L’emergenza legata alla pandemia in atto sta mettendo a dura prova il diritto alla protezione dei dati personali consacrato dal GDPR. Il pericolo è rappresentato dalla corsa dei governi – anche quello italiano – alla ricerca di soluzioni tecnologiche che consentano di raccogliere ed utilizzare i dati personali (es. dati di geolocalizzazione, dati relativi alla salute) per monitorare anche i potenziali contagiati ed arginare la diffusione del virus. Per questo è prioritario prevedere che il titolare del trattamento garantisca, by design e by default, la protezione dei dati personali e la tutela dei diritti degli interessati, in particolare del diritto alla cancellazione dei dati personali (o diritto all’oblio).
Diritto alla protezione dei dati personali
Come affermato da Franco Pizzetti[1], il diritto dell’interessato è un’“architrave del sistema di protezione dei dati personali costruito dalla Direttiva sulle orme della Convenzione n. 108 e, poi, transitato in tutte le leggi nazionali di attuazione”.
Usando, poi, le parole del Presidente dell’Autorità Garante, Antonello Soro, il punto di forza del diritto alla protezione dei dati personali è indubbiamente il suo “carattere fortemente dinamico. Quale diritto all’autodeterminazione informativa, si esprime in poteri d’intervento nei confronti di chiunque gestisca i dati, comporta la possibilità di fissare modalità e condizioni del trattamento, avvalendosi di forme nuove di tutela, sempre più preventiva e in forma specifica”[2].
Nello specifico, il GDPR ha puntellato la tutela dell’interessato rafforzando diritti già previsti dal nostro Codice Privacy e introducendone nuovi. Nello stesso tempo, all’art. 23 ha previsto che, in funzione di interessi generali, sia possibile limitarne l’esercizio da parte degli interessati, come già sancito dall’art. 52 Carta dei diritti fondamentali dell’Unione europea e dall’art. 15 della Direttiva E-Privacy.
Diritti degli interessati e possibili limitazioni
Il principio ispiratore del legislatore europeo emerge dal Considerando 7: “È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”. Sulla scorta di tale principio, il GDPR riconosce all’interessato, innanzitutto, il diritto di essere informato in modo trasparente sul trattamento (artt. 12, 13 e 14), il diritto di accedere al trattamento ed ai dati personali trattati (art. 15), nonché il diritto ad essere informato in caso di violazioni dei dati personali che presentino rischi elevati per i suoi diritti (art. 34).
Il potere di controllo dell’interessato è, poi, declinato dal Regolamento in due categorie di diritti: i diritti che hanno ad oggetto il trattamento e quelli che hanno ad oggetto i dati personali.
Nella prima categoria rientrano il diritto di prestare e revocare il consenso al trattamento (art. 7), il diritto di limitare il trattamento (art. 18) e il diritto di opporsi al trattamento (art. 21).
Nella seconda, invece, il potere di controllo dell’interessato si estrinseca nel diritto di ricevere e spostare insiemi strutturati di dati personali (art. 20), nel diritto di rettificare e integrare i dati personali (art. 16) e nel diritto di ottenere la cancellazione dei propri dati personali (art. 17).
Infine, il GDPR consente all’interessato di non essere sottoposto a decisioni basate su trattamenti automatizzati dai quali derivino decisioni arbitrarie che incidono sulla sua sfera giuridica o sulla sua persona (art. 22).
Ebbene, questo pilastro di tutele costruito dal GDPR rischia di essere scalfito, se non addirittura demolito, da decisioni che, utilizzando l’alibi dell’emergenza, si traducano in scelte di controllo globale dei cittadini e, quindi, in derive anti-democratiche.
È vero, da un lato, che il GDPR consente all’art. 23 di introdurre, con una norma di legge, una limitazione ai diritti degli interessati, “qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica” per salvaguardare, in particolare, la sicurezza nazionale, la sicurezza pubblica ed altri importanti obiettivi di interesse pubblico generale.
Ma è anche vero che i valori democratici della nostra società, opportunamente richiamati dall’art. 23, rischiano di essere irrimediabilmente compromessi dall’introduzione di soluzioni tecnologiche irrispettose dei diritti fondamentali delle persone fisiche. È seriamente in pericolo, come vedremo, uno dei cardini del GDPR, ossia il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione dei propri dati personali (o diritto all’oblio).
I rischi per il diritto all’oblio
La disciplina del diritto alla cancellazione dei dati personali riflette il carattere dinamico ed elastico del GDPR, prevedendo in modo analogo il bilanciamento tra due opposti interessi: quello dell’interessato alla cancellazione e quello del titolare del trattamento all’utilizzo di quei dati.
Nello specifico, l’art. 17, paragrafo 1, del GDPR specifica che, se l’interessato chiede la cancellazione dei propri dati personali, il titolare del trattamento è obbligato alla cancellazione degli stessi, senza ingiustificato ritardo, in presenza di determinate condizioni:
- il raggiungimento delle finalità per le quali o dati personali sono stati raccolti o altrimenti trattati (nel rispetto del fondamentale principio di cui all’art. 5, par. 1, lett. e) del GDPR secondo cui la conservazione dei dati personali deve essere limitata ad un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati);
- la revoca del consenso e l’insussistenza di altra base giuridica per il trattamento (in applicazione dei principi di cui agli artt. 6 e 7 del GDPR secondo cui il consenso è sempre revocabile dall’interessato ed il titolare non può proseguire il trattamento se non ha – preventivamente – individuato un’altra base giuridica);
- l’opposizione al trattamento per l’esecuzione di un interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, o per un legittimo interesse dello stesso, e l’insussistenza di alcun motivo legittimo prevalente per procedere al trattamento; oppure l’opposizione al trattamento per finalità di marketing;
- il trattamento illecito di dati personali;
- l’adempimento di un obbligo giuridico;
- la raccolta di dati personali dei minori relativamente all’offerta di servizi della società dell’informazione.
Il diritto alla cancellazione non è però incondizionatamente esercitabile dall’interessato. Infatti, il paragrafo 2 dell’art. 17 prevede che il titolare del trattamento può rifiutare la richiesta di cancellazione se il trattamento è necessario per l’esercizio del diritto alla libertà di espressione e di informazione, per l’adempimento di un obbligo giuridico previsto dal diritto dell’Unione o degli Stati membri, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Blindare i diritti per il post-emergenza
Orbene, nell’attuale contesto emergenziale occorre riflettere attentamente proprio sull’ampiezza del potere del titolare del trattamento di valutare e rifiutare le richieste di cancellazione dei dati personali. Per evitare che il titolare del trattamento possa abusare delle prerogative riconosciutegli dal Regolamento, un’eventuale norma di legge restrittiva dei diritti degli interessati dovrebbe tracciare il perimetro limitato e temporaneo entro il quale il titolare del trattamento può trattare i dati personali dei soggetti coinvolti.
Al titolare del trattamento, sia pubblico che privato, dovrebbe essere normativamente imposto di implementare – by design e by default ai sensi dell’art. 25 del GDPR – politiche di conservazione dei dati personali che privilegino la cancellazione dei dati personali non più necessari una volta cessata l’emergenza sanitaria.
Nel bilanciamento tra il diritto dell’interessato alla cancellazione dei dati personali ed il potere del titolare di rifiutare le istanze di cancellazione dovrebbe, a parere di chi scrive, essere “blindato” il diritto di cui al paragrafo 1 dell’art. 17 per garantire che, quando – ci auguriamo presto – sarà cessata l’emergenza legata alla pandemia, il titolare del trattamento, sia esso pubblico o privato, elimini i dati personali raccolti durante il periodo di allarme sanitario e che evidentemente non potrebbe legittimamente continuare a trattare.
La sfida appare cruciale sia per la difesa dei diritti degli interessati e della data protection, sia per gli stessi valori democratici della nostra società. È auspicabile che il Governo non adotti iniziative che, pur mosse da scopi legittimi, lascino al titolare del trattamento un certo margine di manovra idoneo a sconfinare in abusi sconosciuti alle democrazie occidentali.
Note
1) Franco Pizzetti, in Privacy e il diritto europeo alla protezione dei dati personali, Giappichelli Editore, pag. 89
2) Codice privacy, un decennio al passo con i tempi – Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali (“Guida al diritto – Il Sole 24 Ore”, 8-14 febbraio 2015),
