Privacy libera tutti, in nome dell’emergenza. Nell’ultimo decreto sul Coronavirus, che di fatto ha blindato l’Italia, c’è un articolo che invece sfonda i confini del trattamento dei dati dei cittadini. L’idea è permettere agli operatori della sanità, della Protezione civile, alle forze dell’ordine e alle amministrazioni di scambiarsi informazioni velocemente, da un ente all’altro o da un ospedale all’altro. Non è escluso, però, che si possano utilizzare anche per tracciare, ad esempio, i cellulari delle migliaia di persone scappate da Milano sabato o di chi è sottoposto a quarantena o isolamento, senza consenso. Una misura pensata giustamente per garantire sicurezza e salute pubblica che, però, alla minima distrazione può mettere a rischio la privacy di tutti.
“L’articolo 14 della norma permette alla Protezione civile di stabilire misure sul trattamento dei dati personali fuori da ciò che, in tempi normali, garantisce la Costituzione” spiega al Fatto Luca Bolognini, presidente dell’Istituto Italiano per la Privacy. Il primo comma, regola l’interscambio di dati sanitari e giuridici tra le autorità, la protezione civile, i militari e la sanità. “Non esisteva una testo che disciplinava l’interscambio di dati – spiega Stefano Aterno, avvocato esperto di Privacy – e quindi c’è stato bisogno di un decreto che, in sostanza, autorizza questi passaggi e spiega che è possibile farli con una informativa molto semplificata, anche solo orale. Un trattamento reso possibile dall’emergenza, per il quale si creeranno magari banche dati apposite e che dovrà cessare al termine dell’emergenza”. La decisione è stata presa sulla scorta del parere positivo dato dal garante della Privacy a febbraio alla Protezione civile.
L’ampliamento del raggio d’azione arriva invece al secondo comma che prevede che è possibile “la comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1” qualora “risulti indispensabile per (…) le attività connesse alla gestione dell’emergenza sanitaria”. Insomma, non si esclude che si potrebbe andare ben oltre le sole informazioni sulle condizioni di salute e il coinvolgimento dei soli enti pubblici centrali. “E parliamo di dati di estrema sensibilità” aggiunge Bolognini. Per l’abilitazione potrebbe bastare un’ordinanza della protezione civile. “Poi, un singolo soggetto, un ospedale o un sindaco di un Comune, potrebbe decidere di far attivare ai cittadini una app sul modello di quelle utilizzate in Cina per assicurarsi il rispetto della quarantena e dell’isolamento. E per tracciare così anche spostamenti e attività”. Come nel caso dell’esodo da Milano. “Una decisione di questo genere è però sempre delicata – spiega Aterno – perché per la tracciabilità di massa è essenziale tener conto della reale necessità e della proporzionalità del ricorso all’utilizzo dei dati, altrimenti potrebbe richiedere un intervento normativo ad hoc”. In pratica, se gli stessi dati sono reperibili con altri metodi, usando ad esempio la lista dei passeggeri dei treni, non c’è bisogno di tracciare.
La legge, secondo Bolognini, sembra poi avere maglie troppo larghe. “Mi preoccupa l’assenza di un meccanismo di controllo. Strappi alle regole di tale portata dovrebbero essere sottoposti a un controllo di legittimità costituzionale frequente: si sarebbe potuto prevedere che la Corte costituzionale ne verificasse ogni 30 giorni la presenza dei requisiti di sussistenza per evitare che la libertà di acquisizione dei dati senza informativa sia utilizzata più del necessario. Manca il monitoraggio”. Ma perché la Consulta e non il Garante della Privacy? “Perché è in gioco un livello costituzionale. Il Garante avrebbe le armi spuntate, pur rilevandone la non sussistenza, non può decidere, solo segnalare. E la norma resterebbe”.