NEWS

Romania: utente posta su Facebook dati personali altrui senza consenso e viene sanzionato per violazione del Gdpr

Il post sul profilo social in rete con dati altrui senza consenso è violazione della privacy. Con conseguente sanzione pecuniaria. Il garante della Romania ha contestato a una persona fisica la violazione di due articoli del regolamento Ue sulla privacy n. 2016/679 (Gdpr): l'art. 5, che elenca i principi del trattamento, l'art. 6 sul consenso dell'interessato e l'art. 14 sull'informativa agli interessati. Ne ha dato notizia lo stesso Garante romeno con un comunicato del 30 luglio 2021.

Post su altri, si viola la privacy

Nella vicenda in esame la persona ha pubblicato alcuni contenuti sul suo profilo di un social network (Facebook). Oltre a questa condotta online, è stata considerata illegittima un'azione del mondo reale e cioè la distribuzione di materiale cartaceo (volantini). In entrambi i casi il responsabile ha diffuso dati personali di altre persone. Sull'account del social network è stata caricata un'immagine del listino paga della vittima; il materiale cartaceo comprendeva fotografie, registri degli iscritti a una scuola dell'infanzia, recanti i nomi di minori di età. Il Garante ha avviato su questi fatti una apposita istruttoria e ha concluso che il responsabile non ha dimostrato di avere adempiuto gli obblighi previsti dal Gdpr e, anzi, ha violato gli articoli relativi alla liceità dei trattamenti e all'obbligo di dotarsi del preventivo consenso della persona cui si riferiscono i dati personali trattati.

Inoltre, secondo il Garante romeno, la persona in questione non ha dimostrato di aver fornito agli interessati le prescritte informative a riguardo del trattamento dei dati personali contenuti nei documenti diffusi, violando così l'articolo 14 Gdpr, relativo al caso di raccolta dati presso soggetti diversi dall'interessato. Il Garante ha anche tenuto conto del fatto che si è trattato della diffusione di numerosi dati personali: dalle riproduzioni delle buste paga era possibile estrarre nome, cognome, codice fiscale, luogo di lavoro, posizione e stipendio.

Il cuore del problema è l'articolo 2 del Gdpr, che dice quando non si applica il Gdpr e, tra gli altri casi, elenca anche il caso dei trattamenti effettuati da una persona fisica per l'esercizio di attività a carattere «esclusivamente» personale o domestico. Questo è uno dei tanti casi del Gdpr in cui il significato di una norma ruota tutto attorno a un elemento valutativo, soggettivo, suscettibile di innumerevoli interpretazioni. Tutto qui ruota attorno all'avverbio «esclusivamente». Così, quando una persona memorizza i dati dei suoi amici per organizzare attività del tempo libero certo conserva e tratta i dati dei suoi amici per un'attività di carattere «esclusivamente» personale. Il quesito, risolto negativamente dal Garante romeno, è se caricare un post su un profilo social con dati di altri sia un'attività a carattere esclusivamente personale.

Al riguardo, si può riferire che «esclusivamente» significa che la portata della circolazione dei dati è limitata a un ambito circoscritto. Si può anche aggiungere che l'avverbio evoca situazioni in cui chi compie l'attività mantiene il pieno controllo della situazione e può determinare se la circolazione di dati possa avvenire o debba cessare e possa decidere come la circolazione possa avere luogo.

Se si risponde «no» alla domanda se chi posta qualcosa sul social abbia il dominio della situazione, allora vuol dire che non ha il potere di «escludere» altri e che il requisito cristallizzato nell'avverbio «esclusivamente» non ricorre. Ma arrivare a questa conclusione, significa aprire una voragine.

Se non siamo fuori dal Gdpr, vuol dire che ci siamo dentro e questo implica dover adempiere a tutti gli obblighi posti a carico dei titolari del trattamento. Ora, si immagini la situazione dell'utente social romeno, che sarà caduto dalle nuvole quando gli hanno chiesto conto del fatto di non avere inviato un'informativa e di non avere raccolto il consenso dei soggetti riprodotto nei documenti postati.

Più in generale, la questione deriva dall'apparente facilità utilizzo di strumenti disponibili sul palmo di mano, dalla generale ignoranza del funzionamento di apparecchi elettronici e funzioni, dalla minimizzazione dei rischi e delle responsabilità. Tutto ciò va unito al fatto che ciò che si carica sulla rete Internet prende strade imprevedibili: su Internet non esiste lo spazio e non esiste il tempo e una foto potrà viaggiare ovunque ci sia un dispositivo collegato e per sempre, cioè ogni volta che un dispositivo sia collegato.

La velocità di caricamento di un post trascina via la riflessione se ciò che si sta facendo sia corretto e lecito oppure biasimevole e punito. La pronuncia romena si colloca sulla scia delle opinioni che mirano a far emergere la consapevolezza della rilevanza giuridica delle azioni quotidiane e spinge a pensare a ciò che si sta per fare in rete. A maggior ragione quando l'intento che spinge a caricare un post è caratterizzato da animosità e conflittualità. Raccontare qualcosa di negativo sul conto di un proprio avversario mette fuori gioco un argomento che si può normalmente usare per legittimare i post caricati sulla rete Internet.

È, infatti, evidente che nei casi di rapporti non amichevoli o completamente contenziosi non si potrà sostenere la prestazione di un consenso tacito da parte dell'interessato, al quale con l'informalità e la colloquialità dei contatti amichevoli si è detto che le foto sarebbero state inserite nel profilo del social.

di Antonio Ciccia Messina (Italia Oggi del 6 settembre 2021)

Note Autore

FederPrivacy FederPrivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Irlanda: maxi sanzione da 225 milioni di euro a WhatsApp
Next Belgio: secondo l'Authority 'le estensioni di applicazione del Green Pass aumentano notevolmente l’ingerenza nella vita privata delle persone'

25 maggio 2023: il Privacy Day Forum al CNR di Pisa nel giorno del 5° anniversario del GDPR

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy