Trattamento dei dati sensibili e bilanciamento con le esigenze collettive

Sommario: 1. Principi ispiratori della tutela dei dati e trattamento di dati particolari – 2. Principio di bilanciamento tra diritti del singolo ed esigenze collettive – 3. È sufficiente l’esistenza di un’esigenza collettiva per sacrificare i diritti del singolo? Il caso dell’ASP di Enna – 4. Covid-19 e i provvedimenti dell’estate 2021 – 5. Tutela della privacy come tutela della libertà

 

1. Principi ispiratori della tutela dei dati e trattamento di dati particolari

Gli ultimi due anni sono stati importanti per il rinnovo della discussione dottrinale in diversi ambiti del diritto. Tra i temi più rilevanti, è tornato sotto gli occhi degli studiosi il diritto alla privacy che, al centro dei dibattiti tra chi lo ritiene un intralcio e chi lo vede inserito tra fondamenti dell’ordinamento, ha alimentato molto il dibattito su diverse questioni che riguardano l’uso di tecnologie, il contrasto alla crisi pandemica, il controllo dei dispositivi di messaggistica etc. Per comprendere meglio la portata della disputa, però, è necessario fare qualche passo in dietro e ripercorrere alcune tappe principali.

Negli ultimi decenni, infatti, anche in Italia ed in Europa si è diffuso il dibattito sulla regolamentazione giuridica riguardo i dati personali ed il loro trattamento. L’ultimo importante provvedimento sul tema è stato il Regolamento dell’Unione Europea del 27 aprile 2016 n. 679 (GDPR), il quale ha definito all’art 4 la nozione di dato personale qualunque informazione che identifica o rende identificabile un soggetto (c.d. interessato), nonché quella di trattamento, intendendo come tale  «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali»[1].

Il testo normativo in argomento ha svolto negli ultimi anni la funzione di “ancora di salvezza” per tutta una serie di istanze di tutela – non adeguatamente tutelate in passato – attraverso una serie di principi fondamentali che limitano la possibilità del soggetto che raccoglie le i dati di altri di abusarne nel loro utilizzo. Ogni trattamento, infatti, deve necessariamente avvenire nel rispetto dei principi di liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato, limitazione della finalità del trattamento, minimizzazione, esattezza e aggiornamento, rispetto delle finalità per cui sono stati raccolti, limitazione della conservazione, integrità e riservatezza, responsabilizzazione, etc[2].

Alle regole generali previste per il trattamento di ogni tipologia di dato, poi, il regolamento aggiunge un’ulteriore disciplina dedicata alle categorie particolari di dati (c.d. dati sensibili), le quali rilevano l’origine etnica, le opinioni politiche e sindacali, le convinzioni religiose e filosofiche, informazioni genetiche, biometriche e sulla salute, nonché quelle relative all’orientamento sessuale.

Per queste tipologie di informazioni, data la loro rilevanza ed i pericoli che potrebbero scaturire da un eventuale abuso nel loro trattamento, il GDPR prevede un generale divieto di trattamento (art. 9 co. 1), salve le eccezioni espressamente previste dalla stessa raccolta normativa[3].

2. Principio di bilanciamento tra diritti del singolo ed esigenze collettive

Le tematiche scaturenti dall’ampia casistica in materia di trattamento dei dati, soprattutto in riferimento all’ampio dibattito sulla prevalenza di esigenze collettive sui diritti dei singoli, che ha convolto anche il nostro ordinamento, pone il problema di individuare (soprattutto in tema di categorie particolari di dati) degli equilibrati criteri di bilanciamento.

Per una migliore disamina dell’argomento, tuttavia, è indispensabile dare uno sguardo alla disciplina precedente al GDPR sui trattamenti basati su legittimi interessi del titolare. Sul tema, infatti, il legislatore europeo ha totalmente rivoluzionato le previsioni di cui all’art. 24, co. 1, lett. g) del d.lgs. n. 196/2003, nel quale si prevedeva che – se necessario – un tale trattamento potesse avvenire in assenza di consenso dell’interessato, con esclusione della diffusione, solo «nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge […] qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato». Nel sistema previgente, quindi, tutelare l’utente era proprio il vaglio preliminare del Garante[4], il quale operava il bilanciamento degli interessi contrapposti per fornire la base giuridica al trattamento.

Il GDPR, invece, oggi prevede che, sulla base del principio di responsabilizzazione, è lo stesso titolare ad effettuare il bilanciamento in linea con le ragionevoli aspettative dell’interessato, con la sola eventualità di un controllo successivo del Garante[5].

Tale scelta normativa sta, secondo l’opinione di chi scrive, alla base della gran parte delle problematiche della materia oggetto d’esame, in quanto disciplinata in termini eccessivamente vaghi e basata su scelte discrezionali, rendendo l’ambito in questione suscettibile ad abusi e foriero di incertezze applicative.

Tuttavia, è corretto segnalare che lo stesso Regolamento UE 2016/679 ha previsto una serie di stringenti requisiti e la possibilità per l’interessato di opporsi al trattamento (specie se lesivo di suoi diritti), ma la l’odierna scarsa percezione delle problematiche e la fumosità delle conoscenze diffuse in materia di tutela della privacy, non permettono di affrontarne le criticità nella loro pienezza. Nondimeno, si rilevi che talune operazioni legate al bilanciamento di interessi sono riservate alle norme di rango primario, per mezzo delle riserve di legge o regolamento europeo contenute nello stesso art. 9 GDPR.

Il dibattito sul tema è stato oggetto di numerosi interventi da parte dell’Autorità Garante per la protezione dei dati personali, soprattutto nel periodo della pandemia da Covid-19, alimentando un acceso contrasto con le scelte del governo italiano di quel periodo e le altisonanti voci della stampa nazionale già dai primissimi momenti[6].

Va sottolineato, inoltre, che non mancano voci che sottolineano che le lacune volutamente create dal legislatore europeo in tema di bilanciamento – ad oggi colmate dai giudici e dalle autorità garanti – siano in realtà frutto della precisa scelta (forse sbagliata) di dare spazio ai singoli Stati per esercitare le loro prerogative per modulare al meglio la disciplina del GDPR[7].

3. È sufficiente l’esistenza di un’esigenza collettiva per sacrificare i diritti del singolo? Il caso dell’ASP di Enna

Proprio dall’acceso dibattito avviato nei primissimi anni Venti del ventunesimo secolo, e difronte alle eccezioni al regime di cui all’art. 9 Reg. UE n. 2016/679, è lecito chiedersi se la sola esigenza di tutelare beni giuridici collettivi possa giustificare ogni tipo di intervento sui diritti del singolo. Ad una simile domanda, il nostro sistema costituzionale sarebbe già sufficiente a dare una risposta negativa, data la presenza di tutta una serie di contrappesi, tutele e riserve di legge a limitare l’ambito applicativo della limitazione dei diritti individuali.

Tuttavia, per poter rispondere su un piano prettamente legato alla tutela dei dati sarebbe opportuno dare uno sguardo più attento alla ricca raccolta di provvedimenti emessi dal Garante in materia di dati sensibili.

In questa sede, quindi, chi scrive ha ritenuto opportuno selezionare un provvedimento riguardante il trattamento di dati biometrici dello scorso gennaio[8]. Il caso in esame riguardava l’utilizzo di un sistema di rilevazione delle presenze a lavoro di dipendenti pubblici per mezzo di un sistema di lettura dell’impronta digitale, con il fine esplicito di scoraggiare l’assenteismo. Il fine lodevole, inoltre, era sorretto su un sistema di registrazione del dato biometrico su una tessera detenuta esclusivamente dal singolo dipendente che, pertanto, era l’unico soggetto che poteva utilizzare i suoi dati al momento della timbratura del cartellino.

A prima vista, date le modalità di raccolta ed utilizzo dei dati sopra citati, e data l’indisponibilità degli stessi da parte dell’ASP di Enna, la questione potrebbe sembrare persino estranea all’applicazione degli stringenti limiti dell’art. 9 GDPR. Tuttavia, sebbene la questione possa apparire di rapida soluzione in favore dell’Azienza sanitaria ingiunta, l’Autorità garante ha deciso di condannarla al versamento di una sanzione proprio a causa della violazione della disciplina degli artt. 5, 6 e 9 del Regolamento citato, per illiceità del trattamento di dati particolari.

Più precisamente, all’esito dell’istruttoria del Garante, è stato rilevato che il sistema di rilevazione utilizzato – nonostante non raccogliesse dati per l’Ente in un database  – comunque desse luogo «a un trattamento di dati biometrici da parte della stessa Azienda, soggetto all’applicazione del quadro normativo in materia di protezione dei dati personali» in quanto le impronte dei dipendenti «si trovano (sebbene per pochissimi istanti) all’interno di sistemi impiegati dal datore di lavoro per la rilevazione delle presenze e per le connesse finalità di gestione del rapporto contrattuale con i propri dipendenti […] sia nella fase di registrazione […] sia nella fase di riconoscimento».

Inoltre, proprio perché questo il trattamento era necessario per l’attestazione della presenza a lavoro di dipendenti pubblici (che soggiacciono ad una rigida disciplina), esso – come ha precisato il Garante – non può essere assimilato all’utilizzo delle impronte per l’utilizzo di dispositivi mobili e app, in quanto in quei casi l’acquisizione e l’utilizzo avvengono su base volontaria, con la possibilità di usare metodi alternativi (come le password), e non influenzano un rapporto contrattuale con terzi. Né sarebbe utile ad escludere l’esistenza di un trattamento o il controllo sulla sua liceità eccepire la circostanza per cui il titolare del trattamento non immagazzini le informazioni in un database, lasciandole in un badge nell’esclusiva disponibilità del dipendente, in quanto questa modalità «risponde a una scelta progettuale del titolare che […] adotta tale misura tecnica e organizzativa in attuazione del principio di minimizzazione dei dati oggetto di trattamento (cfr. artt. 5, par. 1, lett. c), 24 e 25 del Regolamento), restando però, in ogni caso, necessaria la preliminare verifica in ordine alla ricorrenza dei presupposti di liceità per trattare i dati biometrici dei dipendenti (art. 9 del Regolamento)», confermando l’esistenza stessa di un trattamento in atto.

Sul punto, inoltre, rileva anche l’ulteriore circostanza per cui l’Ente ingiunto ha agito in assenza di una base giuridica per il trattamento dei dati biometrici per i fini dichiarati. Secondo de dichiarazioni dell’ASP, infatti, la scelta di operare tramite la rilevazione delle presenze per mezzo del contestuale utilizzo di un badge e delle impronte digitali sarebbe stata basata sul dettato normativo della legge n. 56/2019, legittimando il trattamento sulla base di un’informativa ex art. 12 GDPR, per ovviare alle esigenze organizzative per la gestione di un ingente numero di dipendenti dislocato su diversi Comuni.

In tema di uso di dati biometrici per l’attestazione delle presenze a lavoro, in realtà, il Garante aveva già avuto modo di esprimere le sue perplessità, soprattutto in riferimento al rispetto al principio di proporzionalità del trattamento dei dati[9], ammettendo l’utilizzo di determinate modalità solo in presenza di reali esigenze che le rendessero indispensabili[10].  Tuttavia, senza pregiudizio per la genericità delle motivazioni che hanno indotto l’Azienda sanitaria ad operare la sua scelta, nel caso esaminato viene rilevato che l’uso di dati biometrici ai fini dell’attestazione delle presenze sul posto di lavoro con l’uso di dati biometrici può trovare la sua base giuridica sulla base del disposto delle lettere b) o g) del secondo comma dell’art. 9 del Reg. UE n. 2016/679.

Nel caso in cui si dovessero poggiare i provvedimenti dell’ente sulla lettera b), dando rilievo all’eventuale necessità di assolvere obblighi ed esercitare diritti del titolare, la base giuridica deve essere ricercata in una disciplina europea o nazionale che diano garanzie appropriate agli interessati in termini di proporzionalità dell’intervento per pubblico interesse e di rispetto delle finalità da conseguire.

La normativa nazionale in questo ambito fu rinvenuta dall’Ente ingiunto nella legge n. 56/2019, ma questa risultò fallace per un duplice ordine di motivi. In primo luogo, infatti, l’art. 2 dell’invocata legge n. 56/2019 prevede che, per eseguirne le relative previsioni sull’uso di dati biometrici e videosorveglianza in luogo degli usuali strumenti di rilevazione delle presenze, sarebbe stato necessario individuarne le modalità attuative tramite apposito d.P.C.M., previo parere dello stesso Garante, ma tale procedura non è mai stata avviata. In secondo luogo, poi, la legge di bilancio 2021 ha abrogato i primi 4 commi del suddetto articolo 2[11].

Altrettanto fallace, tra l’altro, risulta il tentativo di fornire la base giuridica del trattamento nella necessità derivante da interesse pubblico rilevante prevista alla leggera g) del secondo comma dell’art. 9 GDPR, ancorando la scelta di usare i dati biometrici all’art. 97 cost. e al fine di accrescere l’efficienza della P.A., in quanto l’art. 2-septies d.lgs. n. 196/2003 richiede che l’eventuale previsione legittimante del trattamento, oltre a specificare l’esatto interesse pubblico rilevante, deve anche individuare con esattezza i dati da trattare, le operazioni che possono essere eseguite e le misure a tutela dei soggetti interessati.

Infine, mancando una base giuridica idonea a legittimare l’uso di dati biometrici ai fini della rilevazione delle presenze nel pubblico impiego, a nulla varrebbe basare il trattamento sul consenso dell’interessato, dato che in casi come questo è consolidato l’indirizzo del Garante – fondato sul con. 43 GDPR[12] – di non riconoscere valore al consenso in caso di squilibrio tra i poteri del titolare del trattamento e dell’interessato.

All’esito dell’analisi di questo singolo caso, quindi, possiamo concludere che nessun trattamento di dati particolari (o almeno di dati biometrici) può avvenire in assenza di una idonea base giuridica, di un corretto bilanciamento e di adeguate tutele dell’interessato, anche qualora a trattare il dato sia un’autorità dalla quale il cittadino non avrebbe altri modi per difendersi.

4. Covid-19 e i provvedimenti dell’estate 2021

Tornando al dibattito scaturito nell’ambito dell’emergenza covid di cui sopra (§ 2), inoltre, è possibile estendere le valutazioni svolte per i dati biometrici anche al trattamento dei dati sanitari ed alle strategie di promozione della campagna vaccinale, soprattutto se si considerano i numerosi provvedimenti emessi nella seconda parte dell’estate 2021.

Per semplificare l’analisi de qua e non incorrere in infruttuose polemiche sulle posizioni politiche, chi scrive ritiene di poter prendere in considerazione le sole questioni di maggior impatto contenute nei provvedimenti e negli interventi del Garante dell’estate 2021. Queste, infatti, appaiono sufficienti ad affrontare lo sforzo di ricostruzione delle problematiche inerenti trattamenti di dati sanitari per esigenze di interesse pubblico, specie per la varietà delle tematiche affrontate.

Il primo di tali provvedimenti è l’Avvertimento alla Regione Siciliana del 22 luglio 2021, che ha riguardato la materia del trattamento di dati relativi allo stato vaccinale dei dipendenti pubblici e degli enti regionali disciplinata con Ordinanza del Presidente della Regione n. 75 del 7 luglio 2021, contenente l’invito formale ai lavoratori pubblici esposti al contatto con il pubblico a ricevere la vaccinazione, in mancanza della quale l’amministrazione si riservava di avviare operazioni di ius variandi[13].

Tra i motivi dell’Avvertimento de qua, rileva soprattutto quello inerente al fatto che i trattamenti previsti dall’ordinanza non erano sorretti da alcuna legge statale ed introducevano, di fatto, un requisito irrinunciabile per poter svolgere (su base regionale) determinate mansioni, col pericolo di introdurre disparità di trattamento rispetto al personale che svolgeva le medesime mansioni sul resto del territorio nazionale, in violazione anche del riparto di competenze tra Stato e Regioni.

Sul punto, «L’Autorità ha […] ribadito come la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale»[14], specificando anche che al tempo dei fatti «con specifico riguardo al contesto lavorativo, il […] decreto legge n. 52/2021, convertito nella legge n. 87/2021, nel prevedere specifiche misure atte a ridurre il rischio di contagio in ambienti in cui svolge anche l’attività lavorativa, non ha introdotto quella relativa al possesso di un attestato comprovante l’avvenuta vaccinazione o il risultato negativo di un test per Covid-19».

Nel medesimo provvedimento, poi, con riguardo al tema di introduzione di eventuali obblighi vaccinali finalizzati allo svolgimento di particolari attività lavorative, l’Autorità riferisce che essi – nello specifico contesto di una pandemia di portata internazionale – non potrebbero avvenire con legge regionale, in virtù dei principi di ragionevolezza di cui all’art. 3 cost.[15], nonché nel rispetto del principio di proporzionalità, rilevando la carenza di obblighi generali in tale ambito. Il legislatore nazionale, infatti, con il d.l.1° aprile 2021, n. 44, ha previsto tale obbligo solo per il personale sanitario e parasanitario.

Ai lavoratori destinatari dell’ordinanza, quindi, non avrebbe potuto essere applicato alcun obbligo di vaccinazione, se non secondo le disposizioni di cui al d.lgs. 9 aprile 2008 n. 81 (TUSL), il quale ha un determinato ambito applicativo e segue procedure diverse da quelle disposte dal provvedimento regionale[16]. Infatti, nonostante la legislazione in tema di sicurezza del lavoro prescriva specifici compiti e competenze del medico e del datore di lavoro, la Regione aveva previsto di avviare una ricognizione generale del personale non vaccinato, con il contestuale invito formale a richiedere la vaccinazione, violando sia le libertà del lavoratore, sia il principio di autonomia del medico competente che ispira la disciplina del TUSL[17].

Sul primo profilo, ad oggi, sembra risolutiva la previsione delle certificazioni verdi contenuta nel d.l. del 16 settembre 2021 n. 127, ma sull’obbligo vaccinale sembra che lo stesso legislatore statale non abbia ancora deciso quale strada intraprendere.

In ogni caso, all’esito dell’avvertimento, l’Ordinanza fu revocata.

Diverso è l’oggetto – ma non l’esito – del secondo atto del Garante, riferito all’Ordinanza contingibile e urgente n. 84 del 13 agosto 2021 del Presidente della Regione Siciliana, il cui articolo 5 recitava «Coloro i quali risultino sprovvisti della certificazione verde di cui all’articolo 9 del decreto-legge n. 105 del 23 luglio 2021 sono autorizzati a beneficiare dei servizi resi dagli uffici pubblici e dai privati preposti all’esercizio di attività amministrative esclusivamente con modalità telematica e/o comunque da remoto, rimanendo al contrario interdetto l’accesso fisico agli uffici medesimi». Nonostante fosse già stato emesso l’atto di avvertimento di cui sopra, in questo caso l’Autorità inviò all’amministrazione regionale una richiesta di chiarimenti in cui sottolineava la mancanza di un supporto legislativo statale che legittimasse una tale compressione dei diritti del cittadino-utente[18] ed un’estensione della disciplina statale sul Green-Pass.

In questa occasione, inoltre, la Regione diede immediata sospensione al provvedimento, come può evincersi dal testo della Circolare della Presidenza della Regione Siciliana – Dipartimento Regionale della Protezione Civile n. 2 del 16 agosto 2021[19].

Su un analogo tema, inoltre, si colloca la richiesta di informazioni del Garante al Commissario ad acta per l’emergenza da Covid 19 di Messina[20] che, nell’ambito di iniziative di promozione delle vaccinazioni, secondo notizie di stampa avrebbe trasmesso ai Sindaci dei Comuni della provincia siciliana dei nominativi dei soggetti non vaccinati, ponendo in essere un’azione in contrasto con il GDPR.

Quest’ultimo intervento, inoltre, fu l’occasione per l’emissione del “Decalogo sul trattamento dei dati personali connesso alle iniziative volte a promuovere il completamento della vaccinazione dei soggetti appartenenti alle categorie prioritarie: le regole da rispettare per la chiamata attiva dei soggetti da vaccinare in via prioritaria”, indirizzato alle Regioni ed alle Province Autonome di Trento e Bolzano, per chiarire definitivamente i principi entro cui gli enti locali possono muoversi nell’ambito delle campagne vaccinali[21]. In quest’ultimo documento, infatti, l’Autorità ha fissato una serie di punti essenziali per tracciare il confine tra diritti dei cittadini e poteri dell’autorità, definendo i criteri per l’utilizzo di sistemi informativi regionali, suggerendo di coinvolgere i medici di base (evitando deleghe ai Comuni), e ribadendo il rispetto dei divieti di discriminazione e di raccolta delle informazioni relative ai motivi della mancata vaccinazione. Un tale intervento, assai rassomigliante a quelli previsti dall’ormai abrogato art. 24 d.lgs. n. 196/2003, è stato necessario per tentare di mettere ordine nella caotica situazione derivante dalla gestione della pandemia.

Diversa, invece, è la questione dell’ultimo intervento rilevante  del Garante, risalente al 3 settembre 2021, in occasione del quale l’organo preposto alla tutela dei dati personali rende noto che ha avviato tre istruttorie, nei confronti del Comune di Bari, di Roma Capitale e dell’Azienda Usl Roma-3 in merito al tema dell’utilizzo di droni per varie attività di sorveglianza e rilevamento di illeciti[22]. L’eterogeneità dei campi di applicazione della tecnologia in argomento e la diversità dei motivi addotti nelle separate richieste di informazioni non permettono un più ampio esame delle singole questioni, ma da quel che è possibile evincere già dal sito dell’Autorità le relative interlocuzioni verteranno soprattutto sui temi della raccolta di categorie particolari di dati, delle modalità di raccolta, conservazione e trattamento, nonché sulla base giuridica dello stesso.

Al netto degli esiti di tutte le questioni affrontate nel presente paragrafo, è possibile trarre una considerazione unica, secondo la quale i trattamenti di dati sensibili, seppure giustificati da esigenze di interesse generale, non possono mai prescindere da alcune regole stringenti che – in nome della tutela dell’interesse del singolo che viene sacrificato – fanno da contraltare al potere degli enti pubblici che hanno sempre l’obbligo di attenersi al rispetto dei principi ispiratori della materia e dell’ordinamento.

5. Tutela della privacy come tutela della libertà

Ciò detto, il lettore meno avvezzo alla materia avrà certamente avuto l’impressione di scorgere nei continui interventi del Garante un ostacolo alla discrezionalità dell’azione istituzionale degli enti, ma è giusto chiarire sin d’ora che dalle argomentazioni addotte dall’Autorità garante emerge il suo ruolo di importante baluardo per la tutela di interessi difficilmente difendibili altrimenti.

Non si trascuri, infatti, che la tutela delle categorie di dati particolari di cui all’art. 9 GDPR non è altro che il riflesso della più ampia tematica della tutela dell’eguaglianza di cui all’art. 3 cost. e delle varie carte internazionali che tutelano da ogni discriminazione su base razziale, etnica, di genere, politica, ideologica, sociale etc[23]. Ciò è confermato da chi vede nella disposizione in argomento uno strumento un mezzo per conferire al legislatore il compito di «individuare eventuali linee di azione, al fine di evitare discriminazioni ingiustificate» nelle operazioni di bilanciamento di interessi del singolo e della collettività[24].

A riprova di ciò, si pensi all’importanza rivestita dai limiti al trattamento dei dati personali già prima della disciplina europea nel nostro ordinamento, che già implicitamente era riconosciuta in talune disposizioni del libro primo del Codice civile, o nella tutela contro il licenziamento per lo stato di gravidanza della donna, per idee politiche, per l’azione sindacale, etc. Tutele e limiti, questi, che sovente non si riesce a concepire come strumenti legati all’utilizzo di informazioni sulla persona in quanto tale.

A confutazione della percezione sulla tutela della privacy come un intralcio all’azione pubblica, chi scrive ritiene di poter condividere e riportare le parole del membro dell’Autorità garante, Agostino Ghiglia, nel suo intervento al 64° congresso nazionale Federpol, nel quale si afferma che «la privacy non è un appesantimento burocratico o la terza firma su un modulo […]. È una percezione modulare che si accompagna allo sviluppo di una giornata, se abito in un quartiere mal frequentato la sera invoco più telecamere, io cittadino normale sono infastidito e spaventato che un Comune acquisti telecamere emozionali che mi studiano la dilatazione della pupilla, da cui si può presumere se si è intenzionato nei confronti di un terzo. Queste sono le due percezioni che si hanno della privacy […]. Capita che nei confronti della privacy si ha un approccio settoriale e corporativo facendoci perdere di vista il nostro interesse collettivo supremo ovvero la libertà. Parlo di sicurezza perché la telecamera o il drone che ha la telecamera non può essere quella che viene sulla spiaggia a misurarmi la temperatura da remoto […]. Le regole non sono limitanti ma ponderanti perché dobbiamo avere un equilibrio che continui ad assicurare a 360 gradi la nostra libertà»[25]. Secondo quanto emerge da questa dichiarazione, dunque, è possibile scorgere la dualità della privacy, intesa come diritto inviolabile e come freno all’altrui ingerenza, che ha caratterizzato la materia della protezione della sfera di dominio del singolo in modo affine al principio del habeas corpus tipico dei sistemi anglosassoni. Non è un segreto, infatti, che nei Paesi in cui la materia ha una tradizione più radicata la privacy svolge anche un ruolo – non autonomo – di estrinsecazione delle prerogative tipiche di altri diritti, come quello alla riservatezza, alla proprietà, all’inviolabilità del corpo e del domicilio, alla segretezza della corrispondenza etc., manifestandosi sia come diritto materiale, sia come entità stessa dei diritti bisognosi di tutela (o inviolate personality[26]), come definito nel 1890 dagli stessi autori del saggio “The Right of Privacy”, Samuel Warren e Louis Brandeis. Anche in Italia, già dagli anni Settanta, la sensibilità della Consulta sui temi relativi alla riservatezza ha avviato un percorso che – prendendo le mosse dalla libertà della manifestazione del pensiero, dall’inviolabilità del domicilio e dalla libertà e segretezza della corrispondenza – ha ricondotto la privacy alla più generale disciplina dei diritti inviolabili dell’uomo, incorporandone il contenuto nell’art. 2 cost[27].

Tali affermazioni, allora, devono condurre l’analisi svolta sin ora ad un’unica conclusione: seppure l’evoluzione della disciplina europea abbia reso più libera l’azione del titolare del trattamento – pubblico o privato – nell’operare il bilanciamento tra interessi contrapposti, non è venuta meno l’importanza rivestita dalle più importanti prerogative del c.d. interessato che, tutelato come cittadino, utente, lavoratore o consumatore, resta pur sempre il centro degli obiettivi primari del GDPR, potendosi giustificare compressioni dei suoi diritti solo per esigenze più alte.

Questa considerazione non può che indurci ad accogliere la tesi di chi sostiene che il diritto alla privacy è il fulcro di un complesso di interessi più alti di quanto siamo normalmente abituati a percepire. Ciò comporta, inevitabilmente, ad elevare la privacy a valore da tutelare tramite norme di rango primario dall’azione del potere amministrativo e dei privati che gestiscono grosse società che forniscono servizi assimilabili a quelli di interesse pubblico.

Tuttavia, non bisogna dimenticare che anche la legge, laddove ponga in essere distorsioni nel bilanciamento di interessi contrapposti, sarebbe comunque soggetta ad un controllo di legittimità costituzionale e comunitario qualora violi i principi ispiratori sopra richiamati e contenuti in Costituzione e nel Regolamento europeo, in quanto non è possibile dare – aprioristicamente, in via generale ed in astratto – un valore preminente a tutte le esigenze collettive prescindendo dalla tutela dei diritti fondamentali del singolo. Quindi, l’operazione di bilanciamento – ancorché condotta dal legislatore – non può essere esente dal rispetto dei confini tracciati dall’Unione Europea.

Pertanto, si può agevolmente concludere che – seppure gli esempi richiamati abbiano evidenziato che il bilanciamento degli interessi del singolo e della collettività è legittimamente ritenuto oggetto di analisi discrezionale del legislatore – il livello di importanza di alcune tipologie di beni protetti dal GDPR (tutelate anche in Costituzione) e il rango dell’ stesso Regolamento europeo sono tali da limitare anche la discrezionalità legislativa che rischi di scivolare nell’arbitrio. Da ciò discende l’applicabilità degli stringenti limiti anche all’azione legislativa, sotto l’egida della prevalenza del diritto dell’Unione Europea e della resistenza del dettato costituzionale, soprattutto nel rispetto dell’inviolabilità dei diritti fondamentali.

 

 

 

 

 

---

[1] Per approfondire le definizioni di cui sopra cfr. art. 4 Reg. UE n. 2016/679.

[2] cfr. art. 5 Reg. UE n. 2016/679.

[3] Per una più completa, ma non del tutto esaustiva, comprensione dei regimi eccezionali al trattamento dei dati sensibili può essere utile al lettore comparare il contenuto dell’art. 9, co. 2, 3 e 4, con le disposizioni degli artt. 5, 6, 7, 8, 10 nonché con i Considerando nn. 42 e 43 del Reg. UE n. 2016/679, nonché con le diverse raccolte di linee guida emesse sul tema con provvedimento del Garante per la protezione dei dati personali.

[4]  Art. 17 d.lgs. n. 196/2003.

[5] 5 e 24 Reg. UE n. 2016/679.

[6] A titolo puramente esemplificativo si segnalino gli interventi pubblici dei membri dell’Autorità nel 2020 e nel 2021. Tra tutti, il più severo che potremmo individuare è contenuto in un’intervista dell’ex Presidente del Garante, Antonello Soro, il quale ha dichiarato che «in nome dell’emergenza e del contrasto al virus, vengono avanzate proposte, spesso anche azzardate e irriflesse. Proposte di tracciamento massivo digitale dei cittadini, con app di ogni genere fondate sull’idea che un incremento della sorveglianza individuale possa essere utile al contrasto e alla conoscenza del fenomeno epidemiologico […] usare la tecnologia per migliorare la qualità delle nostre vite, in questo caso addirittura proteggerle, è certamente un obiettivo giusto, che condivido. Esiste poi un passaggio successivo, assai delicato e ancora più importante: questi nuovi strumenti andrebbero valutati sulla base di un progetto serio, visibile e conoscibile, ispirato a principi generali di trasparenza, proporzionalità e coerenza tra obiettivo perseguito e strumenti usati. Per fare questa valutazione servono progetti concreti e valutabili. […] Il modello cinese, con la sua sorveglianza totale, figlia di una sorta di imperialismo digitale, non può essere un nostro riferimento. Neppure quello coreano perché in Corea c’è una cultura di fondo, sociale e giuridica, molto distante dalla nostra. Quello che voglio dire è che pensare di trasferire meccanicamente quelle esperienze nel nostro paese è il frutto di momento emotivo che, arrivo a dire, può essere giustificato. Ma chi ha la responsabilità di governare si deve ispirare alla nostra Costituzione e non al governo dell’emozione. Anche in tempo di guerra il diritto deve guidare la scelta di atti necessari», C. Fusani, In uno stato di eccezione è lecito rinunciare a qualche libertà. Ma il nostro modello non potrà mai essere la Cina, Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali, Tiscali News, 19 marzo 2020.

[7] «Dunque, ad oggi occorre evidenziare che il fatidico bilanciamento tra la tutela della privacy, la tutela del mercato interno e la tutela della sicurezza pubblica è stato effettuato, fino al presente momento, nel silenzio del legislatore, dalle Autorità e Giudici europei, secondo i quali le limitazioni al diritto della tutela dei dati personali devono avvenire esclusivamente per realizzare l’attuazione di interessi superiori e generali di sicurezza, ma è necessario che siano corredate da un adeguato giudizio circa la loro necessarietà e proporzionalità. Ciò premesso, appare evidente che le summenzionate lacune normativa sono ben note al legislatore europeo […] sicché appare agevole dedurre che le medesime non sono state ancora colmate per una precisa scelta di politica legislativa, adottata dai vertici europei, la quale appare mirata a favorire una maggiore responsabilizzazione dei singoli Stati membri, mediante il riconoscimento di un’importante (e forse eccessivo) potere discrezionale», A. Balzamo, Tutela della Sicurezza Pubblica vs Tutela della Privacy: un bilanciamento necessario, in www.diritto.it, 30 ottobre 2020.

[8] Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna, Registro dei provvedimenti n. 16 del 14 gennaio 2021.

[9] cfr. i provvedimenti dell’Autorità garante nn. 249 del 24 maggio 2017, 384 del 1° agosto 2013, 262 del 30 maggio 2013; 261 del 30 maggio 2013, 38 del 31 gennaio 2013.

[10] È il caso del provvedimento del Garante n. 357 del 15 settembre 2016.

[11] cfr. art. 1, co. 958, legge 30 dicembre 2020, n. 178.

[12] Cons. 43 Reg. UE n. 2016/679: «Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione».

[13] cfr. Avvertimento alla Regione Siciliana, provv. n. 273 del 22 luglio 2021.

[14] cfr. Avvertimento cit.; sul punto in esame, inoltre, si rileva che la stessa Corte cost. ha preso posizione, dichiarando che «la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.» C. cost., ord. n. 4/21; inoltre, è giusto segnalare che la stessa autorità Garante segnala ulteriori precedenti interventi in materia con le sentenze della Consulta nn. 5/2018, 271/2005, 37/21, nonché un intervento della giurisprudenza di merito contenuto in Trib. di Messina, sez. lav., ord. 12 dicembre 2020.

[15] Sul punto si veda anche C. cost., sent. 37/2021.

[16] Sul tema si confronti anche quanto già sostenuto in S. Flaminio, Vaccinazione nel luogo di lavoro: obbligo generale o decisione caso per caso? Considerazioni a margine delle ordinanze del Tribunale di Modena del 19 maggio e 23 luglio 2021, in www.centrostudilivatino.it, 6 agosto 2021;  S. Flaminio, Vaccini e lavoro: obbligo generale o valutazione in concreto?, in Salvis Juribus, 14 agosto 2021; S. Flaminio, Illegittimità della sospensione indiscriminata dal lavoro per mancata vaccinazione: la sentenza milanese, , in Salvis Juribus, 26 settembre 2021; si prenda visione, inoltre, del testo integrale di Trib. di Belluno, 06 maggio 2021, ord. n. 328; Trib. di Modena, Sez. 3 Civile, 19 maggio 2021; Tribunale di Verona, Sez. Lav., 24 maggio 2021, ord. n. 446; Tribunale di Modena, Sez. Lav., 23 luglio 2021, ord. n. 2467; Tribunale di Roma, Sez. 2 Lav., 28 luglio 2021, n. 18441; Trib. di Milano, sez. lav., 15 settembre 2021, sent. n. 2316.

[17] cfr. Avvertimento cit.

[18] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9691702

[19] «Fermo restando quanto sopra, alla luce dell’interlocuzione istituzionale instaurata con il Garante per la protezione dei dati personali con nota prot. n. U.0042283 del 14 agosto 2021, l’esecuzione dell’articolo 5 dell’Ordinanza contingibile e urgente. n. 84 del 13 agosto 2021 del Presidente della Regione è temporaneamente sospesa», Circolare della Presidenza della Regione Siciliana – Dipartimento Regionale della Protezione Civile n. 2 del 16 agosto 2021.

[20] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9697335

[21] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9688966

[22] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9696781

[23] Più in generale, non mancano altre voci che riportano la tutela della riservatezza in generale ad una dimensione strettamente legata ai valori costituzionali, cfr. ex multis ; cfr. anche G. Sabbatini, Diritto alla privacy e libertà di informazione: quale bilanciamento?, in Filodiritto, 22 gennaio 2021.

[24] A. Balzamo, Tutela della Sicurezza Pubblica cit.

[25] La privacy non è un appesantimento burocratico – Intervento di Agostino Ghiglia, Componente del Garante per la protezione dei dati personali, Adnkronos, 17 settembre 2021.

[26] S. D. Warren, L. D. Brandeis, The Right to Privacy, in Harvard Law Review, Vol. 4, No. 5., 15 dicembre 1890, pp. 193-220.

[27] Sul tema cfr. C.cost., sent. 38/1973.