La pubblicazione del ritratto

1. I presupposti per l’applicazione della normativa in materia di protezione dei dati personali.

L’immagine può essere tutelata anche in base alla normativa sulla protezione dei dati personali, oggi rappresentata, principalmente, dal Regolamento (UE) 2016/679 (o “GDPR”) e dal d.lgs. 196/2003 (c.d. Codice privacy).

Il presupposto per l’applicazione di questa forma di tutela è che l’immagine sia considerabile come “dato personale”. Questo avviene quando essa contenga informazioni riferibili a una persona fisica “identificabile” in modo diretto o indiretto, ad esempio mediante la raffigurazione di uno o più elementi caratteristici della sua identità fisica, fisiologica, culturale o sociale.

In aggiunta alle fotografie, l’ampiezza della nozione di dato personale consente di ricomprendervi, ad esempio, i disegni (come quelli fatti nell’ambito di un test neuropsichiatrico, che consentirebbero di desumere informazioni personali sulla salute del suo autore), i semplici fotomontaggi così come le immagini ottenute mediante elaborazione con tecnologie di intelligenza artificiale (si pensi al caso della tecnologia c.d. deepfake).

La normativa sulla protezione dei dati personali si applica in caso di “trattamento” di dati personali, cioè quando i dati sono oggetto di un qualsiasi tipo di operazione (incluse la conservazione e la mera consultazione).

La normativa non si applica invece ai trattamenti effettuati da una persona fisica per l’esercizio di “attività a carattere esclusivamente personale o domestico”, quali sono le attività che si svolgono nella vita privata e che sono prive di una connessione con attività commerciali o professionali.

Foto nei profili social. Il GDPR prevede che tra tali attività potrebbe essere compreso l’uso dei social network: in merito, va chiarito che la pubblicazione di immagini su Internet, da cui discende la possibilità di accesso a tali immagini da parte di un numero indefinito di persone, non rientra tra le attività “a carattere esclusivamente personale”[1]. Ad esempio, mostrare il filmato delle proprie vacanze ad amici o familiari non costituisce un trattamento di dati rilevante per l’applicazione del GDPR, mentre lo sarebbe in caso di caricamento del medesimo filmato su una piattaforma web accessibile a chiunque.

2. Il trattamento dei dati sensibili.

Con dati sensibili (o “categorie particolare di dati personali”) ci si riferisce alle informazioni che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la salute, la vita sessuale o l’orientamento sessuale di una persona, nonché ai dati genetici e biometrici.

Il trattamento di questi dati pone un elevato rischio per i diritti fondamentali degli interessati e, perciò, risulta disciplinato dalla legge in modo più severo. Di regola, infatti, il trattamento di questi dati è vietato, essendo possibile solo in presenza di una delle eccezioni espressamente previste dalla legge (ad esempio, in caso di necessità di utilizzare il dato per la difesa di un diritto in giudizio)[2].

Queste eccezioni devono intendersi come requisiti aggiuntivi rispetto alle condizioni che, in ogni caso, occorre rispettare per trattare dati personali (o “basi giuridiche”, tra cui si richiama, a titolo esemplificativo, il consenso dell’interessato).

Al trattamento di immagini da cui possono desumersi dati sensibili non si applica automaticamente la più stringente disciplina prevista per quest’ultima tipologia di dati: ciò dipende, infatti, da una valutazione della specifica finalità o scopo per cui l’immagine è trattata nel caso concreto.

Foto e dati sensibili. Ad esempio, l’immagine raccolta da un sistema di videosorveglianza di una casa di cura, installato allo scopo di monitorare le condizioni di salute dei pazienti, deve considerarsi assoggettata alle norme sui dati sensibili (nella specie, sui dati “sanitari”). Non sarà così, invece, per l’immagine di una persona che indossa un dispositivo medico raccolta da un sistema di videosorveglianza di un supermercato per scopi di tutela del patrimonio, sempreché tale immagine non sia utilizzata, nel caso concreto, in riferimento a scopi per cui l’informazione sulla salute è rilevante.

A prescindere dall’applicazione delle norme sui dati sensibili, quando sono trattate immagini che, potenzialmente, potrebbero contenere questo tipo di dati, occorre prestare particolare attenzione al rispetto delle norme generali sulla protezione dei dati.

In particolare, risulta fondamentale il rispetto del principio di minimizzazione dei dati, che impone di trattare dati personali soltanto quando ciò sia indispensabile rispetto alla finalità del trattamento e, se così, di trattare esclusivamente i dati in tal senso adeguati, pertinenti e limitati.

Minimizzazione dei dati. Nel caso in cui lo scopo del trattamento non richieda di trattare dati sensibili, dunque, è necessario adottare ogni misura idonea a impedire la raccolta di informazioni di questo tipo. In relazione alla pubblicazione di alcuni soggetti particolari, quali i minori, l’obbligo di minimizzazione assume specifica rilevanza; sul punto si rinvia all’approfondimento “Sharenting: rischi e regole per la pubblicazione online di foto e video dei propri figli”).

La valutazione delle misure idonee a garantire la minimizzazione deve essere operata preventivamente, in sede di progettazione dell’attività (principio della “privacy by design”), e le misure da adottare devono garantire, per impostazione predefinita, che i dati trattati siano solo quelli strettamente necessari (principio della “privacy by default”).

In questi casi, inoltre, è necessario implementare misure di sicurezza più robuste, perché il trattamento di immagini da cui possono essere desunti dati sensibili pone maggiori rischi per l’interessato (si pensi, ad esempio, alle conseguenze di una violazione di dati da parte di terzi malintenzionati). Questa conclusione è connessa al fondamentale principio di responsabilizzazione, il quale impone l’adozione di tutte le misure tecniche e organizzative che, in considerazione delle specifiche caratteristiche del trattamento e dei rischi esistenti per gli interessati, siano adeguate a garantire il rispetto della complessiva normativa sulla protezione dei dati.

Quando il trattamento di dati sensibili può presentare un rischio elevato per i diritti degli interessati, prima dell’inizio del trattamento è obbligatorio effettuare una valutazione d’impatto sulla protezione dei dati (c.d. DPIA, Data Protection Impact Assessment).

Foto e DPIA. Quest’obbligo, ad esempio, potrebbe sussistere se il trattamento è svolto in riferimento a un ampio numero di interessati oppure a persone appartenenti a categorie vulnerabili (ad esempio, minori d’età o anziani). Se i risultati della DPIA indicano che le misure progettate non consentono una sufficiente riduzione del rischio, il titolare non può iniziare il trattamento e deve rivolgersi alla competente Autorità di controllo secondo il meccanismo della “consultazione preventiva, all’esito del quale il trattamento potrebbe anche essere vietato[3].

2.1. I dati biometrici.

Le immagini potrebbero considerarsi dati sensibili anche nella forma di “dati biometrici”, cioè di quei dati ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l'identificazione univoca[4]. Possono costituire dati biometrici, ad esempio, le impronte digitali, le immagini del volto di una persona utilizzate dalle tecnologie di riconoscimento facciale e la firma grafometrica.

Le immagini devono considerarsi dati biometrici solo in presenza delle seguenti condizioni:

i) devono riguardare le caratteristiche fisiche, fisiologiche o comportamentali di una persona;

ii) devono essere state raccolte mediante dispositivi tecnici che ne consentano la successiva utilizzazione per scopi di identificazione;

iii) devono essere concretamente utilizzate allo scopo di identificare o autenticare una determinata persona attraverso uno specifico dispositivo tecnico.

Face detection e face recognition. L’utilizzo di telecamere installate su totem pubblicitari per raccogliere informazioni sull’espressione del viso di una persona, da utilizzare, in modo anonimo, a fini statistici (in particolare, per capire se le persone reagiscano positivamente alla visione della pubblicità), ad esempio, non costituisce trattamento di dati biometrici se l’immagine raccolta non è oggetto di operazioni che consentano di identificare la persona e comunque non è utilizzata per fini di identificazione (come nel caso di tecnologie di mera “face detection” e non di “face recognition”)[5].

Comprendere quando un’immagine costituisca un dato biometrico riveste particolare importanza, in quanto l’utilizzo di tali dati, oltre a imporre il rispetto della disciplina per i dati sensibili, può essere oggetto di prescrizioni specifiche a livello nazionale e comunque richiedere accorgimenti aggiuntivi per soddisfare i requisiti del GDPR.

Al riguardo, si evidenzia che il trattamento di questa tipologia di dati richiede, in numerosi casi, l’effettuazione di una valutazione d’impatto sulla protezione dei dati. I dati biometrici, infatti, spesso sono utilizzati nel contesto di soluzioni tecnologie innovative, con conseguente necessità di operare un attento vaglio degli inediti rischi che queste ultime pongono per gli interessati, o comunque in contesti ad alto rischio (ad esempio, controllo dell’accesso fisico dei lavoratori ad aree “sensibili” o controllo degli accessi ad aree frequentate da un ampio numero di persone).

Foto e dati biometrici. In merito, si segnala che l’Autorità garante per la protezione dei dati personali (nel seguito indicata anche come “Garante privacy”) ha inserito i “trattamenti sistematici di dati biometrici” tra quelli per cui, in determinati casi, è obbligatorio effettuare una DPIA[6].

3. Immagini raccolte da sistemi di videosorveglianza.

L’utilizzo di sistemi di videosorveglianza non implica automaticamente l’applicazione della normativa sulla protezione dei dati personali: è possibile, ad esempio, che le telecamere siano posizionate a distanza tale da raccogliere immagini che raffigurino persone non identificabili.

In altre ipotesi, inoltre, l’uso di questi sistemi potrebbe considerarsi quale “attività esclusivamente personale”: è il caso, ad esempio, di una telecamera installata all’interno del giardino della propria abitazione.

Videoregistrazione di spazi pubblici. La registrazione costante di immagini che riprendano, anche solo in parte, uno spazio pubblico, non può mai considerarsi quale “attività esclusivamente personale”, con conseguente applicazione della normativa sulla protezione dei dati[7].

Al momento della progettazione di un sistema di videosorveglianza è necessario svolgere un’attenta valutazione dei profili riguardanti la privacy e la protezione dei dati personali.

Di primaria importanza risulta l’individuazione della “base giuridica” più idonea a giustificare il trattamento tra quelle previste dal GDPR: nella maggior parte delle ipotesi, per la videosorveglianza da parte dei privati essa è rappresentata dal c.d. legittimo interesse. Questa base giuridica consente di trattare dati personali quando ciò sia necessario per il perseguimento di un legittimo interesse del titolare del trattamento o di un terzo, a patto che su tale interesse non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.

Un trattamento fondato sul legittimo interesse può essere iniziato solo dopo avere svolto una valutazione complessa, nota come “test di bilanciamento” o “valutazione del legittimo interesse”, necessaria per verificare che l’interesse perseguito sia legittimo, necessario e prevalente sui diritti e le libertà fondamentali degli interessati.

Il requisito della necessità, in particolare, è riferito al principio di minimizzazione e richiede di dimostrare che lo scopo del trattamento non possa essere ragionevolmente soddisfatto con mezzi meno invasivi per gli interessati e, se così, di configurare il sistema limitando il trattamento ai dati strettamente necessari rispetto allo scopo.

Valutazione dell’esistenza di un legittimo interesse. Il legittimo interesse deve essere reale e attuale (non meramente ipotetico) e deve essere dimostrato in considerazione delle specifiche caratteristiche del caso concreto, come recentemente chiarito dalla Corte di giustizia UE[8] e confermato dal Comitato Europeo per la Protezione dei dati (“EDPB”)[9].

Ne deriva, tra l’altro, un obbligo di revisione periodica della VLI svolta, onde verificare che il legittimo interesse sia ancora sussistente e attuale; a seconda dei risultati di tale revisione, il trattamento potrebbe dover essere modificato o cessato.

3.1. Un esempio dei criteri per la VLI del sistema di videosorveglianza.

Rispetto a un sistema di videosorveglianza utilizzato per fini di sicurezza e tutela del patrimonio, ad esempio, la valutazione del legittimo interesse richiede anzitutto di dimostrare che l’area da proteggere sia effettivamente a rischio, per esempio richiamando la verificazione di furti, violazioni di domicilio o atti di vandalismo.

Poi, è indispensabile accertare che il fine perseguito non possa essere soddisfatto con mezzi meno invasivi, ad esempio rendendo manifesto come l’utilizzo di altre misure di sicurezza (una recinzione dotata di filo spinato, un sistema di illuminazione ad alta intensità ecc.) non fornisca un sufficiente livello di protezione.

Ancora, il sistema non deve raccogliere dati superflui: se, ad esempio, le esigenze di protezione sussistono solo per le ore notturne, occorre limitare il funzionamento del sistema a tale fascia oraria. Anche la registrazione delle immagini potrebbe essere superflua, se il monitoraggio in tempo reale risulti idoneo a garantire adeguata protezione, così come potrebbe essere superfluo registrare l’audio; quando la registrazione delle immagini e/o dell’audio sia davvero necessaria, invece, occorrerà individuare un termine di conservazione delle registrazioni conforme al GDPR.

Da ultimo, la valutazione in esame richiede di individuare gli interessi, i diritti e le libertà degli interessati in conflitto con l’interesse del titolare e verificare che gli stessi non siano prevalenti rispetto al legittimo interesse del titolare, valutando l’intensità dell’incidenza del sistema in progettazione sui diritti e le libertà delle persone. Il GDPR, peraltro, richiede di effettuare questo test con maggiore attenzione laddove siano coinvolte persone minori d’età[10].

Nel bilanciamento risulta doveroso vagliare le ragionevoli aspettative dell’interessato, ponendosi dal punto di vista di quest’ultimo, anche in considerazione del tipo di relazione che lega l’interessato al titolare (ad esempio, un lavoratore non si attende di essere filmato nella propria postazione di lavoro, mentre il cliente di una banca è consapevole che all’ingresso delle filiali sono poste delle telecamere).

L’utilizzo di un sistema di videosorveglianza, poi, richiede l’adozione di misure di sicurezza adeguate al rischio esistente per gli interessati. Oltre alle misure tecniche, da implementarsi per tutte le fasi del flusso informativo, si richiama l’attenzione sulla necessità di adottare idonee misure di tipo organizzativo, tra cui rivestono un ruolo centrale le policy e le procedure aziendali in materia di videosorveglianza. Queste ultime, ad esempio, devono essere predisposte in considerazione dei ruoli assegnati al personale competente e riportare le specifiche attività di formazione previste per detto personale.

In chiusura, si segnala che l’utilizzo della videosorveglianza in conformità alla normativa sulla protezione dei dati richiede l’effettuazione di adempimenti ulteriori, su cui non ci si soffermerà in questa sede. A seconda del contesto, inoltre, potrebbero rilevare anche obblighi previsti da altre normative (si pensi, ad esempio, agli adempimenti in materia di controllo a distanza dell’attività lavorativa imposti dalla l. n. 300/1970).

4. La pubblicazione di immagini su Internet per fini di manifestazione del pensiero.

Il tema della protezione delle immagini come dati personali presenta caratteristiche del tutto particolari nell’ambiente online, in particolare in caso di pubblicazione di immagini su Internet.

In questo contesto, infatti, i diritti alla riservatezza e alla protezione dei dati personali devono essere bilanciati con ulteriori diritti e libertà fondamentali, quali la libertà di manifestazione del pensiero, di informazione e di espressione (a loro volta articolate nel diritto di cronaca, nella libertà di espressione artistica, accademica, letteraria ecc.). Al contempo, la diffusione delle immagini in Rete è operazione particolarmente invasiva per i diritti delle persone interessate: l’agevole reperibilità e riproducibilità delle informazioni presenti online, infatti, comportano un aggravamento dei potenziali effetti lesivi per gli interessati – effetti che, per l’intrinseca struttura di Internet, potrebbero risultare difficilmente reversibili.

L’importanza delle libertà richiamate poc’anzi nelle tradizioni costituzionali degli Stati UE ha portato il legislatore europeo da un lato a rinunciare di prevedere direttamente le norme per bilanciare tali libertà con le esigenze connesse alla privacy, dall’altro a obbligare i singoli Stati a procedere in tal senso: con il GDPR, infatti, è stato imposto agli Stati UE di conciliare la protezione dei dati con la libertà d’espressione e di informazione[11]. In Italia, la disciplina speciale per i trattamenti di dati con finalità giornalistiche e di manifestazione del pensiero, già prevista dalle norme previgenti, è stata confermata ed estesa con la riforma di adeguamento al GDPR[12].

La disciplina di questa materia, dunque, risulta distribuita tra più fonti e, principalmente, nel GDPR, nel Codice privacy e nelle cc.dd. Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica[13].

Questa disciplina prevede un alleggerimento degli adempimenti privacy per i dati trattati per scopi giornalistici o per la pubblicazione o diffusione di qualsiasi manifestazione del pensiero.

Questo significa che possono fruire delle esenzioni previste (descritte nel seguito) non solo i giornalisti, ma chiunque diffonda dati personali per manifestare il proprio pensiero, in modo strutturato (ad esempio, l’attività di un blogger o di un influencer) o meno (ad esempio, la pubblicazione occasionale di un post da parte dell’utente di un social network)[14].

Video su YouTube. Come chiarito dalla Corte di giustizia UE in una pronuncia rilevante anche rispetto all’attuale quadro normativo[15], la disciplina di favore si applicherebbe a qualsiasi attività diretta a divulgare al pubblico informazioni, opinioni o idee, a prescindere dal mezzo utilizzato (il caso di specie, in particolare, riguardava la pubblicazione di un video su Youtube).

A ogni modo, prima di approfondire questa disciplina si precisa che la pubblicazione di un’immagine nel contesto di attività non considerabili come dirette a divulgare al pubblico informazioni, opinioni o idee, nella maggior parte dei casi richiede di acquisire il preventivo consenso della persona interessata (si rinvia alla precedente parte prima di questo approfondimento).

4.1. Deroghe al trattamento di dati per manifestazione del pensiero.

I trattamenti con finalità di manifestazione del pensiero sono interessati delle seguenti deroghe ed esenzioni:

i) liceità del trattamento dei dati personali (immagini incluse) relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico[16]. Questa norma sembra fare eco a quanto previsto dall’art. 97 l.a. in materia di tutela del ritratto, laddove è previsto che non occorre il consenso della persona ritrattata quando la riproduzione dell’immagine è collegata a fatti, avvenimenti, cerimonie svoltisi in pubblico (si rinvia alla parte prima e in particolare al paragrafo 4.5);

ii) liceità del trattamento dei dati sensibili e dei dati relativi a condanne penali e reati senza la necessità di acquisire il preventivo consenso dell’interessato, purché avvenga nel rispetto delle regole deontologiche previste in materia;

iii) liceità del trattamento dei dati sanitari, biometrici e genetici senza la necessità di rispettare le specifiche misure di garanzia adottate dal Garante privacy;

iv) possibilità di effettuare trasferimenti di dati personali in Stati non appartenenti all’Unione europea o allo Spazio Economico Europeo senza dover rispettare le specifiche norme previste in materia dal GDPR.

Per fruire di questo regime di favore occorre rispettare determinate prescrizioni, tra cui si richiamano:

i) i limiti previsti nelle “Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica” (nel seguito: le “Regole deontologiche”), la cui adozione è promossa dal Garante privacy, che ne verifica la conformità al quadro normativo vigente;

ii) i limiti del “diritto di cronaca”, che per consolidata giurisprudenza sono individuabili in base ai criteri della verità della notizia (anche putativa, purché derivante da un diligente lavoro di ricerca), della continenza espressiva e dell’utilità sociale della stessa[17];

iii) il limite della “essenzialità dell’informazione” riguardo a fatti di interesse pubblico, che sostanzialmente impone di veicolare le sole informazioni strettamente necessarie allo scopo di informare il pubblico[18].

Applicazione delle Regole deontologiche dei giornalisti. Le Regole deontologiche costituiscono condizione essenziale per la liceità e la correttezza dei trattamenti di dati in esame e il Garante privacy può vietare i trattamenti che si svolgono in violazione delle stesse[19]. Tali regole, inoltre, si applicano non solo ai giornalisti, ma a chiunque effettui attività di manifestazione del pensiero[20].

Le limitazioni imposte dalla Regole deontologiche sono previste per assicurare che le attività di manifestazione del pensiero si svolgano nel rispetto dei diritti fondamentali e mirano a tutelare, ad esempio, la dignità delle persone (con specifiche prescrizioni per le persone malate), la sfera sessuale, il principio di uguaglianza e non discriminazione, nonché i minori d’età. Rispetto a questi ultimi, è stabilito che il diritto del minore alla riservatezza deve essere sempre considerato come primario rispetto al diritto di critica e di cronaca e che, in caso di diffusione di notizie o immagini riguardanti i minori, è responsabilità di chi provvede alla pubblicazione valutare se questa sia davvero nell’interesse oggettivo del minore, in base ai principi e limiti stabiliti dalla “Carta di Treviso”[21] (sul punto si rinvia all’approfondimento “Sharenting: rischi e regole per la pubblicazione online di foto e video dei propri figli”).

Oltre a fissare limitazioni, le Regole deontologiche stabiliscono un’importante semplificazione, prevedendo la possibilità di adempiere l’obbligo di fornire l’informativa privacy semplicemente rendendo nota la propria identità, la propria professione e le finalità della raccolta dei dati, salvo che ciò comporti rischi per l’incolumità del giornalista o renda impossibile l’esercizio della funzione informativa. In materia di doveri informativi, peraltro, ulteriori semplificazioni sono previste per le imprese editoriali, in riferimento ai dati personali raccolti presso banche dati di uso redazionale[22].

4.2. Manifestazione del pensiero e diritto all’oblio.

Il bilanciamento tra le esigenze connesse alla libertà di espressione e informazione e quelle riguardanti i diritti alla riservatezza e alla protezione dei dati personali è al centro del dibattito e delle pronunce giurisprudenziali sul c.d. diritto all’oblio.

Il diritto all’oblio, espressamente previsto all’art. 17 del GDPR, consente alle persone interessate di ottenere senza ingiustificato ritardo la definitiva cancellazione dei propri dati personali oggetto di trattamento, nel rispetto delle condizioni e dei limiti previsti dalla norma citata.

Il diritto all’oblio è uno degli strumenti ideati per limitare gli effetti pregiudizievoli derivanti dalla diffusione dei dati personali (anche in forma di immagini), non solo nel caso in cui la diffusione dei dati sia di per sé illecita, ma anche quando il trattamento di dati inizialmente diffusi in modo lecito debba essere successivamente cessato perché sono venute meno determinate condizioni che lo giustificavano (ad esempio: perdita di attualità di una notizia di cronaca, venir meno dell’interesse pubblico all’informazione ecc.).

Oblio, obblighi del content provider e degli ISP. Per il titolare del trattamento che ha reso pubblici i dati personali e che risulta obbligato a cancellarli in ottemperanza a una richiesta della persona interessata, il GDPR prevede l’obbligo di adottare le misure ragionevoli, anche tecniche, per informare gli altri soggetti che stanno trattando quei dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati. Tutto ciò, allo scopo di limitare e, per quanto possibile, eliminare gli effetti negativi derivanti dall’agevole riproducibilità dei dati diffusi in rete. Controversi sono invece gli obblighi in tal caso spettanti agli Internet Service Provider (ISP) alla luce della normativa dettata dalla direttiva 2000/31/CE e dal d.lgs. 70/2003[23].

5. Immagini e ambiente online: temi ulteriori.

Come anticipato (paragrafo 1.), la pubblicazione di immagini online non può mai considerarsi quale “attività a carattere esclusivamente personale” e, in tal senso, deve sempre essere effettuata nel rispetto dalla normativa sulla protezione dei dati personali.

Immagine in contesti “chiusi” (WhatsApp, Telegram, Messenger di Facebook et similia). In queste ipotesi la normativa sulla protezione dei dati potrebbe comunque trovare applicazione nel caso in cui i partecipanti al gruppo abbiano una certa qualità (ad esempio: il gruppo tra genitori degli studenti e professori, tra iscritti a un corso di arrampicata e il coordinatore di tale corso ecc.) o quando il gruppo abbia un elevato numero di iscritti: queste circostanze, infatti, impedirebbero di considerare la condivisione dell’immagine quale svolta nell’ambito di una “attività esclusivamente personale” e porrebbero per la persona interessata rischi tali da giustificare l’applicazione delle tutele previste dalla legge.

Immagini di stato e gruppi di lavoro. Uguali considerazioni possono estendersi ad altri casi: proseguendo nell’esemplificazione con WhatsApp, si pensi al caricamento di un’immagine come “stato” (come tale visibile solo dai contatti della persona che carica lo stato) da parte di una persona che ha numerosi contatti. Si ricorda inoltre che i contesti caratterizzati anche da natura professionale (ad esempio, il gruppo con i colleghi di ufficio), in quanto tali, sono normalmente assoggettati alla normativa sulla protezione dei dati.

Ulteriore questione è quella riguardante la necessità di utilizzare le immagini nel rispetto del principio di “limitazione della finalità”, che vieta di trattare dati personali per scopi diversi e ulteriori da quelli determinati, espliciti e legittimi inizialmente prefissati (e comunicati alle persone interessate), a meno che il riuso dei dati avvenga per scopi “compatibili” con quelli originari[24].

L’utilizzo dell’immagine per scopi ulteriori, in particolare, richiede la preventiva effettuazione di un’apposita valutazione di compatibilità di tali scopi con quelli inizialmente previsti, da svolgersi in base ai criteri specificamente indicati dal GDPR e che implicano valutazioni di tipo sia legale sia tecnico (ad esempio, in riferimento alla necessità di verificare l’adeguatezza delle misure di garanzia approntate per ridurre i rischi derivanti dal perseguimento degli scopi ulteriori – misure che possono includere la cifratura o la pseudonimizzazione)[25].

Se, all’esito di questa valutazione, le finalità ulteriori non dovessero risultare compatibili con quelle inizialmente previste, l’immagine potrà essere utilizzata per i nuovi scopi solo richiedendo all’interessato apposito consenso, da acquisirsi nel rispetto delle specifiche condizioni di validità del consenso previste dal GDPR[26]. Questi limiti rilevano ovviamente anche rispetto alle immagini (costituenti dati personali) liberamente disponibili in Rete, che non per questo possono essere riutilizzate per qualsiasi attività (fatte salve quelle aventi carattere esclusivamente personale).

Il principio di finalità è intimamente connesso al consenso privacy, che risulta valido solo se prestato in relazione a specifiche finalità. Da questo punto di vista, occorre prestare attenzione alle ipotesi in cui le immagini sono utilizzate nel contesto di servizi o strumenti online offerti da soggetti terzi (ad esempio, servizi di editing immagini o video, servizi di realizzazione di newsletter ecc.). In particolare, risulta necessario valutare attentamente le condizioni legali di questi servizi, in quanto è spesso prevista la possibilità, per tali soggetti, di utilizzare i dati caricati dai clienti/utenti per loro autonomi fini, che potrebbero essere incompatibili con quelli cui la persona interessata ha prestato il proprio consenso (si pensi, ad esempio, a un social network che prevede la possibilità di utilizzare le immagini caricate dagli utenti per propri fini di marketing o a un’app che richieda l’autorizzazione ad accedere alle foto archiviate nel dispositivo dell’utente per operare analisi statistiche sull’utenza). Sebbene riguardante la tutela dell’immagine dal punto di vista del diritto d’autore e non della normativa privacy, per meglio comprendere questa tematica si richiama una recente pronuncia con cui è stata dichiarata lecita l’incorporazione su un sito web di un giornale di una fotografia pubblicata su Instagram nonostante la contraria volontà espressa al giornale dall’autore della fotografia; ciò, in quanto i termini d’uso di Instagram garantiscono al social network il diritto di concedere in licenza a terzi i contenuti caricati e resi pubblici dagli utenti[27].

In ogni caso, il GDPR prevede che il trattamento dei dati per determinati scopi espressamente previsti sia sempre compatibile con le finalità inizialmente perseguite (come nel caso della ricerca scientifica, ipotesi che, rispetto alle immagini, appare richiamare la possibilità prevista dall’art. 97 l.a. di usare il ritratto per scopi scientifici, didattici e culturali senza il consenso della persona interessata[28]). A ogni modo, in tali casi occorre comunque rispettare le altre prescrizioni del GDPR, che potrebbero anche impedire l’utilizzo dell’immagine in chiaro (ad esempio, il principio di minimizzazione – vd. sopra, par. 2.2. – potrebbe imporre l’oscuramento dei dati identificativi contenuti nelle immagini, se tali dati non siano necessari rispetto allo scopo di ricerca scientifica).

[1] Corte di Giustizia UE, sentenza del 6 novembre 2003, C-101/01.

[2] Le regole fondamentali sul trattamento di categorie particolari di dati personali sono stabilite dall’art. 9 del GDPR.

[3] Sulla valutazione d’impatto e l’obbligo di consultazione preventiva si vedano gli artt. 35 e 36 del GDPR.

[4] La definizione di questi dati si rinviene all’art. 4, n. 14) del GDPR.

[5] Si vd. il provvedimento dell’Autorità garante per la protezione dei dati personali del 21 dicembre 2017, riguardante i totem pubblicitari installati presso la stazione ferroviaria di Milano Centrale.

[6] Autorità garante per la protezione dei dati personali, Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, provvedimento dell’11 ottobre 2018.

[7] Corte di giustizia UE, sentenza dell’11 dicembre 2014, C-212/13.

[8] Corte di giustizia UE, sentenza dell’11 dicembre 2019, C-708/18.

[9] Comitato Europeo per la Protezione dei Dati, Guidelines 3/2019 on processing of personal data through video devices, Versione 2.0, 29 gennaio 2020.

[10] Art. 6, par. 1, lett. f) del GDPR.

[11] Art. 85, par. 1 del GDPR.

[12] Il Codice privacy (d.lgs. n. 196/2993) è stato interamente riformato a opera del d.lgs. n. 101/2018, recante disposizioni per l’adeguamento della normativa nazionale al GDPR. La disciplina di favore per i trattamenti con finalità giornalistiche e di manifestazione