CORTE DI GIUSTIZIA EUROPEA

Categorie particolari di dati, anche quelli dedotti sono tutelati dal GDPR: la sentenza

Con una sentenza di assoluto rilievo, la Corte di Giustizia UE ha confermato che nella categoria dei dati personali rientrano non soltanto quelli resi direttamente dall’interessato, ma anche tutte le informazioni che da quei dati possono essere dedotte e rilevate. Ecco le conseguenze della decisione

05 Ago 2022
C
Marina Rita Carbone

Consulente privacy

Nei giorni scorsi, la Corte di Giustizia dell’Unione Europea ha emesso una sentenza all’interno della quale viene chiarito espressamente che i dati “dedotti”, ove possano rivelare informazioni circa l’orientamento sessuale di una persona fisica, debbano essere tutelati ai sensi di quanto previsto dall’art. 9 GDPR.

Si tratta di una sentenza di assoluto rilievo, che va a confermare come all’interno della categoria dei dati personali rientrino non soltanto i dati resi direttamente dall’interessato medesimo, ma altresì tutte le informazioni che da quei dati possono essere dedotte e rilevate, anche se non corrispondenti al vero, in quanto comunque atte a elaborare informazioni riferibili a uno specifico individuo.

Secondo gli esperti, la decisione potrebbe avere implicazioni ben più ampie, soprattutto per tutte le piattaforme che si occupano di raccogliere ed elaborare dati allo scopo di profilare i propri utenti. L’interpretazione vincolante della CGUE, infatti, conferma che le medesime tutele devono essere rese anche a tutti i dati che siano in grado di rivelare l’orientamento sessuale di una persona fisica (o, conseguentemente, il suo orientamento politico o lo stato di salute) mediante un’operazione intellettuale di raffronto o di deduzione.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

Il caso preso in esame dalla CGUE

La sentenza di cui si discute trae origine da un caso sorto in Lituania: nello specifico, il direttore di un ente di diritto lituano percettore di fondi pubblici ometteva di presentare una “dichiarazione di interessi privati” (ossia una dichiarazione da rendersi ai sensi della normativa anticorruzione lituana) al cui interno venivano richieste una serie di informazioni personali dallo stesso ritenute eccessive e non strettamente necessarie al raggiungimento dello scopo.

WHITEPAPER
Nuovi attacchi informatici VS 3 nuovi modelli di sicurezza: scoprili!
Finanza/Assicurazioni
Sicurezza

Il contenuto delle dichiarazioni, peraltro, veniva pubblicato online, consentendo la visione di informazioni ritenute assolutamente riservate ad un ampio pubblico.

Per tali motivazioni, il direttore affermava che la pubblicazione della dichiarazione di interessi privati, ove si fosse resa necessaria, avrebbe leso “sia il suo diritto al rispetto della vita privata sia quello delle altre persone che egli sarebbe eventualmente tenuto a menzionare nella sua dichiarazione”.

Il giudice del rinvio, conseguentemente, nutrendo dei dubbi circa la compatibilità della normativa sulla conciliazione degli interessi con quanto disciplinato agli artt. 6 e 9 GDPR, e ritenendo che “che i dati personali contenuti in una dichiarazione di interessi privati possano rivelare informazioni sulla vita privata del dichiarante e del coniuge, convivente o partner nonché dei figli, sicché la loro divulgazione è tale da violare il diritto delle persone interessate al rispetto della loro vita privata” sospendeva il procedimento e sottoponeva alla Corte di Giustizia due questioni pregiudiziali.

“Tali dati”, affermava il giudice del rinvio, “potrebbero infatti rivelare informazioni particolarmente sensibili, come il fatto che l’interessato abbia un convivente o che viva con una persona dello stesso sesso, la cui divulgazione rischierebbe di comportare notevoli disagi nella vita privata di tali persone. Anche i dati relativi ai doni ricevuti e alle operazioni effettuate dal dichiarante e dal coniuge, convivente o partner rivelerebbero taluni dettagli della loro vita privata. I dati riguardanti i parenti o i conoscenti del dichiarante che possono essere all’origine di un conflitto di interessi rivelerebbero, per altro verso, informazioni sulla famiglia del dichiarante e sulle sue relazioni personali”.

Inoltre, continuava, “se è vero che la legge sulla conciliazione degli interessi ha l’obiettivo di garantire il rispetto del principio di trasparenza nell’esercizio delle funzioni pubbliche, in particolare al momento dell’adozione di decisioni riguardanti l’attuazione dell’interesse pubblico; tuttavia, la pubblicazione su Internet di dati idonei a influenzare l’adozione di decisioni del genere non è necessaria per conseguire detto obiettivo”.

Le questioni sottoposte alla Corte

Le questioni sottoposte alla Corte di Giustizia erano due:

  1. Con la prima, si chiedeva se quanto previsto all’art. 6 par. 1 lett. e) del GDPR, “secondo cui il trattamento [dei dati personali] deve essere necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” e l’obiettivo di interesse pubblico debba essere proporzionato all’obiettivo perseguito, nel senso che non possa richiedere il diritto nazionale “la divulgazione dei dati contenuti in dichiarazioni di interessi privati e la loro pubblicazione sul sito web del titolare del trattamento […] fornendo in tal modo a chiunque abbia accesso a Internet l’accesso a tali dati”;
  2. Con la seconda, si chiedeva se il divieto di trattamento di categorie di dati personali ai sensi dell’art. 9 GDPR debba essere interpretato “nel senso che il diritto nazionale non può richiedere la divulgazione di dati relativi a dichiarazioni di interessi privati che possono rivelare dati personali, compresi i dati che consentono di determinare le opinioni politiche di una persona, l’appartenenza sindacale, l’orientamento sessuale e altre informazioni personali, e la loro pubblicazione sul sito web del titolare del trattamento, […] fornendo a chiunque abbia accesso a Internet l’accesso a tali dati”.

Il primo quesito

Entrando nel merito delle due questioni sottopostele, la Corte di Giustizia evidenziava, innanzitutto, che “le questioni sottoposte alla Corte riguardano unicamente la pubblicazione, sul sito Internet della commissione superiore, delle informazioni contenute nella dichiarazione di interessi privati che il direttore di un ente percettore di fondi pubblici è tenuto a presentare, e non l’obbligo dichiarativo in quanto tale o la pubblicazione di una dichiarazione di interessi in altre circostanze”.

Ad ogni modo, le informazioni contenute nella dichiarazione erano inevitabilmente da ritenersi personali in quanto riferite a persone fisiche identificate con nome e cognome, sebbene le stesse siano raccolte al fine di prevenire il verificarsi di fenomeni di corruzione nelle pubbliche amministrazioni.

Pertanto, è senz’altro necessario verificare “se la messa in rete, sul sito Internet della commissione superiore, di una parte dei dati personali contenuti nella dichiarazione di interessi privati che ogni direttore di un ente percettore di fondi pubblici è tenuto a presentare presso tale autorità sia idonea a raggiungere gli obiettivi di interesse generale definiti all’articolo 1 della legge sulla conciliazione degli interessi, e non ecceda quanto necessario a raggiungere tali obiettivi”.

A tal riguardo, la Corte affermava che sebbene, in un obiettivo di prevenzione dei conflitti di interesse e della corruzione nel settore pubblico “possa essere pertinente esigere che nelle dichiarazioni di interessi privati figurino informazioni che consentano di identificare la persona del dichiarante nonché informazioni relative alle attività del coniuge, convivente o partner del dichiarante, la divulgazione pubblica, in rete, di dati nominativi relativi al coniuge, convivente o partner di un direttore di un ente percettore di fondi pubblici nonché ai parenti o conoscenti di quest’ultimo che possono dar luogo a un conflitto di interessi risulta tuttavia eccedere quanto è strettamente necessario”.

La tipologia e il numero di informazioni richieste, nel caso di specie, erano tali da costituire una rivelazione molto vasta della vita privata delle persone interessate, incluso l’orientamento sessuale, non facendo riferimento genericamente ad un “coniuge” ma richiedendone la pubblicazione dei dati in chiaro. Il sacrificio pertanto riguardava non soltanto il soggetto che rivestiva una carica pubblica tale da renderlo destinatario della norma, ma anche “persone che non rivestono tale qualità e nei confronti delle quali gli obiettivi perseguiti da tale legge non si impongono allo stesso modo che per il dichiarante”.

“La gravità di una simile ingerenza”, continua la Corte, “può risultare ulteriormente accresciuta dall’effetto cumulativo dei dati personali oggetto di una pubblicazione come quella di cui al procedimento principale, dal momento che la loro combinazione consente di tracciare un ritratto particolarmente dettagliato della vita privata delle persone interessate”; il trattamento, infatti, rendeva tutti i dati personali liberamente accessibili “all’insieme del grande pubblico e, di conseguenza, a un numero potenzialmente illimitato di persone”.

Sulla scorta di tali premesse, la Corte affermava quindi che – rivelando la dichiarazione informazioni sulla situazione personale, materiale e finanziaria del dichiarante e dei suoi familiari ed essendo la stessa oggetto di libero accesso – “la pubblicazione in rete della maggior parte dei dati personali contenuti nella dichiarazione di interessi privati […] non soddisfa i requisiti di un bilanciamento equilibrato” e dunque si pone in contrasto con quanto affermato dalla normativa sul trattamento dei dati personali.

Il secondo quesito

Alla Corte si richiedeva altresì di pronunciarsi circa la corretta interpretazione da rendere dell’art. 9 GDPR, ed in particolare di chiarire se la norma debba essere interpretata “nel senso che la pubblicazione, sul sito Internet dell’autorità pubblica incaricata della raccolta e del controllo del contenuto delle dichiarazioni di interessi privati, di dati personali idonei a divulgare indirettamente le opinioni politiche, l’appartenenza sindacale o l’orientamento sessuale di una persona fisica costituisce un trattamento di categorie particolari di dati personali, ai sensi di tali disposizioni”.

Sul punto la Corte assume un orientamento assolutamente estensivo, fondato sul dato testuale della norma presa in esame, che prevede che è vietato, “in particolare, trattare dati personali che «rivelino» l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati «relativi» alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

È indubbio, infatti, che il regolamento miri a tutelare quanto più possibile dette categorie di dati personali, ritenute maggiormente sensibili, da possibili trattamenti lesivi per gli interessati: di conseguenza, l’art. 9 deve essere interpretato “nel senso che la pubblicazione, sul sito Internet dell’autorità pubblica incaricata di raccogliere le dichiarazioni di interessi privati e di controllarne il contenuto, di dati personali idonei a divulgare indirettamente l’orientamento sessuale di una persona fisica costituisce un trattamento di categorie particolari di dati personali, ai sensi di tali disposizioni”.

Le conseguenze della decisione

La sentenza emessa dalla Corte di Giustizia, secondo quanto affermato dagli esperti, avrà importanti implicazioni sotto il profilo del trattamento dei dati personali, in particolar modo per tutte quelle piattaforme digitali che fondano gran parte del proprio business sul monitoraggio e la profilazione degli utenti per la targettizzazione degli ads o per l’alimentazione dei motori di “raccomandazione” che hanno lo scopo di suggerire contenuti in linea con le preferenze già espresse dall’utente sulla piattaforma.

Dovranno essere trattati come particolari, infatti, tutti quei dati “inferenti” derivanti da elaborazioni di vario tipo. Sarà dunque impossibile per le piattaforme affermare di non elaborare tecnicamente dati particolari, ove si svolga una triangolazione ed un collegamento di talmente tante informazioni personali da generare un impatto corrispondente al diretto trattamento dei dati sensibili.

Di rilievo è anche la circostanza per cui le deduzioni di carattere sensibile non debbano essere corrette per rientrare nelle tutele previste dal GDPR, rilevando esclusivamente il trattamento dei dati e non la validità delle conclusioni raggiunte. Anzi: proprio deduzioni errate potrebbero portare a lesioni maggiori per l’interessato.

Ne consegue che si renderà necessaria un’evoluzione dei sistemi pubblicitari digitali verso soluzioni che danno maggior risalto alla privacy, e alla tutela anche di tutti quei dati che vengono acquisiti indirettamente dal trattamento di altre categorie di informazioni.

La rilevanza della tutela di detti dati soprattutto da parte delle grandi piattaforme, è espressa anche dal DSA: il regolamento, infatti, include una disposizione secondo cui i VLOPs che utilizzano algoritmi per determinare il contenuto che gli utenti vedono dovranno fornire almeno un’opzione di raccomandazione che non sia basata sulla profilazione, con implicito riconoscimento dell’esistenza di un sottoinsieme di piattaforma che potranno offrire agli utenti modi alternativi di usufruire dei servizi senza che ciò comporti necessariamente un monitoraggio massivo dei propri comportamenti e un trattamento, conseguentemente, di grandi categorie di dati “inferenti”.

Detta sentenza, secondo gli esperti, condurrà ad un’estensione di detto requisito anche a tutte le piattaforme che non si qualificano come VLOPs (Very Large Online Platforms), o che comunque elaborano dati sufficienti a far sì che gli algoritmi elaborino inferenze sensibili meritevoli di tutela ai sensi del GDPR.

Uno scenario possibile è che le piattaforme, al fine di evitare il rischio connesso all’illecito trattamento di dati sensibili, sceglieranno di impostare – in via predefinita – feed cronologici o comunque che non fanno uso di meccanismi di analisi comportamentale, fino al positivo ottenimento del consenso esplicito da parte degli utenti alla ricezione di raccomandazioni personalizzate e, dunque, al trattamento dei dati particolari, anche ottenuti in via indiretta.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5