Responsabilizzazione per i dati personali condivisi in rete, i limiti della “household exemption”

Recenti casi di cronaca hanno portato prepotentemente alla ribalta le criticità dovute alla c.d. “ iperinformazione ”, cioè il fenomeno per cui oggi, grazie alla rete e soprattutto ai social network, l’informazione ha assunto caratteristiche molto diverse e peculiari rispetto al passato.

In particolare, sotto un profilo “ quantitativo ” (oltre che qualitativo, giacché l’affidabilità delle fonti è difficilmente valutabile): l’informazione ci arriva infatti da innumerevoli canali; anche gli articoli di queste ultime sono rilanciate da ogni tipo di utente della rete, grazie proprio ai blog e ai social network, perdipiù “arricchite” dalle opinioni dell’utente stesso (nel post di accompagnamento) e dai commenti dei suoi follower; ma, soprattutto, l’informazione diventa persistente.

Proprio questo aumento “quantitativo” dell’informazione comporta rischi e pericoli del tutto nuovi e maggiori per le persone coinvolte.

L’innovazione della riforma Cartabia ha cercato di porre un limite ai danni che la metainformazione - oltre che dell’iperinformazione - potrebbero cagionare a chi sia stato prosciolto, in casi di processi assurti agli onori delle cronache come indagati e imputati nelle fasi delle indagini e del processo.

Restano però due grossi problemi, che impediscono una più efficace tutela delle persone dai suddetti nuovi pericoli:

- a. tutti gli altri casi di cronaca, compresi quelli in cui ci siano forti sospetti verso una persona di fatti “spiacevoli” non di rilevanza penale; oppure quelli di rilevanza penale, ma nei quali il sospettato non risulti poi indagato (in entrambi i casi è altissimo il rischio di una gogna mediatica - anche breve, ma “quantitativamente” intensissima - con conseguenze irreparabili per gli interessati);

- b. tutte le fake news ed i deepfake contro qualcuno (spesso verosimili, per cui chi condivide tali notizie, lo fa senza sapere nulla – e soprattutto senza indagare - sulla verità della notizia che rilancia, rendendola virale, specialmente se è di suo gradimento), che non si riferiscano a notizie di procedimenti penali.

Dato per acquisito che, come visto, i nuovi pericoli sono potenzialmente enormi (proprio i casi di cronaca lo dimostrano), è realmente necessario un nuovo intervento legislativo ad hoc?

Probabilmente no, apparendo sufficiente l’applicazione delle norme del GDPR (il cui scopo è appunto la protezione delle persone fisiche, con riguardo al trattamento dei loro dati personali).

Analizzandole sotto questo profilo, le condotte di cui in premessa rappresentano autonomi trattamenti di dati personali da parte del titolare del sito o della pagina social che pubblichi la notizia, o il commento, o che si limiti anche solo a linkare ad un contenuto altrui (articolo, post, foto, video, ecc.), con o senza un proprio commento.

E quindi, applicandosi il GDPR, tali soggetti dovrebbero rispettare (principalmente) le regole degli artt. 5, 6, 24, 25, 32 e 35 (per non parlare del 12,13 e 14).

Per adempiere a tali obblighi (e quindi per proteggere gli interessati, vero scopo della normativa in questione), il titolare del trattamento deve porsi anche il problema dei commenti e delle condivisioni altrui (che poi paiono essere il “vero” problema dell’iperinformazione), da cui sorge la necessità di effettuare un nuovo bilanciamento di interessi (da riportare decisamente a favore dell’interessato), nella valutazione del rischio.

Nessun blogger o utente di social network, d’altronde, è obbligato ad abilitare commenti e/o condivisioni: è infatti sempre possibile disattivarli entrambi, per cui la loro abilitazione (o disabilitazione) è una scelta libera e volontaria del titolare dell’account (e del trattamento), che se ne deve assumere la responsabilità e i rischi, in un’ottica di accountability.

A queste argomentazioni, si è replicato che l’art. 2, par. 2, lett. C, del GDPR, esclude l’applicazione del Regolamento “…ai trattamenti di dati personali … effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale”.

E che, trattandosi di attività senza una connessione con un’attività commerciale o professionale (in particolare l’attività sui social network), non sarebbero cogenti gli obblighi del Regolamento stesso.

Questa esenzione per attività squisitamente personali è stata più volte oggetto di attenzione della Corte di Giustizia dell’Unione Europea (CGUE), ancorché nella sua formulazione precedente (che derivava dalla Direttiva 95/46, oggi abrogata). Le relative pronunce, tuttavia, possono ancora dirsi attuali in quanto la formulazione dell’eccezione nel GDPR è sostanzialmente analoga.

La più importante pronuncia della CGUE sul tema è il caso L. (del 2003), in cui la Corte ha stabilito che la household exemption si applica “unicamente [al]le attività che rientrano nell’ambito della vita privata o familiare dei singoli”, non “nel caso del trattamento di dati personali consistente nella loro pubblicazione su internet in modo da rendere tali dati accessibili ad un numero indefinito di persone” (CGUE, caso C-101/01, 6 November 2003).

Per tale motivo, la Corte affermò la piena sottoposizione dei trattamenti operati dalla signora L. alla normativa in materia di protezione di dati personali.

Nel 2013, durante i primi lavori preparatori del GDPR, tale esenzione, così come formulata dalla predetta Direttiva – e così come interpretata anche dalla Corte nel caso L. – fu criticata dal WP art. 29, a causa del suo ambito applicativo “irrealisticamente ristretto ”.

Tuttavia, la CGUE, in un altro e successivo caso (del 2014) concernente un sistema di videosorveglianza, ha proseguito per la propria interpretazione, affermando esplicitamente che tale deroga “dev’essere interpretata in senso restrittivo”: se i dati personali sono pubblicati su internet e sono accessibili da un numero indeterminato di persone, l’esenzione non può essere invocata, per cui deve applicarsi la normativa in materia di protezione dei dati personali.

Con il Regolamento 679/2016, è però stata introdotta una novità, rispetto alla precedente Direttiva, che impone ulteriori riflessioni.

Al Considerando 18, infatti, si afferma che le attività esclusivamente a carattere personale o domestico (di cui all’art. 2, par. 2, lett. C), potrebbero comprendere proprio “l’uso dei social network e attività online”, se “intraprese nel quadro di tali attività”.

Si potrebbe quindi propendere per un’interpretazione (un po’) più estensiva dell’eccezione, anche perchè la pubblicazione di dati personali su di un sito internet o un social network, potrebbe effettivamente risultare indirizzata soltanto ad una cerchia ristretta e determinata di persone (es. gruppi chiusi e privati su Facebook, gruppi su WhatsApp, ecc.) e non ad un pubblico indeterminato.

In questi ultimi casi, l’applicazione della exemption pare pacifica.

Ma poiché il discrimine è l’effettivo numero di persone verso cui potrebbero essere diffusi i dati (direttamente o indirettamente), la pubblicazione online di dati personali potrebbe non essere considerata, di per sé, sottoposta al GDPR (e quindi applicarsi l’eccezione) soltanto se la comunicazione a un numero ristretto e determinato (o ragionevolmente determinabile) di persone potesse ritenersi ragionevolmente sicura, cioè se queste (poche) persone non potessero infatti a loro volta condividere, limitandosi de facto ad una mera consultazione dei dati, o comunque a un utilizzo esclusivamente personale.

Ma se chi diffondesse dati personali ad una sua cerchia ristretta non attivasse anche strumenti tecnici per impedire la ricondivisione (o quantomeno esternasse chiaramente la sua volontà che tali dati non fossero ricondivisi, in modo che il ricevente, se li pubblicasse, saprebbe di andare contro le intenzioni, la finalità del trattamento mittente: il che potrebbe avvenire nel caso della condivisione di foto di bambini ad una gita, o al video in cui un amico comune sia stato vittima di uno scherzo o abbia fatto una figuraccia, ecc.), allora sarebbe consapevole che questo potrebbe accadere (e anzi, come l’esperienza insegna, questo accadrà quasi di sicuro), per cui il numero di persone tornerebbe ad essere incontrollabile e indeterminabile.

E quindi si dovrebbe tornare a parlare di diffusione e/o comunicazione al pubblico, con conseguente applicazione del GDPR.

Il che comporterebbe il rispetto delle relative regole per i dati personali altrui pubblicati/diffusi, proprio per evitare di danneggiare (come in effetti si rischia di danneggiare, senza possibilità di rimedio), la vita degli interessati.

Si pensi, ad esempio, anche solo ad una foto in cui compaia un terzo, che sia però vista da persone che non dovevano sapere che questo terzo si trovasse in quel luogo e in quel momento (come il coniuge, il datore di lavoro, il compagno di tifoseria, ecc.); oppure ai contenuti relativi a un procedimento penale, per i quali, a seguito di proscioglimento dell’indagato/imputato, si applichi la deindicizzazione per i motori di ricerca ai sensi della riforma Cartabia, i cui effetti verrebbero sostanzialmente vanificati dalla diffusione della notizia (perdipiù parziale) tramite social network, con possibili pregiudizi dell’interessato.

Uno spunto importante, in proposito, viene da un recente provvedimento (30.11.2022) dell’Autorità per la Protezione dei Dati Personali spagnola (“ AEPD ”), la quale ha sanzionato un minore, escludendo l’operatività a suo favore dell’esenzione in questione (e quindi ritenendo applicabile il GDPR). Il ragazzo aveva conosciuto online un’altra minore, con cui aveva avuto una “relazione” online, e che gli aveva inviato foto intime. Di fronte al rifiuto della ragazza di inviargliene altre, questi aveva deciso di intimorirla, dicendole che, se non ne avesse inviate di nuove, avrebbe pubblicato sui social quelle di cui era già in possesso. Intimorita, la tredicenne aveva accettato. L’AEPD ha quindi sanzionato per 5 mila euro il ragazzo, per aver compiuto un trattamento illecito di dati personali, in violazione dell’art. 6, lett. a) del GDPR, in quanto non aveva ottenuto il preventivo consenso della minore.

Ma perché non si è applicata la household exemption? I dati personali della minore non solo non erano stati pubblicati online (quindi non diffusi), ma nemmeno erano stati comunicati ad alcuno o pubblicati in gruppi (chiusi o ristretti). Benché la mera raccolta e la conservazione costituiscano di per sé trattamenti, ciò che rileva, ai fini della suddetta eccezione, è se possa dirsi che essi siano stati - o meno - effettuati “ per l’esercizio di attività a carattere esclusivamente personale o domestico ” e soltanto entro i limiti di tale finalità. L’AEPD sembra pertanto essere andata oltre l’approccio restrittivo della CGUE, ritenendo probabilmente ravvisarsi, nelle minacce del ragazzo, la prova di finalità non esclusivamente a carattere personale del trattamento.

Al netto di giudizi sulla bontà di questa decisione (forse errata, ad avviso di chi scrive, in quanto la valutazione delle finalità rilevanti ai sensi dell’art. 2, par. 2, lett. C del GDPR, dovrebbe essere effettuata in relazione al momento dell’acquisizione delle immagini – che nel caso di specie appariva a carattere esclusivamente personale – e non a mere ipotesi di ulteriori finalità successive), ciò che rileva è come la decisione dell’AEPD ribadisca che la diffusione sulla rete internet a un pubblico indeterminato (cioè l’attività minacciata) non rientri tra i trattamenti sussumibili nell’ambito dell’eccezione de qua.

Come si è visto, per proteggere le persone anche nelle ipotesi suddette, non parrebbero pertanto necessarie nuove norme ad hoc, bensì una interpretazione rigorosa (meglio ancora se proveniente direttamente, o comunque avallata ufficialmente, dal Garante) del GDPR.

La conseguenza sarebbe una maggiore responsabilizzazione degli utenti della rete per i contenuti postati e ricondivisi (spesso troppo alla leggera, forti della convinzione di poterlo fare senza alcuna responsabilità), non solo per le possibili sanzioni, ma soprattutto per la responsabilità civile, praticamente oggettiva, così come prevista dall’art. 82 GDPR (ora “rinvigorita” dall’interpretazione della CGUE con la sentenza 2023/370, C-300/21 del 4 maggio 2023 e dalla Corte di Cassazione, Sez. I civ., con l’ordinanza n. 13073 del 12.5.2023).

Ragionare in termini di privacy by design , di rispetto dell’art. 5 e 30 GDPR, frenerebbe, ad esempio, dal pubblicare e/o ricondividere in maniera troppo disinvolta immagini virali che ritraggono sconosciuti in situazioni imbarazzanti (raramente consapevoli di essere stati filmati e tantomeno di essere protagonisti di immagini o video “di successo”, alla cui diffusione ovviamente non hanno mai dato il consenso), che possono arrivare a distruggere la reputazione (se non la vita, come già accaduto, purtroppo) dello sventurato interessato.

Sicuramente si tratta di una interpretazione particolarmente “rigorosa” della normativa sulla protezione dei dati personali, ma non sembra discostarsi dall’interpretazione della Corte di Giustizia; e, soprattutto, occorre tener presente che la diffusione di notizie e dati personali da parte di privati sui social network può avere un impatto enorme sulla vita degli interessati.

La responsabilizzazione degli utenti nella pubblicazione e diffusione (con ciò comprendendo il permesso di far ricondividere ad altri) di notizie comprendenti dati personali segnerebbe, tra l’altro, un duro colpo alla diffusione di fake news.

A ben pensarci, d’altronde, nessuno di noi è obbligato a diffondere nulla, né guadagna alcunchè: lungi dal voler esercitare una funzione vagamente informativa, spesso lo facciamo solo per un anelito di vanità, per strappare un sorriso o un gesto di approvazione a chi ci faccia la cortesia di leggere il nostro post.

E il bilanciamento di tale “diritto” con quello alla riservatezza dei protagonisti dei nostri commenti/post/immagini/video deve pertanto pendere, oggi più che mai, a favore degli interessati.

Per costoro, in primis, non si può in alcun modo parlare di attività a carattere esclusivamente personale o domestico, dato che si tratta a tutti gli effetti di un’attività professionale.

Essi avranno, al contrario, una responsabilità addirittura maggiore, trattandosi di persone la cui opinione ha espressamente lo scopo di “ influenzare ” quella dei loro seguaci (che in certi casi possono arrivare a numeri superiori al milione): da un loro strale potrebbe infatti dipendere una condanna popolare per fatti attribuiti a determinate persone, con possibili conseguenze personali (e anche patrimoniali, se si tratta di persone con un’attività commerciale), spesso difficili da sopportare, che potrebbero portare a danni incalcolabili.

Piaccia o meno, questi soggetti debbono rispettare il GDPR in modo ancora più rigoroso degli altri: la loro valutazione dei rischi - ai fini degli artt. 24, 25 (se non 35) e 32 – dovrà necessariamente considerare la massiva condivisione in rete dei loro post, con ogni conseguenza e responsabilità. Così come la valutazione della sussistenza di tutti i criteri di liceità, ai sensi dell’art. 5 del GDPR, oltre a dover ottemperare a quanto previsto dalle recenti Linee Guida AgCom.

Perché, la rete non è il far west. E i diritti e le libertà delle persone non devono essere violati: neppure con un click!

_____

*A cura di Marco Cuniberti, Avvocato, Partner Studio Costa- Cuniberti Avvocati Associati, vice Presidente del Circolo dei Giuristi Telematici e Vincenzo Colarocco, Avvocato, Partner Studio Previti Associazione Professionale, già Presidente del Circolo dei Giuristi Telematici

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più