebbe potersi affermare che sussistano i presupposti previsti dalla normativa europea per lecitamente limitare diritto alla privacy e alla protezione dei dati, nel rispetto delle c.d. “European Essential Guarantees”.
Tuttavia, come evidenziato dall’EDPS, sarebbe auspicabile l’adozione di un modello unitario di contact tracing a livello europeo coordinato con l’Organizzazione Mondiale della Sanità (OMS), per garantire a livello globale la protezione dei dati personali in maniera ben definita fin dall’inizio.
[1]Si tratta di ‘infrastrutturabase della telefonia cellulare– impropriamente chiamata ripetitore– usata nei radiocollegamentidelle reti mobili cellularinell’interfaccia radiodel sistema cellulare.