PRIVACY, N. 1 – A CHI SI APPLICANO LE NORME?
Chi deve stare attento ad informarsi circa obblighi e divieti del c.d. GDPR.
|
– A chi si applica il GDPR? –
Prima di addentrarci nei singoli contenuti precettivi/proibitivi della normativa in materia di privacy di cui al nuovo Regolamento dell’U.E. c.d. GDPR occorre chiederci a chi questa si applichi. Cioè, dobbiamo domandarci:
- Per cosa (per quali “comportamenti”)?
- Dove (con che estensione geografica)?
Il motivo è semplice. Ormai viviamo (più o meno consapevolmente) immersi in una miriade di trattamenti di dati personali, ai quali spesso partecipiamo e contribuiamo attivamente. Quindi dobbiamo chiederci se è bene che anche noi, nello svolgere le nostre attività quotidiane (lavorative e non), prestiamo attenzione alle norme di cui parleremo nei seguenti capitoli di questa guida. Oppure, sotto un altro punto di vista, è importante chiederci verso chi e quando noi “interessati” di questi dati personali possiamo far valere i nostri diritti.
PER COSA ?
– Il concetto di “trattamento” –
Le norme del GDPR di cui parleremo si applicano ai “trattamenti” di dati personali. Occorre tenere a mente che si tratta di un concetto molto ampio, quindi è facile rientrare nell’ambito di applicazione della normativa anche inconsapevolmente.
Con ciò, infatti, intendiamo essenzialmente qualsiasi tipo di attività (raccolta, registrazione, organizzazione in database, distribuzione, comunicazione, confronto, mero accesso anche senza conservazione, ecc.) effettuata su un’informazione (cioè qualisasi rappresentazione di fatti, cose o persone: immagine, video, testo, audio, simbolo, ecc.; anche se falsa, incompleta o derivata da altra informazione) che riguarda una persona fisica (quindi, ad esempio, non una società ma proprio l’essere umano Tizio) che sia quantomeno identificabile (cioè, anche se non individuabile per nome anagrafico, comunque almeno individuabile nell’ambito di un contesto specifico noto; ad esempio, può esservi identificabilità se il giornalista diffonde la notizia di un abuso subito da un minorenne e, pur non menzionandolo per nome e cognome, fa riferimento alla scuola che il minore frequenta, alla sua età, alla composizione famigliare, al quartiere in cui vive e così via).
– Identificabilità –
Se una persona sia o no “identificabile” ai fini dell’applicazione del GDPR lo si stabilisce valutando quanto ciò sia possibile alla luce dei mezzi che è “ragionevolmente probabile” ritenere vengano utilizzati da chi verrà in contatto con quella informazione (alla luce di costi, tempo, tecnologie esistenti, ecc.). Si tratta quindi di una (incerta) valutazione caso per caso, con la conseguenza che è consigliabile grande cautela da parte di chi utilizza e diffonde “informazioni”. Infatti oggi è molto facile per chiunque incrociare informazioni e risalire all’identità di una persona mediante motori di ricerca e social network.
– “Neutralità” solo apparente –
Inoltre, l’informazione apparentemente “neutra” che però si colleghi ad un dato personale lo diviene a sua volta. Ad esempio: l’informazione “la foto x è stata scattata in data 01.01.2015” di per sè non costituisce un dato personale, ma se la si collega all’informazione “Tizio ha scattato dalla finestra della propria casa vacanze la foto x” allora lo diventa a sua volta. Del resto, dalla congiunzione delle due informazioni possiamo trarre ulteriori circostanze relative a Tizio: non solo quale panorama Tizio veda dalla propria finestra della casa vacanze, ma anche il fatto che probabilmente egli si trovava lì in data 01.01.2015.
Per capirci, ecco qualche esempio di potenziali trattamenti di dati personali ai sensi del c.d. GDPR che molti di noi effettuano spesso e volentieri, anche se inconsapevoli della loro natura giuridica:
- salvare nomi, numeri, indirizzi, foto, eccetera in rubrica telefonica;
- aprire e gestire un “gruppo” su Facebook;
- creare un indirizzario per mailing list;
- compilare un database informatico di clienti e/o fornitori;
- registrare nella contabilità le fatture;
- diffondere su social network foto che ritraggono altri, con “tags”, date e luogo.
– Esclusioni espresse –
Ma allora questo significa che tutti noi dovremmo studiarci a fondo la normativa sulla privacy contenuta nel GDPR ed imparare come rispettare i relativi obblighi? Per fortuna no, visto che non tutti i trattamenti di dati personali sono soggetti al dovere di rispettare le specifiche e talvolta gravose norme giuridiche e tecniche previste dal Regolamento U.E. GDPR. Più di preciso:
1) i trattamenti non automatizzati (cioè fatti del tutto manualmente da un essere umano: ad esempio, scattare una foto; scrivere un appunto a penna, ecc.) rientrano nella disciplina in parola solo se riguardano dati già presenti in un archivio o destinati a finirvi. Ad esempio: se in qualità di imprenditore mi scrivo un mero appunto in agenda relativo a Tizio, magari per ricordarmi quanto tempo è passato da quando gli ho intimato di pagarmi prima di intimarglielo di nuovo, probabilmente non si rientra nell’ambito di applicazione della normativa; se invece mi creo un vero e proprio “schedario” dei miei clienti e sulla “scheda” di Tizio mi segno che costui è un cattivo pagatore, allora verosimilmente si rientra nell’ambito di applicazione della disciplina;
2) non rientra nell’ambito di applicazione della disciplina il trattamento di dati personali che sia effettuato per soli fini “domestici” o “personali”. Con ciò si intende il trattamento di dati effettuato da una persona fisica (l’essere umano Tizio), per sè stessa (quindi, ad esempio, non nell’interesse di una associazione), senza legami con la propria attività commerciale/professionale/imprenditoriale, nel proprio “spazio personale/domestico”. Ad esempio, resto nel mio “spazio domestico” se registro il filmato della festa di compleanno di mio figlio a casa mia; non è così però se registro per finalità di sicurezza la strada pubblica di fronte all’abitazione.
– Ad esempio: il telefono aziendale –
Un esempio importante: molti utilizzano uno smartphone aziendale come se fosse un bene personale, ma qualcuno potrebbe contestare il fatto che nel salvarci dentro nomi, numeri ed indirizzi la persona che lo detiene (il dipendente Tizio) stia fornendo all’azienda (titolare dello smartphone e magari anche dell’account utilizzato) questi dati personali. Così ragionando, non si tratterebbe di un uso “domestico/personale”, bensì per attività commerciale, quindi con applicabilità del GDPR. Perciò potrebbero crearsi problemi se poi, a posteriori, qualcuno dei soggetti salvati in rubrica lamentasse di non aver prestato il necessario consenso preventivo a che l’azienda “schedasse” i suoi dati personali!
– L’utente dei social network-
E’ inoltre fondamentale notare come siano state espressamente previste (considerando n. 18 del Reg. U.E. GDPR) quali “domestiche” (e quindi non fonte di particolari obblighi) le attività svolte online dal mero utente per spedire/ricevere corrispondenza (ad esempio, creare l’indirizzario email), per utilizzare i social network (ad esempio, aggiungere “amici” su Facebook) e le altre simili. Quindi, semplificando parecchio, potremmo dire che tendenzialmente il gestore del social network è soggetto agli obblighi di cui alla normativa in commento, mentre il semplice utente no.
Questo è però uno degli aspetti più interessanti per il giurista, visto che l’avanzamento tecnologico porrà sempre maggiori questioni interpretative sul punto. Infatti, se è vero che un utilizzo “normale” di tali strumenti pare doversi considerare per legge “domestico/personale”, d’altro canto è vero anche che un utilizzo particolarmente esteso e sistematico da parte dell’utente non meriterebbe più di sottrarsi agli obblighi ed alle cautele che vigono per i “grandi” trattamenti di dati personali effettuati da imprese, associazioni, aziende e così via. Ove si perda quel carattere “intimo” della relazione tra chi maneggia i dati personali ed i relativi interessati, le deroghe all’applicazione del GDPR (finalizzate a non gravare di eccessivi oneri la persona qualunque) non paiono più giustificate. Ad esempio, forse la deroga non vale per attività quali una assidua e capillare attività di P.R. e promozione di eventi presso sconosciuti, anche se non a fini di lucro; la creazione di gruppi/pagine che includano un grande numero di utenti selezionati, raggiunti, organizzati e messi in contatto tra loro alla luce di comuni valori politici/etici; eccetera.
– Altre deroghe –
Esistono poi altri casi in cui non si applicano le restrizioni, i divieti e gli obblighi della normativa del GDPR esaminata da questa guida, ma si tratta essenzialmente di attività svolte dalle Istituzioni per perseguire finalità di pubblico interesse. Perciò non è il caso di trattarli in questa sede.
DOVE ?
– Soggetti o dati “stranieri” –
Se io opero dall’Italia su/con dati personali di soggetti stranieri mi si applica la normativa del GDPR? E se, viceversa, opero da fuori dell’Unione Europea su/con dati personali di soggetti italiani?
Essenzialmente le regole sono due e potremmo semplificarle così. Si applica la normativa del Reg. UE 2016/679 GDPR se:
1) il trattamento dei dati avviene nell’ambito/contesto delle attività svolte da uno “stabilimento” sito nell’Unione Europea. Precisazioni:
– “stabilimento” può essere qualsiasi organizzazione stabile in loco, anche se non è la sede legale o principale: ad esempio, lo è anche un mero rappresentante persona fisica (caso “Weltimmo”, C.230/14, ove si trattava di un professionista incaricato del recupero crediti) o una società controllata (caso “Google Spain”, C-131-12);
– quanto detto vale a prescindere dal fatto che chi è formalmente “titolare” o “responsabile” del trattamento (vedremo in seguito chi sono questi soggetti) si trovi nell’Unione Europea;
– ciò che conta è che il trattamento dei dati sia funzionale o comunque legato all’attività di quello stabilimento sito nell’Unione Europea: nulla cambia se anche i dati sono fisicamente dislocati altrove (ad esempio, su un server USA). Anzi, il regolamento si applica anche se il trattamento è stato reso necessario dall’attività di una sede extraeuropea, ma tale attività è inscindibilmente connessa a quella dello stabilimento sito nell’Unione Europea. Ad esempio: Google ha sede in California, ma era in Spagna che effettuava la gestione delle inserzioni pubblicitarie per gli utenti. Perciò si è ritenuto che valesse comunque la normativa sulla privacy dell’Unione Europea, visto che l’attività del motore di ricerca e quella pubblicitaria erano inscindibili per il funzionamento economico ed informatico del software;
2) vengono trattati (potremmo dire) “all’estero” dati personali di interessati presenti sul territorio dell’Unione Europea, al fine di offrire loro beni/servizi o di monitorare il loro comportamento che ha luogo all’interno dell’Unione Europea. Precisazioni:
– essenzialmente, quindi, tutti i soggetti stranieri che trattano dati personali per vendere o offrire servizi a interessati dell’Unione Europea (ad esempio, tutti i siti di e-commerce stranieri; le App straniere che offrono servizi anche in Italia, ecc.) devono rispettare la normativa dell’U.E. di cui al GDPR;
– lo stesso vale per tutti i soggetti stranieri (ad esempio, le grandi multinazionali del Web) che monitorano, catalogano, schedano e così via i nostri comportamenti in Unione Europea, a prescindere dal fine perseguito (ad esempio, tutte le App che ci geolocalizzano, le informazioni salvate dai social network, ecc.);
QUALCHE CONSIDERAZIONE FINALE.
– E’ un nuovo approccio alla materia? –
La normativa del GDPR, quindi, ha un ampio spettro di applicazione, così da poter coprire e tutelare al meglio il più ampio numero di casi possibile in cui vengano in rilievo dati personali in qualche modo legati all’Unione Europea.
Da ciò, però, derivano conseguenze interessanti, in particolare alla luce dell’effetto “a catena” che potrebbe crearsi grazie alle possibilità aperte da internet e dai social network.
Infatti, siamo abituati a pensare al trattamento dei dati personali ed alle relative scartoffie (il famoso “consenso” che ci fanno firmare in ogni ufficio o cliccare su internet) come qualcosa di riservato alle aziende che ci offrono qualcosa. Però non è (più) solo così.
Ben potrebbe accadere, ad esempio, che utilizzando un social network, un servizio cloud, una rubrica email o di smartphone e così via anche una persona qualunque finisca per creare veri e propri trattamenti di dati personali. La conseguenza possibile è quella di esporsi a tutti i relativi obblighi di legge. Ad esempio, dover chiedere prima il consenso, permettere la correzione e la cancellazione, conservarli con adeguati standard di sicurezza, eccettera.
– Prevenire l’eccesso di burocrazia –
La valvola di sfogo rispetto a questo rischio di un’eccessiva generalizzazione dei disagi conseguenti al doversi uniformare alla normativa in esame apparentemente c’è. Si tratta della suddetta deroga dei trattamenti a fini meramente “domestici” o “personali”. Tuttavia, come si è detto, il confine può essere labile.
Pertanto, prima di intraprendere attività in qualche modo attinenti ad “informazioni” relative a persone pare sempre più necessario ottenere un’adeguata informazione preventiva. Ciò vale soprattutto laddove ci si serva di strumenti informatici e che sfruttino le potenzialità di internet.
– TORNA ALL’INDICE DELLA GUIDA
-> PROSSIMO CAPITOLO: “PRIVACY N. 2 – Tipologie di dati”
Lascia un commento