Emergenza Covid-19: il bilanciamento tra diritto alla salute e tutela dei dati personali
Approfondimento n. 8/2021
Per far fronte alla pandemia da Covid-19 sono state applicate numerose misure emergenziali che hanno avuto un enorme impatto sulla vita e sulla libertà dei cittadini, incidendo sul pieno godimento dei diritti fondamentali.
Lo stato di emergenza, infatti, ha portato con sé l’imminente necessità di contrastare e monitorare la diffusione del virus attraverso strumenti che hanno richiesto e richiedono tuttora il trattamento dei dati personali; primi tra questi i sistemi di tracciamento ed i risultati di test e tamponi e, in un secondo momento, i pass vaccinali. Alla luce di ciò, uno dei nodi giuridico-interpretativi di maggior importanza degli ultimi tempi è risultato quello relativo al bilanciamento tra tutela della salute e tutela della riservatezza delle persone.
Il nuovo impianto di sicurezza deciso dal Governo per gestire la crisi sanitaria ha posto difatti l’esigenza di verificare per ogni misura applicata la conformità alla disciplina generale europea e nazionale sulla protezione dei dati personali, ma, soprattutto, ha spinto ad interrogarsi sui limiti e sulla legittimità di tali azioni.
Ci si domanda: il diritto alla privacy e alla protezione dei dati possono essere sacrificati in conformità alla sorveglianza tecnologica imposta dalla pandemia? La tutela della salute pubblica ed individuale prevale sui diritti in questione?
Per dare una risposta esaustiva a questi interrogativi, è necessario fare un passo indietro e analizzare la normativa vigente in materia ma soprattutto capire quali differenze intercorrono tra i sopracitati diritti.
I concetti di privacy e protezione dei dati sono strettamente interconnessi al punto tale da considerarli inappropriatamente sinonimi. Mentre il diritto alla privacy rappresenta un diritto individuale volto a tutelare la sfera intima del singolo da eventuali intromissioni arbitrarie da parte di terzi, la protezione dei dati personali estende la tutela della vita privata nelle relazioni sociali, garantendo così l’autodeterminazione decisionale e il controllo sulla circolazione dei propri dati.
Il concetto di tutela dei dati personali, di fatto, si è sviluppato a partire dal «diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza» previsto dall’articolo 8 della Convenzione Europea dei Diritti dell’Uomo del 1950 (CEDU), ha trovato poi successivo fondamento nell’articolo 16 del TFUE (Trattato sul funzionamento dell’Unione europea), e costituisce oggi un diritto fondamentale dell’individuo.
Attualmente, in seno all’Unione Europea, vige un sistema di regole che ruota attorno al corpus iuris del Regolamento generale per la protezione dei dati personali (GDPR) che, ha abrogato la precedente direttiva 95/46/CE, e definisce la tutela dei dati personali come contributo «alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche» (considerando 2).
In base a questa normativa, quindi, ad ogni individuo viene garantito che i dati personali vengano raccolti e trattati da terzi esclusivamente nel rispetto delle regole e dei principi previsti dalle leggi in materia e assicura a ciascuno di essi il controllo sulle informazioni riguardanti la propria vita privata.
Di fronte ad uno stato di crisi senza precedenti, il Governo e le istituzioni interne ed internazionali hanno avuto la responsabilità di trovare un equo bilanciamento tra interessi dello stato e protezione concreta dei diritti umani, e si sono espressi in maniera piuttosto univoca per risolvere questa tensione.
Il diritto alla vita ed il diritto alla salute rappresentano sicuramente diritti fondamentali e prioritari; il primo riconosciuto implicitamente come «primo dei diritti inviolabili dell’uomo» (sentenza della Corte costituzionale n. 223 del 1996) – in quanto presupposto per l’esercizio di tutti gli altri – il secondo qualificato all’interno del nostro ordinamento costituzionale come “fondamentale” (art. 32 Cost.). Entrambi meritano nell’attuale contesto emergenziale una protezione rafforzata, in grado di prevedere – in alcuni casi – restrizioni di altre libertà e diritti ugualmente garantiti da norme costituzionali. Le restrizioni in oggetto però non possono spingersi sino a pregiudicare il pieno godimento di altrettanti principi fondamentali.
In questo caso, anche il tema della raccolta e del trattamento dei dati personali nell’emergenza sanitaria investe questioni etiche rilevanti e, così come previsto nel Considerando n. 4 del GDPR, “non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.
È bene sottolineare che il GDPR (Regolamento UE 2016/679) contempla limitazioni alla tutela dei dati personali per motivi di sanità pubblica: le deroghe al regime ordinario sono considerate misure necessarie e proporzionate «per la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana». Tali deroghe, pertanto, devono risultare circoscritte alla finalità da raggiungere, evitando che i dati raccolti possano essere utilizzati per scopi diversi dalle fattispecie previste. In tal senso, nel corso dell’emergenza sanitaria, si è espresso in più occasioni il Garante per la protezione dei dati personali rimarcando la necessità di rispettare i principi di proporzionalità, necessità, ragionevolezza e temporaneità e chiarendo che tali restrizioni “devono essere proporzionali alle esigenze specifiche e temporalmente limitate”, iscritte “in un quadro di garanzie certe…senza cedere a improvvisazioni”.
Contemperare la protezione dei dati personali con l’interesse pubblico è una prerogativa prevista all’interno del GDPR da due disposizioni, gli artt. 6 e 9. L’art. 6 contempla la legittimità del trattamento solo a determinate condizioni, tra le quali la necessità di salvaguardare gli interessi vitali dell’interessato o di un’altra persona fisica e la necessità di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. L’art. 9 del regolamento invece individua le “categorie particolari di dati personali”, tra cui anche quelli relativi alla salute, per i quali il trattamento è consentito soltanto in presenza di un consenso espresso da parte dell’interessato ovvero per ragioni di necessità del trattamento. Il trattamento, in particolare, viene considerato “necessario” quando è svolto per motivi di interesse pubblico, secondo il diritto dell’Unione o degli Stati membri, o per motivi di interesse pubblico nel settore della sanità pubblica per la protezione da gravi minacce per la salute.
Per di più, alla luce del Regolamento (UE) 2016/679 e in forza delle norme della Direttiva 2002/58/EC (meglio nota come Direttiva e-Privacy) emerge che eventuali interventi restrittivi per effetto della pandemia debbano essere adottati con leggi ad hoc. Nell’art. 15 della Direttiva in particolare, si garantisce agli Stati membri la possibilità di limitare – attraverso il ricorso a «disposizioni legislative» – gli obblighi in materia di riservatezza dei dati purché in «una misura necessaria, opportuna e proporzionata all’interno di una società democratica».
Sul piano nazionale, la normativa predisposta dal decreto-legge c.d. “Cura Italia”, convertito in legge n. 27/2020, prevede una disciplina “emergenziale” con riguardo alla tutela dei dati personali e al loro trattamento con il fine ultimo di assicurare un bilanciamento con il diritto alla salute. L’art. 17-bis in particolare, stabilisce regole semplificate in materia di comunicazione e diffusione dei dati “effettuate nei casi in cui risultino indispensabili ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto” e “avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati”.
I garanti nazionali per la protezione dei dati insieme con alcuni organismi internazionali, come l’Assemblea Globale sulla Privacy, l’European Data Protection Board e il Consiglio d’Europa, hanno pubblicato dichiarazioni volte ad assicurare che la raccolta e l’elaborazione dei dati personali durante la pandemia fossero sicure e affidabili. Al fine di rafforzare tali dichiarazioni ed evitare equivoci si sono serviti in più occasioni di linee guida relative alla pandemia e, ognuna di esse, ha ribadito l’importanza che i diritti alla salute e alla protezione dei dati personali debbano procedere di pari passo.
Tra questi, il Comitato sulla protezione dei dati, la cui istituzione è prevista dalla Convenzione 108/1981 del Consiglio d’Europa, in una dichiarazione resa nota il 31 marzo 2021 ha chiesto che le garanzie di protezione dei dati siano rigorosamente rispettate nei programmi nazionali di vaccinazione contro il Covid-19, nonché nei certificati che attestano la vaccinazione, i risultati negativi dei test o un contagio pregresso. Il Comitato ha anche avvertito che l’uso di suddetti certificati vaccinali per scopi non medici solleva questioni relative ai diritti umani (in particolare rispetto al diritto alla protezione dei dati personali e al principio di non discriminazione).
Ciò nonostante, ha affermato che non dovrebbe esserci una scelta tra risposta efficace alla crisi e la tutela dei diritti fondamentali, essendo possibile realizzare entrambi gli obiettivi. Il Comitato sostiene infatti che il diritto europeo in materia di protezione dei dati consente l’uso responsabile dei dati personali per la gestione della salute ed ha sempre insistito sulla necessità di mantenere un approccio in grado di conciliare il rafforzamento della sicurezza con la salvaguardia dei diritti umani.
In conclusione, porre la questione nei termini di trade-off tra salute e privacy non è del tutto corretto; la disciplina sulla protezione dei dati personali non rappresenta un ostacolo all’implementazione di misure di prevenzione e contrasto dell’epidemia ma, al contempo, non ammette una rinuncia alla tutela dei diritti fondamentali. Sarebbe piuttosto auspicabile un approccio conforme al criterio di gradualità, testando in primis l’efficacia delle misure meno invasive, ed eventualmente incrementarle in caso di necessità, tenendo conto di limiti invalicabili.
Viriana Rosato
Studentessa del Master in Tutela internazionale dei diritti umani “Maria Rita Saulle”
Link e contributi utili
Luigimaria Riccardi, Alla ricerca di un bilanciamento tra la protezione dei diritti fondamentali nell’ambito dello spazio di libertà, sicurezza e giustizia e gli interessi nazionali: il covid-19 alla prova dei fatti, in Freedom, Security & Justice: European Legal Studies, 2/2020, disponibile su http://www.fsjeurostudies.eu/
A. Corrado, Trasparenza e tutela dei dati personali ai tempi del Covid19, in G.A. Chiesi, M. Santise (a cura di), Diritto e Covid-19, Giappichelli, 2020, disponibile su https://www.iss.it/rapporti-covid-19/-/asset_publisher/btw1J82wtYzH/content/rapporto-iss-covid-19-n.-42-2020-protezione-dei-dati-personali-nell-emergenza-covid-19.-versione-del-28-maggio-2020
F. Piergentili, A. Gambino, G. Resta, C. Petrini, Rapporto ISS Covid-19 n. 42/2020 – Protezione dei dati personali nell’emergenza Covid-19
M. Gobbato, Emergenza Covid-19 e protezione dei dati personali, in Economia e società regionale: 2/2020, pp. 101-106
Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the Covid-19 outbreak provided by European Data Protection Board, 2020
Regolamento generale sulla protezione dei dati – Regolamento (UE)- 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, https://www.garanteprivacy.it/il-testo-del-regolamento
Legge 24 aprile 2020, n. 27, conversione in legge, con modificazioni, del d.l. 17 marzo 2020, n. 18, recante “Misure di potenziamento del Servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica da Covid-19. Proroga dei termini per l’adozione di decreti legislativi”. Disponibile su https://www.gazzettaufficiale.it/eli/id/2020/04/29/20G00045/sg