Il Garante ha ricordato che è illecita la diffusione su internet di numeri di telefono e indirizzi di medici, giornalisti e politici, senza il loro consenso

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Garante per la protezione dei dati personali: comunicato stampa del 31.08.2021 sulla diffusione di indirizzi e numero di telefono cellulare in chat e social

Il fatto

Nelle scorse settimane si è ampiamente diffusa, su quotidiani e siti on-line, la notizia del piano di alcuni gruppi definiti “no vax” di diffondere, sui vari social media e su chat, informazioni strettamente personali di medici, giornalisti, politici favorevoli alla vaccinazione e all’istituzione del Green-pass.

In particolare, secondo quanto riportato da alcuni quotidiani e siti on-line, il piano sarebbe nato all’interno di un canale telegram , che ha il principale obiettivo di radunare tutti coloro che vogliono opporsi al c.d. Green pass (cioè la certificazione verde relativa all’avvenuta vaccinazione anti covid-19 o la guarigione dalla malattia o l’effettuazione di un tampone negativo nei giorni immediatamente precedenti). Secondo i suddetti siti giornalistici, una volta intrapresa l’iniziativa attraverso questo canale, sarebbe partita sui social una vera e propria “caccia” a politici, medici e giornalisti che si sono proclamati favorevoli al vaccino, finalizzata, appunto, ad individuare coloro che in qualche modo prendono decisioni o, semplicemente, si espongono nella lotta contro il covid-19.Successivamente, sempre secondo i summenzionati quotidiani e siti on-line, i gruppi di cui sopra avrebbero manifestato l’intenzione di diffondere, attraverso canali social e chat, i numeri di telefono privati, dei centralini di istituzioni (compreso Palazzo Chigi), fino agli indirizzi di casa di virologi e medici e in generale dei soggetti individuati come sopra detto.

L’avvertimento del Garante

Il Garante per la protezione dei dati personali, avendo preso visione delle suddette notizie di stampa/giornalistiche, ha ritenuto opportuno un intervento sotto forma di raccomandazione per ricordare ai soggetti coinvolti il rispetto della normativa in materia di protezione dei dati personali.

In particolare, sul proprio sito internet istituzionale, il Garante ha formulato il proprio monito ricordando che mettere in rete, quindi diffondere, senza consenso, dati personali, può configurarsi, ai sensi della vigente normativa sulla privacy, come atto illecito, potendo poi determinare l’applicazione di gravi sanzioni.

La normativa in materia di trattamento dei dati personali

Appare inevitabile a questo punto analizzare la normativa, europea e nazionale, dettata in materia di trattamento di dati personali al fine di comprendere quali risvolti giuridici possono avere le azioni di diffusione su internet o sui social media di numeri di telefono o indirizzi di residenza di persone fisiche.

A livello europeo, il cuore della normativa è rappresentato dal c.d. GDPR, Regolamento UE n. 2016/679 del 26 aprile 2016 relativo alla protezione dei dati delle persone fisiche con riguardo al trattamento dei dati personali (di seguito anche GDPR o Regolamento). Questo intervento del Parlamento e del Consiglio europeo ha avuto l’obiettivo di rendere omogena la normativa in materia di privacy all’interno del territorio dell’Unione Europea. A livello nazionale, il GDPR è stato recepito attraverso l’adozione del D. lgs. 101/108 (disposizioni per adeguamento della normativa nazionale alle disposizioni del Regolamento 2016/679) che ha novellato il Codice in materia di protezione dei dati personali, D. lgs. 196/2003 (di seguito Codice privacy) abrogando gli articoli incompatibili con la normativa europea.

Gli episodi relativi alla diffusione, nelle chat o nei canali social, di dati personali quali numeri di telefono e indirizzi di casa, configura infatti una violazione del GDPR e del codice privacy.

In particolare, ai sensi dell’art. 4 del Regolamento  si deve intendere per “dato personale” qualsiasi informazione riguardante una persona fisica indentificata o identificabile. In base a questa definizione, è ragionevole considerare i numeri di telefono e gli indirizzi di casa relativi a persone fisiche come dati personali. Parlare, invece, di trattamento di dati personali significa fare riferimento a qualsiasi operazione o insieme di operazioni, come ad esempio la raccolta, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione, di dati personali.

Con riguardo specifico all’attività di diffusione, ricompresa nel caso che è stato oggetto del monito del Garante, l’art. 2, com.4, lett. b) del Codice dispone che la diffusione consiste nell’attività di dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Chiarito cosa si debba intendere per dato personale, per trattamento e per diffusione dei dati personali, la normativa europea indica, all’art. 5, i vari principi che devono essere applicati all’attività di trattamento dei dati personali. Tra questi vi rientrano, innanzitutto, i principi di liceità, correttezza e trasparenza in base ai quali, appunto, i dati personali devono essere trattati nei confronti dell’interessato (ossia il soggetto identificato o identificabile) in modo trasparente, lecito e corretto; è previsto, anche, che l’attività di trattamento dei dati avvenga nel rispetto del principio di limitazione della finalità, in base al quale i dati personali vengono raccolti per determinate finalità che siano al contempo legittime ed esplicite.

Ebbene, affinché un’attività di trattamento dei dati personali possa essere considerata lecita, in base a quanto disposto all’art. 6 del Regolamento, è necessario che ricorra almeno una delle condizioni contenute nell’articolo medesimo[1]. Tra queste, per quanto qui di interesse, viene menzionato il consenso del soggetto interessato: ciò significa che in presenza del consenso dell’interessato al trattamento dei dati personali, l’attività è considerata lecita. Il consenso costituisce, allora, una base giuridica in presenza della quale un trattamento viene considerato lecito.

In mancanza, invece, del consenso dell’interessato oppure di almeno una delle altre condizioni previste dal suddetto art. 6 (e elencate nella nota 1 del presente commento), il trattamento dati si configura come illecito.

Nel caso di specie, quindi, il Garante ritiene – correttamente – che la pubblicazione sui social network o nelle chat dei numeri di telefono o degli indirizzi di residenza di persone fisiche, senza il consenso di questi ultimi (ed in mancanza altresì di una delle altre condizioni di cui si è detto sopra), costituisce un trattamento illecito e quindi una violazione alla richiamata normativa privacy.

Il regime sanzionatorio

La raccomandazione del Garante segnala altresì come da un tale atto illecito possano scaturire le sanzioni previste dalla medesima normativa., che potranno quindi essere applicate ai trasgressori.

In particolare, a livello sanzionatorio, l’art. 84 del Regolamento affida agli Stati Membri il compito di predisporre sanzioni che siano effettive proporzionate e dissuasive per gli episodi che pongono in essere violazioni della privacy, alternative rispetto alle sanzioni amministrative pecuniarie previste dal Regolamento. Tra le fattispecie di reato, previste dal Codice privacy italiano, merita ricordare gli artt. 167, 167-bis, 167-ter relativamente al trattamento illecito di dati, alla comunicazione e diffusione illecita di dati personali e all’acquisizione fraudolenta di dati personali.

Consigliamo il CORSO online

Cybersecurity: le nuove prospettive di lavoro per l’avvocato
Corso on-line in diretta
a cura di Luisa Di Giacomo e Enrico Amistadi

Note

[1] Art. 6, comma 1, GDPR: “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti”.

Art. 6, comma 2, GDPR: “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX”.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!