GDPR e titolari del trattamento, quali i limiti di applicabilità all’ambito personale

In data 30 novembre 2022, l’Autorità per la Protezione dei Dati Personali spagnola (“AEPD”) ha emanato un provvedimento sanzionatorio decisamente peculiare nei confronti di un minore di sedici anni, ritenuto “titolare” del trattamento ai sensi della normativa privacy. Un esito inatteso che invita tutti gli operatori del settore – e non solo – a domandarsi fin dove si è spinta, e fin dove può spingersi davvero, l’applicazione del Regolamento UE 2016/679 (GDPR).

Il provvedimento

I fatti da cui scaturisce la sanzione sono brevemente riassumibili come segue. Il sedicenne conosce online un’altra minore, di tredici anni. Nel corso della “relazione” online, questa decide di inviargli foto intime. A questo punto, il sedicenne decide di chiederne altre, ma, innanzi al rifiuto della minore, il ragazzo decide di intimorirla affermando che se non ne avesse inviate di nuove, avrebbe pubblicato sui social quelle di cui era già in possesso. Di conseguenza, la tredicenne cede ed accetta.

Premesso che il sedicenne era già stato condannato in sede penale, l’Autorità spagnola, a seguito del reclamo ricevuto dai genitori della minore, ha infine sanzionato per 5 mila euro il ragazzo: per aver compiuto un trattamento illecito di dati personali. La motivazione? Carenza dei requisiti previsti per il consenso della tredicenne, impossibilitata a fornirne uno lecito in quanto minore di quattordici anni, così come previsto dalla legge nazionale spagnola. In definitiva, quindi, si è ravvisata la violazione dell’art. 6(1), lett. a) del GDPR, per aver compiuto il sedicenne (quale titolare), un trattamento senza un lecito consenso del soggetto interessato minorenne (la tredicenne).

La difesa del ragazzo si è soffermata – tra gli altri punti, superflui in questa sede – sul fatto che tali immagini non fossero state effettivamente pubblicate, né comunicate a terzi, bensì conservate personalmente e privatamente.

A tale difesa, forse monca nel suo obiettivo, l’Autorità, ricordando le definizioni sancite dal GDPR di dato personale^[1], di trattamento di dati personali^[2] e di titolare del trattamento^[3], ha risposto citando il primo paragrafo dell’articolo 2 del GDPR: ovverosia che quest’ultimo “si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”. E che, quindi, la mera raccolta, registrazione e conservazione delle immagini della minorenne sono sufficienti a far sì che si applichi il GDPR.

Il GDPR non si applica all’ambito domestico

Ciò che né la difesa né l’Autorità hanno preso in considerazione sono le esenzioni all’ambito di applicazione materiale del GDPR, stabilite dal secondo paragrafo dello stesso articolo 2 citato dall’AEPD. Infatti, alla sua lettera c), si legge che il Regolamento in questione non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” – la cd. “household exemption”.

Pertanto, qualora un soggetto persona fisica effettui un trattamento di dati personali per scopi estranei ad attività professionali e/o imprenditoriali – avendo esclusivamente carattere personale o domestico, quindi privato – il GDPR non si applica. Ne deriva che ove il comportamento (rectius: trattamento) messo in atto dal sedicenne del nostro caso dovesse considerarsi quale “esclusivamente personale o domestico”, il GDPR non dovrebbe applicarsi.

Escludendo che l’AEPD possa aver preso una tal svista nel comminare la sanzione, è opportuno cercare di riflettere sulla ratio sottostante la pronuncia, provando a fornire l’interpretazione sposata dall’Autorità nel considerare il trattamento operato dal minore quale ricadente sotto l’ombrello del GDPR.

Case law: un’interpretazione restrittiva

La predetta esenzione per attività squisitamente personali è stata più volte oggetto di attenzione della Corte di Giustizia dell’Unione Europea (CGUE), anche se nella sua formulazione precedente presente nella Direttiva 95/46 (oggi abrogata dal Regolamento). Le relative pronunce, tuttavia, possono ancora dirsi attuali in quanto la formulazione dell’eccezione nel GDPR è oggi analoga. L’unica differenza degna di nota è da riscontrarsi nell’attuale Considerando 18, il quale afferma che le attività a carattere personale o domestico potrebbero comprendere “l’uso dei social network e attività online intraprese nel quadro di tali attività”.

La più importante pronuncia della CGUE sul tema è senza dubbio il caso Lindqvist, nell’ormai lontano 2003^[4]. A quel tempo, l’omonima signora decise di pubblicare, sul proprio sito internet personale, informazioni relative alle persone con cui prestava attività di volontariato nella sua Chiesa.

In tale sede, la Corte ha sancito che la household exemption si applica “unicamente [al]le attività che rientrano nell’ambito della vita privata o familiare dei singoli”, non “nel caso del trattamento di dati personali consistente nella loro pubblicazione su internet in modo da rendere tali dati accessibili ad un numero indefinito di persone”.

Per tale motivo, la Corte affermò la piena sottoposizione dei trattamenti operati dalla signora Lindqvist alla normativa in materia di protezione di dati personali.

Nel 2013, durante le fasi embrionali del GDPR, tale esenzione, così come formulata dalla Direttiva – e così come interpretata anche dalla Corte nel caso Lindqvist, si potrebbe affermare – è stata criticata dal Working Party 29 (oggi EDPB). L’oggetto della contestazione verteva sul suo ambito applicativo “irrealisticamente ristretto”^[5].

Tuttavia, la CGUE, in un altro e successivo caso concernente un sistema di videosorveglianza, ha proseguito per la propria strada affermando esplicitamente che tale deroga “dev’essere interpretata in senso restrittivo”^[6].

Il case law della CGUE, quindi, sembra essere indirizzato in una direzione precisa:

1. la household exemption si deve interpretare restrittivamente;
2. se i dati personali sono pubblicati su internet, rendendoli così accessibili da un numero indeterminato di persone, la stessa non può essere invocata e, di conseguenza, la normativa in materia di protezione dei dati personali (leggasi, ora, il GDPR) si applica.

Oggi, con il nuovo Considerando 18 del Regolamento, si potrebbe argomentare a favore della tesi per cui tale exemption possa interpretarsi (un po’) più estensivamente. Infatti, seppur pubblicati su un sito internet o su un social network, i dati personali potrebbero essere condivisi solamente con una cerchia ristretta e determinata di persone.

Basti pensare, ad esempio, ai gruppi chiusi e privati su Facebook, ai gruppi su Whatsapp, ai forum con thread protetti e riservati. Fermo restando che potrebbe essere un fattore rilevante l’effettivo numero di persone cui vi hanno accesso, oggi la pubblicazione online di dati personali potrebbe non essere considerata, di per sé, sottoposta al GDPR.

In ogni caso, al netto delle possibili modifiche interpretative scaturenti dal Considerando 18, si può azzardare l’affermazione per cui, sino ad oggi, la soglia oltre la quale non può applicarsi la household exemption è costituita dalla diffusione di dati personali: se un individuo pubblica, condivide, diffonde dati personali altrui allora si applica il GDPR.

Il (probabile) ragionamento dell’AEPD

Con il provvedimento dell’Autorità spagnola sopra analizzato, tutto questo viene messo in discussione. Non solo i dati personali della tredicenne non sono stati pubblicati online, con conseguente diffusione a un numero indeterminato di persone, ma non sono nemmeno stati comunicati a terzi o pubblicati in gruppi chiusi o ristretti. Pare, quindi, non siano stati appresi da alcuno al di fuori del minore sedicenne. Non si discute che la mera raccolta, conservazione, “interna” costituisca di per sé un trattamento, ma ciò rileva su un piano differente rispetto a quello della household exemption.

Quest’ultima, invece, si riferisce all’attività perpetrata dal soggetto, alla sua finalità ultima: se tale attività (i) abbia o meno una connessione con un’attività commerciale o professionale, (ii) abbia o meno carattere esclusivamente personale o domestico, (iii) superi o meno la predetta soglia.

L’AEPD sembra essersi orientata in netto contrasto con quanto sopra sottolineato dal WP29. Non solo. Sembra andare ben oltre l’approccio restrittivo della CGUE, fornendo un’interpretazione eccessivamente restrittiva della household exemption.

Infatti, l’elemento decisivo del caso sottopostole sembra potersi identificare nella minaccia di diffusione di tali immagini. L’AEPD sembra, quindi, anticipare la soglia di tutela fornita dal GDPR: dalla pubblicazione online con conseguente diffusione, alla mera minaccia di tale diffusione. Prendendo in prestito la terminologia penalistica: parrebbe che l’AEPD stia affermando che il pericolo (concreto) della diffusione sia sufficiente per entrare nell’ambito applicativo del GDPR.

In altri termini – al netto di ogni considerazione di stampo penalistico – la sola minaccia di diffusione di dati personali, costituirebbe quel trigger necessario a far sì che il GDPR diventi protagonista.

Conclusioni

Non è questa la sede per giudicare se tale punto di vista dell’AEPD sia eccessivo o, al contrario, più che giustificato, specie laddove il soggetto interessato risulti essere una minore di soli tredici anni. Pare, invece, essere lecito domandarsi sino a dove effettivamente si spinge la soglia oltre la quale entra in gioco il GDPR, tenendo a mente il dettato della norma da un lato e l’intenzione dei co-legislatori dall’altro.

Il Garante spagnolo avrebbe potuto, quantomeno, fornire una delucidazione ed un approfondimento sul punto. Tale incertezza – così come avverrebbe in altri ambiti del diritto – non fa altro che nuocere all’intero ecosistema, minando la credibilità e la funzione del Regolamento.

Basti pensare a domande che restano irrimediabilmente prive di risposta: nel caso di specie, il GDPR si sarebbe applicato ugualmente se anziché una minaccia vi fosse stata una mera esternazione della volontà, non collegata alla volontà di acquisire nuove immagini attraverso tale comportamento? Si sarebbe applicato ugualmente se il ragazzo avesse soltanto pensato di poterle pubblicare per raggiungere i propri scopi? E quale sarebbe il discrimen per tali risposte?

Una normativa tanto importante quanto prorompente nel proprio impatto sulle vite delle persone necessita, indiscutibilmente, di un perimetro chiaro e delineato.

NOTE

1. Art. 4(1), n. 1 GDPR. ↑

2. Art. 4(1), n. 2 GDPR. ↑

3. Art. 4(1), n. 7 GDPR. ↑

4. Bodil Lindqvist[2003] Case C-101/01, 6 November 2003. ↑

5. Article 29 Data Protection Working Party, ‘Statement of the Working Party on current discussions regarding the data protection reform package, Annex 2 Proposals for Amendments regarding exemption for personal or household activities’, p.2 ↑

6. František Ryneš contro Úřad pro ochranu osobních údajů [2014] Case C-212/13, 11 December 2014. ↑