È a tutti ormai noto che, dopo il picco di un’epidemia, la curva dei contagi dovrebbe cominciare a decrescere e, piano piano, si torna alla vita normale. Tuttavia, tale transizione non è senza conseguenze in merito al monitoraggio della situazione sanitaria, al fine si scongiurare una seconda epidemia del morbo di riferimento.
È quello a cui stiamo assistendo in questi giorni in tutto il mondo. In molti Stati, tra cui l’Italia, ci si prepara alla gestione della cosiddetta “fase 2”.
Si pensi, per esempio, alla Corea che sta studiando nuove soluzioni tecnico-scientifiche al fine di monitorare gli spostamenti dei cittadini per evitare nuovi contagi tra persone infette, ancorchè asintomatiche, e la popolazione sana.
Anche l’Italia è alle prese con tale situazione di monitoraggio dei cittadini per evitare un nuovo diffondersi del virus.
In questo lavoro si vuole, senza pretesa di esaustività, parlare della tutela della riservatezza per capire, da un punto di vista giuridico, quali possono essere i confini di tale ingerenza dello Stato nella vita delle persone.
È a tutti ormai noto che, dopo il picco di un’epidemia, la curva dei contagi dovrebbe cominciare a decrescere e, piano piano, si torna alla vita normale. Tuttavia, tale transizione non è senza conseguenze in merito al monitoraggio della situazione sanitaria, al fine si scongiurare una seconda epidemia del morbo di riferimento.
È quello a cui stiamo assistendo in questi giorni in tutto il mondo. In molti Stati, tra cui l’Italia, ci si prepara alla gestione della cosiddetta “fase 2”.
Si pensi, per esempio, alla Corea che sta studiando nuove soluzioni tecnico-scientifiche al fine di monitorare gli spostamenti dei cittadini per evitare nuovi contagi tra persone infette, ancorchè asintomatiche, e la popolazione sana.
Anche l’Italia è alle prese con tale situazione di monitoraggio dei cittadini per evitare un nuovo diffondersi del virus.
In questo lavoro si vuole, senza pretesa di esaustività, parlare della tutela della riservatezza per capire, da un punto di vista giuridico, quali possono essere i confini di tale ingerenza dello Stato nella vita delle persone.
1) Nascita del diritto alla privacy e sua evoluzione
Il diritto civile è nato come diritto dei rapporti patrimoniali. Nel corso degli anni, all’evolversi della società, il diritto civile ha conosciuto altri tipi di tutela oltra quella patrimoniale, che ne hanno caratterizzato l’operato; tra essi, la tutela della persona. Tale tipo di tutela, come ovvio, è una tutela dinamica poiché si esplicita di pari passo con l’esplicitazione della personalità umana.
Quindi, il sistema civile, prima improntato sui soli rapporti patrimoniali, si è esteso in maniera aperta poiché, ad oggi, coinvolge tutti gli interessi della persona, anche materiali (Cass. n. 500/99).
Tra gli interessi che fanno capo alla persona umana si è sempre di più fatta strada la tutela della riservatezza prima disciplinata dalla L. 675/96 e, poi, dal d.lgs. 196/2003 ad oggi riformato.
Infatti, l 4 maggio 2016 è stato pubblicato sulla Gazzetta ufficiale dell'Unione Europea il nuovo Regolamento generale sulla protezione dei dati (G.D.P.R., General Data Protection Regulation - Regolamento UE 2016/679), direttamente applicabile, che è in vigore, in Italia, a partire dal 25 maggio 2018. Pertanto il 19 settembre 2018 è entrato in vigore il Decreto legislativo 10 agosto 2018, n. 101 per adeguare la normativa nazionale (il d.lgs. 196/2003) secondo il nuovo regolamento.
La tutela della privacy, fin dalla Legge 675, ruotava sul concetto di “informazione” che divenne un bene giuridico autonomo e, quindi, centro di interessi e situazioni giuridiche tutelabili. L’art. 4 del Regolamento UE 679/16 ci dice: “[…] «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale […]”.
Prima dell’emanazione della Legge 675 non vi era, nell’ordinamento italiano, alcuna norma che prevedesse una tutela diretta della riservatezza. L’accento era puntato sulla tutela posta dal Codice Penale in merito all’ingiuria e alla diffamazione.
Come abbiamo già accennato, l’evolversi dei tempi e delle relazioni sociali ha portato il legislatore a rendersi conto che tale materia avrebbe presentato notevoli profili di pericolosità per chi si fosse trovato a maneggiare i dati sensibili delle persone.
Essendo attività pericolosa lo schema delineato dalla Legge 675 è stato quello dell’art. 2050 c.c.
La riservatezza, essendo attività pericolosa, si basa sui principi dell’informativa, del consenso e della notificazione al Garante per la Privacy.
Nell’adeguamento dell’ordinamento italiano al nuovo Regolamento UE 679/16 (G.D.P.R.) sulla protezione e circolazione dei dati, sono stati abrogati numerosi articoli del Codice della privacy (D.lgs. 196/2003) a favore delle nuove regole più chiare e concise previste dal G.D.P.R..
Il Codice della privacy, nella versione ante novella, era composto da 186 articoli e diviso in tre parti: Disposizioni generali, Disposizioni particolari, Disposizioni relative alle azioni di tutela dell’interessato ed al sistema sanzionatorio cui si aggiungono le norme di modifica, finali e di carattere transitorio.
Il codice era completato, poi, da tre allegati: codici di deontologia; disciplinare tecnico in materia di misure minime di sicurezza; elenco dei trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia.
Il nuovo regolamento entrato in vigore il 19 settembre 2018 ha apportato diverse novità al vecchio Codice sulla protezione dei dati personali.
In generale le nuove disposizioni prevedono misure più stringenti per i titolari del trattamento dei dati personali soprattutto in merito alla comunicazione e alla diffusione di detti dati. Per il mancato rispetto delle regole l’ordinamento prevede sanzioni amministrative.
Un’altra novità introdotta dal GDPR riguarda proprio l’informativa che ora dovrà essere chiara e di semplice comprensione.
2) Natura giuridica del diritto alla riservatezza
L’art. 1 del Codice riformato prevede: “[…] Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignita' umana, dei diritti e delle liberta' fondamentali della persona […]”.
Ora, dalla lettura di questa norma, la dottrina più risalente ha tentato di individuare la natura giuridica di questo nuovo diritto positivo.
La tesi più antica intravedeva nelle norme suddette, e ancor prima della versione precedente al regolamento UE, una natura proprietaria del diritto alla riservatezza benchè le norme non menzionano assolutamente la proprietà ma solo la protezione del diritto alla privacy.
Sembra che tale concezione sia da abbandonare il quanto, con il consenso al trattamento dei dati, non vi è una cessione del diritto ma, anzi, sussiste la possibilità di revocare il predetto consenso. Il proprietario dei dati resta proprietario dei dati. Oggi, la concezione dottrinaria più accreditata, fa risalire il diritto alla riservatezza ai diritti della persona.
La personalità che trova un riconoscimento giuridico nell’art. 2 della Costituzione, secondo la concezione monista della stessa, rappresenta un diritto assolutamente unitario pur esplicitandosi in diverse manifestazioni.
3) Il Trattamento dei dati personali.
Il legislatore, sia nella versione ante novella che post novella, ha tenuto a chiarire che il trattamento dei dati personali deve seguire i principi, di matrice sovranazionale, di dignità della persona, riservatezza, identità personale e dell’immagine.
L’art. 4 del Reg. UE 679/16 definisce il trattamento: “[…] «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione [...]”.
Come si evince dalla lettura della norma europea, il legislatore comunitario dà una nozione piuttosto ampia di trattamento ricomprendendo la raccolta, l’utilizzo, la circolazione e la distruzione dei dati personali.
Tale tipo di attività è riconosciuta come attività materiale ma, essendo prevista da una norma, ancorchè comunitaria, è considerata anche attività giuridica.
Il trattamento è, quindi, lecito solo se l’interessato ha espresso il suo consenso per una o più specifiche finalità che gli devono essere state rappresentate con chiarezza; il trattamento può, però, rendersi necessario in casi urgenti anche relativi alla sanità pubblica, a prescindere dal consenso.
4) Trattamento dei dati relativi alla salute
L’art. 2 septies del nuovo codice della privacy recita: “[…] 1. In attuazione di quanto previsto dall'articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo.
2. Il provvedimento che stabilisce le misure di garanzia di cui al comma 1 è adottato con cadenza almeno biennale e tenendo conto:
a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali;
b) dell'evoluzione scientifica e tecnologica nel settore oggetto delle misure;
c) dell'interesse alla libera circolazione dei dati personali nel territorio dell'Unione europea.
3. Lo schema di provvedimento è sottoposto a consultazione pubblica per un periodo non
inferiore a sessanta giorni.
4. Le misure di garanzia sono adottate nel rispetto di quanto previsto dall'articolo 9, paragrafo 2, del Regolamento, e riguardano anche le cautele da adottare relativamente a:
a) contrassegni sui veicoli e accessi a zone a traffico limitato;
b) profili organizzativi e gestionali in ambito sanitario;
c) modalità per la comunicazione diretta all'interessato delle diagnosi e dei dati relativi alla propria salute;
d) prescrizioni di medicinali.
5. Le misure di garanzia sono adottate in relazione a ciascuna categoria dei dati personali di cui al comma 1, avendo riguardo alle specifiche finalità del trattamento e possono individuare, in conformità a quanto previsto al comma 2, ulteriori condizioni sulla base delle quali il trattamento di tali dati è consentito. In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione, le specifiche modalità per l'accesso selettivo ai dati e per rendere le informazioni agli interessati, nonchè le eventuali altre misure necessarie a garantire i diritti degli interessati.
6. Le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalita' di prevenzione, diagnosi e cura nonche' quelle di cui al comma 4, lettere b), c) e d), sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanita'. Limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell'interessato, a norma dell'articolo 9, paragrafo 4, del regolamento, o altre cautele specifiche.
7. Nel rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all'articolo 32 del Regolamento, e' ammesso l'utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia di cui al presente articolo.
8. I dati personali di cui al comma 1 non possono essere diffusi […]”.
Secondo quanto previsto dal Reg. UE 679, infatti, gli Stati membri possono prevedere ed introdurre delle condizioni diverse rispetto a quelle previste in ambito comunitario. Ed infatti lo Stato Italiano, che ha uno dei più tutelanti codici della Privacy a livello unionale, si è conformato al Regolamento prevedendo, all’art. 2 septies, delle condizioni di garanzia molto stringenti (Ministero più Consiglio Superiore di Sanità), a tutela, appunto dei cittadini.
Devono, quindi, sussistere determinate condizioni previste dalla legge quali, ad esempio, la prestazione del consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche.
Tra le altre condizioni previste dalla legge il trattamento di tale tipo di dati è lecito in caso di sicurezza sociale e protezione sociale per la tutela di un interesse vitale dell’interessato e di altre persone fisiche.
Ed ancora, il trattamento è lecito per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato.
Non solo, l’ordinamento Italiano, oltre a queste prerogative, prevede anche delle misure di garanzia che devono essere emanate dal Garante per la Privacy proprio nel rispetto della dignità umana.
Come si vede dalla lettura delle norme riportate e dei principi sanciti a livello comunitario, in caso di pericolo per la salute pubblica, benchè non direttamente affermato, la PA può utilizzare i dati relativi allo stato di salute dei cittadini, in maniera legittima.
5) Conclusioni Privacy in tempo di Covid19
Abbiamo già ricordato che il sistema di tutala della riservatezza italiano è uno dei più stringenti in tema di obbligo di rispettare la privacy dei cittadini.
Le Autorità degli Stati membri, tuttavia, hanno fornito indicazioni su come applicare il G.D.P.R. nel contesto della crisi legata al coronavirus con posizioni totalmente discordanti. Sicuramente, quando l’epidemia sarà nella cosiddetta fase 2, dovrà intervenire l’E.D.P.B che è il Comitato Europeo per la protezione dei dati personale. Al fine di trovare soluzioni comuni per i diversi ordinamenti.
L’Autorità Italiana e Francese sono quelle che hanno assunto posizioni più rigide dichiarando che i titolari del trattamento dei dati personali, non devono autonomamente provvedere alla raccolta dei dati sensibili, relativi alla salute, dei cittadini. Tali dati possono essere assunti solo su disposizione dell’Autorità competente che è quella sanitaria, sia in relazione agli spostamenti, sia agli eventuali sintomi da Covid 19.
In buona sostanza il codice della privacy impone, come detto, forti limitazioni alla possibilità di trattamento (generalmente inteso) dei dati personali. Anche difronte ad una siffatta emergenza.
La stessa posizione è stata assunta dall’Autorità Francese e del Lussemburgo.
Tuttavia assistiamo al solito disaccordo europeo, non solo in termini economici ma anche in termini di tutela della riservatezza.
Infatti, alcuni Stati hanno assunto posizioni diametralmente opposte. È il caso dell’Inghilterra il cui garante ha ribadito più volte che la normativa europea è derogabile difronte ad una situazione di assoluta emergenza come quella che stiamo vivendo.
Anzi, il garante britannico ha dichiarato che non avrebbe adottato alcuna sanzione ai titolari del trattamento che avessero sforato i confini previsti dalla norma. Tale esempio è stato seguito da diversi paesi scandinavi.
Una delle questioni di maggior rilievo riguarda la possibilità di richiedere al singolo lavoratore informazioni sulla presenza di eventuali sintomi influenzali nonché sull’eventuale soggiorno dello stesso in zone a rischio epidemiologico.
L’Autorità italiana ha negato che la normativa nostrana preveda questa possibilità mentre, secondo altre Autorità indipendenti dei Paesi membri, soprattutto di matrice anglosassone, sarebbe del tutto giustificata tale richiesta proprio per meglio arginare ulteriori diffusioni di Covid.
La dottrina recente si è interrogata sulla natura giuridica delle informazioni di che trattasi qualificandole, da una parte, come dati relativi alla salute che godono della massima protezione data la loro sensibilità e, dall’altra, come dati semplici e, quindi facilmente trattabili.
Come abbiamo potuto accennare, ai sensi del Reg. UE 679/16 i dati relativi alla salute, riguardano anche i dati sul rischio per la collettività di malattie. Questo ha diviso le varie tesi invalse in dottrina, che, in alcuni casi, applicano il cosiddetto principio di necessità in casi estremi come quello attuale.
Ma, ammesso e non concesso che il tracciamento delle persone affette da sintomi sospetti sia lecito stante una pandemia in corso, la problematica è quella di capire per quanto tempo tali dati possono essere trattati e quando si potrà tornare al cosiddetto oblio per cui l’Europa si è tanto battuta.
Si auspica che l’E.D.P.B. trovi una soluzione che armonizzi le normative cosi tanto discordanti dei paesi membri dell’Unione rispetto alla privacy soprattutto in contesti emergenziali che non consentono errori e divergenze come quelle che riguardano le soluzioni economiche per la gestione della crisi.