NEWS

I vincoli di compatibilità con ordinamento europeo del diritto alla privacy dell’emergenza

L’art. 14 d.l. 9 marzo 2020, n. 14 ha introdotto un regime in deroga alla disciplina di tutela della privacy stabilita in via ordinaria dal d. lgs. 30 giugno 2003, n. 196, destinato ad operare sino “al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020” (c.d. emergenza Covid-19) ai fini dell’adozione da parte delle autorità competenti delle misure urgenti di contenimento e gestione dell’emergenza epidemiologica ai sensi dell’art. 3 del d. l. n. 6/2020, convertito con modificazioni dalla l. n. 13/2020.


Il diritto alla vita privata e il diritto alla protezione dei dati personali trovano riconoscimento anche nell’ordinamento dell’Unione Europea (Data Protection Directive n. 95/46/CE, art. 7 e 8 CDFUE, art. 16 TFUE, Regolamento UE n. 2016/679) e nella Convenzione Europea dei Diritti dell’Uomo (art. 8 Cedu) alla stregua di diritti c.d. “non assoluti”. L’essenza concettuale della non assolutezza di un diritto fondamentale è il fatto di essere suscettibile di limitazioni in funzione del perseguimento di determinati interessi di carattere generale riconosciuti come tali dai rispettivi ordinamenti sovranazionali.

L’ordinamento CEDU precisa anche che i diritti assoluti non sono derogabili ai sensi dell’art. 15 CEDU, il quale consente agli Stati membri in caso di “pericolo pubblico che minacci la vita della nazione” di adottare delle misure in deroga agli obblighi previsti dalla Convenzione, nella “stretta misura” in cui la situazione lo richieda, previa notifica al Segretario generale del Consiglio d’Europa. Pertanto il diritto alla privacy, in quanto diritto non assoluto e per tale ragione non contemplato dal comma 2 dell’art. 15 CEDU, è derogabile ai sensi di tale disposizione convenzionale. Lo Stato italiano non ha sin ora inteso notificare al CoE la determinazione di avvalersi di tale facoltà di deroga.

Ai fini di una analisi a caldo della questione, l’attenzione deve concentrarsi sulla questione di compatibilità con i vincoli eurounitari, atteso che l’art. 14 d.l. n. 14/2020 contiene numerosi ed espliciti rinvii proprio alle fonti del diritto UE. Si tratta, tuttavia, di rinvii sostanzialmente pleonastici, in quanto il legislatore nazionale altro non fa se non ribadire l’obbligo di rispettare determinate disposizioni di diritto dell’Unione (che vigerebbe anche a prescindere da qualsivoglia richiamo), senza che tali rinvii normativi producano l’effetto pratico di integrare per relationem nell’art. 14 specifici contenuti regolativi suscettibili di immediata applicazione nell’ordinamento nazionale. Ciò che resta è un regime legislativo recante misure di salvaguardia dal contenuto estremamente esile, la cui implementazione concreta è sostanzialmente rimessa al titolare - ed eventualmente al responsabile - del trattamento (v. in particolare il comma 3).

È quindi necessario verificare se sussistano eventuali profili di incompatibilità dell’art. 14 d.l. n. 14/2020 rispetto ai vincoli eurounitari, in particolare quelli stabiliti dall’art. 52, § 1 CDFUE, la cui struttura si costituisce di quattro presupposti giustificativi: a) l’esistenza di un fondamento legale; b) il perseguimento di uno scopo legittimo; c) il rispetto del contenuto essenziale del diritto fondamentale; d) il necessario rispetto dei principi di necessità e proporzione.

Nessun problema sembra porsi con riferimento al presupposto della finalità di interesse generale, atteso che l’esigenza di tutelare la sanità pubblica e la sicurezza sociale, l’esigenza di tenere sotto controllo l’evoluzione di epidemie nonché di proteggere la sicurezza nazionale trova fondamento in molteplici disposizioni del diritto dell’Unione (v. art. 23, § 1 e Considerando n. 46 del GDPR, art. 15 e-privacy Directive).

Quanto alla necessità che le limitazioni debbano essere “previste dalla legge”, il diritto eurounitario sostanzialmente rinvia alla definizione elaborata dalla giurisprudenza della Corte EDU, alla luce della quale il diritto nazionale che prevede una determinata restrizione dev’essere “accessibile alle persone interessate e prevedibile quanto ai suoi effetti” (ex multis, Corte EDU, Amann c. Svizzera [GC], n. 27798/95, 16 febbraio 2000, § 50).

Una norma è prevedibile “se formulata in modo molto preciso per consentire all’interessato – avvalendosi, ove necessario, di consulenti esperti – di regolare il proprio comportamento” (così in Amann, § 56, nonché in Malone c. Regno Unito, n. 8691/79, 2 agosto 1984, § 66). A tale riguardo, già si è detto come l’art. 14, comma 1 si limiti ad autorizzare il trattamento illimitato di qualunque tipo di dato rientrante nelle categorie di cui all’art. 9 GDPR, senza stabilire alcuna specifica misura di salvaguardia. Per altro, sull’art. 14 d.l. n. 14/2020 nemmeno ha avuto modo di formarsi, ovviamente, una giurisprudenza consolidata che permetta di colmare l’eventuale deficit di accessibilità e/o prevedibilità del dato legislativo formale.

Quanto al necessario rispetto del contenuto essenziale del diritto, il diritto eurounitario non ha elaborato una precisa definizione di “essenzialità”, nemmeno ad opera della giurisprudenza della Corte di Giustizia. Ciò che tuttavia si ricava da taluni precedenti quali Schrems (CGUE, C-362/14, Schrems c. Data Protection Commissioner [GC], 6 ottobre 2015) e Digital Rights Ireland (CGUE, C-293/12 e C-594/12, Digital Rights Ireland Ltd [GC], 8 aprile 2014), entrambi riguardanti casi di interferenza su comunicazioni elettroniche, è che “essenziale” è ciò che afferisce il contenuto in sé della comunicazione. Concetto che si potrebbe estendere, con la dovuta prudenza, al contenuto del dato di volta in volta trattato. A tale proposito, ci si limita a ribadire che il comma 1 dell’art. 14 rinvia en bloc a tutte le categorie di dati personali contemplati dall’art. 9, § 1 GDPR, senza stabilire alcun tipo di misura di salvaguardia contenutistica, ma nemmeno procedurale, a limitazione del relativo trattamento.

Quanto infine ai presupposti della necessità e proporzione della limitazione, la misura restrittiva della privacy, come di qualunque altro diritto fondamentale, è proporzionata quando congegnata in modo tale da assicurare un equo bilanciamento tra il vantaggio ottenuto ed il sacrificio che essa determina a carico del diritto sottoposto a limitazione, ma anche di ulteriori diritti fondamentali eventualmente concorrenti. È in tale specifico ambito che assume rilevanza l’adozione di eventuali misure di salvaguardia, in quanto dirette a controbilanciare la compressione subita dal diritto fondamentale per mezzo della misura restrittiva.

Tanto chiarito, si deve osservare che l’art. 14 non prevede alcuna specifica misura limitativa relativamente alle ipotesi di trattamento contemplate dal comma 1, e solo con riferimento alle ipotesi di cui al comma 2 prevede la salvaguardia dell’indispensabilità del trattamento. Altrettanto è da dirsi in merito alle misure limitative della privacy stabilite dai commi 4 (in materia di autorizzazioni) e 5 (in merito all’informativa). Alla luce di quanto detto, è difficile anche sostenere che l’interferenza autorizzata dall’art. 14 rispetti il criterio del last intrusive means il quale, secondo la giurisprudenza di Lussemburgo, è elemento costitutivo essenziale della necessità della misura restrittiva.

Al contempo, tuttavia, non deve essere trascurato che nella prospettiva del diritto eurounitario (ma anche CEDU) ciò che conta davvero è la qualità ed intensità dell’interferenza subita dal diritto fondamentale nel caso concreto, alla luce di tutte le caratteristiche di fatto esistenti dello specifico contesto (CGUE [GC], C-524/06, Huber v. Bundesrepublik Deutschland, 16 dicembre 2008 § 52). Potrebbe accadere che, pur a fronte dell’esiguità della struttura protettiva legislativa, nella fattispecie concreta una determinata limitazione subita dalla privacy sia avvenuta con modalità proporzionate, ad esempio in ragione di misure di salvaguardia adottate in concreto dal titolare del trattamento o dal responsabile del dato. Ciò non farebbe venir meno eventuali profili di non conformità eurounitaria della norma legislativa nazionale, ma potrebbe mettere in discussione la rilevanza della questione in taluni casi specifici.

Note Autore

Francesco Perrone Francesco Perrone

Giudice del lavoro presso il Tribunale di Padova

Prev Business Continuity & Crisis Management: riflessioni operative sullo stato d'emergenza Covid-19
Next Valutare l’impatto della privacy e sulla privacy ai tempi del Covid-19

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy