Di Giorgio Resta, direttore vicario del dipartimento di Giurisprudenza dell’Università Roma Tre e socio fondatore della Italian Academy of the Internet Code.

1. Le risposte giuridiche all’emergenza sanitaria: introduzione

Le misure giuridiche adottate negli ultimi mesi, nel nostro e in altri ordinamenti giuridici (si v., ad es.,, in Germania, il recente “pacchetto” normativo composto dal Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite e dal Gesetz zur Abmilderung der Folgen der COVID-19-Pandemie im Zivil-, Insolvenz- und Strafverfahrensrecht, entrambidel 27 marzo 2020), per mitigare e contenere gli effetti dell’epidemia da coronavirus toccano trasversalmente molteplici settori del diritto interno, dal diritto dell’economia al diritto tributario, dal diritto del lavoro al diritto amministrativo. Un panorama esaustivo è già stato offerto dal primo fascicolo speciale di Giustiziacivile.com interamente dedicato all’emergenza Covid-19; sul piano comparatistico si moltiplicano ogni giorno i siti (v. ad es. https://comparativecovidlaw.com), i canali tematici su piattaforme, nonché i libri bianchi e i working papers dedicati ad approfondire in prospettiva transnazionale le implicazioni giuridiche dell’epidemia (tra questi ultimi basti citare, anche per l’autorevolezza degli autori, A. VON BOGDANDY-P. VILLAREAL, International Law on Pandemic Response: A First Stocktaking in Light of the Coronavirus Crisis, in Max Planck Institut for Comparative Public Law Res. Paper, 7, 2020, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3561650##).

Una componente importante di questo nuovo diritto dell’emergenza, la quale merita una particolare attenzione, è costituita dalla disciplina “semplificata”, o a seconda dei punti di vita ‘d’eccezione’, della tutela dei dati personali. Questa, composta da tasselli normativi promananti da fonti diverse e operanti su diversi registri (sovranazionale, nazionale, regionale), è essenzialmente preordinata a rendere più capillare ed efficace la sorveglianza epidemiologica, più agevole lo scambio di informazioni tra le autorità sanitarie, più rapido e meno oneroso il processo di sperimentazione clinica di nuovi medicinali e dispositivi medici, in ultimo più fluido ed effettivo l’intero sistema di gestione della crisi sanitaria in atto. Ovviamente quanto maggiore è la compressione del livello ordinario delle garanzie, sia pure per inoppugnabili fini di interesse pubblico, tanto più alto è il rischio che il diritto alla protezione dei dati personali – pilastro centrale del sistema contemporaneo dei diritti fondamentali – soffra delle limitazioni eccessive e non facilmente revocabili (anche sul piano cognitivo e culturale, che non è certo il meno rilevante, perché meno effimero rispetto al periodo di vigenza di una norma) una volta terminata l’emergenza. Operare un bilanciamento tra gli interessi, tutti legittimi, in gioco è pertanto operazione non semplice e che sta impegnando, a diversi livelli, chi ha compiti di responsabilità pubblica in pressoché tutti gli ordinamenti giuridici (per il quadro offerto dal diritto internazionale v. S. Negri, Communicable disease control, in G.L. BURCI-B. TOEBES, a cura di, Research Handbook on Global Health Law, Cheltenham, 2018, 265). Non a caso, diversi documenti approvati nell’ambito del Consiglio d’Europa e dell’Unione Europea provano a fissare alcuni punti fermi alla luce dei quali orientare tale bilanciamento in maniera coerente con le esigenze di una società democratica e ispirata al rispetto della dignità della persona e dei diritti umani (si v. rispettivamente COE, Information Documents SG/Inf(2020)11, Respecting democracy, rule of law and human rights in the framework of the COVID-19 sanitary crisis. A toolkit for member states, 07/04/20; COE Committee on Bioethics, DH-BIO Statement on human rights considerations relevant to the COVID-19 pandemic, 14-4-2020; e EU Commission, Recommendation on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data, 8-4-2020, C (2020)2296 final,); EU Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection, 17-4-2020, 2020/C 124 I/01).

Queste pagine si propongono una finalità prevalentemente descrittiva, e soltanto secondariamente adotteranno una prospettiva prescrittiva. L’obiettivo primario è quindi quello di illustrare le principali novità normative, ponendo ordine in una legislazione per forza di cose frammentaria, per poi provare a delineare le opzioni di politica legislativa attualmente al centro dell’agenda governativa e parlamentare. Si premetteranno quindi alcuni cenni sul sistema delle fonti in un quadro di emergenza pubblica; si descriveranno poi gli interventi più direttamente incidenti sul bilanciamento tra protezione dei dati personali e tutela della salute; si accennerà alla discussione in atto circa l’adozione di strumenti data-driven volti al contenimento del contagio.

2. La protezione dei dati nel diritto dell’emergenza

Con la dichiarazione dello stato di emergenza, deliberata dal Consiglio dei Ministri il 31 gennaio 2020 ai sensi dell’art. 7, comma 1, lett. c), d.lgs. n. 1 del 2018 per la durata di 6 mesi, il processo di produzione normativa ha subito un’improvvisa accelerazione e un significativo spostamento del suo baricentro dalla naturale sede parlamentare a quella governativa. In particolare, a seguito della delibera del CdM hanno acquisito assoluta centralità sul piano operativo le ordinanze di protezione civile, atteso che ai sensi del provvedimento citato per gli interventi funzionali alla gestione dell’emergenza può provvedersi con ordinanze emanate dal Capo del Dipartimento della protezione civile “in deroga a ogni disposizione vigente e nel rispetto dei principi generali dell’ordinamento giuridico”, nonché i decreti legge, strumento fisiologicamente deputato dalla costituzione alla normazione in condizioni di urgenza. Nel loro operare sinergico queste due fonti hanno disegnato l’architettura fondamentale del diritto dell’emergenza, che si connota per la sua eccezionalità e la portata derogatoria rispetto a principi e istituti consolidati del nostro ordinamento giuridico. Nel momento in cui si scrive si annoverano, tra i principali provvedimenti varati, 21 atti governativi, 24 ordinanze di protezione civile, 18 direttive del Ministero della Salute e altrettanti provvedimenti dei dicasteri economici (un elenco in costante aggiornamento può trovarsi in https://www.gazzettaufficiale.it/dettaglioArea/12).

All’indomani della dichiarazione dello stato di emergenza, il Dipartimento della protezione civile ha adottato varie ordinanze atte a limitare il godimento di diritti e libertà fondamentali con la finalità di contenimento dell’epidemia e contrasto dei rischi per la sicurezza e la salute dei cittadini. Alcune di esse toccano il sistema della protezione dei dati personali. Tra queste merita una menzione particolare l’ordinanza 3 febbraio 2020, che – con il previo parere favorevole del Garante della protezione dei dati personali n. 15 del 2 febbraio 2020 – ha stabilito all’art. 5 che “allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali”, i soggetti operanti nell’ambito del Servizio nazionale di protezione civile e delle strutture operative ad esso connesse, possono realizzare, nel rispetto dei principi stabiliti dall’art. 5 del Regolamento (UE) 2016/679, trattamenti di dati personali anche appartenenti alle categorie particolari di cui all’art. 9 del Regolamento e financo dati giudiziari (art. 10) necessari per l’espletamento della funzione di protezione civile nel contesto dell’emergenza. Tali dati potranno essere condivisi tra i soggetti appena menzionati, nonché comunicati a soggetti pubblici e privati nel caso in cui ciò risulti indispensabile, ai fini del contenimento dell’epidemia. Per esigenze di celerità il conferimento di incarichi di trattamento ai sensi dell’art. 2-quaterdecies del Codice in materia di protezione dei dati potrà avvenire “con modalità semplificate, ed anche oralmente”. Tale disposizione, nel precostituire un’autonoma base giuridica per il trattamento legittimo dei dati particolari e nel prevedere modalità affievolite di tutela, illustra bene come, nel diritto dell’emergenza, fonti normative secondarie siano state abilitate a apportare limitazioni anche profonde a libertà fondamentali in nome del supremo interesse della tutela della salute e ovviamente nei limiti della proporzionalità.

Per ricondurre tali limitazioni a un quadro più coerente con i principi generali e per reinvestire le Camere della propria naturale potestà deliberativa in sede di conversione del decreto, l’art. 14 d.l. 9 marzo 2020, n. 14 (ora rifuso nell’art. 17-bis del disegno di legge di conversione del d.l. n. 18 del 2020, A.C. 2463), ha riformulato tale disposizione, elevandone la fonte e rimarcandone il carattere temporaneo, ossia destinata ad avere una vigenza non superiore alla durata dello stato di emergenza. Si è dunque ribadito che:

a) i dati personali, comuni e “particolari”, possono essere trattati e avere una circolazione interna agli organi deputati al contrasto dell’emergenza, tra i quali rientrano oltre ai soggetti precedentemente indicati, anche «gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 deldecreto-legge23febbraio2020, n. 6»;

b) i medesimi dati possono essere comunicati ad altri soggetti pubblici (si pensi in particolare agli enti territoriali o alle autorità di pubblica sicurezza) e privati (si pensi ai datori di lavoro), nonché diffusi (purché non si tratti dei dati particolari di cui all’art. 9 e 10 Reg.), qualora ciò risulti indispensabile al fine dello svolgimento delle attività connesse alla gestione dell’emergenza in atto;

c) al trattamento si applicano i principi di cui all’art. 5 Reg. (liceità, correttezza, trasparenza, finalità, minimizzazione, etc.);

d) il conferimento di incarichi di trattamento ai sensi dell’art. 2-quaterdecies del Codice in materia di protezione dei dati potrà avvenire con modalità semplificate, ed anche oralmente;

e) nel quadro delle attività di cui sopra, le autorità sanitarie e gli altri soggetti autorizzati, qualora trattino dati raccolti presso l’interessato medesimo, possono omettere o rendere in forma semplificata l’informativa prescritta dall’art. 13 GDPR.

Inoltre, per ricostruire il rapporto tra il sistema della sorveglianza epidemiologica e la disciplina della tutela dei dati, è opportuno fare cenno ad almeno due altre ordinanze.

La prima, del Ministero della Salute, del 21 febbraio 2020, concernente la sorveglianza attiva dei soggetti a rischio contagio. L’art. 3, nel ribadire che i dati personali raccolti nell’ambito delle attività di sorveglianza di cui all’art. 1 (quarantena con sorveglianza attiva per soggetti che abbiano avuto contatti stretti con casi confermati di infezione) vengono trattati dall’Autorità sanitaria competente per motivi di interesse pubblico nel settore della sanità pubblica (lett. i dell’art. 9, § 2, GDPR), stabilisce che «il termine di conservazione di tali dati è di 60 giorni dalla raccolta, a documentazione acquisita viene distrutta trascorsi sessanta giorni dalla raccolta, ove non si sia verificato alcun caso sospetto».

La seconda, del Dipartimento di protezione civile del 27 febbraio 2020, ha attribuito all’Istituto Superiore di Sanità la sorveglianza epidemiologica e quella microbiologica del SARS-CoV-2, disponendo la creazione di una piattaforma informatica nella quale devono confluire i dati raccolti da tutte le Regioni e dalle Province Autonome di Trento e Bolzano, nonché prevedendo che l’Istituto raccolga i campioni biologici positivi di tutte le persone sottoposte a sorveglianza epidemiologica, analizzandoli, confermandone la positività e tenendo una lista aggiornata dei casi confermati e sospetti. L’art. 4 ribadisce che il trattamento in oggetto risponde ai requisiti dell’art. , § 2, GDPR e prescrive la comunicazione dei dati dall’ISS al Ministro della Salute e, in forma aggregata, al Capo Dipartimento Protezione Civile. Inoltre, si prevede che per agevolare la collaborazione scientifica internazionale i dati, preventivamente resi in forma anonima, possano essere condivisi con il database dell’OMS e dello European Center for Disease Control. Anche questa ordinanza incide sul sistema della protezione dei dati, allargando la platea dei titolari del trattamento, la tipologia dei dati raccolti, nonché la direzione (in entrata e in uscita) del flusso comunicativo.

Sempre in quest’ottica, i d.P.C.M. del 4 e dell’8 marzo 2020 riformulano ed estendono le misure già adottate con precedenti provvedimenti del Ministero della Salute, stabilendo per i soggetti che abbiano soggiornato in zone a rischio epidemiologico l’obbligo di comunicare tali informazioni all’azienda sanitaria competente per territorio, nonché al medico di medicina generale o al pediatra di libera scelta. Tali dati verranno poi riversati al servizio di sanità pubblica con modalità definite dalle Regioni.

Infine, il secondo pilastro della normativa dell’emergenza incidente sulla tutela della persona è costituito dalla disciplina ‘semplificata’ delle sperimentazioni di medicinali e dispositivi utili a fronteggiare la crisi Covid-19. A questo riguardo è particolarmente importante l’art. 17 d.l. 17 marzo 2020, n. 18, che, limitatamente alla durata dell’emergenza, “al fine di migliorare la capacità di coordinamento e di analisi delle evidenze scientifiche disponibili”, riconosce all’AIFA la possibilità di accedere a tutti i dati degli studi sperimentali e degli usi compassionevoli dei medicinali per pazienti con Covid-19. Inoltre, esso attribuisce all’Istituto Nazionale per le Malattie Infettive Lazzaro Spallanzani di Roma le funzioni di comitato etico unico nazionale per la valutazione delle sperimentazioni in oggetto. Ai sensi del quinto comma, infine, si prevede che, «“in deroga alle vigenti procedure in materia di acquisizione dei dati ai fini della sperimentazione”, l’AIFA, sentito il Comitato etico nazionale di cui al comma 3, pubblica entro 10 giorni dall’entrata in vigore del presente decreto una circolare che indica le procedure semplificate per la menzionata acquisizione dati nonché per le modalità di adesione agli studi». In data 7 aprile 2020 l’AIFA ha emanato la suddetta circolare, rinviando peraltro ai principi espressi nelle Linee Guida dell’EMA e della Commissione UE sulla gestione delle sperimentazioni cliniche durante la pandemia Covid-19, del 27 marzo 2020, pubblicate in https://ec.europa.eu/health/sites/health/files/files/eudralex/vol-10/guidanceclinicaltrials_covid19_en.pdf. Deve notarsi che in tali Linee Guida, all’art. 8, si prevedono deroghe importanti alla disciplina del consenso informato, tanto quanto alla forma (che si ammette orale alla presenza di un testimone) e al momento della sua espressione (successiva nel caso di situazioni di pericolo di vita).

Continua a leggere su Giustizia Civile.