Tempo di lettura: 7 minuti

Al di là delle considerazioni squisitamente giuridiche, il tema a mio avviso deve essere analizzato con una lente neutra, che ci restituisca una visione scevra dai timori e dalle paure instillate in tutta la società dal COVID19.

I nostri dati costruiscono un bene tanto prezioso da essere annoverato fra i diritti costituzionali (cfr. Art. 13 cpv. 2 CF). Al pari della nostra vita e della nostra libertà (art. 10 CF).

Il trattamento dei dati personali, a prescindere dallo scopo perseguito (ovvero della finalità), è sempre un processo delicato.

Maggiore è la quantità di dati, maggiore la capacità di aggregarli e di interpretarli, maggiore è il rischio che corriamo di un loro impiego abusivo. Si pensi alla capacità di predire degli eventi quali ad esempio la predisposizione ad una patologia o di restare vittima di un determinato tipo di incidente quali ripercussioni potrebbe comportare in campo assicurativo. Ma è solo un esempio; il potenziale e ben più ampio e forse oggi neppure ipotizzabile.

Vi è poi un altro aspetto.

Posto che chi raccoglie e tratta i nostri dati (qualificato sia dalla nLPD che dal GDPR e altre norme, come il “Titolare del trattamento”) sia degno di fiducia e raccolga i dati per, ad esempio, tutelare la salute pubblica, occorre comunque chiedersi come raccoglierà i dati, come li utilizzerà, con chi li condividerà e come li conserverà. La domanda, non scontata, diventa poi quella di sapere se il Titolare (o il responsabile) sarà davvero in grado di gestire e soprattutto proteggere i nostri dati. Anche perché una volta compromessi o perduti, non si torna indietro. Non è un rischio teorico, vi sono numerosi esempi a tale riguardo, citati anche dalla stampa non specializzata.

Il Covid, o meglio, la sua rapida diffusione nazionale e globale, ha attivato la Legge federale sulla lotta contro le malattie trasmissibili dell’essere umano, (Legge sulle epidemie, LEp) e con essa gli artt. 58 e seguenti. Si tratta di procedure nuove, mai applicate in contesti reali.

Cosa prevede la LEP in materia di protezione e utilizzo dei dati personali? In prima battuta (art. 58 cpv. 1 LEp), essa dispone che “l’UFSP (Ufficio federale della sanità pubblica, ndr) le autorità cantonali competenti e le istituzioni pubbliche e private incaricate di compiti in virtù della presente legge possono trattare o fare trattare dati personali, compresi i dati concernenti la salute, per quanto sia necessario all’identificazione di persone malate, sospette malate, contagiate, sospette contagiate o che espellono agenti patogeni, nell’ambito di provvedimenti di protezione della salute pubblica, in particolare per individuare e sorvegliare le malattie trasmissibili e lottare contro di esse“.

Tali autorità sono “responsabili del rispetto delle disposizioni sulla protezione dei dati” (art. 58 cpv. 2).

Vi è quindi un rinvio alla legislazione federale, in particolare alla LPD del 1992 (in attesa dell’imminente conclusione dei lavori parlamentari di revisione totale della medesima) e alla relativa ordinanza (OLDP), ma anche al diritto cantonale (che pure dovrà essere rivisto in ragione della sottoscrizione, la fine dello scorso anno, da parte della Svizzera, della convezione STE 108).

L’art. 58 cpv. 3 recita: “I dati possono essere conservati per dieci anni al massimo, sempre che le particolarità della malattia non esigano un periodo di conservazione più lungo. I dati sono successivamente distrutti o resi anonimi“.

L’interpretazione letterale del 3o capoverso, anche nella versione tedesca “Die Daten dürfen höchstens zehn Jahre aufbewahrt werden, es sei denn, die Besonderheiten der Krankheit erfordere eine längere Aufbewahrung. Sie werden anschliessend vernichtet oder anonymisiert“, indica, senza particolari dettagli, la possibilità di conservazione di 10 anni, che possono essere aumentati qualora le particolarità della malattia lo esigano e poi, quando non serviranno più, verranno distrutti.

E’ interessante notare come nel testo del messaggio (pag. 376 del Messaggio concernente la revisione della legge federale sulla lotta contro le malattie trasmissibili dell’essere umano (Legge sulle epidemie, LEp) del 3 dicembre 2010, in seguito “Messaggio”), al riguardo di tale capoverso si legge: “i dati raccolti vanno distrutti o resi anonimi non appena non sono più utilizzati per i compiti prescritti legalmente, di regola al più tardi dieci anni dopo la rilevazione. In casi eccezionali può essere necessario a causa delle particolarità della malattia una durata di conservazione più lunga (p. es. periodo d’incubazione lungo nel caso del morbo di Creutzfeldt-Jakob)”; viene a cadere nel testo di legge quel rassicurante “non appena*“, di cui tuttavia occorre tenere conto nell’applicazione della norma, essendo a mio avviso l’espressione di una legittima preoccupazione del legislatore.

La LEp si occupa poi della “comunicazione dei dati personali” (art. 59) e fa degli elenchi esemplificativi della tipologia di dati raccolti e dei destinatari (specificando, per indicare il carattere non esaustivo dell’elenco, espressamente “in particolare” prima di definire i dati e i possibili destinatari dei dati).

I dati quindi possono ad esempio essere:
a. cognome, nome, indirizzo, data di nascita e attività professionale;
b.indicazioni sugli itinerari, i luoghi di soggiorno e i contatti con persone, animali e oggetti;
c.risultati di visite mediche;
d.risultati di indagini epidemiologiche;
e.indicazioni sull’appartenenza a un determinato gruppo a rischio;
f.indicazioni sui provvedimenti adottati per prevenire una malattia trasmissibile e lottare contro di essa;
mentre fra i possibili destinatari si trovano:
a. medici incaricati di curare le malattie trasmissibili;
b. autorità cantonali che svolgono compiti volti a individuare, sorvegliare e prevenire le malattie trasmissibili e a lottare contro di esse;
c. altre autorità federali, sempre che sia necessario per l’esecuzione degli atti normativi che tali autorità devono applicare.

Vi è, nella legge, un ampio potere di apprezzamento, certamente dettato dal fatto che l’obiettivo della LEp è quello “di prevenire e combattere la comparsa e la propagazione di malattie trasmissibili” (art. 2 cpv. 1 LEp). Bisogna tuttavia, dal profilo della protezione dei dati, essere consapevoli del fatto che durante una “situazione particolare” (“Besondere Lage“, art. 6 LEp), la mole e la qualità dei dati personali raccolta può senz’altro essere ritenuta critica e che pertanto la gestione di tali informazioni non possa non richiedere uno sforzo importantissimo di tutela e protezione da parte dei “responsabili” (cfr. art. 58 cpv. 2).

La base legale per la costituzione del sistema di informazione viene sancita dall’art. 60 LEp, che attribuisce all’UFSP di gestire “un sistema d’informazione nel quale sono registrati dati su persone malate, sospette malate, contagiate, sospette contagiate o che espellono agenti patogeni” (art. 60 cpv. 1).

Oltre a indicare quali dati contiene il sistema d’informazione (art. 60 cpv. 2) e la sua utilità (art. 60 cpv. 3) la norma specifica che:

Il sistema permette inoltre un trattamento uniforme dei dati da parte delle autorità competenti, l’allestimento di statistiche e il controllo dell’esecuzione”(art. 60 cpv. 4).

L’UFSP è responsabile della sicurezza del sistema d’informazione e della legalità del trattamento dei dati personali. Nel loro ambito di competenza, i Cantoni prendono i provvedimenti organizzativi e tecnici adeguati volti a garantire la sicurezza dei dati personali(art. 60 cpv. 5).

L’UFSP verifica se i dati che gli sono trasmessi sono esatti. Corregge i dati inesatti, distrugge quelli che non sono necessari e ne informa il fornitore di dati(art. 60 cpv. 6).

Il sistema d’informazione è a disposizione, mediante procedura di richiamo, dell’UFSP, dei servizi cantonali competenti per l’esecuzione della presente legge e del servizio sanitario coordinato, per lo svolgimento dei suoi compiti(art. 60 cpv. 7).

Il Consiglio federale stabilisce le condizioni per la conservazione e la cancellazione dei dati e disciplina i diritti d’accesso(art. 60 cpv. 8).

Il diritto di ottenere informazioni relative ai dati che figurano nel sistema d’informazione e il diritto di farli rettificare sono retti dagli articoli 5 e 8 della legge federale del 19 giugno 1992 sulla protezione dei dati. Le domande di accesso ai dati personali e di rettifica devono essere indirizzate all’UFSP(art. 60 cpv. 9).”

Nel messaggio citato e quindi quando la LEp è stata concepita “La sicurezza (art. 60 cpv. 6, ndr) dei dati è retta dalle disposizioni dell’ordinanza del 14 giugno 199391 relativa alla legge federale sulla protezione dei dati (OLPD) e dalla sezione concernente la sicurezza informatica dell’ordinanza del 26 settembre 2003 sull’informatica nell’Amministrazione federale, nonché dalle raccomandazioni dell’Organo strategia informatica della Confederazione. I Cantoni adottano nel loro settore i provvedimenti adeguati dal profilo organizzativo e tecnico ai fini della sicurezza dei dati personali” (cfr. Messaggio LEp, pag. 377).

La questione sicurezza dei dati è quindi, de facto, demandata ai singoli Cantoni e l’accesso ai dati, come indicato dal capoverso 7, può avvenire mediante accesso diretto, e meglio, come indicato, “mediante procedura di richiamo“.

Questo aspetto, a mio parere, risulta essere fra i più critici. Infatti affinché la sicurezza possa essere garantita occorre non solo che l’apparato normativo, organizzativo e tecnologico dei singoli cantoni sia adeguato (e preparato) per assolvere a un compito così gravoso, ma che tutti i possibili destinatari (cfr. art.59 cpv. 3) dispongano di adeguate infrastrutture e procedure interne altrettanto sicure. Se questo non fosse il caso (e temo che sia purtroppo così), occorre agire subito e con urgenza, sia a livello tecnico, organizzativo e legale, ciò che, in situazione di emergenza, risulta essere un compito assai arduo.

La LEp incarica poi il Consiglio federale (CF) di stabilire “le condizioni per la conservazione e la cancellazione dei dati e disciplina i diritti d’accesso” (art. 60 cpv. 8). Il compito affidato al CF è tutt’altro che semplice, potendo derivare sia dalla durata di conservazione sia dai diritti d’accesso, una serie di importanze conseguenze e ripercussioni.

Per il resto la norma ripropone (art. 60 cpv. 9) come osservato anche dal Messaggio citato (pag. 378), le disposizioni già previste dalla LPD attuale: “Secondo l’articolo 5 LPD, chi tratta dati personali deve anche accertarsi della loro esattezza. Le richieste di comunicazione di dati personali (art. 8 LPD) e di rettifica (art. 5 cpv. 2 LPD) vanno rivolte all’UFSP“.

Oltre a regolamentare la questione dei dati statistici (art. 61 LEp), che mi riservo di trattare separatamente in quanto tale aspetto può senz’altro acquisire una straordinaria importanza per meglio comprendere fenomeni come quello che ci occupa, l’art. 62 LEp fornisce indicazioni sulla “Comunicazione di dati personali ad autorità estere“.

Vale la pena sottolineare a questo riguardo quanto già indicato nel Messaggio (pag. 378 ad art. 62) ovvero che “L’articolo 62 è in sintonia con l’articolo 6 LPD secondo il quale i dati personali non possono essere comunicati all’estero se in tal modo la personalità dell’interessato sarebbe gravemente pregiudicata, in particolare poiché manca una legislazione che assicuri un’adeguata protezione” (cfr. art. 62 cpv.3).

A mio avviso la LEp, analizzata esclusivamente dal punto di vista della protezione dei dati personali, può comportare dei rischi importanti per la sicurezza del trattamento. Non sta a me giudicare se tali rischi sono o meno accettabili a fronte dell’attuale situazione, ma ritengo doveroso che tutti, in particolare le autorità e i privati coinvolti, collaborino attivamente per evitare di trovarci, a pandemia superata, con una serie di problematiche importanti legate ai dati (estremamente sensibili) raccolti e utilizzati in questo contesto.

Tuttavia, il rischio maggiore che scorgo, anche se forse il più remoto, è quello che la straordinaria opportunità scientifica che si apre grazie alla quantità e alla qualità dei dati disponibili oggi e ai certi aiuti per combattere sia questa pandemia che futuri eventi analoghi, possa un domani costituire un pericolo ancora maggiore, se tali dati cadessero nelle mani sbagliate.