Il fatto
Nelle scorse settimane si è ampiamente diffusa, su quotidiani e siti on-line, la notizia del piano di alcuni gruppi definiti “no vax” di diffondere, sui vari social media e su chat, informazioni strettamente personali di medici, giornalisti, politici favorevoli alla vaccinazione e all’istituzione del Green-pass.
In particolare, secondo quanto riportato da alcuni quotidiani e siti on-line, il piano sarebbe nato all’interno di un canale telegram , che ha il principale obiettivo di radunare tutti coloro che vogliono opporsi al c.d. Green pass (cioè la certificazione verde relativa all’avvenuta vaccinazione anti covid-19 o la guarigione dalla malattia o l’effettuazione di un tampone negativo nei giorni immediatamente precedenti). Secondo i suddetti siti giornalistici, una volta intrapresa l’iniziativa attraverso questo canale, sarebbe partita sui social una vera e propria “caccia” a politici, medici e giornalisti che si sono proclamati favorevoli al vaccino, finalizzata, appunto, ad individuare coloro che in qualche modo prendono decisioni o, semplicemente, si espongono nella lotta contro il covid-19.Successivamente, sempre secondo i summenzionati quotidiani e siti on-line, i gruppi di cui sopra avrebbero manifestato l’intenzione di diffondere, attraverso canali social e chat, i numeri di telefono privati, dei centralini di istituzioni (compreso Palazzo Chigi), fino agli indirizzi di casa di virologi e medici e in generale dei soggetti individuati come sopra detto.
L’avvertimento del Garante
Il Garante per la protezione dei dati personali, avendo preso visione delle suddette notizie di stampa/giornalistiche, ha ritenuto opportuno un intervento sotto forma di raccomandazione per ricordare ai soggetti coinvolti il rispetto della normativa in materia di protezione dei dati personali.
In particolare, sul proprio sito internet istituzionale, il Garante ha formulato il proprio monito ricordando che mettere in rete, quindi diffondere, senza consenso, dati personali, può configurarsi, ai sensi della vigente normativa sulla privacy, come atto illecito, potendo poi determinare l’applicazione di gravi sanzioni.
La normativa in materia di trattamento dei dati personali
Appare inevitabile a questo punto analizzare la normativa, europea e nazionale, dettata in materia di trattamento di dati personali al fine di comprendere quali risvolti giuridici possono avere le azioni di diffusione su internet o sui social media di numeri di telefono o indirizzi di residenza di persone fisiche.
A livello europeo, il cuore della normativa è rappresentato dal c.d. GDPR, Regolamento UE n. 2016/679 del 26 aprile 2016 relativo alla protezione dei dati delle persone fisiche con riguardo al trattamento dei dati personali (di seguito anche GDPR o Regolamento). Questo intervento del Parlamento e del Consiglio europeo ha avuto l’obiettivo di rendere omogena la normativa in materia di privacy all’interno del territorio dell’Unione Europea. A livello nazionale, il GDPR è stato recepito attraverso l’adozione del D. lgs. 101/108 (disposizioni per adeguamento della normativa nazionale alle disposizioni del Regolamento 2016/679) che ha novellato il Codice in materia di protezione dei dati personali, D. lgs. 196/2003 (di seguito Codice privacy) abrogando gli articoli incompatibili con la normativa europea.
Gli episodi relativi alla diffusione, nelle chat o nei canali social, di dati personali quali numeri di telefono e indirizzi di casa, configura infatti una violazione del GDPR e del codice privacy.
In particolare, ai sensi dell’art. 4 del Regolamento si deve intendere per “dato personale” qualsiasi informazione riguardante una persona fisica indentificata o identificabile. In base a questa definizione, è ragionevole considerare i numeri di telefono e gli indirizzi di casa relativi a persone fisiche come dati personali. Parlare, invece, di trattamento di dati personali significa fare riferimento a qualsiasi operazione o insieme di operazioni, come ad esempio la raccolta, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione, di dati personali.
Con riguardo specifico all’attività di diffusione, ricompresa nel caso che è stato oggetto del monito del Garante, l’art. 2, com.4, lett. b) del Codice dispone che la diffusione consiste nell’attività di dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Chiarito cosa si debba intendere per dato personale, per trattamento e per diffusione dei dati personali, la normativa europea indica, all’art. 5, i vari principi che devono essere applicati all’attività di trattamento dei dati personali. Tra questi vi rientrano, innanzitutto, i principi di liceità, correttezza e trasparenza in base ai quali, appunto, i dati personali devono essere trattati nei confronti dell’interessato (ossia il soggetto identificato o identificabile) in modo trasparente, lecito e corretto; è previsto, anche, che l’attività di trattamento dei dati avvenga nel rispetto del principio di limitazione della finalità, in base al quale i dati personali vengono raccolti per determinate finalità che siano al contempo legittime ed esplicite.
Ebbene, affinché un’attività di trattamento dei dati personali possa essere considerata lecita, in base a quanto disposto all’art. 6 del Regolamento, è necessario che ricorra almeno una delle condizioni contenute nell’articolo medesimo[1]. Tra queste, per quanto qui di interesse, viene menzionato il consenso del soggetto interessato: ciò significa che in presenza del consenso dell’interessato al trattamento dei dati personali, l’attività è considerata lecita. Il consenso costituisce, allora, una base giuridica in presenza della quale un trattamento viene considerato lecito.
In mancanza, invece, del consenso dell’interessato oppure di almeno una delle altre condizioni previste dal suddetto art. 6 (e elencate nella nota 1 del presente commento), il trattamento dati si configura come illecito.
Nel caso di specie, quindi, il Garante ritiene – correttamente – che la pubblicazione sui social network o nelle chat dei numeri di telefono o degli indirizzi di residenza di persone fisiche, senza il consenso di questi ultimi (ed in mancanza altresì di una delle altre condizioni di cui si è detto sopra), costituisce un trattamento illecito e quindi una violazione alla richiamata normativa privacy.
Il regime sanzionatorio
La raccomandazione del Garante segnala altresì come da un tale atto illecito possano scaturire le sanzioni previste dalla medesima normativa., che potranno quindi essere applicate ai trasgressori.
In particolare, a livello sanzionatorio, l’art. 84 del Regolamento affida agli Stati Membri il compito di predisporre sanzioni che siano effettive proporzionate e dissuasive per gli episodi che pongono in essere violazioni della privacy, alternative rispetto alle sanzioni amministrative pecuniarie previste dal Regolamento. Tra le fattispecie di reato, previste dal Codice privacy italiano, merita ricordare gli artt. 167, 167-bis, 167-ter relativamente al trattamento illecito di dati, alla comunicazione e diffusione illecita di dati personali e all’acquisizione fraudolenta di dati personali.
Consigliamo il CORSO online
Cybersecurity: le nuove prospettive di lavoro per l’avvocato
Corso on-line in diretta
a cura di Luisa Di Giacomo e Enrico Amistadi
Note
[1] Art. 6, comma 1, GDPR: “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti”.
Art. 6, comma 2, GDPR: “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX”.
Scrivi un commento
Accedi per poter inserire un commento