GUIDA NORMATIVA

Diritto all’accesso privacy e origine del dato nei rapporti con i fornitori di servizi web: il quadro

Nei rapporti con i fornitori di servizi web ci si potrebbe ritrovare nelle condizioni di doversi avvalere del diritto all’accesso all’origine dei dati personali, con particolare riguardo al caso delle segnalazioni online. Ecco il quadro normativo

26 Ott 2021
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Simone Zanetti

Avvocato in Verona

Spesso nei rapporti con fornitori di servizi web un utente si scontra con la necessità di accedere ai dati del soggetto che, ad esempio proponendo una segnalazione del contenuto che l’utente ha inserito su una piattaforma web, ne causa la rimozione.

Se la segnalazione finalizzata alla rimozione si rivela infondata è forte la tentazione, da parte del creatore del contenuto, di ottenere accesso ai dati dell’utente che ha segnalato a sproposito, anche eventualmente per agire giudizialmente nei suoi confronti.

I gestori delle piattaforme hanno invece, dal canto loro, tutto l’interesse a tutelare l’identità dei segnalanti per evitare che gli stessi siano intimoriti da segnalati particolarmente aggressivi, al fine di sostenere il meccanismo delle segnalazioni e di tenere basso il livello di conflitto sulla piattaforma.

Ma è possibile farlo? È possibile, in particolare, nascondere al segnalato l’identità del segnalante ovvero, in alternativa, raccogliere segnalazioni in forma volutamente anonima senza nemmeno raccogliere l’identità dell’utente segnalante?

Il GDPR prescrive all’articolo 15 l’obbligo di comunicare all’interessato, in sede di accesso e qualora i dati non siano raccolti presso l’interessato, “tutte le informazioni disponibili sulla loro origine”.

Alla disposizione fa eco il Considerando 61 del Regolamento, che legittima una comunicazione generica dell’origine del dato personale solamente quando questo deriva da plurime fonti.

Anche il nostro Garante privacy ha avuto occasione di ribadire questa posizione (peraltro già prima dell’entrata in vigore del GDPR, ad esempio nel Massimario 2012-2014 dei provvedimenti del Garante privacy troviamo, al nr. 276, che: “Costituisce violazione dell’art. 7 del Codice l’omessa comunicazione, da parte del titolare del trattamento, dell’origine del dato costituito dal numero di utenza fissa utilizzato per effettuare chiamate di carattere commerciale.”

Nel caso di una segnalazione relativa a un interessato pare quindi che il gestore della piattaforma non possa sottrarsi all’ostensione del dato personale del segnalante, se lo raccoglie, in quanto questo elemento costituisce al contempo l’origine del dato personale del segnalato.

Diritto all’accesso privacy: la normativa sul whistleblowing

A rafforzare questa ricostruzione è una chiara presa di posizione del Garante nel caso del c.d. “whistleblowing”, ovvero la disciplina per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

La disciplina, che oggi è inserita nella Legge n. 179/2017, è stata oggetto di ampia discussione parlamentare ed in quella sede l’allora Garante privacy (Antonello Soro), in audizione al senato il 22.10.2015, ha avuto modo di ribadire il diritto del soggetto segnalato ad accedere ai propri dati trattati nella segnalazione, ivi inclusa l’origine del dato.

Nel corso dell’audizione il Garante si è quindi premurato di segnalare la necessità di inserire una norma che tuteli il segnalante nel caso del c.d. “whistleblowing” per evitare (peraltro con alcune eccezioni) la disclosure dell’origine del dato (ovvero i dati del segnalante).

Whistleblowing nel rispetto della privacy: i paletti del Garante

In difetto di questa norma l’accesso, ex art. 7 del Codice privacy allora vigente (ed oggi ex art. 15 GDPR), dovrebbe invece includere l’identità del segnalante, questo quanto riferisce Soro in audizione: “Conoscere l’origine dei propri dati oggetto di trattamento da parte di terzi costituisce infatti una delle prerogative del diritto di accesso di cui all’art. 7 del Codice, che se può essere in certa misura compresso per la tutela di diritti di pari dignità, non può tuttavia essere a priori escluso“.

Il Garante, per introdurre delle esclusioni da tale diritto ritiene pertanto assolutamente necessaria un’indicazione normativa ad hoc:

Del resto, la disciplina vigente, se da un lato esclude espressamente l’accesso agli atti del procedimento amministrativo determinatosi con la segnalazione, proteggendo alle condizioni suddette l’identità del segnalante, dall’altro nulla statuisce in ordine all’accesso del segnalato ai propri dati personali e, in particolare, alla loro origine (art. 7 del Codice). Riprendendo, dunque, il criterio generale sancito dall’art. 8, c.2, lett. e) – e fermo restando quanto già previsto in ordine alla tutela dell’identità del segnalante – si potrebbe prevedere l’inammissibilità dell’esercizio del diritto di accesso del segnalato ai propri dati, limitatamente al periodo durante cui da tale accesso potrebbe derivare nocumento all’esercizio dei propri diritti da parte del titolare dell’interesse leso (amministrazione di riferimento, datore di lavoro). Alternativamente, si potrebbe riprendere il criterio sancito dall’art. 8-bis d.lgs. 58/1998, ovvero dell’esclusione dal diritto di accesso del segnalato ai propri dati personali della sola identità del segnalante, salvo qualora tale informazione sia indispensabile ai fini della difesa del segnalato stesso“.

Ed infatti, coerentemente con le indicazioni del Garante, è stata inserita una disciplina che limita il diritto di accesso del soggetto terzo oggetto della segnalazione ai dati del segnalante.

Precisamente la norma (art. 2 undecies Cod. Privacy) dispone:

I diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto:

[…]

f) alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.

Gli altri casi per cui la normativa esclude in parte l’esercizio dei diritti dell’interessato ai sensi del GDPR, sono i seguenti:

  1. disciplina antiriciclaggio;
  2. disciplina in materia di sostegno alle vittime di richieste estorsive;
  3. attività di Commissioni parlamentari d’inchiesta;
  4. attività dei regolatori del settore bancario;
  5. svolgimento di investigazioni difensive o all’esercizio di un diritto in sede giudiziaria;
  6. attività di prevenzione e contrasto all’evasione fiscale.

La lista è comprensiva di tutta una serie di casi in cui è necessario, fra le altre cose, tutelare il soggetto che effettua segnalazioni o comunque fornisce informazioni per le finalità meritevoli di cui all’elenco.

Ovviamente l’esercizio dei diritti dell’interessato non è del tutto escluso nemmeno in questi casi, ma lo stesso può essere ritardato o omesso solo ove necessario e comunque tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato. É comunque possibile rivolgersi al Garante (ai sensi dell’art. 160 del Codice privacy) affinché l’autorità verifichi che il trattamento dei dati sia conforme a normativa.

Inoltre, la disciplina lascia impregiudicata la responsabilità penale e disciplinare del segnalante nell’ipotesi di segnalazione calunniosa o diffamatoria ai sensi del codice penale e dell’art. 2043 del codice civile.

Alla luce di quanto esposto, pare conseguire che, al di fuori dei casi espressamente normati dall’art. 2 undecies D.Lgs. 196/03, il diritto di accesso dell’interessato ai propri dati personali debba essere integrale e includere anche l’origine dei dati medesimi, ovvero l’identità del segnalante in caso di segnalazioni non “coperte” dalle eccezioni sopra viste.

L’informativa privacy ai segnalanti

Cosa succede però se il gestore della piattaforma non anticipa ai segnalanti che i loro dati personali potrebbero essere condivisi con il soggetto segnalato?

Sul punto è evidente che le carenze dell’informativa resa dal titolare agli interessati chiamati a segnalare contenuti non consoni o altre problematiche non possa certo comprimere i diritti di terzi previsti dal GDPR (nemmeno il diritto nazionale può spingersi a tanto come opportunamente precisato dalla CGUE nei casi riuniti C-468/10 e C-469/10 ASNEF e FECEMD v. Administraction de Estado, Sentenza del 24.11.2011).

Del resto, non è pensabile che un interessato possa essere vittima di un’erronea informativa sottoposta dal titolare ad un ulteriore interessato, sarà semmai il titolare a dover affrontare le conseguenze di questa scarsa trasparenza.

L’accesso a dati di terzi per legittimo interesse

È poi importante non confondere l’accesso all’origine del dato personale (ovvero all’identità del segnalante) dal diverso caso dell’accesso a dati di terzi per legittimo interesse di un soggetto estraneo al trattamento.

Se ad esempio un utente business di social network è oggetto della segnalazione di un terzo fatta al proprio partner contrattuale (ovvero il social network stesso, titolare del dato) l’utente avrà diritto di conoscere l’origine del dato (ovvero l’identità del segnalante) in quanto il trattamento riguarda l’utente business stesso (persona fisica).

Se invece un soggetto ha bisogno di accedere a dati di terzi “estranei” al suo trattamento dati (ovvero di terzi che non hanno fatto riferimento ai dati del soggetto che chiede l’accesso, divenendo quindi le loro generalità “origine” del dato personale del soggetto, ma terzi di cui comunque il soggetto ha interesse a conoscere le generalità, come ad esempio potenziali testimoni di un sinistro) allora il soggetto che chiede il dato non è più l’interessato, ma un “semplice” terzo rispetto al trattamento, terzo che ha un mero interesse ad accedere ai dati personali di un ulteriore soggetto (interessato al trattamento del titolare a cui il terzo si rivolge, ad es. un’autorità di pubblica sicurezza o un gestore di un impianto di videosorveglianza).

In quest’ultimo caso, il richiedente non riveste il ruolo di interessato del trattamento del titolare che ha ricevuto la segnalazione, ma di terzo rispetto al rapporto titolare/interessato, terzo che però chiede di accedere ai dati dell’interessato.

Tipica ipotesi di accesso ai dati di terzi per legittimo interesse è ad esempio quella in cui un soggetto voglia chiedere ad un’azienda i dati di un dipendente della stessa per agire giudizialmente nei suoi confronti, o che appunto chieda alle autorità intervenute le generalità di soggetti testimoni o potenziali responsabili di un sinistro in occasione del quale sia stato danneggiato.

Diritto all’accesso privacy: la sentenza CGUE C-13/16

Quest’ultima ipotesi è stata compiutamente affrontata dalla Corte di Giustizia Europea nella causa C-13/16 con sentenza del 4 maggio 2017.

In quella sede la Corte ha ammesso la legittimità dell’ostensione dei dati al terzo in funzione del suo legittimo interesse ad accedere ai dati, ma ha precisato che non si tratta di un obbligo bensì di una facoltà del titolare.

Il caso riguardava un sinistro avvenuto a Riga nel dicembre 2012, causato da un passeggero in uscita da un taxi.

La proprietaria del veicolo danneggiato si è rivolta alla polizia nazionale per ottenere le generalità del passeggero al fine di proporre azione giudiziale per il risarcimento dei danni.

La polizia ha parzialmente accolto la domanda del danneggiato, il quale ultimo ha presentato ricorso per ottenere tutti i dati richiesti per individuare il soggetto responsabile del sinistro.

La Corte di Giustizia, come anticipato, ha riconosciuto la legittimità dell’ostensione parziale effettuata dalla polizia (l’interessato/danneggiante non potrà quindi lamentarsi della comunicazione dei suoi dati), ma non si è spinta fino ad imporre al titolare di ostendere la totalità dei dati in suo possesso.

La ragione dietro questa titubanza della Corte è che l’ostensione sulla base del legittimo interesse del terzo può essere effettuata a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

In buona sostanza con l’ostensione sulla base del legittimo interesse del terzo si grava il titolare di un complesso bilanciamento di valori, con i conseguenti rischi del caso, e per questo motivo il titolare può scegliere se dar corso autonomamente all’ostensione o se lasciare che di questa valutazione si occupi l’autorità giudiziaria (a cui il terzo potrà rivolgersi per ottenere un ordine di esibizione dei dati, una volta che l’autorità stessa avrà compiuto quel bilanciamento di interessi previsto dalla normativa).

La sentenza, pur relativa alla normativa antecedente al GDPR, afferma principi a tutt’oggi applicabili (del resto la normativa in tema di legittimo interesse non è stata stravolta dal Reg. UE 679/2016).

In proposito, ed a conferma di quanto sopra, plurime pronunce delle Autorità Garanti comunitarie si sono espresse circa la legittimità del trasferimento dei dati a terzi sulla base del loro legittimo interesse in presenza di una richiesta fondata sull’esercizio di un diritto in sede giudiziale, ad esempio l’Autorità Garante bulgara con la decisione n. ZH 67/2014 e la DPA greca con la decisione n. 98/2015.

Sul punto, in particolare, la decisione dell’Autorità Garante bulgara n. ZH 67/14 precisa che anche in assenza di disposizioni contrattuali che legittimino il trasferimento del dato a terzi in caso questi intendano esercitare un diritto in sede giudiziaria, il legittimo interesse che ne deriva è base giuridica sufficiente al trasferimento del dato, la pronuncia dell’Autorità greca (n. 98/2015) invece estende la possibilità di comunicazione del dato a terzi in caso di dati sanitari, previo contraddittorio con l’interessato.

Mentre quindi un terzo può accedere ai dati di un soggetto sulla base del suo legittimo interesse, ma non può imporre al titolare del dato questa ostensione, lo stesso soggetto dovrebbe avere pieno diritto di agire per ottenere il dato del soggetto se questo dato è “incluso” nel trattamento di dati che lo riguardano, costituendo l’origine del dato stesso.

Il caso delle segnalazioni anonime

Chiarito che, salvo i casi espressamente disciplinati dall’art. 2 undecies Cod. privacy, l’accesso ai dati da parte dell’interessato dovrebbe includere l’origine del dato e non è possibile subordinare l’accesso ai dati del segnalante ad una richiesta ex art. 391 nonies c.p.p. o 210 c.p.c. va, ora, esaminato il caso in cui il titolare non possa comunicare all’interessato l’origine del dato perché, semplicemente, non la raccoglie, questo o perché accetta segnalazioni anonime o perché volutamente non associa i dati in suo possesso del segnalante alla segnalazione.

Quest’ultima strada, ad esempio, è seguita dalla pressoché totalità dei social network, fra cui Facebook, Instagram e YouTube, il quale ultimo nel proprio sito afferma, con riguardo alla segnalazione di contenuti inappropriati, che “La segnalazione dei contenuti è anonima, perciò gli altri utenti non possono vedere chi l’ha effettuata.”

Sul punto è interessante esaminare il parere del Gruppo di lavoro ex art. 29 n. 1 del 2006 in cui i Garanti europei affrontano anche la questione dell’ammissibilità delle segnalazioni anonime.

Il parere ha un ambito di applicazione ristretto alle denunce relative alle irregolarità in ambito di tenuta della contabilità, controlli contabili interni, revisione contabile, lotta contro la corruzione, criminalità bancaria e finanziaria, ma fornisce indicazioni di rilievo generale utili ancora oggi a quindici anni di distanza dalla sua emissione.

Il Gruppo dei Garanti, infatti, già allora metteva in guardia dall’utilizzo di denunce anonime, evidenziando che le stesse, per poter essere utilizzate, devono rispettare una serie di requisiti.

Secondo il Working Party, infatti, le segnalazioni anonime creano “un problema specifico che attiene al requisito essenziale per cui i dati personali devono essere rilevati lealmente”.

Sebbene la raccolta di segnalazioni anonime crei una frizione con il rispetto del diritto alla privacy, il Gruppo dei Garanti ammette che esistano situazioni in cui la denuncia anonima possa rivestire un ruolo meritevole di tutela, in particolare in quei casi in cui il denunciante, pur in possesso di informazioni di rilievo, non ha la possibilità o comunque la predisposizione psicologica necessaria per presentare una segnalazione nominativa.

Il Working Party conclude quindi che le segnalazioni anonime siano ammissibili, ma che queste debbano costituire un’eccezione e non la regola e che debbano rispondere alle seguenti condizioni:

  • la procedura per la gestione delle denunce non deve essere concepita in modo da incoraggiare la delazione anonima come mezzo ordinario per segnalare;
  • le imprese non dovrebbero nemmeno richiamare l’attenzione sulla possibilità di presentare segnalazioni anonime ma, piuttosto, indirizzare i soggetti verso una segnalazione nominativa evidenziando che non dovranno temere conseguenze (salvo il caso di denunce calunniose o causa di danno);
  • il denunciante anonimo dovrà inoltre essere informato che potrebbe essere necessario svelarne l’identità ai soggetti competenti che parteciperanno alle indagini o ai procedimenti giudiziari instaurati a seguito della denuncia;
  • il trattamento delle denunce anonime deve essere oggetto di speciali precauzioni. Ad esempio, tali denunce dovrebbero essere vagliate per valutare se le stesse appaiono affidabili. Il Gruppo dei Garanti tuttavia precisa che l’opportunità di adottare speciali precauzioni non significa, tuttavia, che le denunce anonime non debbano essere verificate con la dovuta attenzione per tutti i fatti in causa, al pari delle denunce nominative.

Sebbene l’attenzione del Gruppo dei Garanti fosse, nel parere, orientata alle segnalazioni nell’ambito di procedure normate e che prevedevano allora, come prevedono ora, la tutela dei segnalanti anche con l’inibizione del diritto di accesso all’origine del dato, è evidente che alcuni dei ragionamenti del Working Party possano essere trasposti alle, più semplici, segnalazioni effettuate sui social network per contenuti non conformi alle regole del social.

Qui è opportuno fare delle distinzioni. I vari social network, infatti, spesso non raccolgono denunce “anonime” dai non utenti del social (semplici visitatori), ma raccolgono piuttosto le segnalazioni solo da soggetti regolarmente registrati sul sito (anche per evitare denunce da parte di bot o comunque eccessive strumentalizzazioni della misura).

A questo punto è evidente che la segnalazione, pur presentata come “anonima” dal social network, è in realtà del tutto nominativa, con il social network che sceglie di non condividere il dato del segnalante (come abbiamo visto illecitamente) o di non raccoglierlo.

Questo sistema di denunce “pseudo-anonime” si pone però in contrasto con le indicazioni del Working Party nel parere del 2006, non potendo qualificarsi come “eccezionale” rispetto ad un sistema in cui il social network custodisca i dati del segnalante e non risultando in essere quelle speciali precauzioni per la verifica delle segnalazioni anonime in capo al gestore della piattaforma.

La comprensibile esigenza di tenere basso il livello di conflitto da parte dei gestori dei social network, che altrimenti si troverebbero vittime di “faide” fra utenti e gruppi di utenti e/o di segnalazioni incrociate a non finire, si scontra però con la comprensibile esigenza da parte di chi è stato segnalato (e magari sospeso dalla piattaforma gestita dal titolare) solo perché un gruppo di utenti ha “preso di mira” il suo profilo.

Una cosa, infatti, è raccogliere segnalazioni anche da parte di utenti “semplici” del sito web, un’altra cosa è, al contrario, avere la possibilità di raccogliere il dato del segnalante e scegliere di non farlo e/o di non condividerlo con il segnalato.

All’aumentare dell’importanza dei social network, che di fatto sono un vero e proprio luogo di lavoro per molte persone, aumenta l’importanza di conoscere i dati dei segnalanti per un’effettiva tutela del soggetto segnalato, specie nel caso in cui la segnalazione (come spesso accade) porti a decisioni automatizzate sul profilo (come spesso accade una volta che le segnalazioni stesse raggiungono una certa soglia numerica in attesa che del loro esame se ne occupi un operatore).

Del resto, nemmeno la soluzione della pacifica ostensione in sede di accesso ai dati personali del segnalato dei dati raccolti sui segnalanti è auspicabile (pur essendo quella normativamente ad oggi prevista), potendo portare a ripercussioni per soggetti che hanno segnalato contenuti, e si pone quindi un problema di “soglia” oltre la quale è possibile accedere ai dati del segnalante, a tutela del corretto funzionamento delle piattaforme online.

Diritto all’accesso privacy: serve un intervento regolatorio

Questa soluzione di compromesso, che dovrebbe auspicabilmente trovare un esito normativo o comunque un’indicazione da parte delle Autorità di controllo in sede europea, potrebbe essere quella di onerare il titolare a comunicare al segnalato i dati del segnalante solo una volta verificata l’infondatezza della segnalazione (anche, se del caso, in contraddittorio con il segnalato).

In questo modo il titolare avrebbe occasione prima di verificare la sussistenza dell’interesse del segnalato ad accedere al dato e, solo allora, dovrebbe dar corso all’ostensione.

In mancanza di una norma in questo senso, però, appare davvero difficile difendere, alla luce della normativa attuale, l’atteggiamento delle piattaforme online che pretendono di raccogliere i dati dei segnalanti senza condividerli con il segnalato in sede di accesso ex art. 15 GDPR, e appare contrario “al requisito essenziale per cui i dati personali devono essere rilevati lealmente” l’atteggiamento di quelle stesse piattaforme quando scelgono, pur potendolo fare, di non raccogliere i dati dei segnalanti.

Il Digital Services Act

Sul punto si segnala la proposta di regolamento europeo sui servizi digitali (Digital Services Act) nella cui bozza sono individuate delle procedure standardizzate a cui i prestatori di servizi digitali, tra cui i social networks, dovrebbero attenersi ogniqualvolta venga rilevato/segnalato un contenuto illegale sulle loro piattaforme.

La bozza di regolamento in questione, pur non pregiudicando il Regolamento UE 679/16, fornisce una definizione ampia di contenuto illegale, tale per cui finisce per comprendere, in senso lato, tutte le informazioni, indipendentemente dalla loro forma, che ai sensi del diritto applicabile sono di per sé illegali, quindi, anche per esempio la condivisione non consensuale di immagini private.

In questi casi il legislatore europeo nella proposta di regolamento prevede che il prestatore di servizi, ove intervenga per rimuovere o impedire l’accesso alle informazioni fornite dal destinatario del servizio, debba fornire a quest’ultimo una motivazione chiara e specifica di tale decisione.

La predetta proposta di regolamento europeo, tuttavia, salvo prevedere un sistema interno di gestione dei reclami in via non automatizzata, nonché un sistema di risoluzione stragiudiziale delle controversie, nulla aggiunge con riferimento alla possibilità del destinatario del servizio digitale, oggetto di segnalazione, di accedere ai dati inerenti al proprio segnalante.

Conclusione

La questione, come visto, è quindi ancora aperta e dibattuta, e solo un intervento regolatorio – che ancora non si vede all’orizzonte – potrà comporla, nel frattempo il muro di gomma dei gestori dei social network (che costringe spesso i segnalati ad ottenere un ordine del Giudice per accedere ai dati dei segnalanti) di fatto sta incidendo sul diritto alla privacy, plasmandolo in un senso in parte diverso da quello voluto dal legislatore europeo e creando ex novo un settore in cui l’accesso ai dati non si estende alla loro origine.

WHITEPAPER
I dati sono il nuovo petrolio, ma vanno PROTETTI. Scopri come nella guida
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 2