Ultimamente, in ragione della drammatica crisi sanitaria causata dalla pandemia di Covid-19, in moltissimi stanno chiedendo a gran voce di adottare il metodo coreano per il contenimento del coronavirus.
Ma l’applicazione di un controllo così capillare come quello previsto dal modello adottato in Corea del Sud è possibile in Italia?
A mio modestissimo parere, stante l’attuale normativa, non è possibile che lo Stato tracci e geolocalizzi gli interessati, senza un loro specifico consenso. Questo tipo di trattamento sarebbe possibile solamente nel caso in cui, attraverso una legge venisse autorizzata e consentita tale procedura invasiva di controllo.
Indice degli argomenti
Metodo coreano per il contenimento del coronavirus, alla luce del GDPR
Andando con ordine, il GDPR nel suo art. 6 comma 1 lettera e) stabilisce quale condizione di liceità al trattamento l’esecuzione di un compito di interesse pubblico e nell’art 9 comma 2 lettera i) prevede che possano essere trattati dati particolari per “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.
Non solo, infatti al Considerando 46 afferma che “Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. […] Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”.
Inoltre, nel Considerando 52 esprime che “La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico, in particolare il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. […]” e al considerando 54 dispone che “Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato. […] Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito”.
Alla luce della normativa analizzata sembrerebbe possibile l’applicazione in Italia del metodo coreano per il contenimento del coronavirus, tuttavia non è così.
Il trattamento dati nei servizi di comunicazione elettronica
Infatti, la Direttiva 2002/58/CE, applicabile al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nella Comunità (art. 3, par. 1), precisa che i dati “in chiaro” inerenti la geolocalizzazione degli interessati possono essere trattati esclusivamente previo consenso ovvero quale conseguenza dell’emanazione di una legge specifica diretta a tutelare esigenze straordinarie (art. 5).
Sul punto è intervenuto anche lo European Data Protection Board – EDPB, affermando che “Quando non è possibile trattare solo dati anonimi, l’art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per la sicurezza nazionale e pubblica. Questa legislazione di emergenza è possibile a condizione che costituisca una misura necessaria, adeguata e proporzionata all’interno di una società democratica. Se vengono introdotte misure di questo tipo, uno Stato membro è tenuto a istituire garanzie adeguate, come garantire alle persone il diritto a un ricorso giurisdizionale”.
Ad Abundantiam, in merito al concetto di “interesse pubblico” si deve evidenziare l’art. 2 ter del decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, ove appare chiara la volontà legislativa diretta ad individuare il c.d. interesse pubblico con una norma di legge o un regolamento e che nel contesto attuale entrano in gioco non soltanto il diritto alla riservatezza e la protezione dei dati personali ma anche il diritto fondamentale della libertà personale e l’intero ordinamento costituzionale.
Nonostante ciò, alla luce della normativa in vigore, appare possibile trattare i dati aggregati e anonimi, i quali non rientrano all’interno della copertura regolamentare del GDPR, al fine di porre in essere indagini statistiche volte a verificare i flussi di persone (quante persone sono ancora effettivamente in movimento) e gli eventuali assemblanti (verificare se più persone sono raggruppate in uno stesso luogo).
Queste ricerche possono essere effettuate osservando dati come le celle a cui si collegano i cellulari, le connessioni internet, i pedaggi autostradali, i flussi finanziari, i social ecc. e l’anonimato potrà essere garantito dai c.d. media (compagnie telefoniche, servizi web, ecc.) i quali, facendosi garanti dell’anonimizzazione dei dati degli utenti, si limiterebbero a consegnare alle autorità soltanto i dati aggregati.
Ritengo, invece, che non sia possibile la geolocalizzazione di tutti i cittadini italiani, per un evidente violazione del principio di proporzionalità.
Il controllo “in chiaro” delle persone risultate positive al Covid-19
Per quanto concerne, invece, il controllo “in chiaro” delle persone risultate positive al Covid-19, lo stesso potrebbe essere legittimo, come confermato dalle parole del Presidente Soro, il quale ha affermato che “il diritto alla protezione dei dati personali, alla privacy che, ricordo, è un diritto di libertà, è giusto che venga limitato dentro una adeguata cornice. La privacy è un diritto fondamentale, ma non è l’unico ed è soggetto al bilanciamento con altri beni giuridici, quali certamente la salute pubblica […] sono ammesse limitazioni ad altri diritti pur fondamentali, purché necessarie e proporzionate”, salvo il rispetto dei principi Costituzionali, previa creazione di una normativa ad hoc diretta a determinare finalità, durata, proporzionalità, sicurezza, cessazione e cancellazione dei dati e del trattamento nel pieno rispetto dei principi ex art. 5 del GDPR.
Infatti, come confermato dallo stesso Soro: “Sono possibili tutte le deroghe, ma ci deve essere una base giuridica che consenta attraverso i poteri della Protezione civile di tenere questa fase emergenziale dentro un contesto di garanzie accettabile, naturalmente con sacrificio di tutti. In questa emergenza straordinaria, senza precedenti in tempi di pace, dobbiamo farci carico tutti di un qualche sacrificio e certamente non sarà il garante quello che ostacola il governo di questa emergenza”.
Conclusioni
Pertanto, allo stato attuale non è possibile importare in Italia il metodo coreano per il contenimento del coronavirus e, essendo questo tipo di controllo, per così dire, molto scivoloso e suscettibile di instaurare un c.d. stato di polizia, spero che non venga mai adottato e che lo scarso senso civico degli italiani non comporti una soppressione dei diritti che potrebbe divenire irrevocabile.
