Eccezione per trattamenti a fini personali nel RGPD

Il Codice della privacy non si applica ai trattamenti effettuati per scopo personale o domestico. Anche il Regolamento Generale sulla Protezione dei Dati contiene un’eccezione analoga, tuttavia i due ambiti di (dis)applicazione non appaiono del tutto sovrapponibili, soprattutto alla luce dei considerata che preludono alle disposizioni regolamentari.

Eccezione delineata dall’articolo 5 del Codice della privacy

Al comma 3, l’articolo 5 D. Lgs. 196/03 dispone che “Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.”

Significa, in concreto, che quando i trattamenti sono effettuati per scopi personali o domestici, ma sono destinati alla diffusione o alla comunicazione sistematica, come, ad esempio, se verranno pubblicati sul web, allora l’eccezione non opera e si applica il codice della privacy (anche con le mitigazioni previste per la manifestazione del pensiero o l’espressione artistica, se del caso). Si noti come alcune norme, in particolare quelle relative alle misure di sicurezza e quelle relative al risarcimento danni, trovino sempre applicazione, indipendentemente dallo scopo domestico o familiare nel quale si inscrive il trattamento.

Quindi, anche se pubblichiamo le foto dei nostri amici sui social network, poiché siamo di fronte alla diffusione dei dati personali che li riguardano, dobbiamo applicare il Codice della privacy, con particolare riguardo agli aspetti che disciplinano informativa e consenso.

E dato che il trattamento senza consenso è sanzionato sia sotto il profilo amministrativo che sotto quello penale (seppure a specifiche ulteriori condizioni), il trattamento illecito dei dati ha costituito spesso l’unico baluardo offerto dall’ordinamento contro la diffusione di dati personali sul web, sia che si fosse in presenza di numeri di telefono, sia che si fosse in presenza di fotografie o video, o, addirittura, di provvedimenti giudiziari.

Cosa cambia con il Regolamento europeo

Il Regolamento 679/2016 prevede, alla lettera c) del primo comma dell’articolo 2 “Ambito di applicazione materiale”  che il Regolamento stesso non si applichi ai trattamenti di dati personali:

“(…) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;”. Come si vede l’ambito di eccezione non è delimitato da trattamenti che comportino diffusione o comunicazione sistematica. Si tratta di una apertura del tessuto normativo molto più ampia di quella incisa nel Codice della privacy, ma si tratta anche di una formulazione non del tutto nuova, che ricalca quella utilizzata dal legislatore già nella Direttiva 95/46/CE.

Solo che al tempo della emanazione della Direttiva 95/46/CE l’uso di Internet non era così pervasivo e la diffusione capillare dei social network non era nemmeno immaginata.

Il problema dell’estensione al web dell’eccezione per attività di carattere esclusivamente personale e familiare si era posto, tuttavia, nel corso del tempo, ed era giunto sino al vaglio della Corte di Giustizia: nella sentenza resa nella Causa C-101/01 (Bodil Lindqvist), nel 2003, la Corte di Giustizia aveva escluso che il trattamento di dati personali operato sul web potesse essere ricondotto al perimetro di eccezione delineato per le attività esclusivamente personali e familiari, dato che, da un lato, la Direttiva non aveva prescrizioni specifiche per i trattamenti operati sul web, dall’altro  “il dodicesimo ‘considerando’ di questa, relativo a tale eccezione, menziona, a titolo di esempio di trattamento di dati effettuato da una persona fisica nell’esercizio di attività a carattere esclusivamente personale o domestico, la corrispondenza e la compilazione di elenchi di indirizzi.

Tale eccezione deve quindi interpretarsi nel senso che comprende unicamente le attività che rientrano nell’ambito della vita privata o familiare dei singoli, il che manifestamente non avviene nel caso del trattamento di dati personali consistente nella loro pubblicazione su Internet in modo da rendere tali dati accessibili ad un numero indefinito di persone.”.

L’interpretazione restrittiva dell’ambito di operatività dell’eccezione delle attività familiari e personali è stata successivamente ribadita dalla Corte di Giustizia nella sentenza resa nella causa C‑212/13 (Ryneš), seppure in tema di videosorveglianza.

Tuttavia nonostante il dettato normativo della Direttiva e quello del recente regolamento siano speculari, non è così per i considerata. E se la chiave di lettura per definire la portata dell’eccezione si trae dalle considerazioni espresse dal legislatore europeo, ha senso  tornare a chiedersi se la diffusione sul web di dati personali possa considerarsi attività che rientra nell’eccezione sopra riferita quando sia mossa da fini non professionali o commerciali, ma personali o familiari (attenzione: fini esclusivamente personali o familiari, quindi né professionali o commerciali, né “misti”: ove dei social network fosse fatto un impiego professionale o “misto” l’eccezione non opererebbe).

Al considerando n. 18 si legge infatti: “Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività”.

Il legislatore, pertanto, ha inteso ampliare sensibilmente il campo dell’eccezione e non solo: prosegue infatti il considerando 18: “Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”.

La portata di quest’ultimo inciso pare spostare le responsabilità sui provider dei servizi di comunicazione.

L’intenzione del legislatore era, probabilmente, liberare i privati dalle pastoie e dagli oneri del Regolamento, al fine di rendere più facile la condivisione dei dati personali, ove riferiti ad attività prettamente “familiari o personali”, e agevolare la libertà di esprimersi e comunicare delle persone fisiche, assumendo che la normativa sulla protezione dei dati non ha il compito di reprimere ogni abuso perpetrato sul web, né potrebbe, e spetterebbe ad altri rami dell’ordinamento approntare la necessaria tutela contro comportamenti dannosi o, comunque, lesivi del corpo digitale altrui.

Tuttavia, la buona intenzione che pure si legge tra le righe (e nei lavori preparatori) rischia di innescare un devastante ritorno di fiamma, spostando sul provider il controllo, in prima battuta, sulle pubblicazioni degli utenti, e addossandogli responsabilità delle quali non è detto che gli convenga farsi carico.

Senza contare la peculiare soluzione italiana, che domanda una ricognizione e un ripensamento delle fattispecie oggi ricondotte al trattamento illecito.

Ho già parlato del rapporto tra la normativa sulla protezione dei dati personali e la responsabilità del provider delineata dalla direttiva e-commerce, e non mi ripeterò, ma certamente il considerando 18 del Regolamento generale sulla protezione dei dati aggiunge benzina sul fuoco, profilando una responsabilità del provider (che fornisca i mezzi per trattare dati personali) del tutto peculiare, seppure circoscritta alla materia della protezione dei dati. Come potrà il provider essere responsabile per le attività di carattere personale e domestico che non ricadono nell’ambito di applicazione del Regolamento stesso? Verso chi sarà responsabile? L’inciso si presta a molteplici letture: spetterà al provider garantire il diritto all’oblio, la correttezza, l’esattezza e l’aggiornamento dei dati trattati?

Come si coordinerà tale previsione con la libertà di espressione, la cui regolazione e il cui bilanciamento con la normativa posta a tutela dei dati personali resta prerogativa dei singoli Stati membri?

Che margine di azione avrà il legislatore nazionale per correggere le eventuali storture a cui potrebbe prestarsi il considerando 18 del Regolamento sulla protezione dei dati? E, davvero, si riuscirà a trovare un bilanciamento efficace tra l’esigenza di tutela da apprestare agli interessati, nel caso di diffusione dei loro dati sul web che ricada nell’ambito di eccezione dell’attività personale e familiare, e l’esigenza di non forzare la responsabilità del provider, per salvaguardare la libertà di espressione, e, non ultima, la libertà e il diritto di informazione?

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Blog e segreto sulla fonte della notizia
09/05/2017