“DATI PERSONALI RESI MANIFESTAMENTE PUBBLICI DALL’INTERESSATO” E USO DI DATI PUBBLICATI SU SOCIAL NETWORK: PRIME OSSERVAZIONI ALL’ART. 9, co. 2, lett. e) GDPR [PRIMA PARTE]

di | 31 October 2016

L’art. 9 del GDPR, rubricato “Trattamento di categorie particolari di dati personali”, dopo avere affermato il principio per cui “1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”, al comma 2 precisa alcune eccezioni a tale divieto, tra le quali – alla lettera e) – annovera il caso del trattamento che “riguarda dati personali resi manifestamente pubblici dall’interessato”.

Questa eccezione suscita dubbi interpretativi con riferimento alla definizione della sua esatta portata, soprattutto se si pone l’attenzione all’importante fenomeno della massa indistinta di informazioni personali che vengono quotidianamente riversate sui social network.

Per una sua valutazione mi pare opportuno innanzitutto riprendere l’accezione tradizionalmente acquisita dall’espressione “pubblico” nell’esperienza interpretativa ed applicativa del Codice Privacy italiano.

Una prima circostanza in cui il nostro ordinamento utilizza il concetto di dato personale reso “pubblico” è quella espressa dalla scriminante del consenso relativa al trattamento di dati – ordinari – contenuti in “pubblici registri, elenchi, atti o documenti conoscibili da chiunque”, di cui all’art. 24, co. 1, lett. c) del Codice Privacy

Con riferimento alla sua applicazione, ricordo che il Garante già nel provvedimento dell’11 gennaio 2001 (“Comunicazione politica, e-mail, atti e documenti pubblici conoscibili da chiunque”, pubblicato in Bollettino “Cittadini e società dell’informazione” n. 16, pag. 39) aveva chiarito che la previsione di cui all’art. 24, co. 1, lett. c) del Codice Privacy: “si riferisce non a qualunque dato personale che sia di fatto consultabile da una pluralità di persone, ma ai soli dati personali che oltre ad essere desunti da registri, elenchi, atti o documenti “pubblici” (…) siano sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque, regime che può peraltro prevedere modalità o limiti temporali (…)”: ossia, in questo contesto, per la legittimità dell’uso del dato personale non basta la sua presenza su fonti di fatto liberamente accessibili, ma è necessario anche che le finalità di tale uso siano compatibili con quelle che ne giustificano la presenza sulla fonte, appunto, di fatto pubblica.

Conseguenza di questo principio è – per esempio – l’annosa giurisprudenza del Garante che nega l’uso di dati personali tratti dagli albi professionali per finalità non direttamente funzionali a quelle poste alla base di tale inserimento, così come la tradizionale affermazione del principio per cui il fatto che un indirizzo e-mail sia conoscibile da parte di chiunque perché riportato sulla rete Internet non autorizza i terzi all’invio indiscriminato di messaggi pubblicitari, dovendosi avere invece riguardo, nell’individuare gli utilizzi consentiti, alle specifiche finalità cui nella concreta fattispecie è preordinata la pubblicità dell’indirizzo elettronico (ad esempio, gli elenchi di indirizzi dei professori pubblicati dai siti web delle Università sono utilizzabili sono per contatti legati alla loro attività istituzionale).

Naturalmente questo regime si applica a prescindere dal fatto che i dati personali siano contenuti in “pubblici registri, elenchi, atti o documenti conoscibili da chiunque” perché inseriti da terzi o dal medesimo interessato, come accade nei social network: proprio a proposito del riutilizzo delle informazioni personali pubblicate su profili social, si ricorda che le “Linee guida in materia di attività promozionale e contrasto allo spam” del 4.7.2013 (doc. web 2542348, par. 6.1) hanno affermato l’illegittimità dell’invio di un “messaggio promozionale relativo a uno specifico prodotto o servizio da un’impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto “, sulla base della considerazione che “l’agevole rintracciabilità di dati personali in Internet (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poter utilizzare tali dati per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari”.

L’applicazione della scriminante di cui all’art. 24, co. 1, lett. c) del Codice Privacy si basa dunque sulla prevalenza del principio di finalità (art. 11, co. 1, lett. b) e d) Codice Privacy), in base al quale i dati possono essere raccolti e registrati per scopi determinati, espliciti e legittimi e possono essere utilizzati in altri trattamenti in termini compatibili con tali scopi.

Un caso in cui il Codice Privacy si riferisce specificamente a dati personali resi “pubblici” è quello dei “dati personali relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico” nel contesto delle finalità giornalistiche o di altre manifestazioni del pensiero (anche artistiche), come risulta dal combinato disposto degli artt. 137 comma 3 e 136 Cod. Privacy.

Come noto, in questo specifico contesto la comunicazione e diffusione di dati personali anche sensibili resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico” (e dunque anche le informazioni postate sui social network) è consentita non solo senza consenso dell’interessato ed autorizzazione del Garante, e addirittura senza obbligo di fornire la preventiva informativa, ma anche a prescindere dagli specifici limiti che l’ordinamento invece generalmente prevede per l’esercizio del diritto di cronaca: in primis l’attualità e rilevanza per l’interesse pubblico dell’informazione oggetto di trattamento (sul punto vi è costante giurisprudenza del Garante sin dal 1999: cfr. Provv. “Privacy e informazione” – 18.10.1999: “Non c’è violazione della privacy né del codice deontologico dei giornalisti se le informazioni sono rese note direttamente dagli interessati o attraverso il loro comportamento in pubblico”; Provv. “Non viola la privacy pubblicare dati resi noti direttamente dall’interessato” – 28.10 1999: “Non viola i limiti al diritto di cronaca posti a tutela della privacy la diffusione su di un organo di stampa di circostanze, notizie e dati già resi noti dall’interessato attraverso “lettere aperte” inviate ad una pluralità indeterminata di soggetti”).

Restano invece, quali necessarie circostanze legittimanti il trattamento, il rispetto dei principi generali di correttezza, pertinenza e non eccedenza e la sostanziale aderenza delle informazioni riportate a quelle già rese pubbliche dall’interessato stesso.

Sono infine sempre salvi, in relazione a tali trattamenti, il diritto di addurre successivamente motivi legittimi di opposizione meritevoli di tutela (art. 5, comma 2, del Codice di deontologia per l’attività giornalistica), così come i diritti di opposizione in base all’art. 7 Cod. Privacy.

Questo regime estremamente agevolato di trattamento è volto a garantire la libertà dell’informazione (cfr. ex multis Provv. 30.12.2011 – doc. web n. 1873945), pur nel necessario bilanciamento con i diritti fondamentali della persona (cfr. i Codici di deontologia per l’attività giornalistica e per i trattamenti di dati personali per scopi storici, rispettivamente Allegati 1 e 2 al Cod. Privacy).

Volendo riassumere, si può dire che nel sistema attuale il riutilizzo (da parte dei privati, perché il “riutilizzo” delle informazioni nel contesto di attività della pubblica Amministrazione è tema diverso e complesso, che non può essere affrontato in questa sede) delle informazioni personali “pubblicamente accessibili” (ai sensi degli articoli del Codice Privacy citati) è consentito a prescindere da un consenso informato dell’interessato:

  1. in generale, quanto ai dati “ordinari”, nei limiti del principio di finalità, e pertanto per usi con finalità coerenti con quelle che ne hanno causato la “pubblicazione”;
  2. in via di particolare eccezione, invece – estensibile anche ai dati sensibili –, per casi in cui la legge ne individui la possibilità nel contesto del bilanciamento tra diritti fondamentali, alle condizioni ivi specificamente dedotte.

(segue)

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.