Per molte persone la privacy si esaurisce, semplicemente, nella spunta di un modulo laddove viene richiesto il consenso al trattamento dei propri dati. Per altre, invece, è l’espressione di diritto assoluto che merita la massima tutela possibile e, qui, il pensiero va alla recente vicenda dell’app Immuni senza, però, preoccuparsi minimamente delle diverse informazioni personali condivise sui propri social network. Rimanendo, ancora, sulle recenti vicende legate all’epidemia di Covid-19, diverse persone si sono chieste perché i nomi dei soggetti contagiati non venissero resi pubblici, così, per sicurezza. In realtà, parlando di privacy o, per i puristi della lingua italiana, del diritto alla riservatezza, si va ad affrontare un argomento particolarmente complesso la cui origine deve ricercarsi nel secolo scorso e di cui le tutele superano i confini del diritto italiano avendo, invece, natura sovranazionale. Particolare attenzione, poi, merita la tutela dei dati personali sanitari che vede il necessario bilanciamento di interessi fra la sicurezza e sanità pubblica, da un lato, e l’interesse alla riservatezza del singolo, dall’altro.
La normativa sulla privacy
Il concetto di diritto alla privacy si è evoluto nel corso degli anni complice, anche, lo sviluppo tecnologico e la necessità di prevedere nuove ipotesi di tutela per situazioni che, in passato, non erano minimamente immaginabili. L’origine storica della normativa in esame deve ricercarsi negli Stati Uniti e, più precisamente, a cavallo del 1900 con la pubblicazione di un articolo di Harvard, The Right to Privacy, dedicato, per l’appunto, alla tutela della sfera privata dell’uomo. In Italia, invece, la privacy ha un’origine giurisprudenziale e ciò in quanto viene generalmente ricollegata all’articolo 2 della Costituzione quale forma di estrinsecazione del diritto fondamentale all’autodeterminazione e, in particolare, al diritto alla riservatezza. Una vera e propria legge sulla tutela della privacy, nel diritto interno, si è avuta solamente nel 1996 con la legge n. 675 che, a sua volta, è intervenuta in recepimento della direttiva europea 95/46/CE. Sempre a livello sovranazionale vi sono stati diverse previsioni legislative, più o meno generiche, prima fra tutte la Carta dei diritti Fondamentali dell’Unione Europea, nota anche come Carta di Nizza, laddove veniva prevista la tutela e la protezione dei dati di carattere personale dei singoli cittadini. Per quanto riguarda la normativa italiana, le tutele fornite dalla Legge 675/1996 sono state successive ampliate dall’avvento del così detto Testo Unico della privacy, emanato nel 2003. Con questo intervento si è superato il concetto tradizionale della privacy intesa, semplicemente, come il diritto al non veder trattati i propri dati personali da terzi.
Da ultimo, sempre a impulso europeo, viene adottato nel 2016 il famoso GDPR che, a monte, ha sostituito la precedente direttiva europea del 1995 mentre, a livello nazionale, ha portato alla modifica e all’integrazione del testo normativo del 2003 entrando in vigore, dopo un periodo di adattamento previsto dalla stessa legge, il 25 maggio 2018. Tale normativa costituisce un’ulteriore passo avanti nella tutela della privacy dei singoli cittadini in un mondo che, ormai, è sempre più digitalizzato e dove le informazioni, anche strettamente personali, vengono diffuse in maniera mastodontica e immediata ampliando, così, sia la platea dei soggetti interessati sia quella dei soggetti che si occupano di trattare i dati. Punto cardine del nuovo regolamento è la tutela dei diritti personali del singolo. Vengono introdotte numerose novità come la previsione specifica del diritto all’oblio, l’introduzione di alcune figure chiave come il responsabile del trattamento dei dati e i responsabili esterni: ma, soprattutto, l’intera disciplina ruota attorno al principio dell’accountability. Questo termine rimanda alla responsabilizzazione del titolare del trattamento. Chi tratta i dati personali, dunque, dovrà sempre garantirne la tutela e avvisare l’autorità e gli interessati in caso di violazione dimostrando di aver adottato, sempre, tutte le misure di sicurezza necessarie. Si è giunti, così, da un semplice diritto passivo, quindi il non veder invasa la propria sfera di riservatezza da altri, alla responsabilizzazione di chi tratta i dati facendo gravare, a suo carico, la massima tutela degli stessi.
La privacy in ambito sanitario
Appurata così la normativa posta alla base della tutela della privacy, occorre precisare che non tutti i dati personali godono della stessa protezione o, meglio, alcuni dati sono maggiormente delicati rispetto ad altri. In linea generale, dunque, possiamo distinguere i dati identificativi, i dati sensibili e, ancora, i dati sensibilissimi.
I dati identificativi sono tutti quei dati che permettono, come da definizione, di individuare una persona sia per la sua connotazione fisica come, ad esempio, le immagini, sia dal punto di vista anagrafico.
I dati sensibili, invece, sono quelli che forniscono particolari informazioni personali come l’etnia, l’appartenenza ad un determinato ordine religioso, politico o sindacale.
Infine, i dati sensibilissimi sono quelli inerenti alla sfera più intima e privata della vita dell’interessato e sono quelli che riguardano la vita sessuale e lo stato di salute della persona.
Ad interessare la normativa della privacy sono, principalmente, le categorie dei dati sensibili e sensibilissimi che, per la loro natura, godono di specifiche tutele aggravate rispetto alle altre tipologie di dati personali. I dati sensibili, infatti, possono essere trattati unicamente dopo aver ottenuto il consenso scritto dell’interessato e, se conservati, devono essere protetti da codici di cifratura. Qualora vi fosse una pubblica esigenza per il trattamento di queste tipologie di dati è necessario che venga adottata una specifica legge contenente, fra l’altro, il tipo di dati raccolti, la durata del trattamento e, ancora, il fine specifico per cui si procede in tal senso. I dati sensibilissimi, invece, sono sottoposti a un regime ancor più stringente. Il loro trattamento, infatti, è consentito solamente se necessario alla tutela di un bene giuridico di pari rango. La valutazione, in questo senso, viene rimessa al libero arbitrio del Giudice.
Negli ultimi tempi, come precedentemente accennato, diverse personalità più o meno di spicco si sono interrogate su due fronti sulle possibili tutele da adottare come forma di prevenzione del Covid-19. Da una parte, con l’uscita e la diffusione dell’app Immuni, ci si è chiesti se la stessa consistesse in una violazione della privacy con riferimento a un dato sensibilissimo quale quello dello stato di salute e, in particolare, dall’essere o meno contagiati dal nuovo coronavirus. Tematica simile, ma con interessi opposti rispetto alla precedente, è quella della diffusione dei dati personali dei singoli contagiati. Nella miriade di gruppi cittadini nati negli ultimi anni su Facebook, molto spesso, viene offerta una rappresentazione del pensiero comune del cittadino medio. Durante, appunto, il recente lockdown la domanda che maggiormente ci si poneva, alla notizia di un nuovo contagio, era: «Perché non diffondere il nome del contagiato? Almeno i suoi contatti si possono regolare». Idea, questa, particolarmente problematica perché si tradurrebbe nella diffusione dello stato di salute di una persona un po’, per assurdo, come prevedere e diffondere un elenco di soggetti HIV positivi.
Il trattamento dei dati personali nella sanità
Nella sanità il trattamento dei dati personali può considerarsi lecito unicamente per finalità di cura (leggasi per diagnosi, assistenza e terapia), per fini statistici e di pubblico interesse o, da ultimo, per motivi di interesse pubblico come, ad esempio, la protezione da gravi minacce per la salute. Su tali eccezioni, dunque, potrebbe trovare spazio una differente gestione e diffusione dei dati in quella che è, con tutta evidenza e allo stato dei fatti, un’emergenza sanitaria a livello globale. Nel corso di uno stato emergenziale, allora, lo stato di salute dei cittadini riporta al centro dell’attenzione la valutazione sul necessario bilanciamento di interessi fra la riservatezza personale e la sicurezza pubblica. Il medico, comunque, di sua iniziativa non potrà mai diffondere dati sanitari dei propri pazienti salvo particolari eccezioni in cui, però, interviene l’autorità giudiziaria dopo aver operato un vaglio sul predetto bilanciamento di interessi. Con riferimento, allora, alla particolare idea di diffondere pubblicamente un elenco di contagiati appare ovvio come ciò sia impossibile. Ogni caso è, infatti, a sé stante e necessita di un soggetto, l’autorità giudiziaria, chiamato alla valutazione dell’interesse prevalente. Risulta, poi, assoluta la competenza della materia in questione in capo alla protezione civile e al sistema sanitario nazionale. Sono infatti questi ultimi, nel caso in cui emergano casi positivi, a occuparsi di tracciare gli spostamenti dell’interessato ed eventualmente a procedere nell’informare soggetti terzi di essere venuti a contatto con un caso sospetto. Vale a dire, allora, che qualsiasi altra forma di raccolta dati, come ad esempio la profilazione dello stato di salute di un gruppo di cittadini o, ancora, dei dipendenti da parte di un datore di lavoro, risulta illegittima.
Un discorso differente, invece, deve farsi con riferimento all’app Immuni. Questa, infatti, non espone pubblicamente i dati sensibili dei contagiati e, soprattutto, non consente l’immediata identificazione di un eventuale soggetto positivo. L’applicazione è scaricabile su base volontaria e il suo database viene gestito esclusivamente dalla pubblica amministrazione e sul territorio italiano. Essa inoltre non registra dati identificativi degli utenti ma richiede unicamente l’età e la provincia di residenza e, per quanto riguarda la registrazione dei contagi, si basa su un codice identificativo associato al telefono e generato ex novo ogni giorno. Nel caso di positività al Covid-19 sarà lo stesso interessato a decidere se fornire o meno il consenso alla diffusione di questa informazione. Qualora ciò avvenisse, l’applicazione in base all’intensità del rischio di contagio, calcolata sul tempo di esposizione e sulla vicinanza al soggetto positivo, procede ad avvisare tutti i soggetti in pericolo entrati in contatto con il contagiato nei precedenti 14 giorni. Anche in questo caso, allora, le preoccupazioni che hanno preceduto il lancio dell’applicazione appaiono infondate. Il sistema garantisce la tutela dei dati sensibili, con riferimento all’identità del soggetto contagiato e, oltretutto, viene rispettato il punto centrale della normativa sulla privacy ossia il consenso del soggetto interessato.
Il diritto alla riservatezza, dunque, è senza dubbio un diritto fondamentale dell’uomo tutelato sia a livello nazionale sia a livello internazionale posto che, come abbiamo visto, la comunità europea lo prevede fra i suoi pilastri. Tali diritti, tuttavia, non sono assoluti ma dialogano con altri principi fondamentali e, come spesso accade, si rende necessario un bilanciamento fra gli stessi. Fra questi acquista un ruolo essenziale il diritto alla salute tanto del singolo quanto della comunità richiamato, oltretutto, all’articolo 32 della Costituzione. Allo stato attuale, allora, appare ovvio che il diritto alla riservatezza del singolo possa subire delle ingerenze dirette alla tutela della salute pubblica purché queste siano minime e pur sempre nel rispetto del minor danno possibile. La “caccia alle streghe” che si è vista nella ricerca dei primi contagiati in Italia, quella auspicata dai singoli nelle piccole comunità alla notizia di un nuovo contagio, rappresenta un’aggressione alla riservatezza che nulla apporta in termini di utilità: come già spiegato, infatti, vi sono autorità preposte a tracciare eventuali contagi. Per quanto attiene alle preoccupazioni sull’uso di nuove tecnologie ed eventuali effetti collaterali, è necessario un controllo continuo affinché venga sempre garantita la riservatezza dei singoli, nel rispetto delle finalità per cui tali sistemi sono stati adottati; ossia far fronte a una situazione eccezionale con mezzi altrettanto eccezionali.