{"id":1829,"date":"2016-10-31T11:34:18","date_gmt":"2016-10-31T10:34:18","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=1829"},"modified":"2016-11-18T17:53:53","modified_gmt":"2016-11-18T16:53:53","slug":"personal-data-made-public-by-the-data-subject-and-use-of-information-published-on-social-networks-initial-observations-of-the-gdpr-art-9-para-2-letter-e-seco","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2016\/10\/31\/personal-data-made-public-by-the-data-subject-and-use-of-information-published-on-social-networks-initial-observations-of-the-gdpr-art-9-para-2-letter-e-seco\/","title":{"rendered":"\u201cDATI PERSONALI RESI MANIFESTAMENTE PUBBLICI DALL\u2019INTERESSATO\u201d E USO DI DATI PUBBLICATI SU SOCIAL NETWORK: PRIME OSSERVAZIONI ALL\u2019ART. 9, co. 2, lett. e) GDPR  [SECONDA PARTE]"},"content":{"rendered":"<p><em>(continua)<\/em><\/p>\n<p>Venendo ora alla norma del GDPR in esame, bisogna sottolineare che la lettera e) del comma 2 dell\u2019art. 9 costituisce eccezione al principio generale del divieto assoluto di trattamento dei dati personali appartenenti alle particolari categorie indicate al comma 1: insomma, la norma dice che quei dati, qualora <em>resi manifestamente pubblici dall\u2019interessato<\/em>, <strong>possono<\/strong> essere trattati. Ma non dice con quali regole.<\/p>\n<p>Particolarmente significativa, per quanto qui rileva, \u00e8 la prima (e la pi\u00f9 generale) delle eccezioni, cio\u00e8 la prestazione del \u201c<em>consenso esplicito al trattamento di tali dati personali per una o pi\u00f9 finalit\u00e0 specifiche<\/em>\u201d (lett. a): a dispetto dell\u2019impostazione formale della norma (divieto pi\u00f9 eccezioni), nella pratica la regola generale pare essere la possibilit\u00e0 di trattamento dei dati appartenenti a categorie particolari a fronte del consenso esplicito per una o pi\u00f9 finalit\u00e0 specifiche, mentre le altre eccezioni al divieto rappresentano circostanze equipollenti particolari.<\/p>\n<p>Dunque, poich\u00e9 le eccezioni hanno tra loro valenza alternativa, si pu\u00f2 dire che l\u2019azione di rendere manifestamente pubblici i propri dati personali \u201cparticolari\u201d equivalga ad un valido consenso al loro trattamento: pertanto, i dati appartenenti a categorie particolari che l\u2019interessato di propria iniziativa rende manifestamente pubblici <strong>possono essere trattati<\/strong>.<\/p>\n<p>Il riconoscimento all\u2019azione positiva dell\u2019interessato di valore equivalente a un valido consenso \u00e8 peraltro coerente con le caratteristiche che il consenso ha nel GDPR, come si desume da diversi <em>considerando <\/em>(ad esempio, il 32) e dalla relativa definizione (art. 4, n.11): \u201c<em>qualsiasi manifestazione di volont\u00e0 libera, specifica, informata e inequivocabile dell&#8217;interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o <strong>azione positiva inequivocabile<\/strong>, che i dati personali che lo riguardano siano oggetto di trattamento<\/em>\u201d.<\/p>\n<p>Ma ci\u00f2 non significa che i dati resi manifestamente pubblici possano essere trattati <strong>indiscriminatamente<\/strong>: senz\u2019altro la portata dell\u2019eccezione, per come \u00e8 espressa, non \u00e8 tale da sottrarre il relativo trattamento al rispetto innanzitutto dei principi generali (art. 5 GDPR), tra cui ricorrono tutti quelli tradizionalmente presenti nel nostro ordinamento, compreso quello di finalit\u00e0.<\/p>\n<p>Come spunto di riflessione in merito a quest\u2019ultimo aspetto, ricordo che l\u2019art. 6, co. 4 GDPR condiziona in via generale la liceit\u00e0 del trattamento, che non sia basato sul consenso, per finalit\u00e0 diverse da quelle originarie della raccolta, alla compatibilit\u00e0 di tali finalit\u00e0 successive con le prime, indicando al titolare \u2013 per la relativa verifica \u2013 la valutazione, tra l\u2019altro: \u201c<em>(\u2026) c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell&#8217;articolo 9 (\u2026); delle possibili conseguenze dell&#8217;ulteriore trattamento previsto per gli interessati; (&#8230;)<\/em>\u201d.<\/p>\n<p>Quanto alla valutazione dell\u2019ampiezza della tutela offerta dall\u2019ordinamento all\u2019interessato che renda \u201cmanifestamente pubblici\u201d propri dati personali, bisogna anche sottolineare che il GDPR formalizza definitivamente (cfr. <em>considerando<\/em> 4) il diritto alla tutela dei dati personali quale diritto fondamentale da considerare \u201c<em>alla luce della sua funzione sociale<\/em>\u201d: effetto sostanziale di ci\u00f2 mi sembra essere l\u2019estensione della relativa tutela anche ad altri (autonomi) diritti fondamentali dell\u2019interessato attinenti alla personalit\u00e0, tra cui in particolare il diritto all\u2019identit\u00e0 personale.<\/p>\n<p>In tale senso depongono anche le indicazioni contenute nei <em>considerando<\/em> del Regolamento (spec. 75 e 85) che esplicitamente indicano \u2013 tra i rischi inerenti al trattamento che sono oggetto di individuazione, valutazione ed obbligatoria prevenzione da parte del titolare \u2013 quelli atti a procurare all\u2019interessato \u201c<em>danno sociale<\/em>\u201d, richiamando espressamente, tra gli altri, il \u201c<em>pregiudizio alla reputazione<\/em>\u201d.<\/p>\n<p>Dunque, l\u2019utilizzo di questi dati deve trovare un limite, oltre che nei principi generali che costituiscono l\u2019ossatura del diritto alla protezione dei dati personali, anche nel rispetto degli altri diritti della personalit\u00e0 dell\u2019interessato, con particolare riguardo all\u2019identit\u00e0 personale: da ci\u00f2 discende che nell\u2019impianto del GDPR il relativo trattamento, anche se supportato da una precisa scriminante del consenso e da finalit\u00e0 astrattamente coerenti con quelle per cui i dati sono stati resi pubblici dall\u2019interessato stesso, pu\u00f2 risultare illegittimo \u2013 anche ai sensi della stessa normativa sulla protezione dei dati personali \u2013 qualora, per le modalit\u00e0 con cui il trattamento \u00e8 realizzato o per gli effetti che produce, sia foriero di danno sociale o reputazionale per l\u2019interessato.<\/p>\n<p>Resta poi indubbiamente salva la possibilit\u00e0 per l\u2019interessato di esercitare i diritti di opposizione (art. 21 GDPR) e soprattutto quello alla cancellazione (\u201call\u2019oblio\u201d) (art. 17 GDPR).<\/p>\n<p>Infine, il rispetto della privacy non basta: l\u2019uso di \u201c<em>dati personali resi manifestamente pubblici dall\u2019interessato<\/em>\u201d deve comunque rispettare anche altre normative applicabili, quali quelle sul diritto d\u2019autore (con riguardo ad esempio all\u2019uso delle fotografie) o le leggi penali (ad esempio, le norme sulla diffamazione).<\/p>\n<p>Per concludere, non credo che il GDPR, una volta divenuto efficace, legittimer\u00e0 l\u2019utilizzo indiscriminato dei dati personali appartenenti alle particolari categorie indicate dall\u2019art. 9 \u00a0pubblicati sui <em>social network<\/em>: il trattamento, in virt\u00f9 della norma in esame, ne sar\u00e0 possibile, ma pur sempre nel rispetto dei principi di liceit\u00e0, finalit\u00e0, pertinenza, non eccedenza e in un contesto di bilanciamento tra diritti fondamentali di cui \u2013 in ossequio al meccanismo <em>dell\u2019accountability <\/em>\u2013 \u00e8 rimessa al titolare l\u2019intera responsabilit\u00e0.<\/p>","protected":false},"excerpt":{"rendered":"<p>(continua) Venendo ora alla norma del GDPR in esame, bisogna sottolineare che la lettera e) del comma 2 dell\u2019art. 9 costituisce eccezione al principio generale del divieto assoluto di trattamento dei dati personali appartenenti alle particolari categorie indicate al comma 1: insomma, la norma dice che quei dati, qualora resi manifestamente pubblici dall\u2019interessato, possono essere\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2016\/10\/31\/personal-data-made-public-by-the-data-subject-and-use-of-information-published-on-social-networks-initial-observations-of-the-gdpr-art-9-para-2-letter-e-seco\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":167,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[39,12,244,245],"class_list":["post-1829","post","type-post","status-publish","format-standard","hentry","category-legal-framework","tag-accountability","tag-general-data-protection-regulation","tag-purpose-limitation","tag-special-categories-of-data"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1829","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/167"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=1829"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1829\/revisions"}],"predecessor-version":[{"id":1849,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1829\/revisions\/1849"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=1829"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=1829"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=1829"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}