Qualche tempo fa, la
regione Lombardia ha effettuato dei controlli sugli spostamenti dei cittadini durante l’
epidemia da COVID-19, avvalendosi della collaborazione con i principali operatori di telefonia mobile.
Ciò è stato reso noto dal vicepresidente della Lombardia e assessore per la Ricerca Fabrizio Sala e dall'assessore al welfare Giulio Gallera, i quali hanno annunciato di aver analizzato gli
spostamenti "da cella a cella" dei telefoni cellulari dei cittadini per capire quanti di loro si spostano sul
territorio ed in che modo.
Infatti, quando ci si sposta, il cellulare cerca i ripetitori della rete più vicini a cui collegarsi per mantenere il segnale; ogni ripetitore ricopre una determinata area del territorio (“cella”), e dunque, quando un telefono passa da una cella ad un'altra, è possibile individuarne lo spostamento.
All’esito dell’attività ispettiva condotta dalla Regione Lombardia, è emerso che il flusso degli spostamenti si è ridotto soltanto del 60%: ciò significa che circa il 40% degli abitanti lombardi non starebbe rispettando i DPCM emessi per contrastare la diffusione del coronavirus. Questo risultato, secondo Sala, non sarebbe ancora sufficiente per permettere un adeguato contenimento dei contagi.
In generale, accade spesso che le compagnie telefoniche forniscano dati di questo tipo ad altre società, che li impiegano per statistiche o applicazioni di vario genere, come, ad esempio, quelle per la navigazione satellitare, al fine di fornire previsioni sul traffico ed eventuali tragitti alternativi.
È, invece, più raro che queste informazioni siano utilizzate dalle istituzioni. Per questo, sono state sollevate molte perplessità in merito alla tutela della privacy degli utenti, soprattutto nel timore che possano esservi ulteriori iniziative più invasive, come quelle adottate in Corea del Sud contro il coronavirus.
Dunque, viene da chiedersi: questa tipologia di trattamento dei dati è legittima? È corretto comprimere a tal punto il diritto alla privacy?
Il modello della Corea del Sud
Il metodo seguito dalla Corea del Sud è stato, in primo luogo, quello di attuare dei test a tappeto e, successivamente, grazie all’uso di applicazioni mobili, GPS e carte di credito, creare una
mappa del contagio. È stata, infatti, resa disponibile ai cittadini un’apposita applicazione in cui, quando una persona risultava infetta, i suoi spostamenti delle ultime due settimane venivano caricati ed incrociati con quelli di tutti gli iscritti. In questo modo, a tutte le persone che avevano frequentato gli stessi luoghi degli infetti veniva inviata una notifica, al fine di indurli a farsi fare un tampone preventivo e ridurre la catena dei contagi. Dunque, nessuno veniva a conoscenza del
nome e
cognome dell’infetto, ma era possibile, per quelli che già lo conoscevano, ricostruire dettagliatamente i luoghi da lui frequentati ed i suoi orari. Questa misura risulta in parte
lesiva del diritto alla privacy, pertanto, trattandosi di un rimedio eccezionale, è necessario accertarsi che il dato venga usato a fini di sanità pubblica e solo per un periodo di tempo determinato. Tuttavia, grazie anche a questo metodo, la Corea del Sud è riuscita a diminuire considerevolmente il numero dei contagi.
La normativa a livello europeo
A livello europeo, la disciplina in materia di privacy è contenuta nel Regolamento UE n. 679/2016 (Regolamento generale sulla protezione dei dati, o GDPR).
La
protezione del dato personale è in esso intesa come un
bene primario, valido
erga omnes, che costituisce la massima espressione della
libertà di ciascun individuo.
L’art. 5 del GDPR individua i principi cardine che reggono il comune concetto di privacy, che sono: trasparenza, proporzionalità, coerenza, necessarietà, liceità, correttezza, limitazione delle finalità, responsabilizzazione.
Questa norma deve certamente applicarsi anche in periodi di grave emergenza ed eccezionalità, come quello odierno, in cui la pandemia da coronavirus ha colpito il mondo intero. Tuttavia, nonostante il GDPR offra diverse tutele ai cittadini, sono comunque previste alcune eccezioni per casi di emergenza e di utilità pubblica.
Per adesso, l’utilizzo che la Regione Lombardia ha fatto dei dati aggregati sulle reti mobili non sembra violare le disposizioni del Regolamento, ma negli ultimi giorni sono state ipotizzate ulteriori iniziative di controllo, che potrebbero porre problemi per la privacy.
Nei casi incerti che possono venire in rilievo, è innanzitutto opportuno operare un bilanciamento tra i
due diritti fondamentali coinvolti: quello alla
privacy e quello alla
salute. È possibile ricavare dal GDPR alcune norme che, in deroga alla disciplina generale, in presenza di determinate circostanze legittimano la limitazione del trattamento di particolari categorie di dati, tra cui quelli relativi alla
salute.
All’art. 9, par. 2, lett. i) è previsto che il trattamento di questi dati sia possibile se
“è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le liberta dell'interessato, in particolare il segreto professionale”.
Allo stesso tempo, il considerando n. 52 prevede che:
“la deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell'Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell'interesse pubblico, in particolare […] per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l'economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. La deroga dovrebbe anche consentire di trattare tali dati personali se necessario per accertare, esercitare o difendere un diritto, che sia in sede giudiziale, amministrativa o stragiudiziale”.
Il parere del Garante della Privacy
Il tema del bilanciamento tra i due diritti fondamentali alla privacy e alla salute nell’ambito delle misure da attuare per contrastare il coronavirus è stato affrontato anche dal
Presidente dell’autorità Garante per la Privacy Antonello Soro, il quale, in data 2 marzo 2020, ha rilasciato un
parere in cui indicava quali misure fossero ammesse nell’ambito del trattamento dei dati personali, anche sanitari, e con quali limitazioni. In particolare, si consigliava di non adottare misure “fai da te” nella raccolta di dati.
Lo stesso Presidente, in una successiva intervista, ha dichiarato: “In momenti come questo, certamente eccezionale, ci sono naturali e dovute limitazioni alla privacy. E alle nostre libertà. Tutto ciò va valutato bilanciando le limitazioni con un altro fondamentale diritto individuale e interesse collettivo: quello alla salute”.
E ancora: "L'acquisizione di trend, effettivamente anonimi, di mobilità potrebbe risultare una misura più facilmente percorribile; laddove, invece, si intendesse acquisire dati identificativi, sarebbe necessario prevedere adeguate garanzie, con una norma ad efficacia temporalmente limitata e conforme ai principi di proporzionalità, necessità, ragionevolezza. In tal senso, andrebbe effettuata un'analisi dell'effettiva idoneità della misura a conseguire risultati utili nell'azione di contrasto. Ad esempio, apparirebbe sproporzionata la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24, non soltanto per la massività della misura ma anche e, forse, preliminarmente, perché non esiste un divieto assoluto di spostamento e dunque la mole di dati così acquisiti non avrebbe un'effettiva utilità. Diversa potrebbe essere, invece, la valutazione relativa alla geolocalizzazione, quale strumento di ricostruzione della catena epidemiologica".
Dunque, il Dott. Soro non ha espresso scetticismo in merito all’utilizzo delle tecnologie, laddove siano tese a proteggere la salute dei cittadini, tuttavia ha affermato che è necessario “orientarsi secondo un criterio di gradualità e, dunque, valutare se le misure meno invasive possano essere sufficienti a fini di prevenzione. Ove così non sia, si dovrà studiare modalità e ampiezza delle misure da adottare in vista della loro efficacia, proporzionalità e ragionevolezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni”.
La liceità delle misure attuate in Lombardia
Fatte queste premesse, sembrerebbe che le misure adottate dalla Regione Lombardia si siano poste in contrasto con quanto indicato dal Garante nel parere del 2 marzo 2020, nel quale si consigliava di evitare le misure “fai da te” per raccogliere i dati.
Tuttavia, la Regione ha affermato che il trattamento è stato effettuato
su base anonima e con finalità non di controllo, ma meramente statistiche: seppure con questi mezzi sia, in astratto, possibile identificare ciascun soggetto in movimento, nei fatti non vi è stato alcun utilizzo delle tecnologie a tale scopo. Si trattava, infatti, di raccogliere dati generalizzati e massivi, con la sola finalità di verificare quanti soggetti fossero in movimento all’interno dei territori interessati rispetto al periodo antecedente a quello dell’emergenza da COVID-19.
Da questo punto di vista, allora, il trattamento dei dati operato dalla Regione Lombardia risulta conforme alle norme dettate dal GDPR e quindi lecito, dal momento che le informazioni raccolte sono anonime e non identificative dei soggetti coinvolti; non è, pertanto, necessario raccogliere il loro consenso, né è obbligatorio rendere loro alcuna informativa.
È comunque opportuno segnalare che, nel caso in cui si volesse procedere ad un
monitoraggio individuale che identifichi personalmente i soggetti in movimento, il
consenso degli interessati sarebbe sempre
necessario, a meno che non siano stati resi, da parte dell’
autorità giudiziaria, dei provvedimenti in ragione della commissione (o presunta commissione) di reati da parte di questi soggetti.
In assenza di queste circostanze, quindi, risulterebbe sempre illegittima ogni forma di raccolta di dati derivante dalla geolocalizzazione, anche se effettuata in un periodo di emergenza sanitaria.
Conclusioni
A fronte delle varie proposte avanzate in merito a nuove misure di vigilanza, il timore che può affiorare è quello che l’attuale situazione di emergenza possa portare a ritenere ammissibile qualsiasi condotta, anche quelle che si porrebbero in contrasto con i diritti fondamentali della persona costituzionalmente garantiti.
Alla luce di quanto sinora esposto, tuttavia, la pregnanza delle norme e l’effettività dei sistemi disposti sia a livello nazionale che europeo dovrebbero essere sufficienti a garantire ai cittadini il rispetto dei loro dati personali da parte delle istituzioni anche in queste circostanze emergenziali.