Le disposizioni relative al contenimento del rischio Covid-19 che si stanno susseguendo a ritmo frenetico in questi giorni, toccano anche il delicato tema del diritto alla protezione dei dati personali.
La domanda che dobbiamo porci è se le norme italiane, possano consentire il tracciamento degli individui, attraverso modalità di comunicazione elettronica, in periodo di pandemia.
La risposta, si anticipa, è si.
Vediamo a quali condizioni.
Innanzitutto dobbiamo rilevare come si versi uno stato di eccezionalità, derivante dalla pandemia in corso, tale da far ritenere applicabile ad esempio la disposizione dell’art 16 della Costituzione, a mente del quale, “ Ogni cittadino può circolare e soggiornare liberamente in qualsiasi parte del territorio nazionale, salvo le limitazioni che la legge stabilisce in via generale per motivi di sanità o di sicurezza”.
Le limitazione sono state estrinsecate con forza di legge anche nel settore della protezione dei dati personali, con l’art 14 del Decreto Legge 9 marzo 2020, n 14 “Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19”. La norma consente di fatto al sistema nazionale di prevenzione e contenimento del contagio, la deroga alla disciplina della protezione dei dati personali dei cittadini sino al termine dello stato di emergenza dichiarato il 31 gennaio 2020.
Non è la prima volta che il Governo Italiano sospende le disposizioni nazionali ed internazionali in materia di privacy ( rectius diritto alla protezione dei dati personali).
Dal 1° Aprile 2020 infatti in base alla Legge di Bilancio 2020, entra in scena in materia fiscale il c.d. Evasometro anonimizzato, ovvero un algoritmo, molto elaborato, tale da permettere il controllo di tutti i rapporti di natura economica e finanziaria dei cittadini.
La misura ha già sospeso in materia fiscale la disciplina della protezione dei dati personali, generando molto dubbi sul rispetto dei diritti e libertà fondamentali dell’individuo e sul fatto che tali misure siano necessarie, proporzionate e coerenti con i principi di una società democratica.
In altre parole sembra evidente in quel caso la violazione dell’art. 23 del Regolamento europeo sulla protezione dei dati e della carta dei diritti fondamentali dell’Unione europea.
Questi dubbi non sembrano invece sussistere per la risposta dell’ordinamento italiano all’epidemia COVID.Le norme comunitarie e nazionali, essenzialmente l’articolo 9, paragrafo 2, lettere g), h) e i), e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonche’ l’articolo 2-sexies, comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, consentono ai singoli Stati ( e nel caso specifico all’Italia) di adottare misure straordinarie in caso di gravi minacce per la salute e la sicurezza sociale.E così anche, nel settore delle comunicazioni elettroniche dall’art 15 della Direttiva e-Privacy
In questo contesto, ed a fini emergenziali, sembra possibile spingersi ancora più là nelle tecnologie di tracciamento dell’individuo, consentendo alle Autorità di superare in via temporanea anche la disciplina prevista dall’art 126 del decreto legislativo 30 giugno 2003, n. 196, relativa all’ubicazione geografica dei cittadini il cui primo comma recita: “ I dati relativi all’ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l’utente o l’contraente ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto”, purchè in questo ultimo caso, a svolgere le attività di tracciamento siano solo soggetti pubblici per le finalità di tutela della salute e sicurezza sociale.
Da questo ultimo punto di vista, la “fragile” base normativa prevista dal decreto legge 14/2020, non sembra poter autorizzare terzi , soprattutto se privati, a svolgere tale attività, stante la circostanza in base al quale la violazione dell’art 126 del Codice privacy, costituisce fra l’altro attività delittuosa, come previsto dall’art 167 del codice privacy.
In definitiva è possibile ipotizzare un tracciamento dei devices dei cittadini ai fini di prevenzione del COVID-19.
Ci sono 4 condizioni che però devono realizzarsi per non incorrere nelle violazioni delle norme a protezione dei diritti fondamentali:
a) le disposizioni devono avere portata limitata nel tempo ed esaurirsi con le fine dell’emergenza.
b) Il trattamento dei dati che avviene in occasione dell’emergenza dovrebbe risiedere in Italia, e non come avviene usualmente in molte strutture sanitarie e non del nostro paese, su cloud residenti in paesi esteri, poiché questo vorrebbe dire al termine dell’emergenza, consegnare la vita di tutti noi a paesi esteri senza sapere dove e come verranno usati quei dati. Ad esempio i dati relativi alle app sanitarie, devono essere residenti sul territorio nazionale.
c) Le disposizioni sul trattamento di dati ad opera di terzi, devono essere specificate in maniera più puntuale di quanto previsto dall’art 14 DL 14/2020 , che è troppo generico sul punto, in particolare deve essere escluso che possano essere incrociati dati con fonti aperte ( anche questo consentito in modo massivo dalla legge di bilancio) e forniti ( o richiesti) dati a società in grado di effettuare profilazioni di grandi masse di dati ( ad esempio i social network e/o i motori di ricerca).
d) In ultimo va assolutamente escluso che si possa realizzare anche in Italia, una volta terminata l’emergenza, un sistema di catalogazione ( anche a fini di prevenzione) relativa a soggetti contagiati, guariti o in quarantena o a coloro che potrebbero anche aver violato le disposizioni di emergenza.
Da questo punto di vista va ricordato che in Cina esiste un sistema di social score statale che attribuisce un punteggio di conformità alle regole statali sulla base dell’incrocio tra dati di diversa natura, e che porta alla creazione di liste di soggetti specifici.
Come riportato da Time ad esempio in alcune zone della Cina, quando si chiama una persona nella lista nera dei debitori si sente una sirena e un messaggio registrato che dice: “Attenzione, questa persona è nella lista nera. Stai attento e convincilo a ripagare i debiti. ”
Quando una persona nella lista nera attraversa alcuni incroci a Pechino, la tecnologia di riconoscimento facciale proietta il suo volto e il proprio numero ID su enormi cartelloni elettronici.
L’avvocato di Pechino Li Xiaolin è stato inserito nella lista nera dopo che le sue scuse giudiziarie sono state ritenute “insincere”.
Chi è nella lista nera non può ad esempio comperare i biglietti per il trasporto pubblico e viene bloccato, come ha raccontato lo stesso avvocato, a 1.200 miglia da casa.