Nei miei corsi sulla privacy sono solito dire che la normativa italiana tutela contro il pettegolezzo.
Una forma amichevole per evidenziare (cosa non molto nota) che il Codice privacy deve essere rispettato da tutti i cittadini, che non sono solo soggetti tutelati, ma che devono essi stessi rispettare le norme sulla privacy.
La 196/03 recita infatti all’ articolo 5
Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
Quindi, chiunque tratti dati personali, anche il semplice cittadino è chiamato ad adottare idonee misure di sicurezza per la loro tutela e risponde civilmente, ai sensi dell’articolo 15 di danni derivanti dal trattamento di dati personali.
L’aspetto più importante tuttavia e di vera tutela, riguarda il fatto che nessuno, nemmeno il vostro coniuge, possa pubblicare la vostra foto su un sito internet o parlare di voi pubblicamente, senza il vostro consenso. Trattandosi in entrambi casi di una diffusione di dati personali, si applica completamente, anche al privato cittadino, l’intero Codice privacy.
Quindi prima che qualcuno possa parlare di voi pubblicamente o pubblicare una vostra foto è necessario che lo stesso vi rilasci una informativa e chieda il vostro consenso (questo almeno in teoria). In caso contrario il soggetto in questione è passibile da un lato delle sanzioni amministrative e penali del Codice e dall’altro di un eventuale risarcimento del danno derivante dalla sua azione.
Una tutela molto forte quindi, anche forse poco nota e poco sfruttata.
Una tutela che potrebbe non essere garantita dal nuovo Regolamento UE.
Infatti l’ articolo 2 del Regolamento recita:
2. Il presente regolamento non si applica ai trattamenti di dati personali:
d) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
Cosa significa tutto questo?
Chiunque potrà pubblicare la vostra foto o parlare di voi purché lo faccia sul proprio profilo di un qualunque social o sul proprio sito web?
Il considerando numero 15 sembra proprio andare in questa direzione.
(15) Il presente regolamento non dovrebbe applicarsi al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o la socializzazione in rete e attività in linea intraprese nell’ambito di tali attività a carattere personale o domestico. Tuttavia, il presente regolamento dovrebbe valere per i responsabili del trattamento o gli incaricati del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.
Sicuramente rispetto alla chiarezza espressiva del sopra citato articolo del Codice privacy italiano il nuovo Regolamento UE offre in questo, come in molti altri punti, troppi margini di interpretazione.
Si è data molta enfasi all’introduzione di tutele quali il Diritto alla cancellazione (“diritto all’oblio”) poco si è detto in merito alle tutele che rispetto all’attuale Codice privacy italiano saranno più difficili da attuare.
Really interesting, in particular if we think of cyberbullies at school.