Immaginate una famiglia con più figli, i maggiori di età sono robusti, determinati; il più giovane, invece, è più accondiscendente, si fa da parte quando gli altri fanno valere le proprie ragioni ma la sua non è remissività perchè comunque egli è attento a che le sue argomentazioni siano  tenute in considerazione.

Voi genitori apprezzate il comportamento del più piccolo, capace di gestire valori di equilibrio e moderazione che voi stessi gli avete inculcato, ma temete che questo aspetto, nell’asperità della competizione quotidiana, possa costituire per lui una posizione di svantaggio o fragilità.

Protezione dei dati personali vs. altri diritti

La metafora utiizzata serve a chiarire il rapporto esistente tra il diritto alla protezione dei dati personali ed altri diritti fondamentali: il primo è sì fondamentale, al pari degli altri, tuttavia non è una prerogativa assoluta «ma va considerato alla luce della sua funzione sociale» (CGUE, cause riunite C-92/09 e C-93/09, Volker und Markus Schecke GbR e Hartmut Eifert c. Land Hessen [GC], 9 novembre 2010, punto 48), tanto che quando il suo esercizio può compromettere altri diritti, come quello alla salute individuale e pubblica, occorre trovare un equilibio tra i diversi diritti in gioco.

Il giusto bilanciamento non è operazione immediata e richiede la sapiente combinazione di diversi fattori, al fine di tenere in considerazione tutti i diritti coinvolti, senza pregiudicarli. In effetti, è proprio questo il cuore della società democratica, la sapiente orchestrazione di diritti e libertà su cui essa si fonda per cui il diritto alla protezione dei dati personali indietreggia allorquando vi è la necessità di proteggere i diritti e le libertà altrui.

Diritti prioritari

Il regolamento riconosce agli Stati membri un margine di discrezionalità nel limitare gli obblighi e i diritti delle persone ai sensi del GDPR, per esempio, per la salvaguardia della sicurezza nazionale e pubblica, della difesa, di indagini e procedimenti giudiziari, o per tutelare interessi economici e finanziari, o per altri importanti obiettivi di interesse pubblico generale della UE o dello Stato membro nonché per interessi privati quando prevalgono sugli interessi della protezione dei dati.

Condizioni per le limitazioni

Le restrizioni ai principi relativi al trattamento dei dati devono 

1. essere previste per legge, 
2. perseguire uno scopo legittimo e 
3. costituire misure necessarie e proporzionate in una società democratica, in particolare, per salvaguardare importanti obiettivi di interesse pubblico generale [art. 23(1), GDPR]. 

Tutte e tre le condizioni devono essere soddisfatte. Le condizioni per limitare il diritto alla protezione dei dati personali e quello alla vita privata traggono la propria fonte nell’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU) e nell’articolo 52(1) della Carta di Nizza, secondo il percorso interpretativo della giurisprudenza della CtEDU e della CGUE.

1. Conformità alla legge

Secondo la giurisprudenza della CtEDU, la condizione della “previsione di legge” richiede una disposizione di diritto nazionale, che sia «accessibile alle persone interessate e prevedibile quanto ai suoi effetti» (da ultimo, CtEDU, Iordachi e a. c. Moldova, n. 25198/02,

10 febbraio 2009, punto 50). Una norma è prevedibile «se formulata in modo molto preciso per consentire all’interessato – avvalendosi, ove necessario, di consulenti esperti – di regolare il proprio comportamento» (da ultimo, CtEDU, Amann c. Svizzera [GC], n. 27798/95, 16 febbraio 2000, punto 56). Inoltre, «[i]l grado di precisione della “legge” richiesto in tale contesto dipenderà dalla materia particolare» (da ultimo, CtEDU,

Silver e a. c. Regno Unito, 25 marzo 1983, punto 88). Per le analoghe considerazioni della Carta, v. CGUE, C-70/10, Scarlet Extended SA c. Société belge des auteurs compositeurs et éditeurs (SABAM), Conclusioni dell’avvocato generale, del 14 aprile 2011, punto 100.

1. Perseguimento di uno scopo legittimo

Lo scopo legittimo può essere costituito da uno degli interessi pubblici menzionati o dalla protezione dei diritti e delle libertà altrui. Secondo la CEDU, gli scopi legittimi che potrebbero giustificare la limitazione sono gli interessi della sicurezza nazionale, la pubblica sicurezza o il benessere economico di un paese, la difesa dell’ordine e la prevenzione dei reati, la protezione della salute o della morale e la protezione dei diritti e delle libertà altrui [art. 8(2), CEDU]. Analoghe sono le previsioni della Carta [art. 52(1)] e l’articolo 23(1) del GDPR si fonda su tale prescrizione e ne costituisce un’ulteriore specificazione.

1. Necessità in una società democratica

Secondo la CtEDU «la nozione di necessità comporta un’ingerenza basata su un’esigenza sociale imperativa e, in particolare, proporzionata al fine legittimo perseguito» (Corte EDU, Leander c. Svezia, n. 9248/81, 26 marzo 1987, punto 58). La valutazione della necessità della misura per far fronte a un’esigenza sociale imperativa si basa sulla pertinenza e l’idoneità in relazione al fine perseguito: cioè occorre esaminare se l’ingerenza intenda risolvere un problema che, se non affrontato, potrebbe incidere negativamente sulla società. Per la CGUE la “necessità” implica anche che le misure adottate siano meno invasive rispetto ad altre opzioni finalizzate al raggiungimento del medesimo risultato. La proporzionalità è collegata alla necessità e richiede che un’ingerenza nei diritti fondamentali non vada oltre quanto è necessario per raggiungere la finalità legittima perseguita: in questa valutazione, le garanzie o le condizioni poste in essere per limitarne la portata o gli effetti negativi sui diritti delle persone sono fattori importanti da considerare (Parere sull’applicazione dei principi di necessità e proporzionalità nell’azione di contrasto, del gruppo di lavoro articolo 29 (2014),  wp211, pagg. 7 e 8). La “proporzionalità” significa che i vantaggi risultanti dalla limitazione devono prevalere sugli svantaggi causati dalla stessa in relazione all’esercizio dei diritti fondamentali in questione (EDPS, Necessity Toolkit, pag. 5).

EDPB

Il quadro normativo sopra delineato è quello cui ha fatto riferimento il Comitato europeo (EDPB) in occasione della dichiarazione del 16 marzo 2020 sul trattamento di dati personali nel contesto del COVID-19. «In verità – dichiara la signora Jelinek, presidente dell’EDPB – il GDPR prevede le basi legali per consentire ai datori di lavoro e alle autorità sanitarie competenti di trattare i dati personali nel contesto di epidemie (…) ad esempio, quando il trattamento dei dati personali è necessario per i datori di lavoro per motivi di interesse pubblico nel settore della salute pubblica o per proteggere interessi vitali (articoli 6 e 9 del GDPR) o per ottemperare a un altro obbligo legale. (…) la legislazione di emergenza è possibile a condizione che costituisca una misura necessaria, adeguata e proporzionata all’interno di una società democratica. Se vengono introdotte misure di questo tipo, uno Stato membro è tenuto a istituire garanzie adeguate, come garantire ai singoli il diritto a un ricorso giurisdizionale».

 

COVID-19 e misure anti-contagio

Delineato il quadro normativo che legittima, a determinate condizioni, la contrazione del diritto alla protezione dei dati personali, diamo uno sguardo a misure e rimedi anti-contagio che si intenderebbe adottare o che sono già state attuate a livello internazionale, di cui si ha notizia. Una volta compreso con chiarezza quali sono le condizioni per la limitazione dei diritti in una società democratica, andiamo a “leggere” queste misure, per verificare se rispettano le condizioni sopra rappresentate o se, di converso, costituiscono esse stesse serie minacce a quel giusto equilibrio fra i diritti fondamentali che è alla base dell’assetto democratico del diritto europeo e nazionale.