Privacy&

2020/0

Gaetano Arnò Dafne Chillemi

Much ado about nothing: il non controverso rapporto tra diritto alla salute e tutela dei dati personali

Scarica articolo in PDF

Il “non” problema e la sua soluzione

Molto rumore per nulla” avrebbe probabilmente detto William Shakespeare, autocitando il titolo di una delle sue commedie teatrali di maggior successo.

In effetti, quale affermazione potrebbe essere più giusta per descrivere il mare magnum di voci allarmate dal presunto insormontabile conflitto fra diritto alla salute e diritto alla tutela dei dati personali?[1].

Quanti hanno di recente (inutilmente) invocato l’abbattimento di qualsivoglia pilastro in materia di privacy in favore del bene supremo della salute individuale e collettiva?

Ragionando in termini giuridici, il  riflettore non è stato però  correttamente puntato: il problema non è, infatti, comprendere se il diritto alla data protection debba essere schiacciato (se non letteralmente polverizzato) dal diritto alla salute quanto piuttosto stabilire in che termini – analogamente ad ogni convivenza che si rispetti – a fronte di un’emergenza sanitaria quasi senza precedenti nel mondo moderno[2] la tutela dei dati personali debba subire alcune  limitazioni (ipotizzate ab origine) per non rappresentare un ostacolo alla protezione della salute,  diventando semmai  un valido alleato.

La risposta in termini generali è stata ben sintetizzata dalla Presidente della Corte Costituzionale, Marta Cartabia, ricordando come “nella Costituzione sono indicate le ragioni che possono giustificare limitazioni dei diritti e gli strumenti con cui tali limitazioni si possono imporre. Nella giurisprudenza costituzionale, poi, si trovano orientamenti anche sulla misura di queste limitazioni, che devono sempre essere ispirate ai principi di necessità, proporzionalità, ragionevolezza, bilanciamento e temporaneità[3].

In perfetta sintonia, il Presidente dell’autorità Garante per la Protezione dei Dati Personali (“Garante” o “Garante Privacy”), Antonello Soro, ha a sua volta confermato che “la privacy è un diritto di libertà che, come ogni altro diritto fondamentale, è soggetto a bilanciamento con altri beni giuridici, e modula la sua intensità e il suo contenuto in ragione dello specifico contesto in cui si eserciti”[4].

Questa esigenza di bilanciamento di interessi era, peraltro, ben presente tanto al legislatore comunitario quanto a quello nazionale nel momento in cui hanno dettato le norme in materia di data protection, prevedendo la possibilità di contenerne la portata applicativa al verificarsi di eventi e situazioni straordinarie [5].

Esposto il problema e identificata (invero senza troppe difficoltà) la sua soluzione in termini concettuali, la trattazione potrebbe forse esaurirsi a questo punto. Il motivo che induce a proseguire è rappresentato dall’opportunità di chiarire in modo più esteso le ragioni per le quali il problema, in realtà, non era tale oltre i criteri in base ai quali deve essere regolato in concreto il bilanciamento tra i due diritti paralleli e coesistenti, da alcuni erroneamente ritenuti contrapposti.

Per fare ciò è necessario partire dal testo costitutivo del nostro sistema giuridico e dagli equilibri in esso stabiliti per poi esaminare le norme che regolano i diversi diritti attribuiti alle persone e, in particolare, quello alla tutela dei dati personali, in armonia con le previsioni a protezione del bene supremo della salute individuale e collettiva.

All’esito di questa breve disamina, svolta (lo si precisa) con tutti i limiti di conoscenza tipici dei non “costituzionalisti” (con i quali ci si scusa in anticipo per le inevitabili imprecisioni), risulterà vieppiù dimostrata l’inesistenza del conflitto paventato da più parti, così come dovrebbero risultare chiari i criteri da seguire nel concreto bilanciamento tra i diversi interessi tutelati dalle norme prese in considerazione.

I diritti inviolabili dell’uomo

L’articolo 2 della Costituzione italiana stabilisce che “La Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità (…)”, declinati nelle previsioni successive e,  in particolare, l’inviolabilità della libertà personale (articolo 13) e  del domicilio (articolo 14), la libertà e segretezza della corrispondenza (articolo 15), la libertà di circolazione e soggiorno (articolo 16), le libertà di riunione, associazione,  professione del proprio culto e  manifestazione del pensiero (articoli da 17 a 21),  il diritto alla salute (articolo 32), la tutela del lavoro e della libertà sindacale (articoli 35, 36 e 37), il diritto di sciopero e quello di iniziativa economica (articoli 39, 40 e 41).

Tutti questi diritti sono giustamente ritenuti connaturati agli esseri umani e, in quanto tali, preesistenti allo Stato che infatti li “riconosce e garantisce” invece di “concederli” o “stabilirli” ex novo nel momento in cui è stata scritta la Costituzione repubblicana[6].

Non sono quindi diritti dei soli “cittadini” ma degli “uomini” in generale, essendo pacificamente “riconosciuti e garantiti” anche agli stranieri, agli apolidi e, in una certa misura, persino ai clandestini[7];  tutti soggetti che la Carta Costituzionale ritiene abbiano pari dignità umana[8].

La dottrina si è chiesta per diverso tempo se l’articolo 2 della Costituzione andasse considerato alla stregua di una norma di chiusura, e come tale riferita ai soli diritti e libertà poc’anzi indicati, oppure assolvesse la funzione di clausola generale volta a tutelare tutti i diritti dell’uomo ancorché non espressamente menzionati. L’orientamento oggi dominante è il secondo, per il quale la norma in esame “riconosce e garantisce” anche diritti e libertà che la carta fondamentale non ha indicato in modo diretto, ma che sono stati identificati (dal legislatore o dalla giurisprudenza) in un momento successivo in considerazione dello sviluppo della coscienza sociale nel tempo[9].

Sulla scia di questo approccio interpretativo, la Corte Costituzionale ha rivisto la propria iniziale posizione di chiusura, riconoscendo quindi una serie di diritti non identificati in modo espresso dai costituenti tra i quali si ricordano, a titolo di esempio, il diritto alla vita (sentenze nn. 27 del 1975; 35 del 1997; 223 del 1996), il  diritto “all’identità personale” (sentenza n. 13 del 1994), il diritto di autodeterminazione inteso come ampliamento della libertà personale non limitata alla sola tutela da  forme di coercizione fisica della persona (sentenza n. 30 del 1962) ed il  diritto all’informazione (sentenze n. 84 del 1969 e n. 348 del 1990)[10].

Per tale via hanno poi trovato pacifico riconoscimento anche il diritto alla tutela dell’ambiente (derivato dal combinato disposto degli artt. 9 e 32 Cost.)[11] e il diritto alla riservatezza[12] oggetto specifico della presente trattazione.

I diritti inviolabili dell’uomo trovano, inoltre, il proprio “riconoscimento” all’interno di numerose convenzioni internazionali, tra le quali meritano sicuramente una menzione la Dichiarazione Universale dei Diritti Umani, approvata nel 1948 dall’Assemblea Generale delle Nazioni Unite e la Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (“CEDU”)[13] adottata dal Consiglio d’Europa nel 1950. A quest’ultima convenzione fa riferimento la Carta dei Diritti Fondamentali dell’Unione Europea (o “Carta di Nizza”), varata il 7 dicembre 2000, alla quale si deve la codificazione di alcuni diritti c.d. di nuova generazione, quale ad esempio la tutela del consumatore.

L’equilibrio tra diritti fondamentali

Il rapporto, e conseguentemente il bilanciamento, tra diritti fondamentali, tutti di rango costituzionale, è uno degli aspetti più importanti e delicati dell’assetto normativo che costituisce la base delle società moderne (non solo quella italiana).

Nonostante l’innegabile complessità del tema ed i diversi orientamenti dottrinali,  la Corte Costituzionale non sembra aver mai dubitato del fatto che “Tutti i diritti fondamentali tutelati dalla Costituzione si trovano in rapporto di integrazione reciproca e non è possibile pertanto individuare uno di essi che abbia la prevalenza assoluta sugli altri (…) Se così non fosse, si verificherebbe l’illimitata espansione di uno dei diritti, che diverrebbe “tiranno” nei confronti delle altre situazioni giuridiche costituzionalmente riconosciute e protette, che costituiscono, nel loro insieme, espressione della dignità della persona[14].

Questo basilare criterio interpretativo (e prima ancora valutativo) deve essere necessariamente seguito anche quando uno dei diritti di cui si tratta è costituito dal diritto alla salute.

Va, infatti, ribadito che “I diritti della persona non sono mai assoluti (…) ma devono essere sempre affermati tenendo conto dei diritti delle altre persone e anche degli interessi generali dell’intera collettività. Il limite è sempre insito nel concetto di diritto[15].

Ne consegue, sempre secondo la Consulta, “un continuo e vicendevole bilanciamento tra princìpi e diritti fondamentali, senza pretese di assolutezza per nessuno di essi. La qualificazione come primari dei valori dell’ambiente e della salute[16] significa pertanto che gli stessi non possono essere sacrificati ad altri interessi, ancorché costituzionalmente tutelati, non già che gli stessi siano posti alla sommità di un ordine gerarchico assoluto”.

Ciò significa evidentemente che neppure quando sia necessario far prevalere le esigenze di tutela della salute diventa per ciò stesso possibile dimenticare la parallela esistenza (compresenza) degli altri diritti inviolabili dell’uomo “garantiti e riconosciuti” dalla carta costituzionale “che costituiscono, nel loro insieme, espressione della dignità della persona”.

Ed è quindi proprio il rispetto della dignità umana che deve rappresentare il principale elemento di valutazione del corretto ed accettabile bilanciamento (ed equilibrio) tra diritti fondamentali, costituendo il limite invalicabile della possibile temporanea contrazione di uno (o più) di tali diritti a favore di un altro al verificarsi di situazioni eccezionali che giustificano questa esigenza/necessità[17].

Diritti inviolabili e stato di emergenza

L’articolo 15 della CEDU prevede che, in circostanze di emergenza, gli stati contraenti possono “adottare delle misure in deroga agli obblighi previsti dalla presente Convenzione, nella stretta misura in cui la situazione lo richieda e a condizione che tali misure non siano in conflitto con gli altri obblighi derivanti dal diritto internazionale”.

Anche l’articolo 52, paragrafo 1, della Carta dei Diritti Fondamentali dell’Unione Europea prevede la possibilità che i diritti e le libertà da essa riconosciuti possano subire limitazioni, a patto che siano previste per legge, ne rispettino il contenuto essenziale ed il principio di proporzionalità,[18] in modo che risultino (oltre che necessarie) rispondenti a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà fondamentali[19].

Per molteplici ragioni discusse in seno all’assemblea costituente, la nostra carta costituzionale non tratta espressamente lo “stato di emergenza” ma soltanto l’eventualità che venga dichiarato lo stato di guerra[20].

Ad un livello normativo inferiore, è intervenuta dunque la Legge  n. 225 del 24 febbraio 1992, istitutiva  del Servizio Nazionale della Protezione Civile, il cui articolo 5 stabilisce che il Consiglio dei Ministri possa  deliberare  lo stato di emergenza “al verificarsi degli eventi di cui all’articolo 2, comma 1, lettera c)”, consistenti in “calamità naturali o connesse con l’attività dell’uomo che in ragione della loro intensità ed estensione debbono, con immediatezza d’intervento, essere fronteggiate con mezzi e poteri straordinari da impiegare durante limitati e predefiniti periodi di tempo”. [21]

È in questo contesto che, al fine di fronteggiare in modo adeguato ed  efficiente lo stato emergenziale, potrebbe risultare giustificato limitare il concreto esercizio di  alcuni diritti fondamentali, purché  ciò avvenga (in ogni caso) mediante provvedimenti normativi muniti di  efficacia  limitata nel tempo, non retroattivi, specificamente motivati, proporzionati rispetto allo scopo perseguito e soprattutto pienamente rispettosi della dignità umana, imprescindibile valore fondante (e irrinunciabile) della nostra Carta costituzionale.

Le disposizioni rilevanti in materia di tutela dei dati personali

I principi riguardanti il bilanciamento tra diritti fondamentali, riconosciuti e garantiti dalla Carta costituzionale, oltre che confermati dai più importanti Trattati e Convenzioni internazionali, trovano una parallela (o forse sarebbe più appropriato dire una conseguente) affermazione nella normativa specialistica in materia di tutela dei dati personali.

Fondamentale a questo proposito risulta il Considerando 73 del Regolamento (UE) 2016/679 (di seguito “Regolamento” o “GDPR”)[22] secondo il quale “Il diritto dell’Unione o degli Stati membri può imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati, al diritto alla portabilità dei dati, al diritto di opporsi, alle decisioni basate sulla profilazione, nonché alla comunicazione di una violazione di dati personali all’interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica,  (...) per la tutela di altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, (...) o per la tutela dell’interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari. Tali limitazioni dovrebbero essere conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali”[23].

In forza di queste motivazioni, l’articolo 23, primo comma, lettere  (e) ed (i),  GDPR (rubricato “Limitazioni”),  stabilisce che  “Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare: (…) e) (...) importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; (…); (i) la tutela dell’interessato o dei diritti e delle libertà altrui”.

Prosegue coerentemente il  secondo comma dello stesso articolo 23, GDPR, affermando come “In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso: a) le finalità del trattamento o le categorie di trattamento; b) le categorie di dati personali; c) la portata delle limitazioni introdotte; d) le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti; e) l’indicazione precisa del titolare del trattamento o delle categorie di titolari; f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; g) i rischi per i diritti e le libertà degli interessati; e h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa”[24].

Rileggendo adesso le disposizioni normative appena riportate, sembra quasi che il legislatore comunitario avesse profeticamente immaginato la situazione che si è venuta a determinare negli ultimi mesi con l’emergenza Covid-19 e l’ineliminabile necessità di “rimodulare” l’ambito di applicazione della disciplina in materia di tutela dei dati personali restringendolo nella misura necessaria a non ostacolare, ma anzi consentire (o agevolare), l’irrinunciabile tutela della salute delle persone.

Passando all’atto pratico, il GDPR avrebbe  potuto, e dovuto, costituire anche una precisa “guida operativa” per i legislatori nazionali  (e una inequivoca fonte di certezza per tutti gli interessati) laddove ci si fosse attentamente soffermati su una sua lettura “focalizzata” sul caso di specie, secondo la quale “Il diritto (...) dello Stato membro (...) può limitare, mediante misure legislative, la portata degli obblighi e dei diritti (...)” previsti dalla vigente normativa in materia di data protection “(...) qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata (...) per salvaguardare: (...) importanti obiettivi di interesse pubblico generale (...)  in materia (...) di sanità pubblica e sicurezza sociale; (…)” (così il primo comma dell’articolo 23, lettera e, GDPR).

Nessun dubbio ci sarebbe potuto, e dovuto, essere neppure in relazione al contenuto specifico delle “misure legislative” da emanare, chiaramente indicato nel secondo comma dell’articolo 23 poc’anzi trascritto alla cui (ri)lettura si fa espresso rinvio.

A ciò si aggiunga l’ulteriore importante ausilio interpretativo fornito dallo European Data Protection Supervisor che nel 2017 ha pubblicato un primo “toolkit” finalizzato a valutare se le misure legislative adottate dagli Stati membri rispettino il requisito della necessità[25], seguito nel 2019 dalle Linee Guida[26] applicabili per verificare l’effettiva proporzionalità dei provvedimenti limitativi del diritto alla privacy[27].

I provvedimenti emanati per gestire l’emergenza sanitaria

A causa del rapido e impressionante diffondersi del virus, in data 30 gennaio 2020,  “il Direttore generale dell’Organizzazione Mondiale della Sanità (“OMS”) ha dichiarato il focolaio internazionale di Covid-19 un’emergenza di sanità pubblica di rilevanza internazionale (Public Health Emergency of International Concern – PHEIC), come sancito nel Regolamento sanitario internazionale (International Health Regulations, IHR, 2005)”[28],  di fatto riconoscendo che le preoccupazioni  espresse sino ad allora da molti scienziati erano tutt’altro che eccessive, risultando viceversa errate le teorizzazioni di coloro che sbrigativamente qualificavano il nuovo virus poco più pericoloso di una normale influenza stagionale e, come tale, destinato a scomparire da un giorno all’altro al sorgere dei primi raggi del sole[29].

Il giorno successivo, 31 gennaio 2020,  con Delibera del Consiglio dei Ministri è stato dichiarato lo “stato di emergenza in conseguenza del rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili”,  precisando che le c.d. ordinanze di protezione civile previste all’articolo 25, comma 2, lettere a) e b) del decreto legislativo 2 gennaio 2018, n. 1 (“Codice della protezione civile”) sarebbero state “emanate dal Capo del Dipartimento della protezione civile in deroga a ogni disposizione vigente e nel rispetto dei principi generali dell’ordinamento giuridico”.  

Nonostante la dichiarazione dello stato di emergenza, gli appelli alla prudenza della comunità scientifica, l’intensificarsi  dei contagi e le prime richieste di adozione di misure restrittive della mobilità dei cittadini, la vita lavorativa e personale è, comunque, proseguita senza sostanziali limitazioni per almeno tre settimane sino a quando, in data 23 febbraio 2020, è stato emanato il Decreto legge n. 6/2020, contenente “Misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19[30], applicabili ad alcuni comuni delle Regioni Lombardia e Veneto che costituivano la c.d. “zona rossa”, accompagnato in pari data dal Decreto del Presidente del Consiglio dei Ministri (DPCM) che ha dettato le relative disposizioni attuative.

Da quel momento, è iniziata una vera e propria “inondazione” di provvedimenti d’urgenza emessi, a seconda dei casi, dal Governo (sotto forma di Decreto legge) o dal Presidente del Consiglio dei Ministri (tramite DPCM) con i quali sono stati progressivamente ampliati tanto l’ambito territoriale quanto l’oggetto delle originarie “misure di contenimento”, determinando la situazione contingente  definita con il termine anglosassone di lockdown,  troppo nota e recente perché vi sia motivo di  aggiungere qualsiasi ulteriore indicazione in proposito.

Hanno fatto compagnia ai provvedimenti governativi e del Presidente del Consiglio dei Ministri varie Circolari del Ministero della Salute e del Ministero dell’Economia e delle Finanze nonché molteplici provvedimenti del Capo del Dipartimento della Protezione Civile ed un numero imprecisato di ordinanze regionali e comunali[31], quasi come se tutti i soggetti titolari di potere dispositivo seguissero all’unisono la regola che chiunque ha desiderio di dire qualcosa può farlo senza preoccuparsi minimamente se entra in contrasto con quanto detto o scritto da altri[32] e talvolta anche da se stesso[33].

Questo caos normativo e regolamentare non poteva non generare un’inestricabile situazione di incertezza sulle regole applicabili tanto nei soggetti tenuti a rispettarle quanto in quelli che hanno l’ingrato compito di controllarne l’adempimento[34].

Quello che è, tuttavia, risultato drammaticamente chiaro a tutti sono state le molteplici restrizioni dei diritti fondamentali “riconosciuti e garantiti” dalla Costituzione repubblicana, dalla libertà personale di circolazione e soggiorno alla libertà di iniziativa economica, dalla tutela del diritto al lavoro alle libertà di riunione, associazione e professione del culto, dal diritto all’educazione scolastica sino ad arrivare alla tutela dei dati personali.

Molte valutazioni sono state svolte, sono in corso di analisi e saranno quasi certamente riprese con i debiti approfondimenti nel prossimo futuro in merito ad una pluralità di aspetti riguardanti le regole dettate nel periodo dell’emergenza sanitaria dagli attori indicati in precedenza[35], con particolare riferimento alla scelta degli  strumenti normativi di volta in volta utilizzati[36], al  rispetto dei principi di legalità, chiarezza e trasparenza, ai rapporti tra decreti legge, DPCM e ordinanze regionali o comunali, tenendo nel debito conto le rispettive competenze normative attribuite dalla Costituzione  ai vari organi emananti, per arrivare al punto verosimilmente più delicato della legittimità e adeguatezza costituzionale dei provvedimenti con cui sono stati limitati, in vari passaggi, gli importanti diritti fondamentali ricordati in precedenza.

In un contesto così articolato se non, si passi il termine, pasticciato (i milanesi direbbero in dialetto un “rebelot”) non può quindi stupire il rilevante numero di critiche nei confronti dei legislatori dell’emergenza, talvolta tanto severe da ipotizzare una sorta di “eclissi delle libertà costituzionali”.[37]

Non è oggetto di questo scritto analizzare nel dettaglio le valutazioni in questione sebbene risulti doveroso precisare l’inequivoca condivisione di una larghissima parte dei dubbi e delle perplessità, oltre che delle contestazioni, fondatamente sollevate dalla dottrina, in particolar modo costituzionalista; di sicuro, nella Patria del diritto si poteva e si doveva fare di meglio, non tanto e non solo in termini contenutistici quanto sotto il profilo della tecnica legislativa oltre che  della coerenza, trasparenza, chiarezza, linearità e non contraddittorietà del dettato normativo.[38]

I provvedimenti in ambito data protection

L’articolo 14, Decreto legge 9 marzo 2020, n. 14, ha introdotto alcune deroghe alla disciplina in materia di tutela dei dati personali che risulta, conseguentemente, limitata per vari profili sino al termine dello stato di emergenza[39].

Ulteriori disposizioni riguardanti specifici aspetti di data protection sono state successivamente inserite in vari DPCM, nonché in altri provvedimenti emanati nell’ambito del contesto emergenziale da parte di diverse Autorità[40].

Inoltre, si discute con cadenza pressoché quotidiana in merito alla possibilità di introdurre altre norme potenzialmente restrittive del diritto alla tutela dei dati personali al fine di adottare soluzioni operative ritenute necessarie o utili a contrastare il fenomeno epidemiologico[41].

Tutte queste regole, nessuna esclusa, devono ovviamente risultare coerenti con il ricordato articolo 23, primo comma, lettere (e) ed (i), GDPR, secondo il quale “Il diritto (...) dello Stato membro (...) può limitare, mediante misure legislative, la portata degli obblighi e dei diritti (...)” previsti dalla vigente normativa in materia di data protection “(...) qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata (...) per salvaguardare: (...) importanti obiettivi di interesse pubblico generale (...)  in materia (...) di sanità pubblica e sicurezza sociale;(…)”.

Tenendo a mente parte delle critiche mosse ai legislatori dell’emergenza, risulta immediatamente evidente il dubbio che non tutte le (per non dire alcuna delle) limitazioni al diritto costituzionalmente riconosciuto alla tutela dei dati personali siano di fatto avvenute (o stiano per avvenire, in base a quanto è dato sapere) “mediante misure legislative” adeguate e pienamente conformi alle indicazioni di metodo contenute nella norma comunitaria.

Anche lasciando questo importantissimo aspetto all’analisi dei costituzionalisti[42] e prendendo in  considerazione, a titolo di esempio,  il testo dell’articolo 14, Decreto legge n. 14/2020, la sua estrema  genericità non appare  per nulla coerente e conforme al dettato del secondo comma del menzionato  articolo 23, secondo comma,  GDPR,  secondo il quale, merita ripeterlo: “In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso: a) le finalità del trattamento o le categorie di trattamento; b) le categorie di dati personali; c) la portata delle limitazioni introdotte; d) le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti; e) l’indicazione precisa del titolare del trattamento o delle categorie di titolari; f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; g) i rischi per i diritti e le libertà degli interessati; e h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa”[43].

Questa circostanza risulterebbe confermata dalla lettura comparata della norma emergenziale e di quella comunitaria da cui sembrerebbe emergere che la prima abbia considerato e regolato solo alcuni degli aspetti stabiliti dalla seconda ma sicuramente non tutti, come avrebbe dovuto (e potuto)[44].

Identico ragionamento vale per tutte le ulteriori previsioni restrittive del diritto alla tutela dei dati personali emanate dalle diverse Autorità nel periodo emergenziale[45].

Ne consegue che ogni ulteriore considerazione su questo punto rischierebbe di risultare oziosa e forse anche inutilmente polemica.

Le indicazioni del Garante, dello EDPB e dello EDPS

Non si può certo dire che il Garante italiano (come quelli degli altri Paesi), l’European Data Protection Board (“EDPB”) e l’European Data Protection Supervisor (“EDPS”) non abbiano cercato, nei limiti delle rispettive competenze e in conformità alle proprie prerogative, di fornire un adeguato supporto al legislatore, dando dimostrazione di costante disponibilità, attenzione e duttilità valutativa[46].

Volendo operare una summa non ufficiale, e come tale del tutto arbitraria (oltre che incompleta) dei principali concetti e indicazioni espressi da tali Autorità, sembra corretto partire dal chiaro, ma purtroppo inascoltato, invito rivolto in più occasioni agli Stati Membri UE ad adottare un approccio pan-europeo comune, agevolato dall’“elasticità” delle disposizioni contenute nel GDPR,  pienamente  adattabili anche  ad una situazione emergenziale come quella attuale,  favorendo  il rapporto di fiducia che gli interessati dovrebbero avere nei confronti  delle “misure legislative” restrittive della tutela dei dati personali.[47].

In termini di impostazione concettuale, è stato chiarito e più volte ribadito che qualsiasi provvedimento deve rispettare i principi di legalità, trasparenza, proporzionalità e limitazione temporale. 

Proprio su questi temi, lo EDPB, in una dichiarazione resa il 19 marzo 2019, afferma come “Si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere. Misure invasive come il "tracciamento" (...) possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento. Tuttavia, tali misure dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità)”[48].

Entrando maggiormente nel merito delle specifiche questioni, il Garante, lo EDPB e lo EDPS hanno fornito nelle settimane dell’emergenza sanitaria precise indicazioni in relazione a molteplici potenziali restrizioni della tutela dei dati personali che spaziano, a mero titolo di esempio, dal trattamento nel contesto sanitario alla precisa identificazione del titolare del trattamento, dai rapporti di lavoro alla geolocalizzazione (così come al contact tracing) e via dicendo[49].

Utilissima a questo riguardo la raccolta di “Frequently Asked Questions” (c.d. “FAQs”) pubblicata dal Garante italiano sul proprio sito istituzionale in data 4 maggio 2020 che costituisce una insostituibile guida per gli operatori oltre che per eventuali futuri interventi legislativi[50].

Conclusioni e premessa

Gli esseri umani, di fronte al pericolo per la propria vita, tenderanno sempre a fare quanto in loro potere per sopravvivere. È un meccanismo di autoconservazione che fa parte del nostro corredo genetico; d’altronde, se non c’è la salute non è possibile neppure godere degli altri diritti fondamentali[51]. In un contesto di emergenza pandemica come quello attuale, ecco dunque che in molti si dicono pronti a procedere spediti verso l’obiettivo primario della salvaguardia della salute (e conseguentemente della vita) senza troppo preoccuparsi se in questo cammino si dovesse rinunciare a qualche libertà universale, nello specifico alla tutela dei dati personali[52].

Come indicato a partire dal paragrafo introduttivo, le norme in materia di data protection  non costituiscono affatto un ostacolo alla tutela della salute, rappresentando semmai un diritto fondamentale pronto a subire delle restrizioni giustificate e proporzionate, con l’unico limite invalicabile del rispetto della dignità umana (come stabilito tanto dalle norme costituzionali quanto dalle regole specifiche dettate in materia).

Nessun conflitto dunque, neppure apparente, ma una pacifica coesistenza tra diritti inviolabili ben rappresentata dalle affermazioni riportate in apertura della Presidente della Corte Costituzionale e del Presidente del Garante italiano, alle quali fanno giusta eco in chiusura le conformi indicazioni dell’ European Data Protection Supervisor, Wojciech Wiewiórowski[53], che possono valere tanto quanto conclusione quanto premessa dei ragionamenti sin qui svolti:  “The GDPR clearly states that the processing of personal data should be designed to serve mankind (…) Legality of processing the personal data – even so called sensitive data like data about health – can be achieved when processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued. I am not inventing or interpreting “in innovative way” but I am quoting the existing text of the GDPR. The crisis will not be finished in weeks. It will take months to fight with it and years to recover. If we are so connected with each other, we will not be able to solve it with national tools only. The more European will our answer be the better results we will gain. You can sometimes hear today the call to suspend data protection law or revise it in light of the current crisis. Let me stress again this law is neither an obstacle for being active nor an excuse that we are not efficient as this law was written with consultation of experienced specialists in extraordinary use of new technologies serving the mankind”.

Non esiste quindi, né è mai esistito, alcun controverso rapporto tra diritto alla salute e diritto alla tutela dei dati personali, con la conseguenza che le preoccupazioni evidenziate da più parti, al di fuori della comunità degli “addetti ai lavori”, altro non possono che essere qualificate “shakespearianamente” come molto rumore per nulla o, se si preferisce l’originaria formulazione inglese, “much ado about nothing”.