La pandemia di COVID-19 ha sconvolto le vite della maggior parte della popolazione mondiale, cambiandone le abitudini e le modalità di interazione. Il virus SARS-CoV-2 si è rapidamente propagato attraverso il pianeta mediante il contatto umano e a causa della elevata mobilità che caratterizza i nostri tempi, ma può dirsi che esso non ci ha trovati impreparati come in altre crisi sanitarie del passato. Nella società dell’informazione, infatti, i dati e le notizie viaggiano ad altissime velocità, permettendoci di avere aggiornamenti costanti sull’emergenza tutt’ora in corso e di svolgere le nostre attività quotidiane da remoto.
Negli scorsi mesi, le reti telematiche sono state segnate da un incremento esponenziale dei flussi di informazioni e di diverse tipologie di dati personali, e sin da subito governi e organismi pubblici e privati hanno adottato misure per contenere e mitigare l’impatto del virus.
«Le norme in materia di protezione dei dati (come il Regolamento generale sulla protezione dei dati) non ostacolano l’adozione di misure per il contrasto della pandemia da coronavirus», ma anzi hanno dimostrato la propria flessibilità, soprattutto per quanto riguarda l’implementazione di soluzioni tecnologiche per contrastare la pandemia. Tali norme, infatti, chiariscono che situazioni emergenziali come questa giustificano e legittimano compressioni dei diritti e delle libertà degli individui, al fine di tutelare un interesse superiore e universalmente condiviso. Ciò non toglie, però, che tali limitazioni debbano essere «proporzionate e confinate al periodo di emergenza
Motivi di interesse pubblico
Tra le diverse condizioni che possono legittimare il trattamento di dati sensibili nel contesto emergenziale si rileva in particolar modo quella per cui il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero (o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dispositivi medici) sulla base del diritto dell’Unione o degli Stati membri.
Insieme agli obiettivi di sanità pubblica in senso stretto, inoltre, si considerino i trattamenti di dati personali svolti per finalità di ricerca scientifica, anch’essi oggetto di disposizioni più “flessibili” in quanto a divieti di trattamento e diritti degli interessati
I dati delle telecomunicazioni
Oltre ai dati relativi alla salute e ai dati sensibili in generale, il trattamento per le finalità di contrasto e controllo dell’emergenza da coronavirus può interessare anche i dati delle telecomunicazioni, come i dati relativi all’ubicazione, i quali possono essere utilizzati, in genere, solo con il consenso dell’interessato, oppure se resi anonimi. Ciononostante, l’art. 15 della Direttiva ePrivacy permette agli Stati membri di limitare i diritti e gli obblighi in essa contenuti, qualora tale restrizione possa considerarsi una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia, tra le altre cose, della sicurezza pubblica.
Il principio di limitazione della finalità
«Il trattamento dovrebbe essere limitato allo scopo di combattere la pandemia di Covid-19, prevenirne la propagazione attraverso le frontiere e favorire la prestazione di assistenza sanitaria necessaria. La finalità dovrebbe essere specificata per ogni titolare del trattamento nonché per i trattamenti». A tale principio conseguono quelli della minimizzazione dei dati e di limitazione della conservazione, in forza dei quali i dati oggetto di trattamento dovranno essere solo quelli strettamente necessari, e dovranno essere conservati solamente per il tempo necessario ai fini del trattamento.
Un diritto che però deve rimanere immutato è il diritto all’informativa, rispondente al generale principio di trasparenza, per cui gli individui devono sempre ricevere chiare informazioni sulle attività di trattamento svolte e sulle loro caratteristiche principali. È altresì importante tutelare il diritto a non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati (art. 22 del Regolamento) e il diritto di rettifica (art. 16 del Regolamento).
Quando la limitazione deve considerarsi illegittima
Inoltre, ogni limitazione deve rispettare l’essenza del diritto che viene in tal modo compresso, e pertanto le «limitazioni talmente generali, estensive o intrusive da svuotare un diritto fondamentale del suo contenuto essenziale non possono essere giustificate. Se l’essenza del diritto è compromessa, la limitazione deve considerarsi illegittima, senza il bisogno di valutare ulteriormente se essa serva a un obiettivo di interesse generale o soddisfi i criteri di necessità e proporzionalità». Ai sensi dell’art. 57 del Regolamento, i legislatori nazionali sono tenuti a consultare preventivamente le rispettive autorità di controllo indipendenti (in Italia, il Garante Privacy), le quali avranno i poteri necessari per monitorare la corretta applicazione di tali limitazioni.
Da “Il dizionario della Privacy – 53 brevi saggi sulla protezione dei dati personali”, (Egea), di Fabio Macaluso e Jacopo Purificati, 384 pagine, 42.75 euro