GDPR: il trattamento dei dati personali “manifestamente pubblici”

Read 6 min
Un dato personale è considerato pubblico quando è conoscibile da chiunque perché contenuto in registri, elenchi, atti o documenti pubblici o perché reso noto direttamente dall’interessato, anche attraverso un proprio comportamento.
A titolo esemplificativo, si basti pensare ad un albo professionale o, più banalmente, a tutte le informazioni personali, anche sensibili, fornite sui social network dagli utenti stessi.
La notorietà di un dato è sufficiente per autorizzarne il trattamento?

Innanzitutto, il trattamento di dati personali deve avvenire nel rispetto dei principi di cui all’art. 5 del GDPR, in particolare:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Il titolare del trattamento dovrà, inoltre, ai sensi dell’art. 24 del Regolamento Ue 2016/679adottare tutte le misure tecniche ed organizzative adeguate a garantire e dimostrare che il trattamento sia effettuato nel rispetto dei suddetti principi (cd. principio di accountability o “responsabilizzazione”).

La base giuridica del trattamento

La natura “pubblica” di una informazione o il fatto che un dato sia reso noto dall’interessato non dispensa il suo trattamento dall’essere conforme a tali principi né esclude che debba essere giustificato da una base giuridica, come disposto dalla normativa sulla privacy.

La base giuridica è ciò che autorizza legalmente il trattamento, pertanto il titolare dovrà, prima di iniziarlo, compiere una valutazione in punto alla base legale più confacente al caso concreto. Questa valutazione tuttavia non è discrezionale ma deve obbedire a specifici criteri indicati nel regolamento europeo.

L’art. 6 GDPR individua, senza porle in gerarchia tra di loro, le seguenti condizioni di liceità del trattamento:

  • consenso;
  • adempimento obblighi contrattuali;
  • interessi vitali della persona interessata o di terzi;
  • obblighi di legge cui è soggetto il titolare;
  • interesse pubblico o esercizio di pubblici poteri;
  • interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Pertanto, nell’ipotesi in cui i dati personali siano pubblici perché reperibili in albi professionali la base giuridica del trattamento potrà rinvenirsi nell’adempimento di un obbligo legale cui è soggetto il Titolare del trattamento.

Diversamente, nel caso in cui i dati personali siano resi pubblici su social network in quel caso il trattamento, se necessario all’esecuzione del contratto di servizio, potrà essere giustificato dalla stessa iscrizione alla piattaforma. Quanto ai post ed alle fotografie pubblicate a seguito della registrazione la base giuridica sarà il consenso, da intendersi quale comportamento attivo inequivocabile.

Per quanto riguarda i “dati particolari” (in passato denominati “dati sensibili”) ovvero quei dati in grado di rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, il trattamento è consentito solo nei casi individuati al secondo comma dell’art. 9 GDPR, qui riportati sinteticamente:

  • l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
  • il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
  • il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
  • il trattamento è necessario per uno dei seguenti scopi:
    • per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
    • per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
    • per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
    • per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
    • per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
    • per motivi di interesse pubblico nel settore della sanità pubblica;
    • per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Delle suesposte ipotesi di deroga quella che richiama l’attenzione e desta qualche perplessità è senza dubbio l’eventualità in cui sia lo stesso interessato a rendere “manifestamente pubblici” i propri dati.

A ben vedere, il comportamento di pubblicare una propria informazione (anche rientrante nelle categorie particolari) è una manifestazione indiretta di volontà: l’atto concludente con il quale l’interessato rende pubblico un dato (es. pubblicando un post su Facebook) potrebbe rappresentare la base giuridica al trattamento del medesimo dato.

Il consenso infatti, secondo la definizione fornita dal GDPR, è identificato come “qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato con la quale manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile. (art. 4, n.11, GDPR).

Da tale definizione emerge tuttavia che il consenso (anche tacito), perché si possa considerare validamente prestato, deve essere specifico ed informato.

Il consenso dovrà quindi essere rilasciato per una finalità specifica e ben individuata, in merito alla quale l’interessato dovrà esserne preventivamente informato.

La finalità del trattamento

Anche quando i dati sono resi manifestamente pubblici dallo stesso interessato non si sottraggono al principi del trattamentodi cui all’art. 5 GDPR, più specificamente a quello di limitazione della finalità del trattamento.

Il dato, seppur accessibile, non può essere trattato liberamente ma solo per le finalità determinate, esplicite e legittime del trattamento individuate dal Titolare del trattamento ed oggetto dell’informativa di cui all’art. 13 GDPR.

Il consenso tacito al trattamento rilasciato mediante la pubblicazione di un post su un social network deve intendersi riferito alle sole finalità di interazione e contatto tipiche di queste piattaforme, e non anche ad altre finalità per es. di marketing, spam, etc.

Alla stregua di quanto detto talidati personali potranno essere trattati per le sole finalità per le quali il medesimo interessato li ha resi pubblici, ogni trattamento per finalità diverse ed ulteriori a quelle tipiche del trattamento originario verrà considerato illecito.

Il Garante della Privacy era intervenuto già in diverse occasione prima del GDPR ribadendo che la disponibilità dei dati online non legittima il trattamento arbitrario per qualsiasi finalità (es. quelle promozionali).

In tal senso si vedano anche le seguenti fonti: Provvedimento del Garante “Invio di e-mail promozionali senza il consenso” del 21.09.2017; Provvedimento del Garante “Spamming: Regole per un correto uso dei sistemi automatizzati e l’invio di comunicazioni elettroniche” del 29.5.2003 per un ; Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013.

In ogni caso, a seguito dell’entrata in vigore del GDPR e della modifica del Codice Privacy operata dal D.Lgs. 101/2018 l’art. 129 prevede che per i dati personali presenti in elenchi cartacei o elettronici (quelli telefonici) a disposizione del pubblico accessibili il trattamento per finalità diverse da quelle per le quali sono preordinati (ovvero finalità di pubblicità, vendita, ricerche di mercato e comunicazioni commerciali) debba essere giustificato sempre da un consenso espresso e specifico dell’interessato.

Analogamente per l´uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (art. 130 Codice Privacy) e si estende anche alle comunicazioni elettroniche mediante posta elettronica, telefax, messaggi del tipo Mms o Sms o di altro tipo.

Una deroga al consenso preventivo è prevista per tutti quei casi in cui le comunicazioni per le finalità di cui sopra siano eseguite con mezzi diversi da quelli indicati dalle norme citate, secondo i principi generali di cui agli artt. 6 e 7 GDPR, salvo il diritto all’inserimento nel Registro pubblico delle opposizioni.

Il trattamento per fini giornalistici

Un caso particolare di trattamento di dati personali pubblici riguardo quello per finalità giornalistiche e altre manifestazioni del pensiero ex art. 136 e ss. Codice Privacy.

Quando un dato personale, anche non comune (ovvero quelli individuati agli artt. 9-10 GDPR), è pubblico può essere trattato anche senza il consenso dell’interessato, purché nel rispetto delle regole deontologiche relative ad attività giornalistiche, per le finalità di cui all’art. 136 Codice Privacy. Il trattamento dovrà quindi essere: ”

a) effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità;

b) effettuato dai soggetti iscritti nell’elenco dei pubblicisti o nel registro dei praticanti di cui agli articoli 26 e 33 della legge 3 febbraio 1963, n. 69;

c) finalizzato esclusivamente alla pubblicazione o diffusione anche occasionale di articoli, saggi e altre manifestazioni del pensiero anche nell’espressione accademica, artistica e letteraria.”

In conclusione, fatte salve le eccezioni poc’anzi trattate, il trattamento dei dati personali, sia comuni che particolari, resi manifestamente pubblici dall’interessato, anche tramite social network, potrà considerarsi lecito solo in presenza di una delle condizioni di liceità di cui all’art. 6 GDPR.

L’erronea convinzione che l’accessibilità di un dato ne autorizzi il trattamento è foriera di gravi conseguenze.

La facilità con cui è possibile reperire una informazione oggigiorno – peculiarità principalmente connessa con il bisogno insano di condividere tutto sui social – non costituisce il presupposto per l’utilizzo di un dato personale altrui.

VP

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *