Diritto alla salute, contact tracing e privacy

Fin dalla dichiarazione dello stato di emergenza dello scorso 31 gennaio, il diritto alla riservatezza è stato al centro del dibattito. La salvaguardia dell’interesse collettivo alla sicurezza pubblica, infatti, giustifica e legittima l’adozione di misure di carattere straordinario e urgente necessarie per fronteggiare in modo adeguato situazioni di pregiudizio per la collettività, ivi compresa la tutela dei dati personali delle persone fisiche.

Il diritto alla riservatezza, quindi, al pari degli altri diritti e libertà costituzionalmente garantiti, deve essere soggetto ad un bilanciamento con gli altri beni giuridici che, di volta in volta, vengono in rilievo.

Nell’attuale momento storico, il giusto equilibrio non può che essere ricercato con il diritto alla salute che, invero, è l’unico ad essere definito dal Costituente come “fondamentale” ed è per questo oggetto di tutela e di protezione in via primaria e incondizionata essendo il presupposto indispensabile per il godimento di tutti gli altri diritti costituzionalmente garantiti.

Con l’entrata in vigore del GDPR, la tutela e il trattamento dei dati personali relativi alla salute dell’individuo viene disciplinata con maggior rigore tanto che l’art. 9 del GDPR ne vieta il trattamento, salvo alcune specifiche eccezioni.

In particolare, con specifico riguardo alla salute, il medesimo articolo alle lettere:

g), consente il trattamento se necessario per motivi di interesse pubblico purché siano previste misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche;

– h), autorizza il trattamento se necessario per finalità di medicina preventiva o di medicina del lavoro;

– i), ritiene il trattamento necessario qualora finalizzato alla protezione da gravi minacce per la salute a carattere transfrontaliero o utilizzato a garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici;

j), considera il trattamento necessario per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per fini statistici sempre che risulti proporzionato alla finalità perseguita, rispetti l’essenza del diritto alla protezione dei dati e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

In tale contesto, si inserisce altresì l’art. 14 del D.L. n. 14/2020 che, proprio in ragione della supremazia del bene salute, detta disposizioni sul trattamento dei dati personali nel contesto emergenziale autorizzando i soggetti deputati a garantire l’esecuzione delle misure disposte dallo Stato ad effettuare trattamenti relativi ai dati personali anche attraverso modalità più semplificate, purché fino alla fine dell’emergenza e per motivi di interesse pubblico.

Ricostruiti in quest’ottica i rapporti tra la tutela della salute e la tutela della privacy, risulta necessario analizzare la tematica del contact tracing intesa come modalità di analisi dell’andamento epidemiologico e di ricostruzione della catena dei contagi.

In questo contesto, a livello europeo, è stato creato il team Pepp-pt (Pan-European Privacy-Preserving Proximity Tracing) composto di scienziati provenienti da alcuni Paesi dell’UE con l’obiettivo di offrire standard e tecnologie idonee alla creazione di app scaricabili sul telefono cellulare che permettano di tracciare le persone per evitare la diffusione del Coronavirus.

Su tale iniziativa lo scorso 15 aprile si è espresso anche il Comitato Europeo per la Protezione dei Dati (EDPB) che ha accolto favorevolmente l’iniziativa avente, a suo giudizio, lo scopo di definire un approccio coordinato a livello europeo. In particolare, l’EDPB ha chiarito che le app devono rispondere a criteri di responsabilizzazione, documentando, attraverso una valutazione di impatto sulla protezione dei dati, tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default. Valutazione d’impatto che a norma dell’art. 35 del GDPR deve essere effettuata dal titolare del trattamento quando quest’ultimo prevede l’uso di tecnologie che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

L’EDPB, inoltre, ha accolto in senso favorevole la previsione di adottare queste app solo su base volontaria, attraverso una scelta compiuta dai singoli soggetti specificando, inoltre, che il fondamento giuridico per l’utilizzo delle app potrebbe individuarsi nella promulgazione di leggi nazionali che promuovano l’impiego di app su base volontaria senza alcuna penalizzazione per chi non intendesse farne uso.

La Presidente dell’EDPB ha poi puntualizzato che l’obiettivo che le app devono perseguire è l’identificazione dei soggetti entrati in contatto con soggetti risultati positivi al Virus e non, invece, la geolocalizzazione dei singoli utenti per raccogliere dati sugli spostamenti (questo configurerebbe una violazione del principio di minimizzazione dei dati).

Nel nostro Paese, con ordinanza n. 10 del 2020 emessa il 16 aprile 2020, il Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19, disponendo di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con una società italiana, ha spiegato che il contact tracing può costituire un’azione di sanità pubblica per la prevenzione e il contenimento della diffusione di molte malattie infettive in quanto può aiutare ad identificare individui potenzialmente infetti prima che emergano sintomi impedendo la trasmissione successiva dai casi secondari.

Sul punto, il 29 aprile 2020, si è pronunciata anche l’Autorità Garante della Privacy italiana che su richiesta del Presidenza del Consiglio dei Ministri, ha espresso il suo parere in ordine ad una proposta normativa per il tracciamento dei contatti nell’ambito delle strategie di contenimento dell’epidemia Covid-19.

In particolare, il Garante ha ritenuto il sistema di contact tracing prefigurato non in contrasto con i principi di protezione dei dati personali in quanto:

a) previsto da una norma di legge sufficientemente dettagliata quanto ad articolazione del trattamento, tipologia di dati raccolti, garanzie accordate agli interessati, temporaneità della misura;

b) si fonda sull’adesione volontaria dell’interessato;

c) è preordinato al perseguimento di fini di interesse pubblico;

d) appare conforme ai principi di minimizzazione e ai criteri di privacy by design e by default in quanto prevede che il trattamento dei dati avvenga in forma pseudonima (laddove non sia possibile in forma del tutto anonima) escludendo il ricorso a dati di geolocalizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;

e) si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione.