La compatibilità delle applicazioni di tracciamento con il quadro giuridico europeo di protezione dei dati

All’analisi del profilo considerato, si ritiene necessario premettere una breve disamina del quadro normativo esistente in materia di protezione dei dati che, è necessario precisare, non osta alla previsione di misure limitative del diritto alla protezione dei dati personali né, dunque, alla adozione di appli-cazioni di tracciamento.

Come infatti precisa il considerando 4 del regolamento europeo sulla pro-tezione dei dati (di seguito, “GDPR”)¹³, il diritto al trattamento dei dati per-sonali «non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con gli altri diritti fondamentali, in osse-quio al principio di proporzionalità». Ciò, invero, trova conferma non solo nel dato testuale del GDPR ma anche nelle linee guida adottate dal Comitato

11 A titolo esemplificativo, si pensi che il 28 ottobre 2020 l’ex Presidente del Consiglio Giu-seppe Conte ha condiviso un tweet su Twitter che poi ha fissato sulla sua bacheca dove c’era scritto: «Indossa la mascherina. Mantieni la distanza. Lava spesso le mani. Seguiamo queste tre semplici regole. Questa battaglia si vince con l’impegno di tutti». Dunque, in questo va-demecum nessuna menzione a Immuni.

12 Ne è un esempio l’impiego della app Immuni per visualizzare, scaricare e/o stampare la Certificazione verde COVID-19 che verrà rilasciata a seguito della somministrazione del vac-cino, dopo un test negativo o per guarigione dal virus. V. www.dgc.gov.it.

13Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

europeo per la protezione dei dati personali¹⁴. Già a partire dal 19 marzo 2020 nello Statement on the processing of personal data in the context of the COVID-19 outbreak¹⁵ il Board ha precisato che le norme in materia di pro-tezione dei dati personali non ostacolano l’adozione di misure restrittive del suddetto diritto che siano volte a contrastare la pandemia. Nelle Linee guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il traccia-mento dei contatti nel contesto dell’emergenza legata al COVID-19¹⁶ del 21 aprile 2020, il Comitato enuclea i principi cui dovrebbe ispirarsi l’utilizzo da parte degli Stati membri di sistemi di contact tracing¹⁷. Segnatamente, nel documento viene messo in evidenza come il quadro normativo sia flessibile e, dunque, in grado di garantire una risposta attuale ed efficace per contra-stare la pandemia e, al contempo, proteggere i diritti umani e le libertà fon-damentali¹⁸.

Pertanto, in medio stat virtus, e a ciò si aggiunga che il necessario bilan-ciamento tra i diritti fondamentali del rispetto della vita privata e familiare, alla protezione dei dati e alla protezione della salute, sanciti a livello di diritto primario dell’Unione, dagli art. 7, 8 e 35 della Carta dei diritti fondamentali (di seguito, “Carta”), deve muoversi entro la cornice dell’art. 52, par. 1, di quest’ultima. Tale clausola generale consente solo le limitazioni che «rispon-dano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui», a condizione che siano

«previste dalla legge», rispettino «il contenuto essenziale di detti diritti e

14 Il Comitato europeo per la protezione dei dati (“European Data Protection Board” o EDPB) organismo dell’Unione, disciplinato dal Capo VII Sezione 3 del regolamento e composto dalle figure di vertice delle autorità di controllo degli Stati membri e dal Garante europeo della protezione dei dati.

15 European Data Protection Board, Statement of 19 March 2020 on the processing of personal data in the context of the COVID-19 outbreak.

16 Comitato europeo per la protezione dei dati, Linee guida 04/2020 sull’uso dei dati di loca-lizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19, adottate il 21 aprile 2020.

17 Sul tema si vedano anche: comunicazione della Commissione del 17 aprile 2020, Orienta-menti sulle app a sostegno della lotta alla pandemia di COVID-19 relativamente alla protezione dei dati, 2020/C 124/1/01; risoluzione del Parlamento europeo sull’azione coordinata dell'UE per combattere la pandemia di COVID-19 e le sue conseguenze, 2020/2616(RSP).

18 Comitato europeo per la protezione dei dati, Linee guida 04/2020, cit., p. 3. In risposta a una lettera di due rappresentanti del Parlamento europeo, Lucia Ďuriš Nicholsonová e Eugen Jurzyca (European Data Protection Board, Response of 24 April 2020 to Mrs Ďuriš Nichol-sonová and Mr Jurzyca’s letter on common guidance in the fight against the COVID-19 pan-demics, p. 1) il Comitato ha ribadito che «there is no need to lift GDPR provisions but just to observe them» perché il GDPR già contempla l’ipotesi di un trattamento dei dati «neces-sario per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione» (considerando 46 GDPR).

libertà», e siano altresì necessarie e proporzionate rispetto all’obiettivo per-seguito¹⁹.

Invero, lo stesso legislatore europeo ha previsto la possibilità, all’interno del GDPR di introdurre alcune limitazioni al diritto alla protezione dei dati in favore della protezione della salute²⁰. In particolare, in linea con l’art. 52, par. 1, della Carta, l’art. 23 GDPR²¹ sancisce che il diritto alla protezione dei dati personali può essere limitato solo da misure necessarie e proporzionate in una società democratica per salvaguardare «altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in partico-lare un rilevante interesse [...] di sanità pubblica [...]».

Il considerando 46 precisa che i trattamenti di dati personali necessari

«per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione»

possono rientrare tra quelli rispondenti «sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato». È interessante notare come questo considerando ribadisca la validità dei trattamenti effettuati per salva-guardare gli interessi vitali dell’interessato o di altra persona fisica (art. 6, par. 1, lett. d), del regolamento) che, secondo l’EDPB, rappresentano la base giuridica più adeguata a costituire il fondamento di legittimità di un’appli-cazione di tracciamento dei contatti. Come si vedrà dopo, però, non è questa la base giuridica scelta dal legislatore italiano per l’app Immuni.

Rispetto al principio di liceità, è necessario fare qualche altra considera-zione generale. Quando si parla di base giuridica del trattamento ci si riferi-sce alle condizioni che legittimano il trattamento²². L’art. 5 GDPR, che enu-clea i principi che devono guidare il trattamento, include il principio di li-ceità e, secondo l’art. 6, il trattamento è lecito se – e solo se – ricorre almeno una delle basi individuate.

Per il caso di specie delle app di contact tracing, il GDPR permette il ricorso a tre diverse basi giuridiche. Il trattamento può essere considerato

19 Per una panoramica sulla giurisprudenza della CGUE sul trattamento dei dati personali si rimanda a F.ROSSI DAL POZZO, La giurisprudenza della Corte di Giustizia sul trattamento dei dati personali, in I Post di AISDUE, 2019; F.ROSSI DAL POZZO,L.ZOBOLI,To protect or (not) to protect: definitional complexities concerning personal (and non-personal) data within the EU, in Eurojus, 2021, pp. 315- 330.

20 Considerando 46, 53, 54, e gli art. 9 e 23.

21 Sul punto si veda anche: European Data Protection Board, Guidelines 10/2020 on re-strictions under Article 23, adottate il 15 dicembre 2020, par. 19: «the mere existence of a pandemic alone is not a sufficient reason to provide for any kind of restriction on the right of data subjects; rather, any restriction shall clearly contribute to the safeguard of an important objective of general public interest of the Union or of a Member State».

22G.COMANDÈ,G.MALGIERI,(a cura di), “Manuale per il trattamento dei dati personali – Le opportunità e le sfide del nuovo Regolamento europeo sulla privacy”, Il Sole 24 Ore, 2018, p. 33 ss.