Questa è un po’ per avvocati, lo ammetto. Infatti a me non risulta affatto chiara. Ma solo a me è venuto il dubbio che l’art. 9 del GDPR, dedicato al trattamento di “categorie particolari di dati personali”, contenga al paragrafo 2E una pericolosa insidia alla privacy?
Va bene, cominciamo dall’inizio. Il paragrafo 1 di questo articolo, dal carattere estremamente delicato, recita “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, come pure trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona o dati relativi alla salute o alla vita sessuale e all’orientamento sessuale”.
Il paragrafo 2 contiene le eccezioni, ovvero i casi in cui non si applica il paragrafo 1, quindi i casi in cui è legittimo il trattamento di dette categorie “particolari” di dati personali: a) consenso esplicito; b) obblighi in materia di lavoro e sicurezza sociale; c) tutela di un interesse vitale; d) associazioni che trattano i dati dei propri membri.
E fin qui tutto liscio. Ma veniamo al punto e): se “il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato”. Ah.
Quindi se capisco bene, se pubblico su un social una foto da cui risulta in modo inequivocabile la mia origine etnica (o la mia partecipazione ad una manifestazione politica o ad una funzione religiosa), i dati “particolari” desumibili da quella informazione possono essere trattati da terzi senza bisogno di ulteriori condizioni legittimanti? Per intenderci, senza consenso?
Oppure prevale l’art.6 che al punto a) del paragrafo 1 richiede in ogni caso il consenso, in assenza di altre condizioni legittimanti il trattamento, quali quelle di cui ai punti da b) ad f)? E ciò per tutti i dati personali, figuriamoci per quelli “particolari”…
Inoltre diamo per scontato che si applichi il 14 (Informazioni da fornire qualora i dati non siano stati ottenuti presso l’interessato), quindi resta necessaria l’informativa, ma non il consenso?
Supponiamo allora che io venga informato da un terzo che intende trattare dati particolari a me riferiti, ottenuti da informazioni da me rese “manifestamente pubbliche”, senza chiedermi il consenso: se volessi oppormi o anche solo limitare il trattamento, non mi resterebbe che fare ricorso al Garante o alla Magistratura Ordinaria…
Intendiamoci, sono perfettamente cosciente (al di là di cosa dice il GDPR) che quanto pubblico sui social è di pubblico dominio, a meno che non io abbia applicato rigide regole sulla visibilità (cosa che non fa quasi nessuno): ma da qui ad essere inserito, sulla base di quanto pubblicato, in una profilazione di “negri” o “comunisti” o “cattolici integralisti” senza il mio consenso, credo che ce ne passi…
In verità è molto probabile che le cose non stiano proprio così e che io abbia equivocato. Qualcuno può confermare?
Grazie della risposta, che contiene alcune considerazioni di assoluto buonsenso, ma che temo non risponda compiutamente alla questione. Purtroppo il mio post è privo delle foto che avevo scelto (il tool di pubblicazione non consente inserimento di foto ai contributors ma forse solo ai coordinators) e che avrebbero reso più evidenti i casi indicati come esempio: “la mia origine etnica” (il viso di una persona inequivocabilmente di colore); “la mia partecipazione ad una manifestazione politica” (un corteo con bandiere, striscioni e la presenza di landini segretario fiom) “o ad una funzione religiosa” (era il funerale di un cattolico integralista, con diversi noti esponenti di quei movimenti): certo, avrei potuto essere presente come curioso o reporter o ad altro titolo, resta il fatto che ho reso “manifestamente pubbliche” queste informazioni. Ma stiamo per semplicità al caso più inequivocabile, quello che tu riassumi come “un post aperto al pubblico in cui dico: sono un cattolico integralista”. come puoi dire genericamente che tale informazione “può essere utilizzata”? La questione che sollevo è se può essere utilizzata SENZA CONSENSO come sembrerebbe dal comma citato. Su questo continuo a nutrire dubbi e, se fosse consentito, a nutrire grande preoccupazione per gli abusi che ne potrebbero derivare.
Aggiungo a questo stimolante dibattito alcune considerazioni.
Il contenuto dell’articolo 9, comma 2, punto e) del GDPR era già presente (esattamente identico) nella Direttiva 95/46 che il Regolamento andrà a sostituire.
La Direttiva infatti vieta il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale salvo alcuni casi tra cui:
“il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria.”
[Direttiva 96/46 art. 8, comma 2, punto e)]
L’ordinamento giuridico italiano ha recepito la Direttiva dandone applicazione (e interpretazione) dapprima nella legge 675/1996 e poi nel vigente Codice Privacy (196/2003) specificando tra i casi di esclusione dalla richiesta di consenso quello relativo ai dati:
– “provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;”
[Dlgs. 675/1996, art. 12, comma 1, punto c)].
– “provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;”
[Dlgs. 196/2003 art. 24, comma 1, punto c)].
Applicazione peraltro rafforzata dall'”Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale” che riprende alla lettera la Direttiva:
– “I dati idonei a rivelare la vita sessuale non possono essere diffusi, salvo il caso in cui la diffusione riguardi dati resi manifestamente pubblici dall’interessato e per i quali l’interessato stesso non abbia manifestato successivamente la sua opposizione per motivi legittimi.”
[Autorizzazione n. 2/2014, paragrafo 5 “Comunicazione e diffusione dei dati”]
Mi viene quindi da concludere che già siamo esposti a questo vulnus da almeno 20 anni.
Vulnus che, peraltro, va ricercato sulla mancanza (e direi anche sull’impossibilità) di una casistica esaustiva che indichi tutti i casi in cui un dato possa considerarsi “rilasciato in modo manifestamente pubblico”.
Concludo con due considerazioni.
La prima (che riguarda il passato ed il presente), di natura empirica, nasce da una breve e sommaria ricerca che ho effettuato in rete (Google + sito Garante) dalla quale non emergono riscontri di utilizzo improprio di questo comma, né espressioni in merito dell’Autorità Garante (es.: Pareri o Provvedimenti).
La seconda considerazione (che riguarda invece il futuro), legata alla natura del nuovo Regolamento.
Essendo quest’ultimo basato infatti su di una impostazione giuridica che pone molta enfasi sul principio dell’accountability (responsabilizzazione), sono portato a pensare che la possibilità di utilizzo improprio di dati “resi manifestamente pubblici” si riduca ulteriormente.
Nel nuovo regolamento infatti è onere di chi tratta i dati (Titolare) giustificare (e documentare) con argomenti solidi le scelte alla base di un trattamento e rispondere (con sanzioni significative) di argomentazioni deboli o, peggio ancora, capziose.
Elemento questo che ritengo possa essere un opportuno deterrente per trattamenti, diciamo, “incauti”.
grazie della risposta precisa e circostanziata. mi era sfuggito il precedente in direttiva, anche se il codice non lo recepiva esplicitamente (un conto sono gli elenchi pubblici, un conto è quanto io rendo pubblico direttamente).
del tutto d’accordo con le considerazioni finali, che direi chiudono la questione.
sullo stesso tema è apparsa questa risposta illuminante e definitiva https://blog.europrivacy.org/it/2016/10/31/italiano-dati-personali-resi-manifestamente-pubblici-dallinteressato-e-uso-di-dati-pubblicati-su-social-network-prime-osservazioni-allart-9-co-2-lett-e-gdp/
Mi vengono in mente le considerazioni che seguono, senza pensare che siano del tutto risolutive.
Pubblicare una propria foto in chiesa non significa affermare manifestamente di essere cattolici integralisti: si può andare in chiesa per una matrimonio o un funerale essendo laici, atei o di altra religione. “Manifestamente” significa che non è necessaria alcuna deduzione o una interpretazione o un atto arbitrario per ottenere l’informazione a partire da quanto pubblicato.
Dunque se il signor X,Y pubblica su FB un post aperto al pubblico in cui dice: “sono un cattolico integralista”, potrò usare questa informazione. Se la pubblica in un post ristretto ad un pubblico specifico (alcuni amici, parenti, correlgionari), no. Se pubblica una foto in chiesa o anche ad una manifestazione di cattolici integralisti, senza particolari segni di esplicita adesione attiva (bandiere, cartelli, …) alla manifestazione, non sono comunque autorizzato a dedurne alcuna informazione specifica sull’orientamento religioso di X,Y.
The following considerations come in my mind without pretending they are decisive.
To publish a selfie in a church doesn’t mean to affirm manifestly to be an integralist catholic: one can be in a catholic church for a variety of reasons (wedding, funeral, …) even if he isn’t integralist catholic, or catholic at all.
“Manifestly” means that no deduction or interpretation is required to obtain that information from what is published by the data subject.
So, if mister X,Y publishes a post on FB, a post open to the public, in which he affirms: “I’m an integralist catholic”, everyone will be allowed to use that information. If the post is restricted to a specific target (friend, relatives, …) it is not allowed. If X Y publishes a selfie in a catholic church or even during an event of an integralist catholic organization, without signs that explicitly (manifestly) affirm his adhesion to the event (flags, slogans, …) I’m not allowed to derive from that any information on W Y’s orientantation.