L’indirizzo di residenza, come il nome o qualsiasi elemento caratteristico della propria identità fisica, è un’informazione che rende un soggetto identificato o identificabile e, quindi, secondo l’art. 4 del GDPR, rientra tra i dati personali. Di conseguenza, è meritevole di protezione e permette al soggetto interessato, titolare del diritto alla protezione dei propri dati, di controllarne la circolazione.
A riguardo si è pronunciata l’Autorità Garante della privacy, che, con provvedimento del 18 aprile 2019, ha definito una particolare ipotesi di trattamento illecito.
Nel caso di specie si analizzava un reclamo presentato da un soggetto, in procinto di candidarsi come sindaco della propria città, circa la pubblicazione su un famoso social network di video ed immagini ritraenti il proprio indirizzo di residenza, la via e la propria abitazione. La pubblicazione era avvenuta senza il consenso del soggetto interessato e l’autore era un giornalista. Ma cosa accadrebbe se a pubblicare le informazioni in questione fosse un soggetto diverso, come ad esempio un privato?
Trattamento dei dati personali nell’attività giornalistica e GDPR
Il caso in oggetto mostra come il diritto alla protezione dei dati personali possa entrare in conflitto con la libertà di espressione e di informazione.
La questione è stata affrontata nel Regolamento UE 2016/679 (GDPR), il quale, prima nel considerando 153 e poi nell’art. 85, ha riconosciuto agli Stati Membri la possibilità di adottare misure legislative che contengano deroghe al Regolamento, purché sia garantito un equilibrio tra gli interessi coinvolti. Inoltre, al fine di contribuire alla corretta applicazione del Regolamento, l’art. 40 dello stesso GDPR invita gli Stati Membri ad incoraggiare l’elaborazione di codici di condotta da parte di associazioni ed altri organismi che rappresentano categorie particolari.
Questo è quanto accaduto anche per l’Ordine dei Giornalisti, che ha sottoposto alla valutazione di conformità dell’Autorità Garante il proprio codice deontologico. In data 29 novembre 2018, con il provvedimento n. 491 il Garante ha affermato la conformità del codice al Regolamento UE e ne ha sancito la pubblicazione in Gazzetta Ufficiale con il titolo “Regole deontologiche relative al trattamento dei dati personali nell’esercizio dell’attività giornalistica”, come Allegato A) del Codice sulla Privacy.
Nell’ottica di bilanciamento degli interessi, prevista nell’art. 85 GDPR, di cui sopra, e derogando la necessità di individuare una base giuridica del trattamento, prevista dal Regolamento, il nuovo Codice della Privacy (il d.lgs. 196/2003 come modificato dal d.lgs. 101/18) all’art. 137 ha previsto la possibilità di trattare i dati personali particolari (art. 9 GDPR, i cosiddetti dati sensibili) ed i dati relativi a condanne penali (art.10 GDPR) anche senza il consenso degli interessati, a condizione che ciò avvenga nel rispetto delle regole deontologiche. L’ambito di applicazione di questa norma copre i trattamenti effettuati nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità, quelli effettuati dai pubblicisti e dai praticanti e, infine, i trattamenti finalizzati esclusivamente alla pubblicazione o diffusione anche occasionale di articoli, saggi e altre manifestazioni del pensiero, anche nell’espressione accademica, artistica e letteraria.
In questo particolare contesto restano fermi i limiti del diritto di cronaca e, in particolare, il principio dell’essenzialità dell’informazione. La centralità di questo principio è contemplata anche nell’art. 6 delle Regole Deontologiche, in cui si sottolinea che la divulgazione di notizie di rilevante interesse pubblico e sociale non contrasterà con la sfera privata, e, quindi, sarà lecita solo quando l’informazione sia indispensabile. Un’informazione sarà definita indispensabile “in ragione dell’originalità del fatto o della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti”. Lo stesso accade per le persone note o che esercitano funzioni pubbliche, per cui la sfera privata deve prevalere tutte le volte in cui le notizie e le informazioni personali non riguardano il ruolo ricoperto o la loro vita pubblica e i dati devono essere trattati, pur sempre, nel rispetto della dignità umana.
L’Autorità Garante nel provvedimento dell’aprile 2019 fa leva proprio su questo principio, ritenendo che nel caso di specie sia stato oggetto di violazione. Il contenuto del provvedimento riprende quanto già affermato a riguardo nel 2014, quando il Garante era stato chiamato a pronunciarsi sulla liceità della pubblicazione di alcune foto aeree dell’abitazione e dell’indirizzo di residenza di un personaggio pubblico su un noto quotidiano.
Oggi, come allora, indipendentemente dal mezzo di diffusione – i social network sono stati equiparati per potenziale diffusività ai quotidiani -, il Garante ha ritenuto illecita la diffusione dell’indirizzo di residenza, di immagini della via e dell’abitazione, poiché si tratta di un trattamento di dati personali eccedente rispetto alle finalità di informazione e di critica legittimamente perseguite.
Trattamento dei dati personali a fini personali o domestici
Questo è quanto accade nel caso di diffusione ad opera di un giornalista, ma, qualora a pubblicare queste informazioni fosse un soggetto privato, quali regole si applicherebbero?
Il Codice della privacy ante GDPR
Prima del GDPR, l’art. 23 d.lgs. 196/2003 prevedeva che il trattamento dei dati personali da parte di privati o di enti pubblici economici fosse ammesso solo con il consenso dell’interessato. Questa disposizione, così come l’intero Codice, trovava applicazione, secondo l’art. 5, in tutti i trattamenti di dati personali effettuati da persone fisiche, per fini esclusivamente personali, solamente nel caso in cui i dati trattati fossero destinati ad una “comunicazione sistematica o alla diffusione”. In tal modo, la liceità veniva subordinata proprio al consenso dell’interessato.
Tra i trattamenti destinati alla “diffusione”, secondo costante giurisprudenza comunitaria, occorreva far rientrare anche la pubblicazione di dati personali su social network. Questo comportava quindi che qualsiasi pubblicazione dovesse avvenire rispettando il Codice della Privacy e, di conseguenza, il meccanismo del consenso preventivo.
Il nuovo Codice della Privacy
Con il d.lgs. 101/2018 sia l’art. 5 che l’art. 23 del d.lgs. 196/2003 sono stati abrogati.
Per comprendere quali disposizioni di legge sono applicabili al trattamento effettuato dal privato occorre quindi partire dal GDPR. L’art. 2 e, in maniera più dettagliata, il considerando 18 del Regolamento affermano che le disposizioni del Regolamento non si applicano alle persone fisiche per l’esercizio di “attività a carattere esclusivamente personale o domestico”.
Mentre il precedente art. 5 d.lgs. 196/2003 includeva nell’ambito di applicazione tutte le ipotesi di diffusione dei dati, l’art. 2 GDPR esclude questa possibilità, restringendo, di fatto, l’ambito di applicazione della normativa sulla privacy. Il considerando 18 fornisce chiarimenti a riguardo. In primis, afferma che, affinché le attività a carattere personale o domestico possano essere escluse, non devono avere connessioni con un’attività commerciale o professionale. In secondo luogo, si pronuncia proprio sui social network, specificando che le attività personali o domestiche in questione comprendono anche “la corrispondenza e gli indirizzari e l’uso dei social network e attività online intraprese nel quadro di tali attività”. In questo modo, gran parte dei trattamenti effettuati dai soggetti privati diventa autonoma, svincolata dal Regolamento e dal consenso dell’interessato, che non sarà più necessario.
La conseguenza è che il privato, al contrario del giornalista, in caso di trattamento illecito non potrà essere sanzionato dal Garante per la violazione del Regolamento Europeo. Qualora, però, le finalità dell’attività di diffusione sui social non sia meramente personali o assumano un carattere misto, il Regolamento tornerà ad essere vincolante.
Tuttavia, quanto su esposto, merita necessariamente una precisazione. La non applicazione del GDPR non rende di per sé qualsiasi trattamento lecito: che lo stesso avvenga per fini giornalistici, e quindi nel rispetto del Regolamento, oppure che avvenga per fini personali, e quindi senza tener conto del GDPR, troverà sempre applicazione l’art. 167 d.lgs.196/2003 (Trattamento illecito di dati), come riformato a seguito dell’entrata in vigore del Regolamento. In esso infatti si disciplina un reato comune, che in quanto tale è applicabile a chiunque.
Per tutte queste considerazioni è possibile dire che, in determinate circostanze, il trattamento di dati personali potrà avvenire anche senza il preventivo consenso dell’interessato, ma questo trattamento non dovrà arrecare danno all’interessato. Nel caso in cui ciò accada e, cioè, qualora la pubblicazione sul social network dell’indirizzo di residenza o di qualsiasi altro dato personale, effettuata da un giornalista, da un privato o da qualsiasi altra persona fisica, avvenga, al fine di trarre per sé o per altri un profitto ovvero di arrecare danno all’interessato, si configurerà l’ipotesi di reato prevista dall’art. 167, punita dall’ordinamento con la reclusione da sei mesi ad un anno e sei mesi.
Mail phishing, il caso di Netflix Irlanda. Siate consapevoli dei rischi
Ransomware, in Florida una città si arrende e paga 600mila dollari per riavere i propri dati