Da più parti ormai si ragiona sul possibile tracciamento digitale degli italiani per contenere l’epidemia covid-19. Il dibattito si è riacceso per effetto del decreto legge 14/2020, contenente una norma (l’art. 14) dedicata al trattamento dei dati personali in questa fase emergenziale da parte delle autorità pubbliche preposte alla gestione dell’emergenza sanitaria in corso.

La norma ricalca una previsione già contenuta nell’ordinanza del Capo del dipartimento della Protezione Civile del 3 febbraio scorso, ma ne allarga l’ambito soggettivo di applicazione; su quell’ordinanza aveva espresso parere favorevole il Garante per la protezione dei dati personali con un provvedimento del 2 marzo. La disposizione del decreto legge prevede che - fino al 30 luglio 2020, data nella quale dovrebbe scadere lo stato d’emergenza decretato dal governo – “per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall'emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 (…), nonché per assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale (…) i soggetti operanti nel Servizio nazionale di protezione civile, (…) e i soggetti attuatori di cui all'articolo 1 dell'ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute

e dell'Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell'ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l'esecuzione delle misure disposte ai sensi dell'articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell'interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all'espletamento delle funzioni attribuitegli nell'ambito dell'emergenza determinata dal diffondersi del COVID-19”.

La disposizione è ampia, e legittima il trattamento di tutte le categorie di dati personali, da quelli “comuni”, quale può essere l’identificativo o la posizione di uno smartphone a quelli particolari, quali quelli relativi alla salute, includendo anche i dati relativi a condanne penali e reati.

Ai sensi della norma in questione tali dati possono liberamente circolare all’interno della rete emergenziale allestita da Stato e Regioni in questa fase, coinvolgendo anche soggetti privati, ove necessario, tra cui i cosiddetti attuatori della protezione civile, che sono individuati tra gli enti pubblici economici e non economici e soggetti privati, che agiscono sulla base di specifiche direttive, ma anche altri soggetti, diversi da quelli istituzionalmente preposti alla gestione dell’emergenza, ai quali la comunicazione “risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto” (art. 14, comma 2 D.l. 14/2020).

Già da questo livello di lettura della disposizione si comprende come il suo campo di applicazione sia più ampio dell’analoga disposizione di protezione civile sopra richiamata, oggetto di parere favorevole del Garante privacy, in quanto quella si riferiva solamente ai soggetti interni al sistema di protezione civile e alle sole attività di protezione civile, mentre questa mette insieme finalità diverse, tra cui la gestione dell’emergenza, la diagnosi sanitaria, ma anche il monitoraggio del rispetto delle misure di contenimento disposte dalle autorità.

Facciamo un esempio pratico. Se oggi uscite in auto 4 volte, e due volte vi fermano per controllo, e una volta avete dichiarato di essere usciti per comprovate ragioni di lavoro e la seconda per motivi di salute di un vostro caro, chi vi controlla potrà incrociare le dichiarazioni (sono infatti registrate) e chiedervi conto della discrasia. Poi, per carità, è ben possibile che una persona nella stessa giornata debba necessariamente spostarsi per lavoro o, supponiamo, per assistere qualche familiare che ne ha bisogno, dal momento che ad oggi le norme non lo vietano. Ma sarà più facile verificare le incongruenze. Se quel tale, infatti, dichiarasse alla polizia di esser dovuto uscire per portare alla madre le medicine comprate in farmacia, il comma 2 dell’articolo 14 sopra commentato abiliterebbe un controllo incrociato con la farmacia, ad esempio.

E tuttavia il vero punto è se questa norma era davvero necessaria o utile. Essa è stata infatti concepita come una norma interpretativa e derogatoria al regime ordinario di protezione dei dati personali discendente dall’applicazione del Regolamento UE 2016/679, meglio noto come “GDPR”; e però il GDPR non c’entra necessariamente con i trattamenti da essa presupposti, quelli appunto effettuati a tutela della salute pubblica e per controllare il rispetto delle misure di contenimento dell’epidemia, dal momento che lo stesso GDPR non si applica ai trattamenti effettuati per attività che non rientrano nell'ambito

di applicazione del diritto dell'Unione (art. 2, comma 2, lettera a) e/o ai trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse (art. 2, comma 2, lettera d).

Ora qui la sfumatura giuridica si fa più complessa. Perché se è vero che la tutela della salute rientra tra le competenze concorrenti dell’UE (art. 4 del TFUE), la misura di esercizio di tale competenza da parte dell’UE determina il perimetro del “diritto dell’Unione” al quale si applicherebbe il GDPR. E a ben vedere l’UE ha esercitato tale competenza, ad esempio attraverso la Decisione n. 1082/2013/UE del Parlamento Europeo e del Consiglio relativa alle gravi minacce per la salute a carattere transfrontaliero, che istituisce un coordinamento permanente tra le istituzioni comunitarie e gli Stati Membri nonché un Sistema di Allarme Rapido e di Reazione (detto SARR) per la gestione delle emergenze sanitarie. Il SARR può essere utilizzato dalle autorità competenti anche per la ricerca di contatti, al fine di individuare le persone contaminate e quelle esposte al rischio. A tali trattamenti di dati personali si applica certamente il GDPR; non è invece necessariamente vero che il GDPR copra anche i trattamenti di dati personali effettuati dalle autorità sanitarie e di protezione civile per la gestione nazionale dell’emergenza in corso. Il tema meriterebbe un più esteso approfondimento; al momento è opportuno segnalare che sia il legislatore che il Garante, nel parere reso alla Protezione Civile lo scorso febbraio, non hanno considerato questa ipotesi. Ragion per cui, obbedendo, mi adeguo: assumiamo che i trattamenti di dati personali effettuati dal governo per la tutela della salute in questa emergenza si muovano in un perimetro disciplinato dal diritto dell’Unione, e siano dunque soggetti al GDPR.

Ciò vale per i dati raccolti, trattati e scambiati da Asl, ospedali, Istituto Superiore della Sanità, medici di medicina generale, protezione civile, ministero della salute e loro ausiliari. Altro aspetto è quello concernente i trattamenti di dati personali necessari per finalità di salvaguardia contro minacce alla sicurezza pubblica. Per questi le norme di riferimento sono la direttiva 2016/680 e il decreto legislativo 51/2018 che l’ha recepita nel nostro ordinamento.

Per cui se, per ipotesi, la risposta alla crisi sanitaria in atto rendesse necessario ricorrere a misure straordinarie di sorveglianza coattiva sui positivi (ad esempio monitorando che stiano a casa e non in giro attraverso i loro cellulari), oppure adottare misure tecnologiche di verifica del rispetto del divieto di

circolazione per tutti (che per ora tale non è), è alla direttiva 680 e al correlato decreto legislativo che dovrebbe guardarsi per un’analisi di fattibilità della misura.

Sorella minore del GDPR, questa direttiva ne mutua principi e istituti giuridici fondamentali. E per disporsi una tale misura di monitoraggio coatto servirebbe una base giuridica più chiara dell’articolo 14 del decreto legge di qualche giorno fa, fatte salve le garanzie di proporzionalità, minimizzazione e sicurezza dei trattamenti che andrebbero in ogni caso assicurate ai sensi del d.lgs. 51/2018. Il modello a cui si guarda in questi giorni è quello koreano, consistente nel mettere a disposizione dei soggetti risultati positivi al covid-19 un’app tramite la quale comunicare con le autorità sanitarie e monitorare che i soggetti in questione non si allontanino dall’area di quarantena. Secondo il Guardian la Corea del Sud ha anche allestito un servizio di “alert” con il quale la popolazione è informata circa i movimenti di soggetti risultati positivi; anche se l’identità di queste persone non è rivelata, ciò non ha impedito il verificarsi di situazioni problematiche di discriminazione e stigma sociale, o di vero e proprio ricatto: a un manager e alla sua segretaria tornati da un viaggio di lavoro a Wuhan è stato attribuito un affaire per il solo fatto di essere insieme; un trentenne di cui si era perso il segnale intorno alla stazione di Seoul, quartiere noto per la prostituzione, è stato bersagliato per i suoi comportamenti sessuali, salvo scoprire che non aveva fatto altro che pranzare in un ristorante della zona; alcuni pazienti positivi al covid-19 ne hanno approfittato per ricattare gli esercizi commerciali nei quali erano stati nei giorni prima del test,

minacciando di rivelare la circostanza alle autorità e al web, mettendoli fuori mercato.

La soluzione koreana è stata efficace nel contribuire al contenimento del virus, ma c’è da imparare da essa anche su cosa non andrebbe fatto a tutela della privacy e della reputazione dei pazienti e dei terzi con cui essi siano venuti a contatto. Va assolutamente evitata la diffusione di informazioni relative ai movimenti dei pazienti positivi, ancorché pseudonimizzati, anche perché la diffusione dei dati di salute nell’ordinamento europeo e italiano è esplicitamente vietata. Il progetto, ove mai intrapreso, andrebbe disegnato in modo da circoscrivere la circolazione delle informazioni solo tra le autorità preposte, con un periodo di conservazione delle informazioni chiaro fin dal principio: finita l’emergenza, vanno distrutte, al netto di quelle necessarie per finalità di ricerca scientifica, per le quali si potrà però procedere all’anonimizzazione prima di ritenerle nei sistemi.

Prima di ciò, sarà però necessario rivedere l’articolo 14 del d.l. 14/2020, perché non è una base giuridica sufficiente per questo trattamento, sia che lo si inquadri sotto l’ambito del GDPR che in quello della Direttiva 2016/680 e del D.lgs. 51/2018; al riguardo andrebbe consultato il Garante ai sensi dell’art. 57

comma 1 let. c) GDPR; del Garante servirebbe anche l’autorizzazione ai sensi dell’articolo 2- quinquiesdecies del Codice Privacy, perché il trattamento presenta un rischio elevato per il perseguimento di un interesse pubblico. Qualora, invece, si aderisse alla tesi per la quale i trattamenti in questione sono connessi alla sicurezza nazionale, il Garante andrebbe consultato ai sensi dell’articolo 24 comma 1, let. b) del D.lgs. 51/2018.

In un caso o nell’altro dall’autorità bisogna passare e non è rimasto molto tempo per farlo.