Quando un dato personale si può considerare pubblico? E come vanno trattati i dati che pubblichiamo di nostra sponte sui social network? Vediamo cosa dice il Gdpr e quali sono i limiti della finalità del trattamento fissati anche dal Garante nell’ambito della tutela della cosiddetta “social privacy”.
I dati personali resi pubblici
I dati personali possono essere resi pubblici dall’interessato e tale circostanza ne autorizza di per sé il trattamento, anche in caso di dato personale cosiddetto particolare (che rivela ai sensi dell’art. 9 GDPR l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici, biometrici, dati relativi alla salute, alla vita oppure orientamento sessuale).
Il trattamento dei dati personali resi accessibili acquista particolare rilievo rispetto al tema delle pubblicazioni su social network, quali piattaforme telematiche sulle quali il dato non solo circola ma può essere anche estratto, diffuso, raffrontato per altro trattamento con finalità diverse ed ulteriori, quale il marketing.
Il dato personale si considera reso pubblico quando esso è conoscibile da chiunque perché contenuto in registri, elenchi, atti o documenti pubblici o, altrimenti, perché reso noto direttamente dall’interessato, anche attraverso il proprio comportamento in pubblico.
Nella prima ipotesi, quindi, sarà la mera presenza del dato nel documento con valenza pubblica a renderlo conoscibile a chiunque, mentre, nella seconda, la notorietà deriverà da un comportamento dell’interessato che, appunto, decide di condividere l’informazione che lo riguarda (si pensi ad un post che l’interessato carica sul proprio profilo Facebook). Ne deriva che la valenza pubblica del dato può scaturire dal trattamento che ne viene fatto (inserimento e consultazione di documento pubblico per legge) o, viceversa, consistere nella scelta dell’interessato di condividere l’informazione (caricamento della foto sul social-network).
La base giuridica del trattamento
Il trattamento dei dati personali resi manifestatamente pubblici dall’interessato non sfugge al principio di liceità del trattamento ex art. 6 GDPR e, più specificatamente:
- nell’ipotesi di dati personali pubblici “funzionali” la base giuridica del trattamento potrà rinvenirsi nell’adempimento di un obbligo legale cui è soggetto il Titolare del trattamento ai sensi dell’art. 6, par. 1, lett. c (si pensi agli albi professionali);
- nell’ipotesi di dati personali pubblici “non funzionali” il trattamento può avvenire, all’inizio, se necessario all’esecuzione del contratto di servizio ai sensi dell’art. par. 1, lett. b, (per esempio quando ci si iscrive al social-network) e, successivamente, per consenso espresso o comportamento dell’interessato (per esempio ogni post o foto inseriti sul social network) rispetto alla finalità.
Deve evidenziarsi, infatti, che anche laddove l’art. 9, par. 2, lett. e, GDPR rende lecito il trattamento di dati personali particolari se resi pubblici dall’interessato, la base giuridica del trattamento è, indirettamente, proprio il consenso che l’interessato esercita con atto concludente quando rende noto il proprio dato personale. In tal senso l’art. 4, n.11, identifica il consenso come qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato con la quale manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile.
Ne consegue che richiedere di condividere dati su un social network costituisce indubbio consenso a rendere pubblicamente accessibili quelle informazioni, ovviamente nei limiti delle finalità cui il trattamento è teso.
Ecco che, sotto tale ultimo aspetto, l’informativa che il Titolare del trattamento deve rendere ai sensi dell’art. 13 GDPR non costituisce solo un diritto astratto dell’interessato ma, piuttosto, uno strumento essenziale di formazione del consenso informato e libero ed il confine della liceità del trattamento rispetto alle finalità che vi devono essere specificate.
Il limite della finalità del trattamento
Il trattamento dei dati personali resi manifestamente pubblici è strettamente connesso al principio di limitazione delle finalità del loro trattamento di cui all’art. 5, par. 1, lett b, GDPR, poiché soprattutto il consenso (dichiarato o attuato) al trattamento del dato personale accessibile può riferirsi solo agli scopi determinati, espliciti, legittimi e compatibili la sua pubblicizzazione (per esempio la finalità di interazione e contatto fra utenti di social-network).
In altri termini, il consenso al trattamento di propri dati personali tramite inserimento ed interazione su piattaforme telematiche di contatto deve intendersi inerente alle funzioni tipiche del social network e non anche a finalità ulteriori, quali spam e marketing.
Un caso di riferimento è, infatti, quello deciso già prima del GDPR dal Garante per la protezione dei dati personali il 21.09.2017 (doc. web 7221917) in tema di email promozionali con il quale veniva dichiarato illecito il trattamento di dati personali (indirizzi di posta elettronica) acquisiti tramite Linkedin e Facebook e, in assenza di specifico consenso, utilizzati per l’invio di numerose comunicazioni promozionali. In tale pronuncia l’Autorità ribadisce, infatti, che la disponibilità on line dei dati non legittima il trattamento per qualsiasi finalità (quali quelle promozionali) ulteriori a quelle sottese alla loro pubblicazione (in tal senso vedasi il provvedimento generale sullo spamming del 29 maggio 2003, doc. web n. 29840; Linee Guida in materia di attività promozionale del 4 luglio 2013; provvedimento 6 ottobre 2016; provvedimento 24 maggio 2017, n. 248, doc. web n.6502780; parere n. 1/2000 del Gruppo europeo delle Autorità garanti per la protezione dei dati in tema di reti e di commercio elettronico, doc. web n.434615, ove si rileva che la rinvenibilità di un indirizzo e-mail in uno spazio pubblico di Internet non legittima di per sé l’uso libero dello stesso per mailing).
Infatti, la tutela della cosiddetta social privacy risulta oggetto anche di svariati altri interventi del Garante per la protezione dei dati personali già prima del GDPR tramite la campagna informativa del 2013 ed il vademecum “Social Privacy – Come tutelarsi nel’era dei social network” [doc. web. n. 3140059].
A seguito dell’entrata in vigore del GDPR e della modifica del Codice Privacy dal D. Lgs. n.101/2018, è previsto oggi che il trattamento di dati accessibili per finalità di promozione commerciale deve presupporre il consenso specifico dell’interessato.
Il nuovo art. 129 del Codice Privacy impone, infatti, che i dati personali presenti in elenchi cartacei o elettronici a disposizione del pubblico (quali quelli telefonici) devono essere oggetto di consenso espresso e specifico dell’interessato al loro trattamento per scopi pubblicitari o commerciali (poiché finalità ulteriori a quella tipica di mera ricerca per comunicazioni interpersonali cui è volto l’elenco). Ulteriormente il successivo art. 130 del Codice Privacy indica la regola generale per cui “l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata, senza l’intervento di operatore, per scopi di pubblicità, vendita o ricerche di mercato e comunicazione commerciale è lecito con il consenso del contraente o utente”, con estensione della citata condizione di liceità anche alle comunicazioni mediante posta elettronica, telefax, MMS ed SMS o di altro tipo. Negli altri casi, le comunicazioni per le finalità di cui sopra ma eseguite con mezzi diversi da quelli indicati, sono consentite secondo i principi generali di cui agli artt. 6 e 7 GDPR, salvo il diritto all’inserimento nel Registro pubblico delle opposizioni.
Ipotesi eccezionali di liceità del trattamento dei dati personali previsti dal nuovo Codice Privacy in deroga al consenso preventivo sono:
- impiego del telefono e posta cartacea per invio con finalità pubblicitaria, di ricerche di mercato o di comunicazioni commerciali nei confronti di chi non abbia esercitato il diritto di opposizione mediante iscrizione della numerazione di cui è intestatario e degli altri dati personali nel Registro pubblico delle opposizioni (art. 130, comma 3-bis);
- uso dell’indirizzo di posta elettronica per vendita diretta di propri prodotti e servizi qualora il dato/indirizzo email sia stato originariamente fornito dall’interessato per le medesime finalità, purché si tratti di servizi analoghi e l’interessato sia adeguatamente informato e non rifiuti tale uso e, al momento della raccolta del dato ed invio della comunicazione commerciale, sia informato della possibilità di opporsi ogni momento al trattamento, in maniera agevole e gratuita (art. 130, comma 4).
Collegato al principio della finalità del trattamento è, infine, quello di minimizzazione di cui all’art. 5, par. 1, lett. c, GDPR a tenore del quale “i dati sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Ne consegue che lo scopo determina la liceità del trattamento non solo dall’esterno (riguardo a finalità distinte ed ulteriori) ma anche al suo interno, potendo far riferimento solo a quelle informazioni minime effettivamente necessarie al suo raggiungimento.
Caso particolare del trattamento dei dati resi accessibili, anche tramite comportamenti dell’interessato o per le sue qualità soggettive (si pensi a persone di rilevanza pubblica), va rilevato che esso può avvenire per finalità giornalistiche e di informazione disciplinate dall’art. 137 del nuovo Codice Privacy. Tale trattamento è lecito anche senza consenso (anche per i dati particolari e giudiziari ex artt. 9 e 10 GDPR) purché attuato
- da esercenti la professione giornalistica, per il perseguimento delle relative finalità e nel rispetto delle Regole deontologiche (provvedimento del Garante del 29.11.2018, pubblicate in GU il 4.01.2019, n.3, doc. web n. 9067692)
- nei limiti del diritto di cronaca, dell’essenzialità dell’informazione ed in bilanciamento con la tutela dei diritti e libertà delle persone fisiche (art. 1, par. 2, GDPR) con particolare riferimento all’essenzialità dell’informazione rispetto all’interesse pubblico
Conclusioni
Il trattamento dei dati personali sia comuni sia particolari ai sensi dell’art. 9, par. 1, lettera e, GDPR resi manifestatamente pubblici dall’interessato anche tramite social network deve intendersi legittimo se fondato su una delle condizioni di liceità dell’art. 6 GDPR, fra le quali deve attribuirsi particolare rilievo al consenso dell’interessato.
Ne consegue che l’accessibilità del dato costituisce solo una sua caratteristica ma mai il presupposto giuridico che ne autorizzi qualunque trattamento.
A ciò si aggiunga che la condizione di liceità sarà ulteriormente limitata dai principi genali del GDPR di:
- limitazione delle finalità: il dato accessibile non può essere trattato liberamente ma solo per le finalità determinate, esplicite e legittime del trattamento individuate dal Titolare del trattamento ed oggetto dell’informativa di cui all’art. 13 GDPR che, appunto, rende consapevole l’interessato nel mettere in pubblico il proprio dato. Da qui l’illiceità dei trattamenti (da parte del Titolare del trattamento o terzi) di dati pubblici ma volti a finalità diverse ed ulteriori a quelle tipiche del trattamento originario.
- minimizzazione: all’interno della medesima finalità di trattamento il dato accessibile è soggetto agli ulteriori criteri di adeguatezza, pertinenza e limitazione rispetto allo scopo da raggiungere. Conseguentemente il trattamento non può eccedere il contenuto di dati ulteriori non indispensabili.
- esattezza: il trattamento del dato accessibile deve essere aderente alle informazioni rese pubbliche dall’interessato stesso al fine di tutelarne la veridicità anche da alterazioni o manipolazioni che ne possano distorcere il contenuto.