- di avv. Virginia Alongi, avv. Gennaro M. Amoruso – “Nell’ambito di questa necessità di contemperare gli interessi in gioco, il principio dell’esattezza rappresenta un argine a tutela dei diritti e le libertà fondamentali degli interessati, i quali dovranno essere al corrente in ogni momento del trattamento di quale sia il flusso dei dati che li riguarda, ma dovranno anche “pretendere” che questi siano esatti. Nel caso di specie, trattamento dei dati per finalità emergenziale, i Titolari del trattamento devono porre in essere procedure “rapide” che consentano di individuare corrette misure per rettificare o cancellare tempestivamente i dati inesatti rispetto alle finalità del trattamento, di ciò ne va l’intera tenuta del sistema di data governance”
Il Titolare del trattamento dei dati, in base al principio di esattezza sancito all’articolo 5, par. 1, lett. d) del Regolamento europeo 679/2016, è tenuto a verificare in via preventiva, all’atto della raccolta e nelle successive fasi del trattamento, che i dati personali riferiti a ciascun interessato siano corretti ed aggiornati.
Specularmente il titolare è tenuto ad adottare, secondo la logica del privacy by default, indipendentemente dall’impulso dell’interessato, una serie di misure idonee alla cancellazione o alla tempestiva rettifica dei dati inesatti o della loro integrazione rispetto alle finalità per le quali sono trattati.
Il principio di esattezza dei dati e le corrispettive misure sono quindi concepiti come fondamento e strumenti volti alla salvaguardia dell’identità dell’interessato nella misura in cui dati inesatti e/o parziali possano identificare un soggetto in modo errato, arrecandogli un pregiudizio o una lesione all’identità personale.
L’interessato pertanto è titolare di prerogative – rectius – di diritti che gli consentono di tutelare la propria sfera soggettiva mediante il controllo della circolazione delle informazioni di carattere personale: si tratterebbe dei c.d. diritti su diritti, primo tra tutti quello all’identità personale, il cui titolare, l’individuo dell’era dell’infosfera, è dotato di una personalità dinamica.
Secondo questa prospettiva i titolari del trattamento devono pertanto adoperarsi per consentire che l’interessato sia posto nelle effettive condizioni di poter esercitare il diritto di rettificare ed integrare i propri dati mediante procedure semplici e trasparenti, come la messa a disposizione, ad esempio, di un canale di comunicazione dedicato sempre raggiungibile ed operativo o la possibilità di rilasciare in modo agile una dichiarazione integrativa.
Con particolare riferimento al contesto emergenziale determinato dalla pandemia Covid-19, l’Autorità garante per la protezione dei dati personali è da subito intervenuta, sottolineando la necessità di prevedere adeguate garanzie per il rispetto dei noti principi cui la protezione dei dati personali si fonda.
Sin dal suo primo parere [1] l’Autorità ha ribadito che “i trattamenti di dati personali devono essere effettuati nel rispetto dei principi di cui all’art. 5 del Regolamento (UE) 2016/679 e che, nel contesto dell’emergenza, avuto riguardo all’esigenza di contemperare la funzione di soccorso con quella afferente la salvaguardia della riservatezza degli interessati…”
Nell’ambito di questa necessità di contemperare gli interessi in gioco, il principio dell’esattezza rappresenta un argine a tutela dei diritti e le libertà fondamentali degli interessati, i quali dovranno essere al corrente in ogni momento del trattamento di quale sia il flusso dei dati che li riguarda, ma dovranno anche “pretendere” che questi siano esatti. Nel caso di specie, trattamento dei dati per finalità emergenziale, i Titolari del trattamento devono porre in essere procedure “rapide” che consentano di individuare corrette misure per rettificare o cancellare tempestivamente i dati inesatti rispetto alle finalità del trattamento, di ciò ne va l’intera tenuta del sistema di data governance.
Ma vi è di più, in ossequio del principio di privacy by default tali procedure dovranno essere “vive” e soggette a periodici audit ed integrate e/o modificate al mutare della fluida normativa emergenziale.
Come ha sottolineato l’Autorità, i diritti possono essere in contesti emergenziali limitati, ma tali restrizioni “devono essere proporzionali alle esigenze specifiche e temporalmente limitate”, iscritte “in un quadro di garanzie certe…senza cedere a improvvisazioni”: “il limite dell’emergenza è insomma nel suo non essere autonoma fonte del diritto ma una circostanza che il diritto deve normare, pur con eccezioni e regole duttili, per distinguersi tanto dalla forza, quanto dall’arbitrio”[2]. La protezione dati rappresenta, allora, “uno strumento utilissimo nell’azione di contrasto dell’epidemia, quando quest’azione sia fondata su dati e algoritmi, dei quali va garantita esattezza, qualità e revisione “umana”, ove necessario, come nel caso di decisioni automatizzate errate perché fondate su bias”.
Quanto sopra riportato impone agli addetti ai lavori, ma non solo, riflessioni sullo stretto rapporto tra ius umano e ius artificiale ed in particolare se l’uno escluda l’altro ovvero se l’uno e l’altro si completino come certamente nel caso del contesto in esame.
[1] Parere sulla bozza di ordinanza recante disposizioni urgenti di protezione civile in relazione all’emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili – 2 febbraio 2020 [9265883] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9265883
[2] Intervista a A. Soro, Presidente del Garante per la protezione dei dati personali, “La sfida privacy in era coronavirus”, Ansa, 17 marzo 2020.