1. I
presupposti per l’applicazione della normativa in materia di protezione dei
dati personali.
L’immagine può
essere tutelata anche in base alla normativa sulla protezione dei dati
personali, oggi rappresentata, principalmente, dal Regolamento (UE) 2016/679
(o “GDPR”) e dal d.lgs. 196/2003 (c.d. Codice privacy).
Il presupposto per
l’applicazione di questa forma di tutela è che l’immagine sia considerabile
come “dato personale”. Questo
avviene quando essa contenga informazioni riferibili a una persona fisica
“identificabile” in modo diretto o indiretto, ad esempio mediante la
raffigurazione di uno o più elementi caratteristici della sua identità fisica,
fisiologica, culturale o sociale.
In aggiunta alle fotografie,
l’ampiezza della nozione di dato personale consente di ricomprendervi, ad
esempio, i disegni (come quelli fatti nell’ambito di un test
neuropsichiatrico, che consentirebbero di desumere informazioni personali sulla
salute del suo autore), i semplici fotomontaggi così come le immagini
ottenute mediante elaborazione con tecnologie di intelligenza artificiale (si
pensi al caso della tecnologia c.d. deepfake).
La normativa sulla
protezione dei dati personali si applica in caso di “trattamento” di
dati personali, cioè quando i dati sono oggetto di un qualsiasi tipo di
operazione (incluse la conservazione e la mera consultazione).
La normativa non
si applica invece ai trattamenti effettuati da una persona fisica per l’esercizio
di “attività a carattere esclusivamente
personale o domestico”, quali sono le attività che si svolgono nella vita
privata e che sono prive di una connessione con attività commerciali o
professionali.
- Foto nei profili
social.
Il GDPR prevede che tra tali attività potrebbe essere compreso l’uso dei social
network: in merito, va chiarito che la pubblicazione
di immagini su Internet, da cui discende la possibilità di accesso a tali
immagini da parte di un numero indefinito di persone, non rientra tra le
attività “a carattere esclusivamente personale”[1]. Ad esempio,
mostrare il filmato delle proprie vacanze ad amici o familiari non costituisce
un trattamento di dati rilevante per l’applicazione del GDPR, mentre lo sarebbe
in caso di caricamento del medesimo filmato su una piattaforma web accessibile
a chiunque.
2.
Il trattamento dei dati sensibili.
Con dati sensibili
(o “categorie particolare di dati personali”) ci si riferisce alle informazioni
che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, l’appartenenza sindacale, la salute, la vita sessuale
o l’orientamento sessuale di una persona, nonché ai dati genetici e biometrici.
Il trattamento di
questi dati pone un elevato rischio per i diritti fondamentali degli
interessati e, perciò, risulta disciplinato dalla legge in modo più severo. Di
regola, infatti, il trattamento di
questi dati è vietato, essendo possibile solo in presenza di una delle
eccezioni espressamente previste dalla legge (ad esempio, in caso di necessità
di utilizzare il dato per la difesa di un diritto in giudizio)[2].
Queste eccezioni
devono intendersi come requisiti aggiuntivi rispetto alle condizioni che, in
ogni caso, occorre rispettare per trattare dati personali (o “basi giuridiche”,
tra cui si richiama, a titolo esemplificativo, il consenso dell’interessato).
Al trattamento di
immagini da cui possono desumersi dati sensibili non si applica automaticamente
la più stringente disciplina prevista per quest’ultima tipologia di dati: ciò
dipende, infatti, da una valutazione della specifica finalità o scopo per cui l’immagine è trattata nel caso concreto.
- Foto e dati
sensibili. Ad esempio, l’immagine raccolta da un sistema
di videosorveglianza di una casa di cura, installato allo scopo di monitorare
le condizioni di salute dei pazienti, deve considerarsi assoggettata alle norme
sui dati sensibili (nella specie, sui dati “sanitari”). Non sarà così,
invece, per l’immagine di una persona che indossa un dispositivo medico raccolta
da un sistema di videosorveglianza di un supermercato per scopi di tutela del
patrimonio, sempreché tale immagine non sia utilizzata, nel caso concreto, in
riferimento a scopi per cui l’informazione sulla salute è rilevante.
A prescindere
dall’applicazione delle norme sui dati sensibili, quando sono trattate immagini
che, potenzialmente, potrebbero contenere questo tipo di dati, occorre prestare
particolare attenzione al rispetto delle norme generali sulla protezione dei
dati.
In particolare,
risulta fondamentale il rispetto del principio
di minimizzazione dei dati, che impone di trattare dati personali soltanto
quando ciò sia indispensabile rispetto alla finalità del trattamento e, se
così, di trattare esclusivamente i dati in tal senso adeguati, pertinenti e
limitati.
- Minimizzazione dei
dati.
Nel caso in cui lo scopo del trattamento non richieda di trattare dati
sensibili, dunque, è necessario adottare ogni misura idonea a impedire la
raccolta di informazioni di questo tipo. In relazione alla
pubblicazione di alcuni soggetti particolari, quali i minori, l’obbligo di
minimizzazione assume specifica rilevanza; sul punto si rinvia
all’approfondimento “Sharenting: rischi e regole
per la pubblicazione online di foto e video dei propri figli”).
La valutazione delle
misure idonee a garantire la minimizzazione deve essere operata
preventivamente, in sede di progettazione dell’attività (principio della “privacy by design”), e le misure da
adottare devono garantire, per impostazione predefinita, che i dati trattati
siano solo quelli strettamente necessari (principio della “privacy by default”).
In questi casi,
inoltre, è necessario implementare misure
di sicurezza più robuste, perché il trattamento di immagini da cui possono
essere desunti dati sensibili pone maggiori rischi per l’interessato (si pensi,
ad esempio, alle conseguenze di una violazione di dati da parte di terzi
malintenzionati). Questa conclusione è connessa al fondamentale principio di responsabilizzazione, il quale impone
l’adozione di tutte le misure tecniche e organizzative che, in considerazione
delle specifiche caratteristiche del trattamento e dei rischi esistenti per gli
interessati, siano adeguate a garantire il rispetto della complessiva normativa
sulla protezione dei dati.
Quando il
trattamento di dati sensibili può presentare un rischio elevato per i diritti
degli interessati, prima dell’inizio del trattamento è obbligatorio effettuare
una valutazione d’impatto sulla
protezione dei dati (c.d. DPIA, Data Protection Impact Assessment).
- Foto e DPIA. Quest’obbligo,
ad esempio, potrebbe sussistere se il trattamento è svolto in riferimento a un
ampio numero di interessati oppure a persone appartenenti a categorie
vulnerabili (ad esempio, minori d’età o anziani). Se i risultati della DPIA
indicano che le misure progettate non consentono una sufficiente riduzione del
rischio, il titolare non può iniziare il trattamento e deve rivolgersi alla
competente Autorità di controllo secondo il meccanismo della “consultazione
preventiva, all’esito del quale il trattamento potrebbe anche essere vietato[3].
2.1. I dati
biometrici.
Le immagini
potrebbero considerarsi dati sensibili anche nella forma di “dati biometrici”, cioè di quei dati
ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche,
fisiologiche o comportamentali di una persona fisica, che ne consentono o
confermano l'identificazione univoca[4]. Possono costituire dati
biometrici, ad esempio, le impronte digitali, le immagini del volto di una
persona utilizzate dalle tecnologie di riconoscimento facciale e la firma
grafometrica.
Le immagini devono
considerarsi dati biometrici solo in presenza delle seguenti condizioni:
i) devono
riguardare le caratteristiche fisiche, fisiologiche o comportamentali di una
persona;
ii)
devono
essere state raccolte mediante dispositivi tecnici che ne consentano la
successiva utilizzazione per scopi di identificazione;
iii)
devono
essere concretamente utilizzate allo scopo di identificare o autenticare una
determinata persona attraverso uno specifico dispositivo tecnico.
- Face detection e face recognition. L’utilizzo di telecamere installate su totem
pubblicitari per raccogliere informazioni sull’espressione del viso di una
persona, da utilizzare, in modo anonimo, a fini statistici (in particolare, per
capire se le persone reagiscano positivamente alla visione della pubblicità), ad
esempio, non costituisce trattamento di dati biometrici se l’immagine raccolta
non è oggetto di operazioni che consentano di identificare la persona e
comunque non è utilizzata per fini di identificazione (come nel caso di
tecnologie di mera “face detection” e
non di “face recognition”)[5].
Comprendere quando
un’immagine costituisca un dato biometrico riveste particolare importanza, in
quanto l’utilizzo di tali dati, oltre a imporre il rispetto della disciplina
per i dati sensibili, può essere oggetto di prescrizioni specifiche a livello
nazionale e comunque richiedere accorgimenti aggiuntivi per soddisfare i
requisiti del GDPR.
Al riguardo, si
evidenzia che il trattamento di questa tipologia di dati richiede, in numerosi
casi, l’effettuazione di una valutazione d’impatto sulla protezione dei dati. I
dati biometrici, infatti, spesso sono utilizzati nel contesto di soluzioni
tecnologie innovative, con conseguente necessità di operare un attento vaglio
degli inediti rischi che queste ultime pongono per gli interessati, o comunque
in contesti ad alto rischio (ad esempio, controllo dell’accesso fisico dei
lavoratori ad aree “sensibili” o controllo degli accessi ad aree frequentate da
un ampio numero di persone).
- Foto e dati
biometrici.
In merito, si segnala che l’Autorità garante per la protezione dei dati
personali (nel seguito indicata anche come “Garante privacy”) ha inserito i “trattamenti sistematici di dati biometrici”
tra quelli per cui, in determinati casi, è obbligatorio effettuare una
DPIA[6].
3.
Immagini raccolte da sistemi di videosorveglianza.
L’utilizzo di
sistemi di videosorveglianza non implica automaticamente l’applicazione della
normativa sulla protezione dei dati personali: è possibile, ad esempio, che le
telecamere siano posizionate a distanza tale da raccogliere immagini che raffigurino
persone non identificabili.
In altre ipotesi,
inoltre, l’uso di questi sistemi potrebbe considerarsi quale “attività
esclusivamente personale”: è il caso, ad esempio, di una telecamera installata
all’interno del giardino della propria abitazione.
- Videoregistrazione
di spazi pubblici.
La registrazione costante di immagini che riprendano, anche solo in parte, uno
spazio pubblico, non può mai considerarsi quale “attività esclusivamente
personale”, con conseguente applicazione della normativa sulla protezione dei
dati[7].
Al momento della
progettazione di un sistema di videosorveglianza è necessario svolgere
un’attenta valutazione dei profili riguardanti la privacy e la protezione dei
dati personali.
Di primaria
importanza risulta l’individuazione della “base giuridica” più idonea a
giustificare il trattamento tra quelle previste dal GDPR: nella maggior parte
delle ipotesi, per la videosorveglianza da parte dei privati essa è
rappresentata dal c.d. legittimo interesse. Questa base giuridica
consente di trattare dati personali quando ciò sia necessario per il
perseguimento di un legittimo interesse del titolare del trattamento o di un
terzo, a patto che su tale interesse non prevalgano gli interessi o i diritti e
le libertà fondamentali dell’interessato.
Un trattamento
fondato sul legittimo interesse può essere iniziato solo dopo avere svolto una
valutazione complessa, nota come “test di bilanciamento” o “valutazione del legittimo interesse”,
necessaria per verificare che l’interesse perseguito sia legittimo, necessario
e prevalente sui diritti e le libertà fondamentali degli interessati.
Il requisito
della necessità, in particolare, è riferito al principio di minimizzazione
e richiede di dimostrare che lo scopo del trattamento non possa essere ragionevolmente
soddisfatto con mezzi meno invasivi per gli interessati e, se così, di
configurare il sistema limitando il trattamento ai dati strettamente necessari
rispetto allo scopo.
- Valutazione dell’esistenza
di un legittimo interesse. Il legittimo interesse deve essere reale
e attuale (non meramente ipotetico) e deve essere dimostrato in considerazione
delle specifiche caratteristiche del caso concreto, come recentemente
chiarito dalla Corte di giustizia UE[8] e confermato dal Comitato
Europeo per la Protezione dei dati (“EDPB”)[9].
Ne deriva, tra
l’altro, un obbligo di revisione periodica della VLI svolta, onde
verificare che il legittimo interesse sia ancora sussistente e attuale; a
seconda dei risultati di tale revisione, il trattamento potrebbe dover essere
modificato o cessato.
3.1. Un esempio
dei criteri per la VLI del sistema di videosorveglianza.
Rispetto a un
sistema di videosorveglianza utilizzato per fini di sicurezza e tutela del
patrimonio, ad esempio, la valutazione del legittimo interesse richiede
anzitutto di dimostrare che l’area da proteggere sia effettivamente a rischio,
per esempio richiamando la verificazione di furti, violazioni di domicilio o
atti di vandalismo.
Poi, è
indispensabile accertare che il fine perseguito non possa essere soddisfatto
con mezzi meno invasivi, ad esempio rendendo manifesto come l’utilizzo
di altre misure di sicurezza (una recinzione dotata di filo spinato, un sistema
di illuminazione ad alta intensità ecc.) non fornisca un sufficiente livello di
protezione.
Ancora, il sistema
non deve raccogliere dati superflui: se, ad esempio, le esigenze di
protezione sussistono solo per le ore notturne, occorre limitare il
funzionamento del sistema a tale fascia oraria. Anche la registrazione delle
immagini potrebbe essere superflua, se il monitoraggio in tempo reale risulti
idoneo a garantire adeguata protezione, così come potrebbe essere superfluo
registrare l’audio; quando la registrazione delle immagini e/o dell’audio sia
davvero necessaria, invece, occorrerà individuare un termine di conservazione
delle registrazioni conforme al GDPR.
Da ultimo, la
valutazione in esame richiede di individuare gli interessi, i diritti e le
libertà degli interessati in conflitto con l’interesse del titolare e
verificare che gli stessi non siano prevalenti rispetto al legittimo interesse
del titolare, valutando l’intensità dell’incidenza del sistema in progettazione
sui diritti e le libertà delle persone. Il GDPR, peraltro, richiede di
effettuare questo test con maggiore attenzione laddove siano coinvolte persone
minori d’età[10].
Nel bilanciamento
risulta doveroso vagliare le ragionevoli aspettative dell’interessato,
ponendosi dal punto di vista di quest’ultimo, anche in considerazione del tipo
di relazione che lega l’interessato al titolare (ad esempio, un lavoratore non
si attende di essere filmato nella propria postazione di lavoro, mentre il
cliente di una banca è consapevole che all’ingresso delle filiali sono poste
delle telecamere).
L’utilizzo di un
sistema di videosorveglianza, poi, richiede l’adozione di misure di
sicurezza adeguate al rischio esistente per gli interessati. Oltre alle misure
tecniche, da implementarsi per tutte le fasi del flusso informativo, si
richiama l’attenzione sulla necessità di adottare idonee misure di tipo
organizzativo, tra cui rivestono un ruolo centrale le policy e le procedure
aziendali in materia di videosorveglianza. Queste ultime, ad esempio, devono
essere predisposte in considerazione dei ruoli assegnati al personale
competente e riportare le specifiche attività di formazione previste per detto
personale.
In chiusura, si
segnala che l’utilizzo della videosorveglianza in conformità alla normativa
sulla protezione dei dati richiede l’effettuazione di adempimenti ulteriori, su
cui non ci si soffermerà in questa sede. A seconda del contesto, inoltre,
potrebbero rilevare anche obblighi previsti da altre normative (si pensi, ad
esempio, agli adempimenti in materia di controllo a distanza dell’attività
lavorativa imposti dalla l. n. 300/1970).
4.
La pubblicazione di immagini su Internet per fini di manifestazione del
pensiero.
Il tema della
protezione delle immagini come dati personali presenta caratteristiche del
tutto particolari nell’ambiente online, in particolare in caso di pubblicazione
di immagini su Internet.
In questo
contesto, infatti, i diritti alla riservatezza e alla protezione dei dati
personali devono essere bilanciati con ulteriori diritti e libertà
fondamentali, quali la libertà di
manifestazione del pensiero, di informazione e di espressione (a loro volta
articolate nel diritto di cronaca, nella libertà di espressione artistica,
accademica, letteraria ecc.). Al contempo, la diffusione delle immagini in Rete
è operazione particolarmente invasiva per i diritti delle persone interessate:
l’agevole reperibilità e riproducibilità delle informazioni presenti online,
infatti, comportano un aggravamento dei
potenziali effetti lesivi per gli interessati – effetti che, per
l’intrinseca struttura di Internet, potrebbero risultare difficilmente
reversibili.
L’importanza delle
libertà richiamate poc’anzi nelle tradizioni costituzionali degli Stati UE ha
portato il legislatore europeo da un lato a rinunciare di prevedere
direttamente le norme per bilanciare tali libertà con le esigenze connesse alla
privacy, dall’altro a obbligare i singoli Stati a procedere in tal senso: con
il GDPR, infatti, è stato imposto agli Stati UE di conciliare la protezione dei
dati con la libertà d’espressione e di informazione[11]. In Italia, la disciplina
speciale per i trattamenti di dati con finalità giornalistiche e di
manifestazione del pensiero, già prevista dalle norme previgenti, è stata
confermata ed estesa con la riforma di adeguamento al GDPR[12].
La disciplina di
questa materia, dunque, risulta distribuita tra più fonti e, principalmente,
nel GDPR, nel Codice privacy e nelle cc.dd. Regole deontologiche relative al
trattamento di dati personali nell’esercizio dell’attività giornalistica[13].
Questa disciplina
prevede un alleggerimento degli
adempimenti privacy per i dati trattati per scopi giornalistici o per la
pubblicazione o diffusione di qualsiasi manifestazione del pensiero.
Questo significa
che possono fruire delle esenzioni previste (descritte nel seguito) non solo i
giornalisti, ma chiunque diffonda dati personali per manifestare il proprio
pensiero, in modo strutturato (ad esempio, l’attività di un blogger o di un
influencer) o meno (ad esempio, la pubblicazione occasionale di un post da
parte dell’utente di un social network)[14].
- Video su YouTube. Come chiarito
dalla Corte di giustizia UE in una pronuncia rilevante anche rispetto
all’attuale quadro normativo[15], la disciplina di favore
si applicherebbe a qualsiasi attività
diretta a divulgare al pubblico informazioni, opinioni o idee, a
prescindere dal mezzo utilizzato (il caso di specie, in particolare, riguardava
la pubblicazione di un video su Youtube).
A ogni modo, prima
di approfondire questa disciplina si precisa che la pubblicazione di
un’immagine nel contesto di attività non considerabili come dirette a divulgare
al pubblico informazioni, opinioni o idee, nella maggior parte dei casi
richiede di acquisire il preventivo
consenso della persona interessata (si
rinvia alla precedente parte prima di questo approfondimento).
4.1. Deroghe al
trattamento di dati per manifestazione del pensiero.
I trattamenti con
finalità di manifestazione del pensiero sono interessati delle seguenti deroghe
ed esenzioni:
i) liceità
del trattamento dei dati personali (immagini incluse) relativi a circostanze o fatti
resi noti direttamente dagli interessati o attraverso loro comportamenti
in pubblico[16].
Questa norma sembra fare eco a quanto previsto dall’art. 97 l.a. in materia di
tutela del ritratto, laddove è previsto che non occorre il consenso della
persona ritrattata quando la riproduzione dell’immagine è collegata a fatti,
avvenimenti, cerimonie svoltisi in pubblico (si rinvia alla parte prima e in
particolare al paragrafo 4.5);
ii) liceità
del trattamento dei dati sensibili e dei dati relativi a condanne penali e
reati senza la necessità di acquisire il preventivo consenso dell’interessato, purché
avvenga nel rispetto delle regole deontologiche previste in materia;
iii) liceità del trattamento
dei dati sanitari, biometrici e genetici senza la necessità di rispettare le
specifiche misure di garanzia adottate dal Garante privacy;
iv) possibilità
di effettuare trasferimenti di dati personali in Stati non appartenenti
all’Unione europea o allo Spazio Economico Europeo senza dover rispettare le
specifiche norme previste in materia dal GDPR.
Per fruire di
questo regime di favore occorre rispettare determinate prescrizioni, tra cui si
richiamano:
i) i
limiti previsti nelle “Regole
deontologiche relative al trattamento di dati personali nell’esercizio
dell’attività giornalistica” (nel seguito: le “Regole deontologiche”), la
cui adozione è promossa dal Garante privacy, che ne verifica la conformità al
quadro normativo vigente;
ii)
i
limiti del “diritto di cronaca”, che per consolidata giurisprudenza sono
individuabili in base ai criteri della verità della notizia (anche putativa,
purché derivante da un diligente lavoro di ricerca), della continenza
espressiva e dell’utilità sociale della stessa[17];
iii)
il
limite della “essenzialità dell’informazione” riguardo a fatti di
interesse pubblico, che sostanzialmente impone di veicolare le sole
informazioni strettamente necessarie allo scopo di informare il pubblico[18].
- Applicazione delle
Regole deontologiche dei giornalisti. Le Regole deontologiche costituiscono
condizione essenziale per la liceità e la correttezza dei trattamenti di dati
in esame e il Garante privacy può vietare i trattamenti che si svolgono in
violazione delle stesse[19]. Tali regole,
inoltre, si applicano non solo ai giornalisti, ma a chiunque effettui attività
di manifestazione del pensiero[20].
Le limitazioni
imposte dalla Regole deontologiche sono previste per assicurare che le attività
di manifestazione del pensiero si svolgano nel rispetto dei diritti
fondamentali e mirano a tutelare, ad esempio, la dignità delle persone (con
specifiche prescrizioni per le persone malate), la sfera sessuale, il principio
di uguaglianza e non discriminazione, nonché i minori d’età. Rispetto a questi ultimi, è stabilito che il diritto
del minore alla riservatezza deve essere sempre considerato come primario
rispetto al diritto di critica e di cronaca e che, in caso di diffusione di
notizie o immagini riguardanti i minori, è responsabilità di chi provvede alla
pubblicazione valutare se questa sia davvero nell’interesse oggettivo del
minore, in base ai principi e limiti stabiliti dalla “Carta di Treviso”[21] (sul punto si rinvia
all’approfondimento “Sharenting: rischi e regole
per la pubblicazione online di foto e video dei propri figli”).
Oltre a fissare
limitazioni, le Regole deontologiche stabiliscono un’importante
semplificazione, prevedendo la possibilità di adempiere l’obbligo di fornire
l’informativa privacy semplicemente rendendo nota la propria identità, la
propria professione e le finalità della raccolta dei dati, salvo che ciò
comporti rischi per l’incolumità del giornalista o renda impossibile
l’esercizio della funzione informativa. In materia di doveri informativi,
peraltro, ulteriori semplificazioni sono previste per le imprese editoriali, in
riferimento ai dati personali raccolti presso banche dati di uso redazionale[22].
4.2. Manifestazione
del pensiero e diritto all’oblio.
Il bilanciamento
tra le esigenze connesse alla libertà di espressione e informazione e quelle
riguardanti i diritti alla riservatezza e alla protezione dei dati personali è
al centro del dibattito e delle pronunce giurisprudenziali sul c.d. diritto all’oblio.
Il diritto
all’oblio, espressamente previsto all’art. 17 del GDPR, consente alle
persone interessate di ottenere senza ingiustificato ritardo la definitiva
cancellazione dei propri dati personali oggetto di trattamento, nel rispetto
delle condizioni e dei limiti previsti dalla norma citata.
Il diritto
all’oblio è uno degli strumenti ideati per limitare gli effetti pregiudizievoli
derivanti dalla diffusione dei dati personali (anche in forma di immagini), non
solo nel caso in cui la diffusione dei dati sia di per sé illecita, ma anche
quando il trattamento di dati inizialmente diffusi in modo lecito debba essere
successivamente cessato perché sono venute meno determinate condizioni che lo
giustificavano (ad esempio: perdita di attualità di una notizia di cronaca,
venir meno dell’interesse pubblico all’informazione ecc.).
- Oblio, obblighi
del content provider e degli ISP. Per il titolare
del trattamento che ha reso pubblici i dati personali e che risulta obbligato a
cancellarli in ottemperanza a una richiesta della persona interessata, il GDPR
prevede l’obbligo di adottare le misure ragionevoli, anche tecniche, per
informare gli altri soggetti che stanno trattando quei dati personali della
richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione
dei suoi dati. Tutto ciò, allo scopo di limitare e, per quanto possibile,
eliminare gli effetti negativi derivanti dall’agevole riproducibilità dei dati
diffusi in rete. Controversi sono
invece gli obblighi in tal caso spettanti agli Internet Service Provider (ISP)
alla luce della normativa dettata dalla direttiva 2000/31/CE e dal d.lgs.
70/2003[23].
5.
Immagini e ambiente online: temi ulteriori.
Come anticipato
(paragrafo 1.), la pubblicazione di immagini online non può mai considerarsi
quale “attività a carattere esclusivamente personale” e, in tal senso, deve
sempre essere effettuata nel rispetto dalla normativa sulla protezione dei dati
personali.
- Immagine in contesti
“chiusi” (WhatsApp, Telegram, Messenger di Facebook et similia). In queste ipotesi
la normativa sulla protezione dei dati potrebbe comunque trovare applicazione
nel caso in cui i partecipanti al gruppo abbiano una certa qualità (ad esempio:
il gruppo tra genitori degli studenti e professori, tra iscritti a un corso di
arrampicata e il coordinatore di tale corso ecc.) o quando il gruppo abbia un
elevato numero di iscritti: queste circostanze, infatti, impedirebbero di
considerare la condivisione dell’immagine quale svolta nell’ambito di una
“attività esclusivamente personale” e porrebbero per la persona interessata
rischi tali da giustificare l’applicazione delle tutele previste dalla legge.
- Immagini di stato
e gruppi di lavoro.
Uguali considerazioni possono estendersi ad altri casi: proseguendo
nell’esemplificazione con WhatsApp, si pensi al caricamento di un’immagine come
“stato” (come tale visibile solo dai contatti della persona che carica lo
stato) da parte di una persona che ha numerosi contatti. Si ricorda inoltre
che i contesti caratterizzati anche da natura professionale (ad esempio, il
gruppo con i colleghi di ufficio), in quanto tali, sono normalmente
assoggettati alla normativa sulla protezione dei dati.
Ulteriore questione è quella riguardante la necessità
di utilizzare le immagini nel rispetto del principio di “limitazione della
finalità”, che vieta di trattare dati personali per scopi diversi e ulteriori
da quelli determinati, espliciti e legittimi inizialmente prefissati (e
comunicati alle persone interessate), a meno che il riuso dei dati avvenga per
scopi “compatibili” con quelli originari[24].
L’utilizzo dell’immagine per scopi ulteriori, in
particolare, richiede la preventiva effettuazione di un’apposita valutazione di compatibilità di tali
scopi con quelli inizialmente previsti, da svolgersi in base ai criteri
specificamente indicati dal GDPR e che implicano valutazioni di tipo sia legale
sia tecnico (ad esempio, in riferimento alla necessità di verificare
l’adeguatezza delle misure di garanzia approntate per ridurre i rischi
derivanti dal perseguimento degli scopi ulteriori – misure che possono
includere la cifratura o la pseudonimizzazione)[25].
Se, all’esito di questa valutazione, le finalità
ulteriori non dovessero risultare compatibili con quelle inizialmente previste,
l’immagine potrà essere utilizzata per i nuovi scopi solo richiedendo
all’interessato apposito consenso, da acquisirsi nel rispetto delle specifiche
condizioni di validità del consenso previste dal GDPR[26].
Questi limiti rilevano ovviamente anche rispetto alle immagini (costituenti
dati personali) liberamente disponibili in Rete, che non per questo possono
essere riutilizzate per qualsiasi attività (fatte salve quelle aventi carattere
esclusivamente personale).
Il principio di finalità è intimamente connesso al
consenso privacy, che risulta valido solo se prestato in relazione a specifiche
finalità. Da questo punto di vista, occorre prestare attenzione alle ipotesi in
cui le immagini sono utilizzate nel contesto di servizi o strumenti online
offerti da soggetti terzi (ad esempio, servizi di editing immagini o video,
servizi di realizzazione di newsletter ecc.). In particolare, risulta
necessario valutare attentamente le condizioni legali di questi servizi, in quanto
è spesso prevista la possibilità, per tali soggetti, di utilizzare i dati
caricati dai clienti/utenti per loro autonomi fini, che potrebbero essere
incompatibili con quelli cui la persona interessata ha prestato il proprio
consenso (si pensi, ad esempio, a un social network che prevede la possibilità
di utilizzare le immagini caricate dagli utenti per propri fini di marketing o
a un’app che richieda l’autorizzazione ad accedere alle foto archiviate nel
dispositivo dell’utente per operare analisi statistiche sull’utenza). Sebbene
riguardante la tutela dell’immagine dal punto di vista del diritto d’autore e
non della normativa privacy, per meglio comprendere questa tematica si richiama
una recente pronuncia con cui è stata dichiarata lecita l’incorporazione su un
sito web di un giornale di una fotografia pubblicata su Instagram nonostante la
contraria volontà espressa al giornale dall’autore della fotografia; ciò, in
quanto i termini d’uso di Instagram garantiscono al social network il diritto
di concedere in licenza a terzi i contenuti caricati e resi pubblici dagli
utenti[27].
In ogni caso, il GDPR prevede che il trattamento dei
dati per determinati scopi espressamente previsti sia sempre compatibile con le
finalità inizialmente perseguite (come nel caso della ricerca scientifica,
ipotesi che, rispetto alle immagini, appare richiamare la possibilità prevista
dall’art. 97 l.a. di usare il ritratto per scopi scientifici, didattici e
culturali senza il consenso della persona interessata[28]).
A ogni modo, in tali casi occorre comunque rispettare le altre prescrizioni del
GDPR, che potrebbero anche impedire l’utilizzo dell’immagine in chiaro (ad
esempio, il principio di minimizzazione – vd. sopra, par. 2.2. – potrebbe
imporre l’oscuramento dei dati identificativi contenuti nelle immagini, se tali
dati non siano necessari rispetto allo scopo di ricerca scientifica).
[1]
Corte di Giustizia UE, sentenza del 6 novembre 2003, C-101/01.
[2]
Le regole fondamentali sul trattamento di categorie particolari di dati
personali sono stabilite dall’art. 9 del GDPR.
[3]
Sulla valutazione d’impatto e l’obbligo di consultazione preventiva si vedano
gli artt. 35 e 36 del GDPR.
[4]
La definizione di questi dati si rinviene all’art. 4, n. 14) del GDPR.
[5]
Si vd. il provvedimento dell’Autorità garante per la protezione dei dati
personali del 21 dicembre 2017, riguardante i totem pubblicitari installati
presso la stazione ferroviaria di Milano Centrale.
[6]
Autorità garante per la protezione dei dati personali, Elenco delle tipologie di trattamenti soggetti al requisito di una
valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4,
del Regolamento (UE) n. 2016/679, provvedimento dell’11 ottobre 2018.
[7]
Corte di giustizia UE, sentenza dell’11 dicembre 2014, C-212/13.
[8]
Corte di giustizia UE, sentenza dell’11 dicembre 2019, C-708/18.
[9]
Comitato Europeo per la Protezione dei Dati, Guidelines 3/2019 on processing of personal data through video devices,
Versione 2.0, 29 gennaio 2020.
[10] Art. 6, par. 1, lett. f) del GDPR.
[11]
Art. 85, par. 1 del GDPR.
[12]
Il Codice privacy (d.lgs. n. 196/2993) è stato interamente riformato a opera
del d.lgs. n. 101/2018, recante disposizioni per l’adeguamento della normativa
nazionale al GDPR. La disciplina di favore per i trattamenti con finalità
giornalistiche e di manifestazione