Usare il nome di qualcun altro in un post su un forum online potrebbe comportare una multa. Una sentenza storica
L'attività online e la pubblicazione di dati altrui in una discussione su un social network, anche chiuso, possono causare problemi legali? A quanto pare sì. Lo conferma una sentenza storica della Corte Suprema Amministrativa (NSA) in merito al GDPR.
Ha rivelato il nome della moglie del sindaco e il suo codice vaccinale contro il Covid-19. Questo viola il GDPR?La controversia è stata avviata da un reclamo per violazione delle norme sulla protezione dei dati personali. Nel novembre 2021, una donna ha segnalato all'Ufficio per la protezione dei dati personali (UODO) che un utente di Facebook aveva pubblicato per un mese un post in un gruppo con oltre 6.100 membri, rivelando illegalmente il suo nome e cognome in relazione ai suoi dati medici, con un codice QR che confermava la vaccinazione. La donna ha chiesto l'ordine di cancellazione delle informazioni e di punire il responsabile.
Il Presidente dell'Ufficio per la Protezione dei Dati Personali (UODO) ha preso sul serio la questione e ha chiesto spiegazioni. L'uomo ne ha fornite, ma si è dichiarato non colpevole. A suo parere, non aveva trattato alcun dato personale. Ha spiegato di aver ottenuto il codice QR originale per il vaccino contro il Covid-19 dal sito web pubblico del sindaco, che in privato era il marito della donna.
L'uomo lo ha letto per motivi personali, in quanto elettore e residente, curioso di sapere se il sindaco, personaggio pubblico, avesse pubblicato il suo codice per confermare la vaccinazione. Dopo averlo scansionato utilizzando un'app gratuita consigliata dal Ministero della Salute, ha scoperto che il certificato non era stato rilasciato a nome del sindaco. Quindi, agendo nell'interesse pubblico e in buona fede, ha deciso di renderlo pubblico in modo che fosse impossibile leggerlo in una discussione online.
Tuttavia, il Presidente dell'Ufficio per la Protezione dei Dati Personali (UODO) non ha fatto marcia indietro. Ha stabilito che il caso violava il GDPR e ha emesso un avviso di violazione per il trattamento di dati personali senza una base giuridica. I funzionari hanno stabilito che la ricorrente aveva acconsentito alla pubblicazione di una foto del suo certificato sul blog del marito, ma senza alcun dato personale. Era inteso come esempio. Il Presidente dell'UODO ha osservato che le informazioni ottenibili tramite uno scanner di certificati rientrano nella definizione di dati personali, inclusi i dati sensibili.
L'individuo rimproverato si rifiutò di accettare questa svolta degli eventi. Presentò ricorso in tribunale, ma perse. Inizialmente, il Tribunale Amministrativo Provinciale (WSA) di Varsavia si pronunziò contro di lui. Non vi erano dubbi sul fatto che il caso riguardasse il trattamento (divulgazione) di dati personali, comprese informazioni sanitarie, senza una base giuridica.
Alla fine, la sconfitta dell'uomo è stata sancita dalla Corte Suprema Amministrativa. Non è stato convinto dall'argomentazione secondo cui le attività contestate erano "di natura puramente personale o domestica", a cui il GDPR non si applica.
Non è consentito l'uso privato su un forum chiuso su FBSecondo la Corte Suprema Amministrativa, la pubblicazione di dati personali sulle piattaforme social private di Facebook non costituisce trattamento di dati personali da parte di un individuo per scopi puramente personali o domestici. Ciò si applica ai casi in cui la persona che pubblica dati personali non è l'amministratore della community in questione, non ne seleziona personalmente i partecipanti, ma si limita a iscriversi. Gli altri membri del gruppo non hanno l'autorità di presentare un'obiezione vincolante alla loro domanda di adesione alla community.
La Corte Suprema Amministrativa ha sottolineato che la creazione di un account su un social network, l'invio di notifiche ad altri o l'adesione a un gruppo specifico non costituiscono una dichiarazione di volontà a un gruppo indeterminato di utenti in merito all'ulteriore trattamento dei dati. Ciò vale anche per il trattamento dei dati personali all'interno di gruppi chiusi di social network, ovvero il trattamento dei dati pubblicati da un singolo utente sul proprio account. La sentenza è definitiva.
numero di riferimento del fascicolo: III OSK 1101/24La sentenza commentata della Corte Suprema Amministrativa è molto importante e può avere un impatto significativo sull'applicazione pratica del GDPR. Riguarda la diffusa attività sui social media, compresi i gruppi chiusi, e dovrebbe fungere da monito contro la pubblicazione negligente di dati personali in tali ambienti. Vale quindi la pena ricordare che una situazione in cui un individuo non applica il GDPR perché tratta dati personali nell'ambito di attività di natura puramente personale o domestica costituisce un'eccezione al principio di applicazione del GDPR laddove si verifichi un trattamento di dati. E le eccezioni, come sappiamo, vanno interpretate in modo restrittivo. Pertanto, accolgo con favore la posizione della Corte Suprema Amministrativa, che ancora una volta pone fine a quella che considero una definizione eccessivamente ampia di questa eccezione. Dopotutto, dov'è lo scopo personale, per non parlare di quello domestico, quando pubblichiamo dati personali su un forum chiuso se non abbiamo alcun controllo su chi vi partecipa? Nel frattempo, come indicato dal GDPR nel considerando 18 del preambolo, le attività personali o domestiche includono, tra le altre cose: il mantenimento di legami sociali che non esistono tra i membri del forum che non si conoscono.
RP
