Il GDPR è molto chiaro circa il reperimento, da parte di aziende o privati, di dati personali. Ma cosa succede quando questi sono resi pubblici dallo stesso interessato?
“È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”
Questo è quanto esplicitato dall’art. 9 del GDPR, il Regolamento Europeo sulla protezione dei dati personali.
Ma cosa succede quando i dati online li mettiamo noi?
Su internet infatti è possibili reperire molte informazioni personali di privati, pubblicate dagli stessi su siti internet che offrono particolari servizi (come quelli degli albi professionali ad esempio) e, ancora di più, delle informazioni personali che vengono, più o meno consapevolmente, diffuse sui profili dei social network.
Dobbiamo innanzitutto distinguere il fine per cui questi dati verrebbero utilizzati, oltre al motivo per cui vengono resi pubblici. I contatti reperiti sui siti degli albi professionali infatti sono sicuramente pubblici e, anche se inseriti da terzi, possono essere riutilizzati per fini privati. È vietato invece fruire gli indirizzi mail reperiti in questo modo a scopi pubblicitari.
Le “Linee guida in materia di attività promozionale e contrasto allo spam” hanno appunto affermato l’illegittimità dell’invio di un “messaggio promozionale relativo a uno specifico prodotto o servizio da un’impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto “, sulla base della considerazione che la facilità con cui si rintracciano i dati online (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poterli utilizzare per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari.
Volendo riassumere, possiamo dire che nel sistema attuale il riutilizzo delle informazioni personali “pubblicamente accessibili”, ai sensi del Codice Privacy, è consentito a prescindere da un consenso informato dell’interessato:
1. in generale, per usi con finalità coerenti con quelle che ne hanno causato la pubblicazione;
2. con eccezione, invece per casi in cui questo utilizzo sia bilanciato nel contesto dei diritti fondamentali (ad esempio per fini giornalistici).
Tornando alla norma del GDPR, all’art. 9, comma 1, essa dice che i dati, qualora resi manifestamente pubblici dall’interessato, possono essere trattati. Non dice però con quali regole.Particolarmente significativa è perciò la regola generale per cui è possibile il trattamento dei dati personali, a fronte del consenso esplicito per una o più finalità specifiche.Secondo questo principio quindi, possiamo dedurre che l’azione di rendere pubblici i propri dati personali, equivalga a un valido consenso al loro trattamento.
Questo utilizzo ha però dei limiti posti dal GDPR: il trattamento infatti, anche se supportato da una precisa attenuante del consenso e da finalità coerenti con quelle per cui i dati sono stati resi pubblici dall’interessato stesso, può risultare illegittimo qualora, per le modalità con cui il trattamento è realizzato o per gli effetti che produce, rechi un danno sociale all’interessato.
Resta poi indubbiamente salva la possibilità per l’interessato di esercitare il diritto all’opposizione e quello all’oblio.
In definitiva potremmo azzardarci a dire che, se il Garante non darà esplicite direttive future, il Regolamento userà questo aspetto per rafforzare il principio dell’accountability, cioè la responsabilizzazione, rimettendo completamente al titolare del trattamento la responsabilità di un uso troppo invasivo di dati pubblici, accettandone anche le possibili conseguenze.