L’art. 9 del GDPR, rubricato “Trattamento di categorie particolari di dati personali”, dopo avere affermato il principio per cui “1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”, al comma 2 precisa alcune eccezioni a tale divieto, tra le quali – alla lettera e) – annovera il caso del trattamento che “riguarda dati personali resi manifestamente pubblici dall’interessato”.
Questa eccezione suscita dubbi interpretativi con riferimento alla definizione della sua esatta portata, soprattutto se si pone l’attenzione all’importante fenomeno della massa indistinta di informazioni personali che vengono quotidianamente riversate sui social network.
Per una sua valutazione mi pare opportuno innanzitutto riprendere l’accezione tradizionalmente acquisita dall’espressione “pubblico” nell’esperienza interpretativa ed applicativa del Codice Privacy italiano.
Una prima circostanza in cui il nostro ordinamento utilizza il concetto di dato personale reso “pubblico” è quella espressa dalla scriminante del consenso relativa al trattamento di dati – ordinari – contenuti in “pubblici registri, elenchi, atti o documenti conoscibili da chiunque”, di cui all’art. 24, co. 1, lett. c) del Codice Privacy
Con riferimento alla sua applicazione, ricordo che il Garante già nel provvedimento dell’11 gennaio 2001 (“Comunicazione politica, e-mail, atti e documenti pubblici conoscibili da chiunque”, pubblicato in Bollettino “Cittadini e società dell’informazione” n. 16, pag. 39) aveva chiarito che la previsione di cui all’art. 24, co. 1, lett. c) del Codice Privacy: “si riferisce non a qualunque dato personale che sia di fatto consultabile da una pluralità di persone, ma ai soli dati personali che oltre ad essere desunti da registri, elenchi, atti o documenti “pubblici” (…) siano sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque, regime che può peraltro prevedere modalità o limiti temporali (…)”: ossia, in questo contesto, per la legittimità dell’uso del dato personale non basta la sua presenza su fonti di fatto liberamente accessibili, ma è necessario anche che le finalità di tale uso siano compatibili con quelle che ne giustificano la presenza sulla fonte, appunto, di fatto pubblica.
Conseguenza di questo principio è – per esempio – l’annosa giurisprudenza del Garante che nega l’uso di dati personali tratti dagli albi professionali per finalità non direttamente funzionali a quelle poste alla base di tale inserimento, così come la tradizionale affermazione del principio per cui il fatto che un indirizzo e-mail sia conoscibile da parte di chiunque perché riportato sulla rete Internet non autorizza i terzi all’invio indiscriminato di messaggi pubblicitari, dovendosi avere invece riguardo, nell’individuare gli utilizzi consentiti, alle specifiche finalità cui nella concreta fattispecie è preordinata la pubblicità dell’indirizzo elettronico (ad esempio, gli elenchi di indirizzi dei professori pubblicati dai siti web delle Università sono utilizzabili sono per contatti legati alla loro attività istituzionale).
Naturalmente questo regime si applica a prescindere dal fatto che i dati personali siano contenuti in “pubblici registri, elenchi, atti o documenti conoscibili da chiunque” perché inseriti da terzi o dal medesimo interessato, come accade nei social network: proprio a proposito del riutilizzo delle informazioni personali pubblicate su profili social, si ricorda che le “Linee guida in materia di attività promozionale e contrasto allo spam” del 4.7.2013 (doc. web 2542348, par. 6.1) hanno affermato l’illegittimità dell’invio di un “messaggio promozionale relativo a uno specifico prodotto o servizio da un’impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto “, sulla base della considerazione che “l’agevole rintracciabilità di dati personali in Internet (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poter utilizzare tali dati per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari”.
L’applicazione della scriminante di cui all’art. 24, co. 1, lett. c) del Codice Privacy si basa dunque sulla prevalenza del principio di finalità (art. 11, co. 1, lett. b) e d) Codice Privacy), in base al quale i dati possono essere raccolti e registrati per scopi determinati, espliciti e legittimi e possono essere utilizzati in altri trattamenti in termini compatibili con tali scopi.
Un caso in cui il Codice Privacy si riferisce specificamente a dati personali resi “pubblici” è quello dei “dati personali relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico” nel contesto delle finalità giornalistiche o di altre manifestazioni del pensiero (anche artistiche), come risulta dal combinato disposto degli artt. 137 comma 3 e 136 Cod. Privacy.
Come noto, in questo specifico contesto la comunicazione e diffusione di dati personali anche sensibili “resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico” (e dunque anche le informazioni postate sui social network) è consentita non solo senza consenso dell’interessato ed autorizzazione del Garante, e addirittura senza obbligo di fornire la preventiva informativa, ma anche a prescindere dagli specifici limiti che l’ordinamento invece generalmente prevede per l’esercizio del diritto di cronaca: in primis l’attualità e rilevanza per l’interesse pubblico dell’informazione oggetto di trattamento (sul punto vi è costante giurisprudenza del Garante sin dal 1999: cfr. Provv. “Privacy e informazione” – 18.10.1999: “Non c’è violazione della privacy né del codice deontologico dei giornalisti se le informazioni sono rese note direttamente dagli interessati o attraverso il loro comportamento in pubblico”; Provv. “Non viola la privacy pubblicare dati resi noti direttamente dall’interessato” – 28.10 1999: “Non viola i limiti al diritto di cronaca posti a tutela della privacy la diffusione su di un organo di stampa di circostanze, notizie e dati già resi noti dall’interessato attraverso “lettere aperte” inviate ad una pluralità indeterminata di soggetti”).
Restano invece, quali necessarie circostanze legittimanti il trattamento, il rispetto dei principi generali di correttezza, pertinenza e non eccedenza e la sostanziale aderenza delle informazioni riportate a quelle già rese pubbliche dall’interessato stesso.
Sono infine sempre salvi, in relazione a tali trattamenti, il diritto di addurre successivamente motivi legittimi di opposizione meritevoli di tutela (art. 5, comma 2, del Codice di deontologia per l’attività giornalistica), così come i diritti di opposizione in base all’art. 7 Cod. Privacy.
Questo regime estremamente agevolato di trattamento è volto a garantire la libertà dell’informazione (cfr. ex multis Provv. 30.12.2011 – doc. web n. 1873945), pur nel necessario bilanciamento con i diritti fondamentali della persona (cfr. i Codici di deontologia per l’attività giornalistica e per i trattamenti di dati personali per scopi storici, rispettivamente Allegati 1 e 2 al Cod. Privacy).
Volendo riassumere, si può dire che nel sistema attuale il riutilizzo (da parte dei privati, perché il “riutilizzo” delle informazioni nel contesto di attività della pubblica Amministrazione è tema diverso e complesso, che non può essere affrontato in questa sede) delle informazioni personali “pubblicamente accessibili” (ai sensi degli articoli del Codice Privacy citati) è consentito a prescindere da un consenso informato dell’interessato:
- in generale, quanto ai dati “ordinari”, nei limiti del principio di finalità, e pertanto per usi con finalità coerenti con quelle che ne hanno causato la “pubblicazione”;
- in via di particolare eccezione, invece – estensibile anche ai dati sensibili –, per casi in cui la legge ne individui la possibilità nel contesto del bilanciamento tra diritti fondamentali, alle condizioni ivi specificamente dedotte.
Venendo ora alla norma del GDPR in esame, bisogna sottolineare che la lettera e) del comma 2 dell’art. 9 costituisce eccezione al principio generale del divieto assoluto di trattamento dei dati personali appartenenti alle particolari categorie indicate al comma 1: insomma, la norma dice che quei dati, qualora resi manifestamente pubblici dall’interessato, possono essere trattati. Ma non dice con quali regole.
Particolarmente significativa, per quanto qui rileva, è la prima (e la più generale) delle eccezioni, cioè la prestazione del “consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche” (lett. a): a dispetto dell’impostazione formale della norma (divieto più eccezioni), nella pratica la regola generale pare essere la possibilità di trattamento dei dati appartenenti a categorie particolari a fronte del consenso esplicito per una o più finalità specifiche, mentre le altre eccezioni al divieto rappresentano circostanze equipollenti particolari.
Dunque, poiché le eccezioni hanno tra loro valenza alternativa, si può dire che l’azione di rendere manifestamente pubblici i propri dati personali “particolari” equivalga ad un valido consenso al loro trattamento: pertanto, i dati appartenenti a categorie particolari che l’interessato di propria iniziativa rende manifestamente pubblici possono essere trattati.
Il riconoscimento all’azione positiva dell’interessato di valore equivalente a un valido consenso è peraltro coerente con le caratteristiche che il consenso ha nel GDPR, come si desume da diversi considerando (ad esempio, il 32) e dalla relativa definizione (art. 4, n.11): “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Ma ciò non significa che i dati resi manifestamente pubblici possano essere trattati indiscriminatamente: senz’altro la portata dell’eccezione, per come è espressa, non è tale da sottrarre il relativo trattamento al rispetto innanzitutto dei principi generali (art. 5 GDPR), tra cui ricorrono tutti quelli tradizionalmente presenti nel nostro ordinamento, compreso quello di finalità.
Come spunto di riflessione in merito a quest’ultimo aspetto, ricordo che l’art. 6, co. 4 GDPR condiziona in via generale la liceità del trattamento, che non sia basato sul consenso, per finalità diverse da quelle originarie della raccolta, alla compatibilità di tali finalità successive con le prime, indicando al titolare – per la relativa verifica – la valutazione, tra l’altro: “(…) c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9 (…); delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; (…)”.
Quanto alla valutazione dell’ampiezza della tutela offerta dall’ordinamento all’interessato che renda “manifestamente pubblici” propri dati personali, bisogna anche sottolineare che il GDPR formalizza definitivamente (cfr. considerando 4) il diritto alla tutela dei dati personali quale diritto fondamentale da considerare “alla luce della sua funzione sociale”: effetto sostanziale di ciò mi sembra essere l’estensione della relativa tutela anche ad altri (autonomi) diritti fondamentali dell’interessato attinenti alla personalità, tra cui in particolare il diritto all’identità personale.
In tale senso depongono anche le indicazioni contenute nei considerando del Regolamento (spec. 75 e 85) che esplicitamente indicano – tra i rischi inerenti al trattamento che sono oggetto di individuazione, valutazione ed obbligatoria prevenzione da parte del titolare – quelli atti a procurare all’interessato “danno sociale”, richiamando espressamente, tra gli altri, il “pregiudizio alla reputazione”.
Dunque, l’utilizzo di questi dati deve trovare un limite, oltre che nei principi generali che costituiscono l’ossatura del diritto alla protezione dei dati personali, anche nel rispetto degli altri diritti della personalità dell’interessato, con particolare riguardo all’identità personale: da ciò discende che nell’impianto del GDPR il relativo trattamento, anche se supportato da una precisa scriminante del consenso e da finalità astrattamente coerenti con quelle per cui i dati sono stati resi pubblici dall’interessato stesso, può risultare illegittimo – anche ai sensi della stessa normativa sulla protezione dei dati personali – qualora, per le modalità con cui il trattamento è realizzato o per gli effetti che produce, sia foriero di danno sociale o reputazionale per l’interessato.
Resta poi indubbiamente salva la possibilità per l’interessato di esercitare i diritti di opposizione (art. 21 GDPR) e soprattutto quello alla cancellazione (“all’oblio”) (art. 17 GDPR).
Infine, il rispetto della privacy non basta: l’uso di “dati personali resi manifestamente pubblici dall’interessato” deve comunque rispettare anche altre normative applicabili, quali quelle sul diritto d’autore (con riguardo ad esempio all’uso delle fotografie) o le leggi penali (ad esempio, le norme sulla diffamazione).
Per concludere, non credo che il GDPR, una volta divenuto efficace, legittimerà l’utilizzo indiscriminato dei dati personali appartenenti alle particolari categorie indicate dall’art. 9 pubblicati sui social network: il trattamento, in virtù della norma in esame, ne sarà possibile, ma pur sempre nel rispetto dei principi di liceità, finalità, pertinenza, non eccedenza e in un contesto di bilanciamento tra diritti fondamentali di cui – in ossequio al meccanismo dell’accountability – è rimessa al titolare l’intera responsabilità.