Dopo lo scoppio della pandemia di Coronavirus, il Governo italiano ha introdotto diverse misure per contenere il più possibile il dilagare del contagio. Il governatore del Veneto Luca Zaia ha definito “un’ottima soluzione” quella di geolocalizzare le persone attraverso i dati dei propri telefonini.

Questo ha dato adito a molti dubbi, tra cui quello relativo alla privacy. La geolocalizzazione degli interessati (ricomprendendo quindi sia i positivi che i potenziali positivi,  come anche i negativi che potrebbero essere contagiati) è possibile? Se sì, in quale modo? 

Ecco come la normativa europea e quella nazionale rispondono al quesito che sta attanagliando la società in questi giorni difficili.

La geolocalizzazione ai tempi del Coronavirus, un’idea che arriva da lontano

Il primo test di questa strategia è stato introdotto a Wuhan,  in Cina, durante il dilagare del Coronavirus. Durante il periodo di isolamento, il Governo ha registrato i dati dei cellulari tramite la nota applicazione WeChat per monitorare gli spostamenti degli abitanti, singolarmente.

Ci teniamo a specificare l’aspetto del tracciamento singolo perché è proprio questo a dare adito ad un problema di privacy. 

Nella registrazione dei dati aggregati,  ossia delle percentuali che vengono calcolate per ogni Regione, non viene identificata la persona singola che effettua lo spostamento. Mentre, quando si parla di tracciamento del singolo individuo, subentrano problematiche differenti.

La domanda cruciale rimane, è possibile fare tutto questo in Italia? Per ottenere risposta è necessario valutare tutte le normative coinvolte, sia a livello europeo che nazionale.

Cosa dice la normativa europea?

A livello comunitario, possiamo ricavare una definizione di geolocalizzazione nell’art. 4, paragrafo 4 del Regolamento Generale sulla Protezione dei Dati, laddove si definisce  “profilazione”  come una qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione e gli spostamenti di detta persona fisica.

Una volta compreso che la geolocalizzazione è una particolare forma di profilazione, possiamo leggere l’articolo 22 del regolamento europeo, che ci spiega quali sono le condizioni per poter effettuare lecitamente un trattamento automatizzato di dati compresa la profilazione.

L’articolo in commento stabilisce che non si possano prendere decisioni basate unicamente su un processo decisionale automatizzato, compresa la “geolocalizzazione” di dati particolari (tra cui quelli sanitari) a  meno che non si sia in presenza di una situazione particolare come quella espressa dalla lettera g) dell’art.9.

Come noto, in generale, l’articolo 9 del regolamento europeo, stabilisce che è vietato trattare i dati sanitari di un soggetto senza il suo consenso, a meno che non si verifichino determinate condizioni.

Per quello che è di nostro interesse, la lettera g) dell’articolo 9 consente il trattamento, in assenza di consenso dell’interessato, quando questo sia necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi del soggetto interessato.

Questa la base per la geolocalizzazione. Ma c’è di più.

L’articolo 9 paragrafo 2 lettera i) consente il trattamento dei dati sanitari in assenza di consenso quando questo sia reso necessario da motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.

In definitiva, l’Unione Europea dice che la geolocalizzazione è possibile per motivi di interesse pubblico rilevante. Oggi stiamo parlando di una pandemia che ha colpito il mondo intero. 

Ma cosa dice l’Italia in proposito? Scopriamolo subito.

La posizione dell’Italia sulla geolocalizzazione 

In Italia, la normativa di riferimento è il D.lgs. 30 giugno 2003, n. 196 recante il Codice in materia di protezione dei dati personali.

L’articolo da cui partire è il 2-sexies sul Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante.

Anche in Italia l’interesse pubblico rilevante consente il trattamento dei dati personali.  I trattamenti di questi particolari dati sono ammessi se previsti dal diritto dell’Unione Europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Nel paragrafo successivo del medesimo articolo, rientra il caso nel quale ci troviamo ora. Alla lettera “u” vengono citati i compiti del servizio nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione,  protezione civile, salvaguardia della vita e incolumità fisica.

Quindi, nel caso della geolocalizzazione dei malati di Coronavirus abbiamo l’interesse pubblico rilevante e la normativa europea che la prevede.

Come si attua tutto ciò? Le misure specifiche vengono definite dall’art 2-septies, il quale stabilisce le Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute.

A ciò si aggiunga che l’articolo 75 del codice privacy stabilisce che il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell’articolo 2-septies del codice, nonché nel rispetto delle specifiche disposizioni di settore.

Come è possibile effettuare la geolocalizzazione?

Il GDPR, quindi, ammette la possibilità di trattare dati personali senza il consenso dell’utente in determinate situazioni, come l’interesse pubblico rilevante.

Tuttavia, nella pratica, come si dà il via alla geolocalizzazione? 

Prima di tutto è necessaria una normativa scritta ad hoc,  come i decreti del Governo che sono stati emessi di recente.

Inoltre, serve il vaglio del Garante della Privacy,  il quale deve decidere le misure tecniche e pratiche da adottare nel dettaglio e con quali limiti. Questo aspetto è molto importante perché si sta parlando di influire sui diritti e le libertà di una persona, a maggior ragione se positiva ad un virus.

L’Autorità ha già avviato la redazione di provvedimenti  che stabiliscano le misure di garanzia e si impegna ad adottarli in tempi brevi per arrivare nel minor tempo possibile ad un quadro regolatorio completo.

Tuttavia, questa situazione non consente a determinati soggetti di agire senza il consenso esplicito dell’utente come, ad esempio, nel caso delle app mediche.

Se vuoi approfondire l’argomento, ed avere maggiori informazioni sulle modalità di trattamento dei dati personali in questo periodo di emergenza, contattaci subito.