In tempo di emergenza è naturale che emergano alcune questioni riguardanti i cosiddetti “diritti sospesi”.
Gran parte del clamore mediatico ha riguardato inizialmente i diritti relativi alle libertà individuali in riferimento alle restrizioni agli spostamenti, ma superato lo stato di emergenza è prospettabile un graduale ritorno ad una situazione di normalità. Ciò che invece solleva non poche criticità è stata in seguito l’invocata sospensione del diritto alla privacy, intesa come l’auspicio di una disapplicazione diffusa delle norme a tutela della protezione dei dati personali. Senza soffermarsi sul fatto che lo stesso GDPR prevede pur nella sua applicazione un bilanciamento continuo e il contemperamento con altri diritti fondamentali, occorre comprendere il motivo per cui un’eventuale scelta di sospendere la normativa in materia di protezione dei dati personali tout-court è un pericolo per il presente e anche per il periodo successivo alla conclusione dello stato di emergenza.
La protezione dei dati personali, è noto, riguarda due aspetti principali: qualità del dato e sicurezza delle attività di trattamento svolte, fra cui rientrano ad esempio le fasi di raccolta, elaborazione e conservazione.
L’aspetto della qualità rappresenta una tutela per l’interessato ma è anche strumentale ad una piena fruibilità dei dati per i soggetti che svolgono operazioni sui dati. Deve essere garantita, ad esempio, l’esattezza e tale parametro è imprescindibile per ogni attività svolta soprattutto nel contesto emergenziale sanitario per cui è assolutamente prioritario avere garanzie e certezze sulla genuinità e aggiornamento di un dato. In tal senso, accettare un rischio di non genuinità del dato comporta conseguenze gravi ed irreparabili sia nella gestione dei pazienti che delle misure di prevenzione e contrasto dell’epidemia.
L’aspetto della sicurezza è altrettanto fondamentale. I rischi per le informazioni personali sono riconducibili, infatti, agli eventi perdita di confidenzialità, integrità e disponibilità dei dati e ai derivanti impatti sui diritti e libertà fondamentali delle persone fisiche.
Nel caso in cui ad un dato non sia garantita un’adeguata protezione e sono realizzati accessi illeciti o abusivi, ne conseguono perdite di riservatezza che gravano in primo luogo sull’interessato ma che potenzialmente possono compromettere anche i sistemi dell’organizzazione. Non è infrequente, infatti, che un database di contatti possa essere riutilizzato non soltanto per campagne di phishing nei confronti dei singoli utenti ma anche per coordinare un attacco massivo “di ritorno” nei confronti dell’organizzazione (ad esempio di tipo ransomware o DDoS).
Qualora invece non sia tutelata l’integrità, il dato non è in grado di offrire garanzie di genuinità e le conseguenze prospettabili, nell’ambito dell’emergenza da COVID-19, possono spaziare per vari scenari tutti con esiti di rilevante impatto sia per le persone che per il sistema sanitario e la società. Basti pensare infatti ad un errore di emotrasfusione per errata indicazione del gruppo sanguigno, o all’errata indicazione di positività per un cittadino non infetto o, al contrario, all’errata indicazione di immunità per un paziente portatore sano.
Considerando invece la perdita di disponibilità del dato si va incontro a scenari altrettanto catastrofici soprattutto se si considera l’ambito sanitario. Se non è più utilizzabile il dato, infatti, la somministrazione di diagnosi, cure e il monitoraggio diventa impossibile. Inoltre, recuperare un dato perduto è un’attività che consuma tempo con le operazioni di ripristino o riacquisizione. Tempo che, operativamente, viene sottratto all’erogazione di servizi di urgente e primaria necessità.
Concludendo: siamo davvero sicuri che si possa ancora affermare di poter prescindere tout-court dalle più basilari “regole del gioco” della protezione dei dati personali? Sembra che il trade-off non profili orizzonti particolarmente confortanti.
