Il Consiglio d’Europa ha pubblicato il Rapporto “Soluzioni digitali per combattere il COVID-19“ in cui individua una serie di questioni aperte e lacune giuridiche e normative in merito alla protezione della privacy e dei dati personali nelle misure adottate da alcuni tra i 55 Paesi tra Africa, Sud America ed Europa che aderiscono alla Convenzione 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, utilizzati dallo scorso marzo per studiare e contrastare la propagazione della pandemia.
Il paper sollecita la collaborazione, il coordinamento, lo scambio di informazioni e l’interoperabilità delle soluzioni digitali volte a prevenire la propagazione del virus, fine già promosso dalla Commissione Europea, lo scorso 8 aprile 2020, con una raccomandazione relativa ad un pacchetto di strumenti comuni dell’UE per l’uso della tecnologia e dei dati, al fine di contrastare lo scenario pandemico che stiamo affrontando (in particolare per quanto riguarda l’uso di app e di dati anonimizzati sulla mobilità).
Questi appelli però sono rimasti disattesi. Gli Stati, incalzati dallo scenario pandemico, hanno attuato infatti sistemi estremamente divergenti, rendendo in questo modo meno efficienti le misure intraprese.
L’attuale situazione emergenziale ha infatti spinto i Governi ad adottare strumenti normativi il cui iter giuridico è più rapido, quali i decreti e le ordinanze, spesso però sanzionati o annullati dalle Autorità statali: è il caso della Romania o della Repubblica Ceca, le cui Corti Costituzionali hanno dichiarato nulle le misure adottate durante la quarantena, o anche il caso della Francia dove il Consiglio di Stato ha vietato al Governo l’uso di droni per monitorare le persone durante il periodo di lockdown, data l’assenza di un quadro giuridico di settore (si veda a tal proposito le ordinanze del 18/05/2020 n. 440442 e 440445 del Conseil d’Etat).
Contact tracing
Nello specifico delle soluzioni digitali, per quanto riguarda le app di contact tracing (soluzione scelta da moltissimi Stati per monitorare la catena dei contatti dei positivi), l’Autorità di controllo della Norvegia, ad esempio, ne ha sospeso il download ritenendo che il basso numero di utenti non giustificasse la compressione e la limitazione dei diritti della privacy. O ancora in Francia, il Consiglio di Stato ha ordinato la soppressione delle telecamere termiche all’ingresso delle scuole dell’infanzia, considerando la misura sproporzionata rispetto al diritto alla privacy degli alunni. L’esempio forse più eclatante è quello dell’Olanda, dove l’Autorità per la protezione dei dati ha dichiarato di non essere in grado di valutare se l’impatto sulla privacy di app di contact tracing fosse troppo gravoso, a fronte dei requisiti legali e di scopi poco chiari da definire ex ante, sollecitando di conseguenza il Governo per lo sviluppo di nuove tecnologie sotto il pieno controllo statale.
Termoscanner e dati di contatto
Alcuni Paesi hanno invocato la base giuridica dell’interesse pubblico alla salute per introdurre e rendere obbligatorie, ad esempio, le scansioni della temperatura presso frontiere o luoghi pubblici e la registrazione dei dati di contatto per le visite in negozi o bar al fine del tracciamento dei contatti. Ciò detto, per invocare con successo questa base giuridica, lo Stato deve garantire che il trattamento sia precipuo a tale scopo. Sulla scorta però dell’interesse pubblico, si sono verificati numerosi episodi di accesso ed utilizzo non autorizzato di dati personali inerenti agli spostamenti presso i gestori delle telecomunicazioni, al fine di generare statistiche per la creazione di mappe delle zone maggiormente colpite dal virus. I dati delle telecomunicazioni sono sia protetti dalla normativa generale sulla privacy, sia da normative specifiche atte a garantire la riservatezza delle comunicazioni (si pensi all’Art. 15 della Costituzione italiana circa la segretezza della corrispondenza e di ogni altra forma di comunicazione, la cui limitazione è ammessa esclusivamente per atto motivato dall’autorità giudiziaria).
L’interesse pubblico appare, quindi, un criterio giuridico quanto mai debole in assenza di una specifica legislazione statale. Ciò non ha fermato Stati quali Montenegro, Slovacchia o Ungheria dal pubblicare liste con nomi e generalità delle persone risultate positive. Il Regno Unito, d’altro canto, nel “Coronavirus Act 2020” ha previsto la possibilità che impronte digitali o dati biometrici raccolti durante la pandemia possano essere utilizzati per la sicurezza nazionale anche in futuro, una volta superata lo scenario pandemico.
Da questi esempi appare evidente come, se è vero che la crisi causata dalla diffusione del Covid-19 ha costretto i Governi a rispondere in modo urgente ad uno scenario pandemico inedito, d’altro canto l’uso di tecnologie quali app per destinate al contact tracing, siti web di autodiagnosi, termoscanner, droni, ebracelets, canali social per la diffusione costante ed aggiornata dei dati sono diventati normalità in questi mesi. Ciò, però, non deve portare alla sottovalutazione di altri pericoli, connessi in primis alla privacy, al trattamento di dati personali, al monitoraggio della localizzazione. Se è vero, infatti, che situazioni eccezionali richiedono misure eccezionali, altrettanto vero è che la loro adozione – seppur in una situazione emergenziale – deve rispettare determinati principi quali necessità, proporzionalità, provvisorietà, trasparenza e prevedibilità. Queste misure devono essere sempre sottoposte ad un controllo, offerto dalla normativa che, a maggior ragione in uno scenario come quello attuale, non deve essere vista come un ostacolo, ma al contrario essere il fondamento e la garanzia anche in un momento così complesso.
Simone Spinelli
Trainee Lawyer
Napoletano Ficco&Partner Studio Legale