La tutela dei dati personali e l’utilizzo della geolocalizzazione al tempo del coronavirus

I chiarimenti del Comitato Europeo per la protezione dei dati

In questo periodo emergenziale un tema di stretta attualità riguarda il bilanciamento tra diritto alla riservatezza e la tutela della salute pubblica.
L’applicazione della normativa in materia di trattamento dei dati personali e sensibili in ambito medico-sanitario ha da sempre comportato non poche criticità, derivanti soprattutto dalla necessità di soppesare la tutela individuale della riservatezza con la necessità di garantire la salute del paziente, soprattutto nel caso in cui esigenze di carattere terapeutico richiedano dei provvedimenti in tempi relativamente brevi.
Purtroppo, il Regolamento europeo n. 679/2016 non è stato in grado di fornire appieno degli strumenti in grado di risolvere le problematiche inerenti al trattamento dei dati personali in ambito sanitario, eccetto per quelle norme che riguardano le “categorie particolari di dati personali” tra cui rientrano a ben diritto i cosiddetti “dati sensibili” (volendo usare un termine particolarmente caro al legislatore italiano del 2003).
L’articolo 9 del GDPR vieta infatti il trattamento di dati personali che rivelino “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale”, nonché di “dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica” ovvero “di dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
Tuttavia, il secondo paragrafo, che funge da contraltare a tale divieto, stabilisce l’inapplicabilità del principio a fronte di comprovate esigenze di carattere pubblico, che riguardino cioè la tutela del cittadino non come singolo, ma come membro di una comunità complessivamente intesa.
In particolare, la normativa comunitaria interviene in tutti quei casi in cui il trattamento rivesta caratteri di necessarietà, ovvero per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri (art. 9 par. 2 lett. h).
Da ultimo, la prevalenza dell’interesse pubblico riguarda gli aspetti inerenti la protezione da gravi minacce per la salute a carattere transfrontaliero, nonché la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici (art. 9 par. 2 lett. i).

E’ in contesti di carattere emergenziale – com’è quello che purtroppo stiamo vivendo – che occorre valutare la portata dell’applicabilità di tali disposizioni.
Lo scorso 17 marzo infatti, il Comitato Europeo per la Protezione dei dati (EDPB) è intervenuto per fornire alcuni importanti chiarimenti soprattutto in conseguenza delle numerose normative interne che in queste settimane si sono succedute sul punto.

In maniera quasi scontata (ma che forse merita di essere ribadito) l’EDPB ha chiarito che la normativa comunitaria in materia di trattamento di dati personali non contrasta né rappresenta un limite alle misure di contrasto al COVID19.

Il GDPR mette infatti a disposizione numerose basi giuridiche che possono essere utilizzate in luogo del consenso per poter giustificare il trattamento di dati personali nelle misure di contrasto e di contenimento al contagio.
Tra queste rientra appunto la necessarietà per motivi di interesse pubblico nel settore sanitario (art. 9 par. 2 lett. i), la tutela di un interesse vitale dell’interessato o di un’altra persona fisica (artt. 6 par. 1 lett. d e 9 par. 2 lett. c) e, da ultimo, l’adempimento di un obbligo legale (artt. 6 par. 1 lett. c e 9 par. 2 lett. b).
Secondo alcuni tale possibilità consentirebbe in primo luogo alle aziende di raccogliere i dati sanitari dei propri dipendenti, e ciò allo scopo di tutelarne la salute conformemente alla normativa nazionale applicabile, in maniera tuttavia trasparente (ovvero fornendo adeguata informativa agli interessati) e garantendone la sicurezza da possibili utilizzi illeciti.

Altro aspetto analizzato dall’EDPB riguarda la possibilità da parte degli stati membri di ricorrere alla geolocalizzazione per monitorare gli spostamenti della popolazione (c.d. contact tracing basato sul modello adottato in Corea del Sud) allo scopo di limitare il numero dei contagi, soprattutto da parte dei soggetti che siano risultati positivi al virus.
Da questo punto di vista il Comitato ha aperto la possibilità all’utilizzo di tecnologie che permettano il tracciamento degli spostamenti, purché vengano adottate opportune misure che ne impediscano l’utilizzo per finalità diverse o, nel peggiore dei casi, illecite.
Tra queste, la principale è sicuramente l’anonimizzazione che, in quanto processo irreversibile, non consente di identificare il soggetto interessato neppure in via indiretta (a differenza di quanto accadrebbe se i dati venissero soltanto pseudononimizzati).
Ed infatti, il n. 26 del GDPR stabilisce espressamente che “I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca” .
Tuttavia, nel caso non fosse possibile ricorrere all’anonimizzazione dei dati, l’EDPB ha sottolineato come la Direttiva 2002/58/CE consenta il ricorso ai dati relativi alla geolocalizzazione degli utenti anche senza il loro consenso, purché ciò avvenga nell’espresso ambito di una normativa di emergenza adottata da ciascun Stato membro (come ad esempio i vari DPCM adottati dal Governo italiano).

Tale utilizzo, chiarisce il comitato, è dunque possibile facendo ricorso a criteri di necessità, proporzionalità ed adeguatezza che consentano di individuare i termini di durata e portata, nonché i criteri di conservazione dei dati e le loro finalità.