(continua)
Venendo ora alla norma del GDPR in esame, bisogna sottolineare che la lettera e) del comma 2 dell’art. 9 costituisce eccezione al principio generale del divieto assoluto di trattamento dei dati personali appartenenti alle particolari categorie indicate al comma 1: insomma, la norma dice che quei dati, qualora resi manifestamente pubblici dall’interessato, possono essere trattati. Ma non dice con quali regole.
Particolarmente significativa, per quanto qui rileva, è la prima (e la più generale) delle eccezioni, cioè la prestazione del “consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche” (lett. a): a dispetto dell’impostazione formale della norma (divieto più eccezioni), nella pratica la regola generale pare essere la possibilità di trattamento dei dati appartenenti a categorie particolari a fronte del consenso esplicito per una o più finalità specifiche, mentre le altre eccezioni al divieto rappresentano circostanze equipollenti particolari.
Dunque, poiché le eccezioni hanno tra loro valenza alternativa, si può dire che l’azione di rendere manifestamente pubblici i propri dati personali “particolari” equivalga ad un valido consenso al loro trattamento: pertanto, i dati appartenenti a categorie particolari che l’interessato di propria iniziativa rende manifestamente pubblici possono essere trattati.
Il riconoscimento all’azione positiva dell’interessato di valore equivalente a un valido consenso è peraltro coerente con le caratteristiche che il consenso ha nel GDPR, come si desume da diversi considerando (ad esempio, il 32) e dalla relativa definizione (art. 4, n.11): “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Ma ciò non significa che i dati resi manifestamente pubblici possano essere trattati indiscriminatamente: senz’altro la portata dell’eccezione, per come è espressa, non è tale da sottrarre il relativo trattamento al rispetto innanzitutto dei principi generali (art. 5 GDPR), tra cui ricorrono tutti quelli tradizionalmente presenti nel nostro ordinamento, compreso quello di finalità.
Come spunto di riflessione in merito a quest’ultimo aspetto, ricordo che l’art. 6, co. 4 GDPR condiziona in via generale la liceità del trattamento, che non sia basato sul consenso, per finalità diverse da quelle originarie della raccolta, alla compatibilità di tali finalità successive con le prime, indicando al titolare – per la relativa verifica – la valutazione, tra l’altro: “(…) c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9 (…); delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; (…)”.
Quanto alla valutazione dell’ampiezza della tutela offerta dall’ordinamento all’interessato che renda “manifestamente pubblici” propri dati personali, bisogna anche sottolineare che il GDPR formalizza definitivamente (cfr. considerando 4) il diritto alla tutela dei dati personali quale diritto fondamentale da considerare “alla luce della sua funzione sociale”: effetto sostanziale di ciò mi sembra essere l’estensione della relativa tutela anche ad altri (autonomi) diritti fondamentali dell’interessato attinenti alla personalità, tra cui in particolare il diritto all’identità personale.
In tale senso depongono anche le indicazioni contenute nei considerando del Regolamento (spec. 75 e 85) che esplicitamente indicano – tra i rischi inerenti al trattamento che sono oggetto di individuazione, valutazione ed obbligatoria prevenzione da parte del titolare – quelli atti a procurare all’interessato “danno sociale”, richiamando espressamente, tra gli altri, il “pregiudizio alla reputazione”.
Dunque, l’utilizzo di questi dati deve trovare un limite, oltre che nei principi generali che costituiscono l’ossatura del diritto alla protezione dei dati personali, anche nel rispetto degli altri diritti della personalità dell’interessato, con particolare riguardo all’identità personale: da ciò discende che nell’impianto del GDPR il relativo trattamento, anche se supportato da una precisa scriminante del consenso e da finalità astrattamente coerenti con quelle per cui i dati sono stati resi pubblici dall’interessato stesso, può risultare illegittimo – anche ai sensi della stessa normativa sulla protezione dei dati personali – qualora, per le modalità con cui il trattamento è realizzato o per gli effetti che produce, sia foriero di danno sociale o reputazionale per l’interessato.
Resta poi indubbiamente salva la possibilità per l’interessato di esercitare i diritti di opposizione (art. 21 GDPR) e soprattutto quello alla cancellazione (“all’oblio”) (art. 17 GDPR).
Infine, il rispetto della privacy non basta: l’uso di “dati personali resi manifestamente pubblici dall’interessato” deve comunque rispettare anche altre normative applicabili, quali quelle sul diritto d’autore (con riguardo ad esempio all’uso delle fotografie) o le leggi penali (ad esempio, le norme sulla diffamazione).
Per concludere, non credo che il GDPR, una volta divenuto efficace, legittimerà l’utilizzo indiscriminato dei dati personali appartenenti alle particolari categorie indicate dall’art. 9 pubblicati sui social network: il trattamento, in virtù della norma in esame, ne sarà possibile, ma pur sempre nel rispetto dei principi di liceità, finalità, pertinenza, non eccedenza e in un contesto di bilanciamento tra diritti fondamentali di cui – in ossequio al meccanismo dell’accountability – è rimessa al titolare l’intera responsabilità.
estremamente illuminante e direi definitivo (anche come risposta alla domanda che avevo posto tempo fa nella sezione “questions” di questo stesso sito).
https://blog.europrivacy.org/it/question/data-which-are-manifestly-made-public/