Il contributo è stato pubblicato oggi su Key4biz a questa pagina.
1. Premessa
Com’è noto la pandemia determinata dal coronavirus (COVID-19) ha modificato profondamente la nostra vita, le abitudini, la comunicazione e l’interazione tra le persone, le modalità di lavoro, ecc. In sostanza, stiamo vivendo una situazione che appare surreale in ragione delle conseguenti norme comportamentali che siamo obbligati a rispettare con il distanziamento sociale per combattere la battaglia del COVID-19. Questa situazione pandemica, che oltre all’Italia sta portando molti altri Stati ad adottare le più opportune misure di prevenzione, comporta una serie di questioni anche in materia di protezione dei dati personali con le quali ci si deve confrontare. La pandemia non richiede nuove norme in materia di protezione dei dati personali, se non nei termini illustrati più dettagliatamente di seguito, essendo sufficiente rispettare quelle attualmente vigenti.
Del resto, in questo senso è il comunicato del Chair del Comitato europeo per la protezione dei dati personali (European Data Protection Board - EDPB), pubblicato il 16/03/2020 dal titolo “Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak”.
Con tale comunicato, Andrea Jelinek ha dichiarato
“Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.” (TDR: Le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure prese nella lotta contro la pandemia di coronavirus. Tuttavia, vorrei sottolineare che, anche in questi tempi eccezionali, il responsabile del trattamento dei dati deve garantire la protezione dei dati personali degli interessati. Pertanto, una serie di considerazioni dovrebbero essere prese in considerazione per garantire il trattamento legale dei dati personali.).
2. Quali sono le norme giuridiche da osservare?
Le norme in materia di protezione dei dati personali sono quelle attualmente vigenti e precisamente, per l’Italia, il Regolamento UE 2016/679 e il Decreto Legislativo 196/2003 (nel testo modificato dal D.Lgs. 101/2018), mentre per la Repubblica di San Marino, la Legge 171/2018. Inoltre, restano sempre valide le norme sovranazionali in subiecta materia e, in particolare, a quelle contenute nella nota “Convenzione 108+”, così come, per l’Europa, la Carta dei Diritti Fondamentali dell’Union Europea che qualifica i diritti alla riservatezza e alla protezione dei dati personali come diritti fondamentali, nonché la legislazione europea. Questo è il necessario e principale punto di riferimento dal quale non si può prescindere.
Peraltro, lo stesso chair dell’EDPB, con il citato comunicato, ha precisato
“The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19” (TDR: Il GDPR è un’ampia legislazione e prevede anche che le regole si applichino al trattamento dei dati personali in un contesto come quello relativo al COVID-19).
Ciò posto, nei successivi paragrafi si farà riferimento alle norme relative a situazioni specifiche.
3. I dati relativi alla salute e il relativo trattamento in caso di pandemia
Il GDPR affronta il tema dei «dati relativi alla salute» già al considerando 35, mentre fornisce la definizione è contenuta nell’art. 4(1)(15) e precisamente:
“i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.
Pertanto è indubbio che nel caso della pandemia da COVI-19 vengano trattati - fra gli altri - i dati relativi alla salute. Per tali dati sussiste un generale divieto di trattamento se non in presenza delle condizioni previste dall’art. 9(1) del GDPR.
Tuttavia, lo stesso art. 9(2) indica in quali casi il divieto non si applica con la conseguente facoltà di trattamento e precisamente alla lettera i) (espressamente richiamata dall’art. 75 del codice privacy):
“il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.
Pertanto, il trattamento dei dati relativi alla salute in caso di pandemia è consentito anche senza il consenso dell’interessato. Altre norme dello Stato possono introdurre ulteriori condizioni per il trattamento dei dati personali anche relativi alla salute. Peraltro, tale principio è ulteriormente chiarito dai considerando 46, 52 e 54; in particolare è chiaro il considerando 46 che sul punto specificamente stabilisce:
“(46) Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. […] Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”.
Ma ancora, il considerando 52 dispone:
“(52) La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico, in particolare il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. […]”
Infine, il considerando 54 esclude il consenso dell’interessato:
“(54) Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato. […] Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito.
L’interessato (il paziente) deve comunque essere informato riguardo al trattamento dei propri dati personali relativi alla salute. Infatti, l’art. 82 del D.Lgs. 196/2003, così come modificato dal D.Lgs. 101/2018, stabilisce che le informazioni ex artt. 13 e 14 del GDPR possono essere rese anche successivamente alla prestazione proprio nel caso di emergenze sanitarie. Alla luce di questo breve excursus normativo non v’è dubbio alcuno sulla sussistenza delle condizioni di liceità del trattamento ex art. 6 del GDPR in situazioni come quella della attuale pandemia da COVID-19, fermo restando il rispetto dei principi applicabili al trattamento dei dati personali così come previsto dall’art. 5 dello stesso GDPR.
4. La comunicazione elettronica, dati di localizzazione e metadati
In un nostro precedente contributo si era affermato il cambiamento di comunicazione tra le persone mediante un utilizzo sempre più diffuso e massivo delle risorse online. La principale misura per la prevenzione della pandemia è il distanziamento sociale.
Ciò fondamentalmente ha determinato due conseguenze importanti: a) l’incremento dell’utilizzo delle risorse online da parte di chi è rimasto isolato e b) l’esigenza pubblica di monitorare il rispetto delle norme che impongono il distanziamento sociale. Riguardo al primo punto (incremento dell’utilizzo delle risorse online), le esigenze più diffuse sono di natura lavorativa (es. smart working e comunicazione) e sociale (di comunicazione). È notevolmente aumentato, quindi, il traffico della rete internet da quando è stata adottata la misura del distanziamento sociale che impone (correttamente) di restare a casa con conseguente innalzamento del traffico di rete e, forse, criticità per la saturazione della banda soprattutto in determinate fasce orarie. Riguardo allo smart working, alcune attività possono essere tranquillamente effettuate da casa ma va anche detto che la chiusura al pubblico di alcuni uffici ha determinato comunque la necessità di identificare i soggetti proponenti richieste o istanze con modalità diverse rispetto a quella comunemente nota della identificazione di persona non praticabile in epoca di pandemia.
In sostanza, gli effetti della pandemia sulla comunicazione e sul digitale sono stati consistenti. Il distanziamento sociale ha determinato la necessità di utilizzare risorse digitali idonee per sopperire alle relative esigenze (scuola, università, uffici, riunioni, docenze, ecc.).
Anche in questo ambito e sebbene in forza di una emergenza sanitaria da pandemia, il mutamento delle abitudini personali, lavorative e sociali con conseguente utilizzo di risorse tecnologiche non può pregiudicare il corretto trattamento dei dati personali. Lo svolgimento di meeting o di attività che favoriscano virtualmente l’incontro tra le persone o la fruizione di beni o servizi con modalità innovative non deve essere a discapito dei dati personali degli utenti, ma vanno sempre rispettate le norme vigenti. Resta sempre valido il criterio della consapevolezza sia in capo agli interessati sia da parte dei soggetti che offrono – ma in modo sostenibile ed etico – servizi tecnologici e innovativi.
Tuttavia, sebbene siano cambiate le abitudini lavorative e sociali, nulla è cambiato riguardo al corretto trattamento dei dati personali. Il titolare e il responsabile del trattamento devono, ciascuno per il proprio ruolo, rispettare le norme del GDPR e del codice privacy e, ove applicabile, la specifica disciplina europea su e-privacy (Direttiva 2002/58/CE, meglio nota come direttiva e-privacy).
Del resto, questo approccio è contenuto nel “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14 marzo 2020 ove si afferma che il datore di lavoro può sottoporre il personale, prima dell’accesso al luogo di lavoro, al controllo della temperatura corporea, precisando correttamente che “La rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente”.
In questo caso va comunque resa l’informativa. Riguardo, invece, alla esigenza pubblica di monitorare il rispetto delle norme che impongono il distanziamento sociale, l’utilizzo di sistemi che consentano di controllare gli spostamenti dei cittadini devono essere preventivamente oggetto di esplicita previsione normativa. Infatti, la citata Direttiva 2002/58/CE, che ha ad oggetto - fra l’altro - il trattamento dei dati personali nel settore delle comunicazioni elettroniche, si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione (art. 3, par. 1).
È necessario il consenso dell’interessato per il trattamento dei dati relativi alla geolocalizzazione, diversamente gli stessi possono essere trattati solo in forma anonima ma senza possibilità di operazioni di “reverse” utili a rivelare qualsiasi informazione personale. L’utilizzo dei dati riconducibili a ciascun cittadino, al di fuori di questi casi, è consentito unicamente per esigenze straordinarie e particolari, la relativa competenza resta dello Stato e, comunque, solo in forza di legge ai sensi dell’art. 15 della citata direttiva e-privacy.
Proprio in questo senso è il comunicato del chair dell’EDPB, già menzionato, secondo il quale
“When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy”. (TDR: Quando non è possibile trattare solo dati anonimi, l’art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per la sicurezza nazionale e pubblica. Questa legislazione di emergenza è possibile a condizione che costituisca una misura necessaria, adeguata e proporzionata all’interno di una società democratica. Se vengono introdotte misure di questo tipo, uno Stato membro è tenuto a istituire garanzie adeguate, come garantire alle persone il diritto a un ricorso giurisdizionale).
Diversamente, si perverrebbe ad un esercizio assoluto della sovranità digitale da parte dello Stato mediante la quale esercitare incondizionatamente il potere sui dati dei cittadini con il risultato di un controllo indiretto ma pieno su ciascun individuo: ciò pare proprio inaccettabile.
5. Pandemia, app e dati personali
Lo sviluppo tecnologico evidenzia il proliferare di applicazioni in diversi ambiti e, di recente, sono arrivate agli onori della cronaca anche soluzioni - addirittura basate sulla Intelligenza Artificiale (AI) - per contrastare il coronavirus.
Non è questa la sede per approfondire il fenomeno dell’intelligenza artificiale (forse meglio nota come Artificial Intelligence - AI) ma è auspicabile un atteggiamento di cautela riguardo a questa tecnologia. Si parla di Intelligenza Artificiale per fare riferimento ad avanzate soluzioni algoritmiche che poco hanno a che fare con la definizione e l’etimologia del termine “intelligenza” che è propria ed esclusiva dell’essere umano.
Del resto, nel campo della AI, è noto il limite determinato dai biases o human biases che possono condurre a risultati algoritmici non precisi o inaffidabili. Tornando alle app contro il coronavirus, purtroppo, dalla stampa (nazionale e internazionale) si è appreso quanto tali soluzioni fossero ben lontane dal favorire il contrasto o la prevenzione al coronavirus, in realtà celando una spietata raccolta di dati personali e di geolocalizzazione, probabilmente ad insaputa degli utenti. La pandemia non ha sospeso o annullato i principi e le norme vigenti in materia di protezione dei dati personali.
Gli sviluppatori di app, oltre che rispettare il principio “Data protection by design and by default” (ex art. 25 GDPR), sono comunque obbligati ad attenersi alle norme in materia di protezione dei dati personali. L’interessato deve sempre avere il pieno controllo dei propri dati personali con adeguata consapevolezza soprattutto quando accede a risorse o servizi sia tramite app sia tramite il web prestando attenzione a quanto dichiarato in ordine al trattamento dei dati personali.