Dati personali online: ultime sentenze
Per il gestore di un sito, l’indirizzo di protocollo Internet dinamico di un visitatore rappresenta un dato personale. Il trattamento dei dati può superare il periodo necessario agli scopi per cui sono stati raccolti? È lecita la pubblicazione su un sito internet di un provvedimento giurisdizionale che indica lo stato di salute del ricorrente? Leggi le ultime sentenze.
Diffusione online di dati giudiziari
In tema di protezione dei dati personali, il trattamento da parte di enti pubblici a base elettiva dei dati giudiziari riguardanti il corpo elettorale e i diritti di elettorato attivo e passivo, risponde ad una “finalità di rilevante interesse pubblico” ai sensi dell’art. 65 d.lg. n. 196/2003 (Codice in materia di protezione dei dati personali, nella stesura anteriore alle modifiche introdotte con il d.lg. n. 101/2018) ed è consentito e lecitamente esercitato, nei limiti indicati da questa disposizione, solo ove siano stati preventivamente individuati, ai sensi degli artt. 20 e 21 d.lg. n. 196/2003, ‘i tipi di dati trattati’ e ‘le operazioni eseguibili’, così da predeterminare e circoscrivere l’attività discrezionalmente consentita.
Infatti, qualora questi elementi non siano stati specificati da espressa disposizione di legge o dal Garante per la protezione dei dati personali, spetta al soggetto pubblico che esegue il trattamento provvedere in proprio alla preventiva individuazione degli stessi, mediante l’adozione di un atto regolamentare in conformità del parere resto dal Garante ai sensi dell’art. 154, comma 1, lett. g) d.lg. n. 196/2003, con l’effetto che il trattamento dei dati che abbia esorbitato dall’individuazione così compiuta non può ritenersi né consentito, né lecitamente esercitato (fattispecie relativa alla diffusione online dei dati giudiziari di candidati al Collegio Professionale dei Periti industriali).
Cassazione civile sez. I, 16/06/2021, n.17208
Tutela dei dati personali memorizzati nell’account della persona deceduta
L’accesso e il trasferimento dei dati e delle informazioni memorizzati sull’account di una persona deceduta (anche sincronizzati online su iCloud), è consentito ai terzi legittimati, ai sensi dell’art. 2-terdecies nel D.Lgs. n. 196/2003, introdotto dal d.lgs. n. 101/2018 che ha esteso le norme del GDPR anche ai trattamenti dei dati personali di persone decedute, quando i terzi siano portatori di interessi “per ragioni familiari meritevoli di protezione”, se non espressamente vietato dall’interessato, senza che la società di informazione titolare del trattamento possa frapporre ostacoli non previsti dalla normativa europea e nazionale.
Tribunale Milano sez. I, 09/02/2021
Dati sensibili di un dipendente
Il Comune deve rimuovere dall’albo pretorio online, dopo 15 giorni dalla pubblicazione delle sue deliberazioni, le informazioni in esse contenute che non attengono all’organizzazione degli uffici o al funzionamento dell’ente, ma che riguardano dati sensibili di un soggetto. Ad affermarlo è la Cassazione che conferma la legittimità dell’ordinanza ingiunzione con la quale il Garante per la protezione dei dati personali irrogava la sanzione di 4mila euro nei confronti di un comune, a causa di un trattamento di dati personali effettuato in violazione dell’articolo 124 del Codice della privacy.
Nello specifico, l’ente locale era colpevole di aver mantenuto visibile sul proprio albo pretorio online, per oltre un anno, alcune determinazioni dirigenziali dalle quali risultavano dati personali di un dipendente, non attinenti al profilo organizzativo dell’amministrazione, i quali avrebbero dovuto essere rimossi dopo 15 giorni.
Cassazione civile sez. II, 03/09/2020, n.18292
Registrazione e pubblicazione online di un video che ritrae poliziotti
Ai sensi dell’articolo 3 della direttiva 95/46/CE, la registrazione video di taluni agenti di polizia all’interno di un commissariato, durante la raccolta di una deposizione, e la pubblicazione del video così registrato su un sito Internet dove gli utenti possono inviare, visionare e condividere contenuti video, rientrano nell’ambito di applicazione della direttiva e possono costituire, in astratto, un trattamento di dati personali esclusivamente a scopi giornalistici, a condizione che da tale video risulti che la registrazione e la relativa pubblicazione abbiano avuto quale unica finalità la divulgazione al pubblico di informazioni, opinioni o idee.
Spetterà al giudice nazionale escludere, caso per caso, che la registrazione e la pubblicazione del video, avvenute senza che le persone interessate venissero informate di tale registrazione e delle sue finalità, costituiscano un’ingerenza nel diritto fondamentale al rispetto della vita privata di tali persone, vale a dire degli agenti di polizia che appaiono nel video stesso, ciò perché non si può ritenere che ogni informazione pubblicata su Internet, che riguardi dati personali, rientri nella nozione di «?attività giornalistiche?» e che, a tale titolo, benefici del regime speciale di cui all’articolo 9 della direttiva 95/46.
Corte giustizia UE sez. II, 14/02/2019, n.345
Internet e dati personali: il consenso specifico dell’interessato
In tema di consenso al trattamento dei dati personali, la previsione dell’art. 23 del d.lgs. n. 196 del 2003, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito internet, il quale somministri un servizio fungibile cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di “newsletter” su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti.
Cassazione civile sez. I, 02/07/2018, n.17278
Responsabilità amministratore di una fanpage su Facebook
L’art. 2, lett. d), della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che la nozione di « responsabile del trattamento », ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network.
Corte giustizia UE grande sezione, 05/06/2018, n.210
Lesione del diritto all’oblio
Sussiste la giurisdizione dell’Autorità garante per la protezione dei dati personali nei confronti di una società italiana, quale stabilimento della società di diritto irlandese facente parte del medesimo gruppo che gestisce servizi di ricerca su internet in Europa, in relazione alla richiesta della rimozione dei risultati da parte di un soggetto residente in Italia.
Difatti, nel caso in cui il ricorrente lamenti la lesione del proprio diritto all’oblio, il danno può legittimamente ritenersi prodotto solo nel paese di origine del soggetto che si assume leso in base alle disposizioni del Reg. 2012/1215/UE.
Allo stesso modo, in vista dell’obiettivo della tutela efficace e completa del diritto alla vita privata, perseguito da Dir. 95/46/CE, l’espressione «nel contesto delle attività di uno stabilimento» di cui all’art. 4 della medesima direttiva, in tema di legge applicabile, non può ricevere un’interpretazione restrittiva, cosicché il trattamento dei dati personali per cui è causa deve assumersi effettuato appunto nel contesto dell’attività commerciale e pubblicitaria svolta dalla società italiana, quale stabilimento nel territorio italiano della società irlandese, titolare dei servizi di ricerca via internet.
Tribunale Milano sez. I, 04/01/2017, n.12623
Trattamento dei dati degli utenti: responsabilità del provider
Gli utenti dei server online possono chiedere al gestore di rettificare od eliminare i propri dati trattati dal motore di ricerca. Qualora questo ultimo non dia riscontro alla richiesta dell’utente, questo ultimo può adire l’autorità giudiziaria o amministrativa per la tutela, anche risarcitoria, dei propri diritti.
Tribunale Roma sez. I, 13/03/2017
Divulgazione di atti contenenti dati personali
La pubblicazione, sul sito “internet” di un comune, delle delibere relative alla costituzione dell’ente in un giudizio risarcitorio, conseguente a sinistro stradale, proposto nei suoi confronti, dalle quali risulti l’indicazione dei dati anagrafici delle controparti, la targa ed il modello di autovettura, nonchè la natura della lesione fisica subita, non viola la riservatezza dei soggetti ivi menzionati, sia perché la divulgazione di atti che determinino la diffusione di dati personali deve ritenersi lecita qualora prevista, come nella specie, da una norma di legge o di regolamento, sia perché il contenuto delle predette delibere rende identificabili gli interessati, anche in considerazione dell’ampio contesto sociale della città di loro residenza, solo associando i dati pubblicati ad altri elementi identificativi, tramite operazioni di ricerca comportanti un dispendio di attività, di energia e di spese sproporzionato rispetto all’interesse alla loro individuazione.
Cassazione civile sez. III, 13/10/2016, n.20615