Legal Area: L’esenzione domestica ai sensi del GDPR nel contesto dei social network

Antonella Di Cerbo

Dottoranda in Diritto Civile presso l’Università degli Studi del Sannio

L’articolo ripercorre l’evoluzione normativa dell’esenzione domestica ed il suo ambito di applicazione, avendo riguardo dell’interpretazione offerta delle Corti europee e dalle Autorità di controllo in vigenza della precedente normativa. L’analisi dell’istituto de qua è volta a comprendere la portata del Considerando 18 del GDPR nella parte in cui menziona tra le attività a carattere personale o domestico per le quali è esclusa l’applicazione del Regolamento anche l’uso dei social network.

The article traces the regulatory evolution of the household exemption and its scope, having regard to the interpretation offered by the European Courts and Supervisory Authorities under the former legislation.
The analysis of the institute is aimed at understanding the scope of Recital 18 of the GDPR insofar as it mentions among the activities of a personal or domestic nature for which the application of the Regulation is excluded the use of social networks.

Keywords: household exemption; privacy; dati personali; esenzione domestica; ambito di applicazione materiale del GDPR; social network.

 

1. La normativa di riferimento

La Direttiva 95/46 contemplava l’esenzione domestica nell’articolo 3 paragrafo 2 che recitava: «le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico e nel considerando 12, ove si specificava che “il trattamento dei dati effettuato da una persona fisica nell'esercizio di attività esclusivamente personali o domestiche, come la corrispondenza e la tenuta di un elenco di indirizzidovrebbe essere escluso dall’ambito di applicazione della normativa privacy[1].

Analogamente, l’articolo 2 del GDPR[2] esclude dal suo ambito di applicazione materiale i trattamenti di dati personali «effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico.»[3]

L’esenzione domestica riflette un evidente escamotage tecnico atto ad evitare che l’ambito di applicazione della normativa sia irragionevolmente onnicomprensivo, il che, oltre a tradire la ratio della normativa pensata per attività di trattamento potenzialmente rischiose per gli individui, comporterebbe un ingestibile carico per le Autorità di regolamentazione, imponendo la conformità al GDPR in relazione ai trattamenti effettuai da ogni persona che si trovi nel proprio territorio. Ciò tanto più se si considera la proliferazione dei servizi on-line e delle tecnologie di sorveglianza domestica, idonee a coinvolgere, quotidianamente, gli individui in una vasta gamma di attività di trattamento.

Data la portata dell’esenzione domestica che, si ripete, comporta l’inapplicabilità del GDPR, il legislatore europeo, ha precisato nel considerando 18 i criteri di cui tener conto ai fini della operatività della stessa. In particolare l’attività di trattamento dovrà essere effettuata da «una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.

Se da un lato il considerando 18 aiuta a comprendere ed a definire l’ambito di applicazione della normativa, dall’altro genera dubbi quando suggerisce che «le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l'uso dei social network e attività online intraprese nel quadro di tali attività Invero il riferimento ai social network impone un ragionamento complesso che si proverà ad articolare con il supporto della giurisprudenza delle Corti europee e delle pronunce delle Autorità di controllo.

In ogni caso, vale la pena precisarlo, anche nel caso in cui operi il limite de qua, il GDPR si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell'ambito di tali attività a carattere personale o domestico. Si tratta di una puntualizzazione indispensabile per individuare la corretta portata dell’esenzione in parola e per evitare che venga, ingiustamente e ancor prima irragionevolmente, applicata anche ad attività di trattamento di ampia portata, come quelle poste in essere dai costruttori di dispositivi connessi, sistemi intelligenti ed altre tipologie di tecnologie avanzate. In tal senso si ricorda anche che l'articolo 2, ultimo comma, precisa che «Il presente regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE[4], in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva».

Quanto su esposto merita un’ulteriore precisazione. La non applicazione del GDPR non rende di per sé il trattamento lecito. Ne deriva che, laddove le attività di trattamento esenti siano poste in essere da un privato, al fine di trarre per sé o per altri un profitto ovvero di arrecare danno all’interessato, potrebbe configurarsi l’ipotesi di reato prevista dall’art. 167 del codice privacy, punita dall’ordinamento con la reclusione da sei mesi ad un anno e sei mesi.

 

2. Applicazione pratica

La Corte di Giustizia dell’Unione Europea si è espressa di rado in merito a tale esenzione, tuttavia ha più volte chiarito che qualsiasi eccezione al GDPR deve essere interpretata in modo restrittivo[5].

Tra i casi più interessanti sottoposti all’attenzione della CGUE si ricorda la sentenza Lindqvist, anteriore all’approvazione del GDPR, ove i giudici di Lussemburgo, in applicazione della Direttiva 95/46, hanno sostenuto che la pubblicazione in una pagina web di dati relativi a soggetti terzi costituisce un trattamento che soggiace alla normativa privacy e che l’esenzione opera solo laddove le attività di trattamento siano poste in essere nell’ambito della vita familiare o privata, escludendo, di fatto, che essa possa coprire anche l’ipotesi di diffusione dei dati personali mediante pagine web.

Ancora, la Corte di Giustizia si è pronunciata nella causa C‑212/13, František Ryneš[6] in materia di videosorveglianza, risolvendo la questione sollevata dai giudici cechi statuendo che «l’articolo 3, paragrafo 2, secondo trattino, della direttiva 95/46 dev’essere interpretato nel senso che l’utilizzo di un sistema di videocamera, che porta a una registrazione video delle persone immagazzinata in un dispositivo di registrazione continua quale un disco duro, installato da una persona fisica sulla sua abitazione familiare per proteggere i beni, la salute e la vita dei proprietari dell’abitazione, sistema che sorveglia parimenti lo spazio pubblico, non costituisce un trattamento dei dati effettuato per l’esercizio di attività a carattere esclusivamente personale o domestico, ai sensi di tale disposizione»[7].

Dello stesso avviso è la Agencia Espanola de Proteccion de Datos[8] che nella relazione del 2008, sempre in vigenza della precedente normativa, ha sostenuto che «per rientrare nell'esclusione prevista dall'articolo 2 LOPD[9]», «ciò che è rilevante è che si tratti di un'attività tipica di una relazione personale o familiare, paragonabile a quella che potrebbe essere svolta senza l'uso di Internet, e quindi non saranno rilevanti quei casi in cui la pubblicazione avviene su una pagina liberamente accessibile a chiunque o quando l'elevato numero di persone invitate a contattare tale pagina è indicativo del fatto che tale attività si estende al di là di ciò che è tipico di tale ambito.»[10]

Analogamente, ma con una formula più ambigua, la Corte Suprema francese, nell’ambito di una pronuncia a favore di un querelante che si riteneva danneggiato da un post pubblicato su Facebook, ha ritenuto che tale post sia da considerarsi pubblico «nella misura in cui le persone presenti nell'elenco degli amici non sono legate da alcuna affiliazione comune né da aspirazioni o obiettivi condivisi»[11].

Più recentemente la Corte olandese[12] ha chiarito che, se non si può escludere in assoluto che pubblicare una foto su una pagina Facebook personale possa rientrare in un’attività puramente personale o domestica, tuttavia colui che immette il dato on-line, nel  caso di specie una donna che aveva pubblicato le foto dei suoi nipoti contro il volere dei genitori, è tenuto ad assicurarsi ed a dimostrare che il suo account sia chiuso e protetto, oltre che sia bloccata la possibilità di indicizzare i contenuti relativi a terze persone tramite i motori di ricerca. La sentenza olandese risulta basarsi su una lettura secondo cui il trattamento è personale quando è governabile dalla persona fisica e sempre che questa abbia sotto controllo la circolazione del dato. Oltrepassato questo confine, si assume la qualità di titolare del trattamento soggetto alla normativa del GDPR.

Dal punto di vista nazionale si segnalano il provvedimento del Garante del 23 febbraio 2017[13], ove l’Autorità ha disposto la rimozione di provvedimenti giurisdizionali contenenti informazioni relative a un minore da un profilo Facebook. Si tratta, anche in questo caso, di una pronuncia intervenuta in vigenza della precedente normativa, ma le conclusioni dell’Autorità sembrano molto attuali in quanto riferite alla capacità di divulgazione di notizie in Internet ed alla loro idoneità a danneggiare gravemente e irreparabilmente le prerogative dei singoli.

Merita menzione in una prospettiva di più ampia applicazione del GDPR anche la sentenza della Corte di Cassazione, sez. III penale del 17 ottobre 2019, dove si afferma che l’attività di diffusione tramite social network[14] sia da intendersi come la conoscenza dei dati fornita ad un numero indeterminato di soggetti[15].

 

3.Conclusione

Attraverso la lettura di queste pronunce, unitamente ai criteri indicati dal considerando 18, si potrebbe dedurre che, ai fini della valutazione circa l’operatività dell’esenzione, risulta determinante il numero di persone a cui il dato è stato reso accessibile, nonché le misure adottate per limitare la sua diffusione. Tali misure dovrebbero essere individuate anche sulla base della natura dei dati e del contesto in cui sono trattati, fermo restando la capacità dei motori di ricerca di indicizzare i dati on-line rendendoli accessibili ad un numero potenzialmente illimitato di persone. Parrebbe dunque che l’esenzione possa escludersi ove il trattamento dei dati personali trovi spazio su una pagina web disponibile al pubblico ovvero in un gruppo aperto. Diversa sarebbe la valutazione, invece, ove i dati fossero trattati mediante social network, come Signal, Whatsapp, Telegram, che nascono  per garantire una comunicazione one to one, fatta salva l’ipotesi in cui vengano creati dei gruppi con un alto numero di membri che non si conoscono tra loro.

Più in generale, i destinatari delle informazioni personali dovrebbero essere selezionati tra conoscenti, dovendosi escludere che l’esenzione possa operare laddove i dati siano trasmessi a persone che non si conoscono personalmente e con cui non si intrattenga una relazione amicale. Un rapporto professionale, ad esempio quello che lega un dipendente al suo datore di lavoro o un alunno alla sua insegnante, difficilmente potrebbe rientrare nei parametri che giustificano l’esenzione. 

Dunque, sembra delinearsi un orientamento assai restrittivo tale da rendere possibile l’applicazione dell’esenzione domestica solo in casi residuali ove la relazione delle persone tra cui circola il dato personale è tale da configurare un utilizzo analogo a quello che sussisterebbe laddove tale attività di trattamento fosse posta in essere off-line, con i connessi minori rischi.

Nelle more dell’adozione di orientamenti più definiti da parte delle Corti e delle Autorità di regolamentazione ai sensi del GDPR, appare comunque utile valutare caso per caso la sussistenza dei criteri enunciati dalla normativa e dalla giurisprudenza europea, avendo come faro il necessario e delicato bilanciamento di diritti talvolta in contrasto.



[1]Annex 2 Proposals for Amendments regarding exemption for personal or household activities The situation under Directive 95/46/EC  Consultabile online: https://ec.europa.eu/justice/article-29/documentation/other-document/files/2013/20130227_statement_dp_annex2_en.pdf

[6] CGUE - Judgment of 11 december 2014, František Ryneš, C‑212/13, available online at: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:62013CJ0212&from=IT

[7] Kate Mcmullan Hogan lovells – Chronicle of data protection. 11 dicembre 2014. Available online at: https://www.hldataprotection.com/2014/12/articles/international-eu-privacy/cjeu-narrows-the-scope-of-the-household-exemption/

[8] AEC –  Sobre la exception domestica. 1 Febbraio 2021 Available at:  https://dpd.aec.es/sobre-la-excepcion-domestica/

[9] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales https://www.boe.es/buscar/pdf/2018/BOE-A-2018-16673-consolidado.pdf

[12] Gederland  - Judgment of  13 mai 2020, C/05/368427, available online at: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBGEL:2020:2521