L’Avvocato Di Vito risponde: Posso inviare ad altri foto, video o audio di qualcuno o inoltrare i messaggi che ho ricevuto?

Prosegue la rubrica a cura dell’Avvocato Antonio Di Vito

Leggi il primo articolo: Di chi è il lastrico solare? Chi paga le spese? L’Avvocato Di Vito risponde

PROVINCIA – La privacy coinvolge ogni comportamento di rilievo sociale e nasce dalla capacità comunicative dell’essere umano. Di continuo scambiamo informazioni di ogni tipo su noi stessi e sugli altri anche senza parlare, scrivere o “chattare”. Ad esempio, già fare la spesa ed acquistare un prodotto dice qualcosa di noi: qualcosa che, nell’esempio, può interessare il venditore, il produttore e il pubblicitario.

Questo articolo vuole dare indicazioni di massima sulle regole della privacy, il cui scopo è far convivere due estremi che vanno in direzioni opposte: da un lato la libera circolazione delle informazioni sugli esseri umani, fondata sulla loro socialità e quindi anche sugli scambi economici, dall’altro la protezione di una sfera individuale che limita quella circolazione. I dati personali sono infatti non solo oggetto di un diritto dell’individuo (qui la dimensione è singolare e tende alla restrizione) ma anche beni commerciabili (qui la dimensione è generale e tende all’espansione).

Per rendere la lettura meno pesante ometto i riferimenti normativi e gli estremi dei precedenti. Infine, questo articolo non sostituisce mai il parere di un esperto che esamini in prima persona cosa è successo alla vostra privacy (e che non sono io, quindi questo articolo non serve neppure a suscitare altre domande diverse dalle seguenti).

Indice delle domande:

Cosa sono la privacy e i dati personali?

Cosa è un trattamento dei dati personali? Chi sono l’interessato e il titolare?

Che regole ci sono per i numeri di cellulare e gli l’indirizzi e-mail che ho memorizzato nel telefono?

Le telecamere di sorveglianza di casa mia hanno a che fare con la privacy?

La privacy si applica nei social?

Se devo esporre a qualcuno i dati personali miei o di altri, posso rifiutarmi per tutelare la privacy?

Devo seguire le regole sulla privacy se voglio criticare qualcuno?

Quando clicco su internet o firmo qualcosa sulla privacy, di che si tratta?

Cosa è l’informativa sulla privacy?

Quando non serve l’informativa?

Cosa è il consenso per la privacy?

Quando non serve il consenso?

Quando l’informativa e il consenso non sono validi?

Posso inviare ad altri le foto/i video/gli audio di qualcuno o inoltrare i messaggi che ho ricevuto?

E’ meglio se nella foto/nel video cancello/oscuro il volto delle persone ritratte?

Quando è violata la privacy si possono chiedere i danni?

Se non ho diritto ai danni, come faccio a tutelare la mia privacy?

E le multe del Garante?

 

Cosa sono la privacy e i dati personali?

La privacy o riservatezza è il diritto che ciascuno ha di escludere gli altri dalle informazioni sulla propria persona. Prima che vi fossero regole specifiche sulla privacy si parlava del “diritto ad essere lasciati soli”. E’ implicita l’idea del “tenere lontani” gli altri da qualcosa di immateriale. Una figura analoga dal punto di vista materiale è il recinto che il proprietario mette intorno al proprio terreno per impedire l’accesso agli estranei.

E’ “dato personale” ogni informazione che identifichi o renda identificabile la persona alla quale l’informazione è riferita. Parafrasando una definizione giudiziaria, il “dato” è il contenitore vuoto di qualsiasi contenuto che, se riguarda un individuo, è “personale” ed ha perciò a che fare con la riservatezza. E’ rilevante non il contenitore (ad esempio una registrazione o un foglio di carta) ma il suo contenuto (ciò che si vede o si sente nella registrazione o che si legge sul foglio).

I dati personali sono infiniti: le generalità, la targa dell’auto e della moto, il numero di telefono, l’indirizzo e-mail e quello di residenza, le vicende sentimentali, l’uso di medicine,  l’immagine o aspetto esteriore della persona, le scelte elettorali, il patrimonio, l’iscrizione ad un sito, gli orari di lavoro, i viaggi, gli acquisti e così via.

Anche la foto di un giardino o di un animale da compagnia contiene dati personali se è possibile risalire al loro proprietario.

Non esiste un elenco ufficiale o completo di dati personali, che sono pure quelli già noti a tutti o di facile consultazione.

 

Cosa è un trattamento dei dati personali? Chi sono l’interessato e il titolare?

I dati personali sono suscettibili di molte forme di trattamento, ossia di operazioni che si basano sull’utilità del dato e che vanno dalla loro raccolta e conservazione alla modificazione, pubblicazione e cancellazione.

E’ soggetto alle regole sulla privacy il trattamento automatizzato, che cioè avviene in tutto o in parte con mezzi tecnologici operanti senza coinvolgimento umano. Se invece è trattamento solo manuale, occorre che riguardi dati presenti in un archivio (un insieme organizzato: ad esempio un catalogo, una lista alfabetica, un elenco pubblico o privato) oppure destinati a finirvi.

Soprattutto, il trattamento deve avere finalità determinate, esplicite e legittime, deve avere una durata contenuta e va eseguito utilizzando il minimo di dati occorrenti per le finalità stesse.

Chi decide se, come e perché effettuare un trattamento è il suo “titolare”. La persona alla quale si riferiscono i dati è l’ “interessato”. Un singolo trattamento può essere svolto da più titolari o, su loro incarico, da ulteriori soggetti.

 

Che regole ci sono per i numeri di cellulare e gli l’indirizzi e-mail che ho memorizzato nel telefono?

Le regole sulla privacy non si applicano ai trattamenti dei dati per attività esclusivamente personali oppure a carattere domestico: o solo individuali oppure svolti all’interno di una ristretta cerchia unita da vincoli familiari o di convivenza.

Perciò non devo adempiere a nulla di speciale se uso il numero e l’indirizzo di qualcuno soltanto per contattarlo.

E’ attività di carattere solo domestico il trasferimento del dato entro il gruppo dei familiari e conviventi per soddisfare le esigenze proprie del gruppo stesso inteso come comunità privata, ma non oltre. Ad esempio: non per l’attività commerciale svolta da uno degli appartenenti al gruppo o magari da tutto quanto il gruppo.

 

Le telecamere di sorveglianza di casa mia hanno a che fare con la privacy?

No, se le telecamere sono dirette soltanto verso le aree di diretto interesse di chi usa il sistema di videosorveglianza a propria tutela: il domicilio e le sue pertinenze, come ad esempio le scale di ingresso all’abitazione, con esclusione di ogni zona altrui. Si rimane nell’attività esclusivamente domestica.

Tutto cambia se le telecamere inquadrano le scale d’ingresso che conducono anche alla porta del vicino di casa, oppure anche un angolo della strada pubblica o una parte del cortile condominiale. E’ decisivo l’angolo di visuale che va limitato massimamente a ciò che è personale e domestico. Se le telecamere non possono non inquadrare un minimo di spazi altrui, è in corso un trattamento di dati personali e ci sono prescrizioni da seguire (e qui non ne parliamo).

 

La privacy si applica nei social?

No, ma con qualche precisazione.

Secondo le intenzioni espresse dal Parlamento europeo, l’uso delle reti sociali o social network è una delle attività a carattere personale o domestico che abbiamo ricordato sopra, al pari della corrispondenza e degli indirizzari (gli elenchi personali di indirizzi).

La rete sociale non è l’intero internet né vi appartiene tutto il popolo dei cibernauti: è caratterizzata da un gruppo di soggetti iscritti e prevede un profilo dell’utente, l’interazione con altri utenti, l’inserimento di dati e vari livelli di loro visibilità o di esclusione.

Perciò se pubblico qualcosa (faccio un “post”) su Facebook non devo osservare le regole sulla privacy.

L’esenzione riguarda l’uso, per cui non si applica ai proprietari o gestori del social ossia a coloro che forniscono agli utenti i mezzi per “postare”. Tali soggetti sono obbligati a rispettare le regole sulla privacy: svolgono un’attività organizzata per la raccolta e lo scambio di informazioni altrui che non è qualificabile come semplicemente personale o domestica (spesso si tratta di attività economica su scala internazionale). Per lo stesso motivo l’esenzione non si applica neanche a chi fa pubblicità commerciale nei social.

Soprattutto, è da notare che non c’è solo la privacy e che i social non sono una virtuale terra di nessuno in cui diventa lecito ciò che non lo è nel mondo reale.

Chi “posta” deve tenere conto che esistono diritti individuali diversi dalla riservatezza, tra i quali il diritto all’immagine in senso proprio (ritratto, raffigurazione o aspetto esteriore) e il diritto alla reputazione e al decoro cioè all’immagine in senso atecnico: l’onore, l’insieme di doti sociali, fisiche, intellettuali, lavorative e così via.

L’esenzione dalle regole della privacy non tocca le regole che riconoscono e tutelano quei diritti individuali.

Di conseguenza, è indispensabile il consenso della persona ritratta se voglio “postare” o condividere via social la foto o il video che ritraggono qualcuno. L’immagine degli altri non diventa “mia” soltanto perché uso Facebook. Non è il medesimo consenso disciplinato dalle regole della privacy: ma è pur sempre consenso e non deve tanto riguardare la ripresa video-fotografica in sé, quanto piuttosto la loro pubblicazione.

Ci sono alcune eccezioni al consenso: ad esempio le immagini di fatti, avvenimenti, cerimonie di interesse pubblico o accaduti in pubblico. L’eccezione non è dilatabile: la foto della folla in delirio allo stadio è una cosa, il primo piano sul tifoso sofferente per l’autogol è un’altra. La prima immagine ha ad oggetto la dimensione pubblica della partita di calcio, la seconda no: polarizza l’attenzione sul singolo che “vive” l’evento pubblico e sulla sua riconoscibilità, non sull’evento.

Altra eccezione è l’immagine dei personaggi noti o che rivestono cariche pubbliche. “Postare” la foto del sindaco, del presentatore televisivo o del goleador non richiede il loro consenso se si tratta di immagini connesse alla loro notorietà, celebrità od al loro essere di pubblico “spessore” ed ai motivi per cui sono tali: ma non se le immagini ritraggono loro vicende familiari o fatti privati, quando cioè il personaggio è “alla pari” di chiunque altro. Perciò spetta al vip seduto al ristorante decidere se interrompere la cena e lasciarsi fare il selfie con un fan, avendo la certezza quasi matematica che il selfie finirà dritto su Facebook.

Infine, il mio “post” non è lecito se danneggia l’altrui dignità: ad esempio, se è l’occasione per denigrare o senz’altro insultare.

La libera manifestazione del pensiero anche critico o satirico, che in teoria potrebbe fondare il mio “post”, ha dei limiti e non domina sui diritti degli altri: ne parliamo (un po’) in seguito.

 

Se devo esporre a qualcuno i dati personali miei o di altri, posso rifiutarmi per tutelare la privacy?

La risposta è nel “devo”!

In determinate circostanze operano regole che stabiliscono il dovere giuridico di esporre certi dati personali propri o altrui. Se c’è un simile dovere non c’è la privacy e viceversa. Riservatezza e dovere di esporre i dati non sono in conflitto, la legge lo ha evitato quando ha previsto quel dovere. Perciò l’esigenza di difendere la privacy sarebbe immaginaria e porterebbe alla violazione del dovere, magari con conseguenze che è meglio evitare.

“Per privacy” il testimone non può rifiutarsi di rispondere, il commerciante non può omettere le generalità del cliente nella fattura, l’automobilista non può rifiutarsi di mostrare patente e libretto alla polizia stradale, l’amministratore condominiale non può tacere la morosità di un condomino in caso di richiesta d’accesso fatta da un altro condomino.

 

Devo seguire le regole sulla privacy se voglio criticare qualcuno?

Sì, se la critica si basa su un trattamento di dati personali.

Posso prescindere dal consenso della persona criticata ma devo stare attento alle ulteriori regole sulla privacy e verificarne l’applicazione e le esenzioni, perché la mia libertà va bilanciata con i diritti altrui e con i miei doveri.

La libertà di manifestare il pensiero anche critico o satirico viaggia insieme alla privacy e ad altri diritti e doveri, non ne prende il posto e si siede accanto. Sia la manifestazione del pensiero che la riservatezza hanno rilievo costituzionale: e tra i diritti che la Costituzione garantisce all’individuo non ne esiste uno che sia “tiranno” sugli altri, come dice la Corte costituzionale, perché tutti insieme compongono la dignità di ciascuna persona. La loro tutela va bilanciata e non può essere frazionata in modo scoordinato così da creare ipotetici conflitti.

E’ insomma sbagliato pensare ad una specie di lotta tra diritti individuali: la libertà di parola “contro” la privacy o “contro” la reputazione e via dicendo.

Se poi si considerano i precedenti relativi a potenziali conflitti tra critica e privacy (o tra critica e reputazione), si scopre che in realtà il conflitto era solo apparente. Qualcuno ha superato il diritto di critica, dunque non ha esercitato una sua libertà ed ha finito per ledere i diritti altrui. Il che naturalmente riguarda anche i social ed ogni forma di comunicazione.

 

Quando clicco su internet o firmo qualcosa sulla privacy, di che si tratta?

Di solito il titolare del trattamento chiede l’accettazione da parte dell’interessato, con firma ad inchiostro o con “click” informatico, di due documenti che sono diversi tra di loro e che la prassi tende a mescolare: l’informativa ed il consenso.

 

Cosa è l’informativa sulla privacy?

L’informativa è una dichiarazione del titolare che rende l’interessato consapevole di certe caratteristiche del trattamento svolto dal titolare stesso. L’informativa serve anche nei casi in cui non è previsto il consenso al trattamento da parte dell’interessato (a parte le poche eccezioni che diremo).

L’informativa spiega con linguaggio semplice e chiaro, tra l’altro, l’identità e i recapiti del titolare, le categorie di dati che sono trattati, a cosa serve e su cosa si basa il trattamento, la durata della conservazione dei dati, la loro origine, i diritti dell’interessato, se i dati saranno trasferiti ad altri soggetti o all’estero, le categorie di quei terzi.

L’informativa deve avere forma scritta, anche elettronica: può essere inviata con e-mail o pubblicata nel sito del titolare. L’informativa può essere verbale solo se l’interessato lo chiede ed è identificato dal titolare, non attraverso il dato personale ma con altri mezzi. Se il numero di interessati è spropositato l’informativa va senz’altro pubblicata.

Non è indispensabile, anche se succede, che l’interessato firmi l’informativa o “clicchi” per ricevuta o per avvenuta lettura, persino dichiarando di aver “ben compreso” (come se ammettere di aver capito fosse utile al titolare, ed invece non lo esonera dal compito di farsi capire).

L’informativa si dà all’interessato subito se il dato personale è raccolto presso di lui. Il termine cambia quando il dato è ricevuto da altre persone: non oltre un mese dal ricevimento o, se ci saranno successive comunicazioni ad ulteriori soggetti, prima che le quelle comunicazioni abbiano inizio.

Alcuni settori sono agevolati: l’avvocato può limitarsi ad un’informativa unica, sintetica ed affissa nello studio.

 

Quando non serve l’informativa?

In via di eccezione, non è tenuto a dare l’informativa il giornalista che sta raccogliendo notizie e rende nota la propria identità; non è necessario dare l’informativa all’interessato che dispone già del contenuto del quale va informato. Se i dati sono ricevuti da persone diverse dall’interessato, l’informativa non è dovuta quando è la legge a disciplinare l’ottenimento e la comunicazione dei dati (per lo più da parte di enti pubblici) o se si è in presenza di un segreto (di Stato o professionale).

 

Cosa è il consenso per la privacy?

Il consenso è una dichiarazione con cui l’interessato accetta il trattamento dei propri dati: deve essere libero e consapevole ed è sempre revocabile. Anche i minorenni possono dare un limitato consenso: chi ha quattordici anni può consentire al trattamento dei propri dati per l’offerta diretta di servizi della società dell’informazione (cioè i servizi a pagamento che avvengono a distanza e per via elettronica, in pratica via internet).

Non è obbligatoria la forma scritta, ma alla fine si sceglie proprio lo scritto perché il titolare deve essere in grado di dimostrare di avere ottenuto dall’interessato il consenso, il che avviene o con un “click” o con una firma. La richiesta di consenso scritto deve presentare una veste grafica ben evidente: già a prima vista l’interessato deve poter capire che sta per approvare uno o più trattamenti.

E’ da notare che il consenso non giustifica da solo tutti i trattamenti: è valido se è informato e se riguarda un trattamento che ha finalità legittime ed esplicite conseguite attraverso dati minimizzati, esatti ed aggiornati. Perciò il consenso presuppone il rispetto di una serie di regole da parte del titolare del trattamento, altrimenti non ha valore né funziona da sanatoria.

 

Quando non serve il consenso?

Il consenso è una delle condizioni che rendono lecito il trattamento, ma non è l’unica e ce ne sono altre che lo sostituiscono.

Non serve il consenso dell’interessato se il trattamento dei suoi dati è necessario per adempiere ad un obbligo legale, per eseguire un contratto di cui l’interessato stesso è parte, oppure per eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Il consenso non serve perché qualcos’altro lo ha sostituito a monte: la legge, il contratto o la presenza di pubblici interessi e poteri.

Il commercialista di fiducia non deve chiedere né avere il consenso del suo cliente per fare la dichiarazione dei redditi (ha già avuto dal cliente l’incarico professionale di scriverla: deve eseguire un contratto con lui); il negoziante non deve chiedere né avere il consenso del compratore per emettere la fattura della merce che ha venduto (è tenuto ad emetterla seguendo le norme fiscali); il vigile urbano non deve chiedere né avere il consenso dell’automobilista per verbalizzare la multa (deve scrivere il verbale: ha il potere-dovere di accertare le infrazioni).

Un altro caso rilevante in cui non serve il consenso si ha quando l’interessato rende manifestamente pubblici i propri dati in aspetti individuali di speciale importanza quali l’origine razziale o etnica, la salute, le opinioni politiche, religiose o filosofiche, l’appartenenza ad un sindacato, l’orientamento sessuale e la vita sessuale, i dati genetici e biometrici. Si tratta di “dati sensibili” secondo una definizione superata dalle attuali regole ma carica di significato.

Un esempio molto ovvio: che un Papa sia cattolico è Lui stesso ad averlo detto apertamente a vaste platee di persone. Non occorre perciò il Suo consenso se in un articolo affermo che l’attuale Papa è di fede cattolica…

Infine, un caso di larga applicazione in cui non serve il consenso si ha quando il trattamento è necessario per conseguire un legittimo interesse del titolare o di altri, sempre che non siano prevalenti i diritti dell’interessato.

Ad esempio, posso utilizzare i dati di qualcuno senza il suo consenso, purché io ne faccia un uso proporzionato alla mia finalità, per:

– presentare la mia pratica edilizia al Comune (dichiaro gli estremi catastali della casa confinante);

– fare causa o presentare querela (contro l’interessato o altri, è uguale);

– manifestare il mio pensiero critico o satirico su una certa persona (se ne è scritto sopra).

In questi esempi la meta esonera dal consenso perché è il perseguimento di legittimi interessi del titolare.

Occorre anzitutto che l’interesse sia “legittimo”. Deve esserci una norma giuridica che mi riconosca un potere o un vero e proprio diritto, così da trovarmi in una posizione qualificata. Non basteranno un principio morale o ideologico né il fin di bene.

In aggiunta, occorre una valutazione bilanciata tra la mia posizione e i diritti altrui. Non posso usare i dati degli altri andando oltre la mia posizione, così da comprimere e negare la sfera giuridica di qualcuno. Altrimenti si deve salvare quest’ultima. Il bilanciamento si fa solo in concreto ed abbiamo visto che non ci sono “diritti tiranni”.

Ad esempio, in un processo non posso presentare come prove alcune informazioni sull’avversario che gli fanno fare brutta figura (in ipotesi, lesive della sua reputazione) se si tratta di dati senza effetto processuale: quando cioè neppure in astratto quelle prove potrebbero orientare la futura decisione in alcuna sua parte (litigo sull’affitto e mostro al giudice un video sull’avversario ubriaco. Però il bilanciamento è fattibile e dà un risultato a me positivo se sostengo di aver dato al mio avversario i soldi per l’affitto, l’avversario nega ma, ubriaco come al solito, non ricorda di averli spesi tutti all’osteria).

 

Quando l’informativa e il consenso non sono validi?

Tra i difetti più frequenti si possono ricordare:

 – la richiesta di consenso e l’informativa di difficile lettura.

Il linguaggio del titolare del trattamento deve essere semplice. Anche chi non studia giurisprudenza, è abituato a parlare in italiano ed usa le parole per intero anziché le sigle, deve essere messo in grado di capire da solo, senza telefonare all’avvocato e senza ricerche su Google, cosa scrive il titolare.

Così non succede se il titolare rimanda di continuo ad articoli di legge senza spiegarli e ricorre a termini inglesi o di gergo aziendal-giuridico.

Ad esempio: “fatto salvo quanto prevede l’art. X, paragrafo Y, lettera Z” (cerco cosa dice quella lettera di quel paragrafo di quell’articolo ma prima dovrei saper sapere cosa è il paragrafo di un articolo, sarà uguale al comma?); “la Procedura Whistleblowing” (cerco la traduzione); “a decorrere dalla data di comunicazione dell’esito finale della Segnalazione all’Organismo di Vigilanza 231” (chi sarà?); “il Titolare ha nominato un Data Protection Officer” (fatta la traduzione devo capire se si tratta di un pubblico ufficiale oppure di un personaggio magari privato, ma molto influente); “sulla base delle appropriate e opportune garanzie previste dagli artt. X o Y” (di nuovo cerco quegli articoli e poi devo capire se le garanzie sono appropriate ed opportune), “in coerenza con quanto previsto all’interno dello strumento normativo Data Retention” (cerco su internet che vuol dire e cerco pure la coerenza).

Magari esibire un gergo da addetti ai lavori “fa manager” o “fa tendenza”, oppure non conviene essere chiari. Magari si conta sul fatto che l’ interessato si stancherà presto e finirà per firmare o “cliccare” senza andare troppo avanti nella lettura. E’ a rischio la consapevolezza del consenso. Invece la chiarezza è d’obbligo e farsi capire spetta al titolare del trattamento;

– l’elenco meticoloso dei dati.

L’informativa ed il consenso si devono dare per categorie di dati personali. Il titolare del trattamento è tenuto a raggruppare, anziché dettagliare, i dati necessari ai trattamenti. Più li dettaglia, più è facile che ne lasci fuori qualcuno, più il testo si fa inutilmente prolisso. Lo stile barocco non è obbligatorio e va sostituito con la sintesi e gli insiemi.

Se scelgo di specificare: “nome, cognome, provincia e comune e data di nascita, provincia e comune di residenza, via/piazza/corso, numero civico, scala e interno”, non sono sicuro di aver incluso lo pseudonimo, il domicilio geografico, il domicilio digitale e la dimora, per cui forse devo arricchire ulteriormente l’elenco. E’ meglio: “generalità e recapiti”, così ho incluso tutto e ho aggiunto pure l’indirizzo e-mail.

Di nuovo, il rischio è che l’interessato si fermi alla prima riga di una lista noiosa, salti le parole e dia un consenso sbrigativo ossia non consapevole.

La specificazione dei dati all’interno di una categoria si fa non per paura di saltarne qualcuno, bensì in funzione del trattamento e dell’interessato: ad esempio, quando deve essere informarlo che servono soltanto la residenza e l’indirizzo e-mail anziché tutti quanti i recapiti;

– il consenso richiesto per trattamenti diversi senza possibilità di scelta.

Il consenso a più trattamenti è talvolta chiesto in modo non trasparente: in mezzo ai trattamenti per i quali non serve il consenso (ad esempio l’esecuzione del contratto) se ne inserisce qualcuno per il quale invece il consenso serve davvero (ad esempio la pubblicità o il marketing). Fatto quel mix, si presenta all’interessato una richiesta finale di consenso in blocco: “acconsento a quanto sopra”.

Invece l’interessato ha il diritto di selezionare quale trattamento approva e quale no. Prima ancora, gli deve essere spiegato se un certo trattamento è inevitabile o facoltativo e cosa succede se non lo accetta. Quando si vogliono fare più trattamenti per i quali occorre il consenso, servono più richieste di consenso distinte per ciascun tipo di trattamento;

– il consenso richiesto per trattamenti ipotetici.

Il consenso è valido se ha una base effettiva cioè se si riferisce a trattamenti esistenti e non ipotetici di dati personali. A loro volta, i dati vanno minimizzati ossia ridotti a quelli necessari. Non è valido il consenso né a trattamenti che forse saranno possibili, né all’uso di dati sovrabbondanti o estranei rispetto alle finalità del trattamento.

E’ il caso della banca che subordini l’esecuzione delle operazioni al consenso del cliente a trattare quei “dati sensibili” (termine desueto ma utile) che abbiamo visto sopra. Se la banca non ha bisogno attuale di simili dati per le operazioni bancarie (nel caso concreto, no) il consenso non è valido. La logica del consenso chiesto a priori e per cautela è negata dai princìpi di effettività del consenso e di minimizzazione dei dati;

– l’indicazione generica del periodo di conservazione dei dati.

Il titolare ha il dovere di informare sul periodo di conservazione dei dati personali, che va contenuto al minimo necessario (come i dati): se non gli è possibile indicare un termine finale, deve dire con quali criteri determina la durata della conservazione. Prima ancora, il titolare deve aver verificato per quanto tempo gli servirà trattare i dati seguendo il principio di minimizzazione della durata.

Sono invece vaghe le spiegazioni del tipo:

– i “tempi strettamente necessari ad espletare le finalità indicate”;

– “il periodo di tempo non superiore a quello indispensabile al raggiungimento degli scopi”; – “potremmo mantenere i tuoi dati fino a dieci anni, ovvero per il maggior termine prescrizionale applicabile, per dimostrare di aver ottenuto il tuo consenso, salvo che non sia indispensabile conservare tali dati per un periodo maggiore ed in conformità con la normativa applicabile”.

Il titolare non ha spiegato niente: “tengo i dati finché serve”. Né può rimandare ad un’imprecisata “normativa applicabile”, perché al contrario esiste una specifica “normativa applicabile” che è quella sulla privacy e che dà a lui stesso il compito di dichiarare fino a quando intende conservare i dati.

In parte le frasi citate copiano alla lettera, con piccole varianti, il testo di alcune regole sul principio di minimizzazione del tempo di conservazione dei dati. Sono regole che affermano un principio astratto. Poi è dovere del titolare applicarlo: è tenuto a decidere in concreto per quanto tempo conserverà i dati e ad informarne l’interessato. L’adempimento insomma non si fa con il copia-e-incolla del principio astratto;

 

– l’indicazione di una massa di destinatari dei dati senza possibilità di scelta.

Se il titolare trasmetterà i dati ad altri deve permettere all’interessato la selezione dei destinatari per categorie suddivise secondo il settore di attività (o settore merceologico: in base al tipo di servizi e prodotti di cui si occupano i destinatari).

Ad esempio, è stato ritenuto non valido il consenso a che i propri dati siano inviati ad istituti di credito ed insieme, senza ulteriore scelta, ad assicurazioni, distributori commerciali, agenzie di comunicazione e di marketing, case automobilistiche, broker, società finanziarie, consulenti finanziari, fornitori di servizi elettrici e/o energetici e di servizi di telefonia fissa e/o mobile, case editrici, distributori e editori di quotidiani, periodici e libri, fornitori di prodotti enogastronomici, di materiale per ufficio e di servizi di televisione digitale e/o satellitare, emittenti televisive, produttori e/o distributori di articoli per l’infanzia eccetera. Ho abbreviato la lista che comprendeva anche i call center plurimandatari,  ampliando all’infinito il numero dei destinatari dei dati perché il call center può ricevere incarico da qualunque operatore economico.

Il trasferimento non frazionabile a terzi eterogenei è illegittimo e determina l’incontrollabile diffusione dei dati ad una platea indistinta di operatori. L’interessato se ne accorge perché viene sommerso dall’offerta crescente di prodotti e servizi disparati (dai bitcoin ai biberon passando per esclusivi coupé) e trova difficile capire verso chi può esercitare i propri diritti.

 

Posso mandare ad altri le foto/i video/gli audio di qualcuno o i messaggi che ho ricevuto?

Sì, se l’invio rientra nell’attività esclusivamente personale o domestica di cui si è già detto, oppure se ciò che invio non contiene alcun riferimento diretto o indiretto a persone, neanche al loro indirizzo e-mail o al loro numero di telefono.

Altrimenti, posso inviare se:

– si applicano le già viste esenzioni dal consenso; in caso diverso:

– ho il consenso della persona identificata o identificabile in base al contenuto di ciò che invio, incluso il mittente del messaggio che inoltro. Se il messaggio fa nome e cognome di persone diverse dal mittente oppure è riferito ad individui determinabili in altro modo (ad esempio: “ti voglio far sapere che il tuo vicino ha detto che” eccetera), devo avere il consenso anche di quelle persone;

– con o senza il consenso, devo considerare se ci vuole l’informativa: è il caso di andare a rileggere la parte che al riguardo ho scritto sopra. Meglio ancora è il caso di approfondire.

Peraltro, ad essere pratici è difficile (non inverosimile né impossibile) che qualcuno sollevi questioni di mancata informativa se ha approvato un invio che soddisfa un suo interesse lecito.

 

E’ meglio se nella foto/nel video cancello/oscuro il volto delle persone ritratte?

Sì, ma può non essere sufficiente.

L’oscuramento o altra analoga manovra dovrebbero rendere anonimo il contenuto della foto o del video. Si esce dal tema della privacy.

Però il dato è personale anche quando la persona è identificabile in modo indiretto. Nonostante gli interventi con i programmi di foto-videoritocco può rimanere ferma la possibilità di capire chi è l’interessato. Qualcuno può identificarlo a partire dalle immagini oscurate, grazie ad altri dati di cui è in possesso e a particolari diversi da quelli oscurati. Il riconoscimento può farsi in via deduttiva, incrociando i dati ed anche per esclusione. Non importa se solo una limitata cerchia di persone è in grado di riconoscere l’interessato, anzi l’identificabilità è più facile proprio nei contesti circoscritti.

Ad esempio, la foto di un’auto con la targa illeggibile è un dato anonimo se il contesto raffigura una colonna di veicoli in autostrada e gli occupanti dei veicoli non si possono distinguere.

Se invece il contesto è un piccolo comune e la foto raffigura un’auto, che diversi cittadini conoscono come l’auto del sindaco, parcheggiata in divieto di sosta davanti alla piazza centrale, abbiamo che il sindaco è identificabile (come automobilista indisciplinato) anche a targa oscurata.

La foto o il video ritraggono parti della realtà ma, pure se manipolate, non garantiscono sempre il totale isolamento dalla realtà stessa da cui sono tratte: salvo che siano foto o video di pura arte astratta (però qui non ci occupiamo di arte).

 

Quando è violata la privacy si possono chiedere i danni?

Sì, ma non si applica il principio per cui “chi sbaglia paga”. E’ risarcita non la violazione di una regola ma il danno che ne deriva: si dice infatti risarcimento “del danno”.

Occorre che la violazione abbia causato, appunto, un danno cioè una lesione effettiva o conseguenza negativa di tipo obiettivo, un’apprezzabile e concreta diminuzione della propria riservatezza o di altri diritti. La prova del danno può essere data anche con ragionamenti indiziari (dall’esistenza di alcuni fatti deduco in via logica l’esistenza del danno) purché si tratti di circostanze reali che permettano di isolare degli effetti negativi.

E’ di solito significativa la risonanza pubblica della violazione della privacy, perché  “pubblico” si contrappone a (nega il) “riservato”.

Ad esempio l’affissione nell’androne condominiale dell’elenco dei condomini in mora nei pagamenti (trattamento illegittimo) può far ritenere probabile che l’elenco sia stato visto non soltanto dai condomini, ma anche dagli estranei che entrano nell’edificio per vari motivi. Più nel condominio sono registrati accessi di terzi e più l’elenco è vistoso, più il danno è evidente.

Viceversa si esclude il diritto al risarcimento se l’informativa era solo incompleta oppure è stata inviata tardi, e se quel difetto non ha avuto alcuna ripercussione sull’interessato.

Il danno può essere sia immateriale, sia economico. Invece non basta un effetto descrivibile in termini soltanto soggettivi e consistente in stati d’animo come ansia, fastidio, stress, tristezza e così via. E’ però diverso se quegli stati d’animo sono il sintomo di un danno alla salute (ma qui non andiamo oltre).

I precedenti europei e italiani non sono allineati su un requisito del risarcimento da lesione della privacy: se il danno debba essere grave e serio, come intendono i precedenti italiani, oppure se non occorra che il danno raggiunga un certo livello di gravità, come intende la Corte di Giustizia dell’Unione Europea che ha confrontato quel requisito con il diritto dell’Unione.

La diversa posizione dipende dal fatto che i precedenti italiani tengono conto dei doveri di solidarietà sociale previsti dalla Costituzione: ognuno è tenuto a tollerare illeciti minori, facilmente sopportabili o “bagatellari”. Invece secondo la Corte europea il requisito in esame non è in linea con il diritto dell’Unione: non assicura un’applicazione coerente ed omogenea della disciplina della privacy.

Certe volte quella diversa posizione è solo apparente perché la soglia di gravità può anche essere letta come soglia di esistenza del danno. I precedenti italiani sul danno “non grave” sono in realtà anche casi di danno inesistente e la distinzione nella prassi giudiziaria non è rigorosissima, ma non serve essere pignoli al riguardo perché il risultato è identico: sia se il danno non c’è, sia se il danno non è grave, niente risarcimento. Quando il danno è accertato come “non grave”, le ripercussioni negative non esistono perché non hanno consistenza valutabile in un processo: più che per mancanza di prove, per indeterminatezza di cosa sarebbe danneggiato. Casi simili né in Italia, né davanti alla Corte europea porterebbero ad un risarcimento. Tutti infatti sono d’accordo che non vi è diritto ad essere risarciti se la violazione della disciplina a tutela della privacy non ha prodotto obiettive conseguenze a carico dell’interessato.

 

Se non ho diritto ai danni, come faccio a tutelare la mia privacy?

La privacy può essere difesa anche senza fare per forza causa ossia grazie all’esercizio dei diritti riconosciuti all’interessato: principalmente l’accesso ai dati, la rettifica, l’aggiornamento, l’opposizione e la revoca del consenso.

I diritti si esercitano presentando una richiesta al titolare del trattamento. Inoltrata la richiesta c’è un termine entro cui il titolare deve rispondere. In caso di sua inerzia o di risposta non soddisfacente è possibile rivolgersi al Garante per la protezione dei dati personali come alternativa all’autorità giudiziaria.

Il Garante è un’autorità pubblica che ha poteri adeguati alle proprie funzioni: dalla richiesta di informazioni e documenti alle ispezioni fino a prescrizioni specifiche, come il divieto di uso dei dati, ed all’irrogazione di sanzioni pecuniarie (“multe”). L’inosservanza dei provvedimenti del Garante può condurre al processo penale chi non ha ottemperato.

La vasta portata della riservatezza rende l’esercizio dei diritti dell’interessato uno strumento efficace anche in casi apparentemente estranei alla privacy, come ad esempio quando arriva un invito più o meno perentorio a pagare un debito che il presunto debitore ritiene inesistente (perché già pagato o per omonimia o per altro motivo documentabile).

I debiti verso qualcuno sono dati personali del debitore; aver scritto ed inviato l’invito a pagare è attività che implica un trattamento di dati da parte del presunto creditore, perché dimostra il suo possesso di informazioni sul presunto debitore (quanto meno chi è e quanti soldi deve, se non anche l’indirizzo e la causale del debito). Può allora rivelarsi efficace una richiesta di accesso al presunto creditore che è il titolare del trattamento: il presunto debitore gli chiede conferma dell’esistenza di dati personali inclusi quei certi debiti indicati nell’invito a pagare.

Se il titolare dichiara che vi sono debiti, l’interessato farà reclamo al Garante e sosterrà che si tratta di dati erronei e da eliminare (i dati personali devono essere sempre esatti e aggiornati). Se il titolare sorvola sui debiti, l’interessato farà reclamo al Garante per la risposta non soddisfacente, vista l’incoerenza fra il trattamento dei dati e il contenuto della risposta stessa (il presunto creditore da un lato ha fatto un trattamento di dati, dall’altro ne tace l’esistenza: o la risposta è errata o i dati non esistono) e sosterrà come sopra che vi sono dati da cancellare. Se il titolare esclude l’esistenza di debiti, la questione è risolta: si è ottenuta una confessione del presunto creditore che nega l’esistenza del proprio credito. Infine, se la risposta non arriva o comunque aggira la domanda, l’interessato si rivolgerà al Garante e sosterrà quanto già visto.

Il titolare non può opporre il proprio diritto di agire in giudizio per avere il pagamento dei presunti debiti: la richiesta dell’interessato è infatti riferita non ad un processo in corso né alle prove utilizzabili in futuri processi, ma ad una situazione sostanziale cioè ai dati oggetto dell’invito al pagamento.

 

E le multe del Garante?

Il discorso sui danni da violazione della privacy torna utile anche per le sanzioni pecuniarie (diciamo di nuovo “multe”): neanche qui opera l’automatismo “chi sbaglia paga”.

L’autorità decide non solo “quanto” ma prima ancora “quando” sanzionare: a questo fine tiene conto, tra l’altro, della natura e della gravità della violazione e del livello del danno. Le sanzioni sono inflitte in funzione delle circostanze di ogni singolo caso, per cui le regole europee lasciano ad ogni autorità nazionale il compito di valutare l’esistenza di un’infrazione da multare.

Perciò un’imprecisione su uno specifico punto dell’informativa che non abbia prodotto conseguenze non equivale ad una violazione dei princìpi fondamentali della privacy, come aver trattato i dati senza o addirittura contro il consenso degli interessati oppure per una finalità illegittima.

Allo stesso modo una violazione occasionale, spiegabile in termini di disattenzione o negligenza, non è uguale ad una violazione ripetuta ed intenzionale, magari su base organizzata.

Entra a far parte della Community de L'Ancora (clicca qui) attraverso la quale potrai ricevere le notizie più importanti ed essere aggiornati, in tempo reale, sui prossimi appuntamenti che ti aspettano in Diocesi.