This is a bit ‘for lawyers, I admit. It is not at all clear to me. But am I the only one who asks whether Art. 9 of GDPR, dedicated to the processing of “special categories of personal data”, in paragraph 2e contains a dangerous trap to privacy?
Let’s start from the beginning. Paragraph 1 of this article, extremely sensitive, states that “Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited”.
Paragraph 2 contains exceptions, i.e. the cases where paragraph 1 does not apply, then the cases when processing these “special” categories of personal data is legitimated: a) explicit consent; b) obligations relating to employment and social security; c) protection of a vital interest; d) associations that deal with the data of their members.
So far, so smooth. But let’s get to the point e): if “processing relates to personal data which are manifestly made public by the data subject”. Wow.
So, if I correctly understand: if I post a photo which shows unequivocally my ethnic origin (or my participation in a political rally or a religious function), “special” data derived from that information can be processed by third parties without further lawful conditions? To be clear, without consent?
Or does it prevail art.6, which in point a) of paragraph 1 in any case does require a consent, in the absence of other legitimizing conditions for the processing, such as those referred to in points b) to f)? And this concerning any kind of personal information, so what about “special” data? …
Furthermore we assume that art. 14 (Information to be provided where personal data have not been obtained from the data subject) applies, therefore information providing is necessary but consent is not?
Suppose then that I am notified by a third party who intends to process, without asking my consent, certain “special” data, obtained from informations I made “manifestly public”: if I wanted to oppose or even limit that processing, I could only recourse to the DPA or go to ordinary courts…
Mind you, I am perfectly aware (beyond what the GDPR says) that what I post on a social network is public, unless I did apply strict rules on the visibility (which almost nobody does), but from there to be inserted, on the basis of what is made public, in a profiling of “negroes” or “communists” or “catholic fundamentalists” without my consent, I think there should be a certain distance…
It is very likely indeed that things are not exactly this way and that I’ve misunderstood. Can anyone confirm?
Grazie della risposta, che contiene alcune considerazioni di assoluto buonsenso, ma che temo non risponda compiutamente alla questione. Purtroppo il mio post è privo delle foto che avevo scelto (il tool di pubblicazione non consente inserimento di foto ai contributors ma forse solo ai coordinators) e che avrebbero reso più evidenti i casi indicati come esempio: “la mia origine etnica” (il viso di una persona inequivocabilmente di colore); “la mia partecipazione ad una manifestazione politica” (un corteo con bandiere, striscioni e la presenza di landini segretario fiom) “o ad una funzione religiosa” (era il funerale di un cattolico integralista, con diversi noti esponenti di quei movimenti): certo, avrei potuto essere presente come curioso o reporter o ad altro titolo, resta il fatto che ho reso “manifestamente pubbliche” queste informazioni. Ma stiamo per semplicità al caso più inequivocabile, quello che tu riassumi come “un post aperto al pubblico in cui dico: sono un cattolico integralista”. come puoi dire genericamente che tale informazione “può essere utilizzata”? La questione che sollevo è se può essere utilizzata SENZA CONSENSO come sembrerebbe dal comma citato. Su questo continuo a nutrire dubbi e, se fosse consentito, a nutrire grande preoccupazione per gli abusi che ne potrebbero derivare.
Aggiungo a questo stimolante dibattito alcune considerazioni.
Il contenuto dell’articolo 9, comma 2, punto e) del GDPR era già presente (esattamente identico) nella Direttiva 95/46 che il Regolamento andrà a sostituire.
La Direttiva infatti vieta il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale salvo alcuni casi tra cui:
“il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria.”
[Direttiva 96/46 art. 8, comma 2, punto e)]
L’ordinamento giuridico italiano ha recepito la Direttiva dandone applicazione (e interpretazione) dapprima nella legge 675/1996 e poi nel vigente Codice Privacy (196/2003) specificando tra i casi di esclusione dalla richiesta di consenso quello relativo ai dati:
– “provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;”
[Dlgs. 675/1996, art. 12, comma 1, punto c)].
– “provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;”
[Dlgs. 196/2003 art. 24, comma 1, punto c)].
Applicazione peraltro rafforzata dall'”Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale” che riprende alla lettera la Direttiva:
– “I dati idonei a rivelare la vita sessuale non possono essere diffusi, salvo il caso in cui la diffusione riguardi dati resi manifestamente pubblici dall’interessato e per i quali l’interessato stesso non abbia manifestato successivamente la sua opposizione per motivi legittimi.”
[Autorizzazione n. 2/2014, paragrafo 5 “Comunicazione e diffusione dei dati”]
Mi viene quindi da concludere che già siamo esposti a questo vulnus da almeno 20 anni.
Vulnus che, peraltro, va ricercato sulla mancanza (e direi anche sull’impossibilità) di una casistica esaustiva che indichi tutti i casi in cui un dato possa considerarsi “rilasciato in modo manifestamente pubblico”.
Concludo con due considerazioni.
La prima (che riguarda il passato ed il presente), di natura empirica, nasce da una breve e sommaria ricerca che ho effettuato in rete (Google + sito Garante) dalla quale non emergono riscontri di utilizzo improprio di questo comma, né espressioni in merito dell’Autorità Garante (es.: Pareri o Provvedimenti).
La seconda considerazione (che riguarda invece il futuro), legata alla natura del nuovo Regolamento.
Essendo quest’ultimo basato infatti su di una impostazione giuridica che pone molta enfasi sul principio dell’accountability (responsabilizzazione), sono portato a pensare che la possibilità di utilizzo improprio di dati “resi manifestamente pubblici” si riduca ulteriormente.
Nel nuovo regolamento infatti è onere di chi tratta i dati (Titolare) giustificare (e documentare) con argomenti solidi le scelte alla base di un trattamento e rispondere (con sanzioni significative) di argomentazioni deboli o, peggio ancora, capziose.
Elemento questo che ritengo possa essere un opportuno deterrente per trattamenti, diciamo, “incauti”.
grazie della risposta precisa e circostanziata. mi era sfuggito il precedente in direttiva, anche se il codice non lo recepiva esplicitamente (un conto sono gli elenchi pubblici, un conto è quanto io rendo pubblico direttamente).
del tutto d’accordo con le considerazioni finali, che direi chiudono la questione.
sullo stesso tema è apparsa questa risposta illuminante e definitiva https://blog.europrivacy.org/it/2016/10/31/italiano-dati-personali-resi-manifestamente-pubblici-dallinteressato-e-uso-di-dati-pubblicati-su-social-network-prime-osservazioni-allart-9-co-2-lett-e-gdp/
Mi vengono in mente le considerazioni che seguono, senza pensare che siano del tutto risolutive.
Pubblicare una propria foto in chiesa non significa affermare manifestamente di essere cattolici integralisti: si può andare in chiesa per una matrimonio o un funerale essendo laici, atei o di altra religione. “Manifestamente” significa che non è necessaria alcuna deduzione o una interpretazione o un atto arbitrario per ottenere l’informazione a partire da quanto pubblicato.
Dunque se il signor X,Y pubblica su FB un post aperto al pubblico in cui dice: “sono un cattolico integralista”, potrò usare questa informazione. Se la pubblica in un post ristretto ad un pubblico specifico (alcuni amici, parenti, correlgionari), no. Se pubblica una foto in chiesa o anche ad una manifestazione di cattolici integralisti, senza particolari segni di esplicita adesione attiva (bandiere, cartelli, …) alla manifestazione, non sono comunque autorizzato a dedurne alcuna informazione specifica sull’orientamento religioso di X,Y.
The following considerations come in my mind without pretending they are decisive.
To publish a selfie in a church doesn’t mean to affirm manifestly to be an integralist catholic: one can be in a catholic church for a variety of reasons (wedding, funeral, …) even if he isn’t integralist catholic, or catholic at all.
“Manifestly” means that no deduction or interpretation is required to obtain that information from what is published by the data subject.
So, if mister X,Y publishes a post on FB, a post open to the public, in which he affirms: “I’m an integralist catholic”, everyone will be allowed to use that information. If the post is restricted to a specific target (friend, relatives, …) it is not allowed. If X Y publishes a selfie in a catholic church or even during an event of an integralist catholic organization, without signs that explicitly (manifestly) affirm his adhesion to the event (flags, slogans, …) I’m not allowed to derive from that any information on W Y’s orientantation.