I modelli descritti in precedenza, per quanto efficaci e visti con interesse non solo dai paesi europei ma anche e soprattutto dagli Stati Uniti, hanno generato perplessità per quanto riguarda la tematica privacy.

Ovviamente tenere sotto controllo la diffusione del contagio vuol dire tenere le persone sotto sorveglianza. Si tratta di un approccio che potrebbe risultare altamente invasivo della privacy. Nel caso della Corea si tratta di una chiara scelta delle autorità che lo ritengono l’unico sistema in grado di impedire la diffusione dei contagi, senza nel contempo azzerare le attività di un’intera nazione. Non è l’intera popolazione ad essere tracciata, ma solo i soggetti in quarantena (volontaria o coatta) che decidono di usare la app, L’uso della app è quindi volontario e basato sul consenso dell’individuo che può anche non scaricarla o non usarla. Più che altro la app serve per rimanere in contatto con gli operatori sanitari, come alternativa al telefono.

I contagiati sono intervistati, per verificare i loro spostamenti, e poi i dati sono incrociati con quelli dei database governativi o privati (telecamere di sorveglianza, transazioni con carta di credito, ecc.) per raccogliere informazioni sugli spostamenti.

La diffusione di tali dati, per quanto resi anonimi e scaturiti da un comportamento del soggetto che denota consenso, ha creato comunque situazioni pregiudizievoli per alcuni cittadini coreani, che sono stati riconosciuti incrociando le informazioni, oppure semplicemente perché qualcuno ha pensato erroneamente di averli riconosciuti.

Tali situazioni pregiudizievoli hanno provocato reazioni da parte dell’opinione pubblica che non possono e non devono essere sottovalutate.

Ma se in Stati come Corea e Singapore dove la sensibilità alla tematica privacy è sicuramente inferiore ai paesi Europei e più in generale al mondo occidentale, come si può pensare di adottare un modello simile fuori da questi contesti?

Lo Stato, secondo il modello occidentale, ha l’obbligo di tutelare la collettività intera, quindi di interrompere la catena del contagio e, nel contempo, di salvaguardare la salute dei singoli individui.  In Italia, per fare un esempio, il diritto alla salute è riconosciuto, dagli articoli 2 e 32 della Costituzione, come diritto fondamentale sia per i singoli che per la collettività. Nella tutela di tali principi fondamentali altri diritti possono essere compressi (ma non annullati) in situazioni di emergenza, come quella attuale.

Altro aspetto da non dimenticare è la necessità di tenere in considerazione (in Italia così come in tutti gli altri paesi europei) le disposizioni della attuale normativa europea per il trattamento e la circolazione dei dati personali (GDPR).

In Italia la prima interessante norma in materia di dati personali nell’ambito della emergenza sanitaria che cerca di bilanciare le nuove esigenze di protezione della salute pubblica con e disposizioni del GDPR è stata emanata con il Decreto-Legge del 9 marzo 2020, n. 14, in vigore dal 10 marzo 2020.

Il decreto, con cui sono state previste una serie di disposizioni immediatamente applicabili al Sistema Sanitario, all’art.14 indica anche alcune disposizioni in materia di trattamento dei dati personali in un periodo di emergenza di questa portata.

Il comma 1 di tale articolo prevede che fino al termine dello stato di emergenza, per motivi di interesse pubblico nel settore della sanità e, in particolare, per garantire la protezione dall’emergenza sanitaria anche al di là delle frontiere mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati, le Autorità pubbliche e in generale tutti i soggetti coinvolti nell’emergenza come elencati al DPMC del 05/03/2020 possono:

 

“effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del GDPR, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del Covid-19”.

 

Questi trattamenti vengono effettuati, secondo quanto previsto dal DL, nel rispetto del GDPR e nello specifico degli articoli 9, paragrafo 2, lettere G (motivi di interesse pubblico), H (medicina preventiva) e I (motivi di interesse pubblico nel settore della sanità pubblica), e dell’articolo 10 (trattamento dei dati personali relativi a condanne penali e reati), nonché nel rispetto del Codice della Privacy, come modificato dal DLgs. 101/18, articolo 2 sexies, comma 2, lettere T (attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale) ed U (compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica).

 

Al comma 2, inoltre, è previsto che

 

comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del GDPR, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.

 

È significativo, in ultima analisi, che il decreto preveda che, avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all’articolo 2 quaterdecies del Codice Privacy con modalità semplificate, anche oralmente. Quest’ultima norma ha infatti introdotto una figura ulteriore rispetto al semplice incaricato previsto dall’art. 19 GDPR, cioè una persona fisica espressamente designata a cui titolare e responsabile possono assegnare sotto la propria responsabilità specifici compiti e funzioni connessi al trattamento di dati personali. Il titolare o il responsabile individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.