Il principio di responsabilizzazione (accountability) dei titolari del trattamento dei dati.
∞
Un episodio recente di cronaca, estremamente spiacevole, ci permette di fare chiarezza sulla disciplina relativa al trattamento dei dati personali con specifico focus ai “minori”, visto che per questi ultimi il GDPR - Regolamento (UE) 2016/679 - detta delle regole specifiche.
In particolare con il presente contributo si vuole analizzare quale sia la disciplina dettata dal GDPR con riguardo alla diffusione a mezzo stampa o attraverso i canali social di informazioni che permettano l’identificazione di una persona minore di età.
L’episodio da cui si prende spunto riguarda la diffusione di un video attraverso i social e le testate giornalistiche on-line che ha riportato, in sequenza, i momenti di uno stupro a cui una donna, maggiore di età, è stata sottoposta. Nel video (a quanto pare) sarebbero del tutto oscurate le immagini, ma le voci sarebbero nitide, rendendo così riconoscibili le persone coinvolte.
Il Garante per la Privacy il 22 agosto 2022 con riferimento alla diffusione del predetto video ha avviato un’istruttoria con le seguenti motivazioni: “Con riferimento alla diffusione del video relativo all’episodio di violenza sessuale di Piacenza, il Garante per la protezione dei dati personali ha avviato un’istruttoria per accertare eventuali responsabilità da parte dei soggetti che a vario titolo e per finalità diverse vi hanno proceduto e avverte tutti i titolari del trattamento a verificare la sussistenza di idonee basi giuridiche legittimanti tale diffusione. Il Garante si riserva di adottare eventuali provvedimenti di sua competenza” (fonte: Garante per la protezione dei dati personali documento n. 9798488 del 22 agosto 2022).
Ebbene con riguardo ai minori la diffusione per mezzo stampa e via internet di informazioni inerenti gli stessi è stato più volte oggetto di provvedimenti restrittivi assunti dal Garante della protezione dei dati personali il quale, in particolare, ha evidenziato, che anche quando l’identità dei minori, coinvolti a vario titolo in fatti di cronaca, non è svelata, la diffusione di una serie di informazioni grazie alle quali essi possano essere immediatamente riconoscibili, non solo nella cerchia familiare, ma anche tra conoscenti ed amici, costituisce un illecito che può “pregiudicare l’armonico sviluppo psicologico” del minore.
Tali diffusioni di informazioni da parte della stampa anche on line, qualora consentano di risalire al minore e alla famiglia (in un caso, ad esempio, rendendo nota la targa dell’auto), non costituiscono legittimo esercizio del diritto di cronaca, essendo assolutamente sovrabbondanti e non indispensabili a rappresentare la vicenda.
La diffusione di informazioni “personali” che permettano di risalire al minore non è, infatti, essenziale per il racconto della vicenda al pubblico e contrasta, quindi, con il principio di essenzialità dell’informazione, violando quanto previsto dal Codice della privacy e dal Codice deontologico dei giornalisti.
Infatti la diffusione di informazioni che riguardano un minore o di immagini inerenti lo stesso (anche una foto) rientrano pacificamente nel trattamento dei dati personali e sensibili.
Gli stessi genitori, oltre che i giornalisti, dovrebbero quindi porre attenzione (e sensibilità) nel pubblicare on line anche un’immagine del figlio minore, visto che secondo la giurisprudenza per la pubblicazione delle foto dei figli occorre il consenso di entrambi i genitori. In assenza dell'accordo dei due genitori la foto non è pubblicabile e l’eventuale pubblicazione viola l’articolo 10 del codice civile in tema di diritto all’immagine, nonché gli articoli 4;7;8 del GDPR aggiornato con la L. n. 205/2021, riguardanti la tutela della riservatezza dei dati personali, nonché gli articoli 1 e 16, I comma, della Convenzione di New York del 20/11/1989 sui diritti del fanciullo, ratificata dall’Italia con legge 27 maggio 1991 n. 176, che preclude la possibilità di divulgare notizie o immagini che consentano l’identificazione, anche indiretta, dei minori
Il GDPR negli articoli succitati disciplina la base giuridica per un legittimo trattamento dei dati con specifico riferimento ai soggetti minori, per i quali ritiene sia necessaria una protezione specifica, in quanto essi possono essere meno consapevoli dei rischi nel trattamento dei loro dati personali, delle conseguenze del trattamento e dei loro diritti (Considerando 38 del GDPR).
Per quanto riguarda il concetto di “minore” di età, è bene non fare confusione.
Per il trattamento dei dati personali e sensibili è sempre richiesto il consenso di una persona che sia capace di agire, ossia di un soggetto che abbia compiuto il diciottesimo anno di età, o, in alternativa, di chi sul minore esercita la potestà genitoriale. E’ vero, infatti, che all’art. 8 il GDPR individua il minore capace di dare un valido consenso nelle persone di età inferiore ai 16 anni, ma questa ipotesi riguarda esclusivamente il consenso del minore che viene prestato in relazione ai servizi della società dell'informazione: ad esempio per scaricare una applicazione od abbonarsi ad un sito (limite di età che l’Italia, nel recepire il Regolamento, ha abbassato a 14 anni).
Pertanto rimangono applicabili le disposizioni del codice civile e, in particolare, l’art. 2 primo comma, c.c., che fissa alla maggiore età la capacità legale di agire e, quindi, anche la capacita di dare il consenso per la diffusione di propri dati personali o immagini.
Solo un consenso espresso in maggiore età e con piena capacità legale di agire, dunque, costituisce la base giuridica che legittima il trattamento dei dati personali. Il GDPR prevede, peraltro, che i dati relativi ad una persona debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato, oltre che adeguati e pertinenti rispetto alle finalità (cd. principio di minimizzazione) e che, in ogni caso, è fatto divieto nel trattare dati personali, diffondere quelli idonei a rivelare “l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona” (art. 9 GDPR).
Questa normativa del GDPR viene armonizzata con quanto previsto dall’Autorità Garante della privacy che nel 2018 ha pubblicato le “Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica” (link di riferimento: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9067692).
Queste regole sono interessanti perché contengono una disciplina specifica dettata a tutela dei minori quando si tratta di trattare i loro dati rendendoli pubblici per mezzo della stampa, anche on line, prevedendo, in particolare, che al fine di tutelare la personalità del minore “il giornalista non pubblica i nomi dei minori coinvolti in fatti di cronaca, né fornisce particolari in grado di condurre alla loro identificazione”
Il diritto del minore alla riservatezza, per l’Autorità Garante della privacy, deve essere sempre considerato “come primario rispetto al diritto di critica e di cronaca”: “qualora, tuttavia, per motivi di rilevante interesse pubblico e fermo restando i limiti di legge, il giornalista decida di diffondere notizie o immagini riguardanti minori, dovrà farsi carico della responsabilità di valutare se la pubblicazione sia davvero nell´interesse oggettivo del minore, secondo i principi e i limiti stabiliti dalla ‘Carta di Treviso” (art. 7 Regole deontologiche cit.).
∞
Il principio di responsabilizzazione (accountability) dei titolari del trattamento dei dati personali: la DPIA (Valutazione d'impatto della protezione dei dati)
Uscendo dal campo specifico della stampa cartacea e on line e considerando, in generale, il trattamento dei dati personali dei minori in internet e nei social – dove come si è visto possono accedere ai vari servizi anche prima del compimento della maggiore età - l’art. 35 del GDPR prevede l’obbligo per il titolare del trattamento dei dati personali di effettuare, prima dell’inizio del trattamento, una valutazione dell’impatto del trattamento medesimo, laddove quest’ultimo possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, “allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità”.
In ragione di questa previsione sono state adottate le “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679” adottate da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (denominate:WP248,rev.01 e consultabili al link:https://ec.europa.eu/newsroom/article29/items/611236).
Le predette Linee guida hanno individuato specificamente nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”, tra cui, per quello che ci interessa, i “ dati relativi a interessati vulnerabili”, ossia quelli relativi a soggetti minori.
In questi specifici casi per l’Autorità Garante della protezione dei dati personali è necessario effettuare una “valutazione d’impatto” preventiva da parte del titolare del trattamento dei dati personali in quanto è più accentuato lo squilibrio di poteri fra interessato e titolare del trattamento La categoria degli interessati vulnerabili comprende anche i minori – come si è detto - che si può ritenere non siano in grado di opporsi o acconsentire, in modo consapevole e ragionato, al trattamento dei propri dati personali.