In una palestra di ginnastica artistica di un quartiere di Roma, una bambina di sette anni è stata costretta a ritirarsi dal corso perché i suoi genitori non hanno concesso al centro sportivo il consenso alla pubblicazione delle fotografie della loro piccola ginnasta sui social.
Per approfondimenti sul tema: Manuale di diritto alla protezione dei dati personali
Indice
1. L’esclusione della palestra
La palestra ha restituito alla famiglia il denaro utilizzato per pagare il corso, ma ha preferito escludere la minore, perché, anche utilizzando l’accortezza di farla allontanare quando si giravano foto e video, non poteva avere la certezza che qualcosa potesse sfuggire e quindi di violare il divieto dei genitori.
La madre della bambina si è detta rammaricata della situazione “anche se la palestra non ha violato alcuna legge”. Ed è proprio qui che la madre si sbaglia, perché la palestra ha violato eccome una disposizione legislativa italiana, e precisamente il regolamento Europeo per la protezione dei dati personali 679/2016, che al suo art. 6 prevede il consenso come una delle basi giuridiche per un lecito trattamento dei dati, ma che lo stesso, per essere valido, deve essere libero, informato, inequivocabile, revocabile (art. 7 GDPR).
Potrebbero interessarti anche:
2. La regolamentazione sulla pubblicazione di foto di minori
Non solo, ma la presenza sui social network dei minori è o almeno dovrebbe essere consentita a partire dai 14 anni ed è pur vero che (purtroppo) al momento non c’è nessuna disposizione che vieta ai genitori di pubblicare le foto dei propri figli anche infra quattordicenni sulle piattaforme online, ma naturalmente questo non vale per soggetti esterni, titolari del trattamento, che hanno il preciso dovere di trattare i dati degli interessati secondo i principi di liceità, correttezza e trasparenza previsti dal GDPR.
Essendo soggetti alle disposizioni del GDPR tutti i titolari, pubblici e privati, che trattano dati personali di persone fisiche nell’ambito della propria attività lavorativa (con l’esclusione quindi dei rapporti tra privati), ricordiamo brevemente quali sono le altre caratteristiche per un consenso valido come base giuridica del trattamento, a norma dei Considerando di riferimento.
Considerando 32: Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
Libertà, dunque, che si pone in evidente contrasto con la pretesa, da parte della palestra, di subordinare l’iscrizione della bambina alla concessione del consenso.
Considerando 42: Per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un’altra questione dovrebbero esistere garanzie che assicurino che l’interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.
Considerando 43: Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.
Ecco, senza alcuna esigenza interpretativa e senza che vi sia spazio per dubbi, la mamma della bambina di 7 anni cui è stata negata l’iscrizione in palestra per via del mancato consenso alle foto ha torto quando afferma che nessuna legge è stata violata. L’episodio in questione rientra a pieno titolo tra quelli espressamente previsti, e vietati, dal Regolamento 679/2016 che, piaccia o non piaccia, è legge nel nostro Paese e come tale deve essere applicato.
Volume consigliato
Il volume, partendo dalle prassi e dalle soluzioni operative, si propone di illustrare, con taglio pratico, l’impatto sul mercato dell’assetto normativo.
Manuale di diritto alla protezione dei dati personali
Le novità introdotte dal Regolamento Europeo 2016/679, con la modifica del nostro “Codice privacy” ad opera del D.Lgs. n. 101/2018, rendono necessario riprogrammare il modo attraverso il quale i titolari (siano essi aziende, enti pubblici o associazioni) trattano i dati personali.Si impone un cambiamento culturale e di approccio, che richiede anche una nuova consapevolezza del valore dei dati da parte dei titolari del trattamento: non si tratta più di un tema esclusivamente legale, ma di organizzazione, di gestione di processi produttivi e distributivi, di adeguatezza degli strumenti informatici utilizzati.Il volume, partendo dalle prassi e dalle soluzioni operative, si propone di illustrare, con taglio pratico, l’impatto sul mercato del nuovo assetto normativo.Per tali motivi, in questa nuova edizione si sono aggiunti capitoli che:• esaminano il GDPR in rapporto con Blockchain, Bitcoin, Data Protection e Intelligenza Artificiale;• illustrano il nuovo approccio delle misure di Cybersecurity, con profili pratico-operativi;• propongono un’analisi compiuta di una casistica di Data Breach;• affrontano i rapporti tra GDPR e D.Lgs. n. 231/2001, antiriciclaggio e misure di audit in campo privacy;• offrono una più capillare analisi dell’applicazione dei principi di protezione dei dati personali veicolati nel Web.MARCO MAGLIOAvvocato in Milano e Data Scientist, nel 2001 ha fondato Lucerna Iuris, il primo Network Giuridico Internazionale di studi legali specializzati nella normativa sul trattamento dei dati personali e compliance legale nelle attività di marketing. Insegna Diritto della protezione dei dati personali in corsi di specializzazione in Italia e all’estero su Data Protection e Privacy Engineering, Diritto dei consumi e del marketing. Presidente dell’Osservatorio Europeo sulla Data Protection. Presiede il Giurì per l’Autodisciplina nella comunicazione commerciale diretta e nelle vendite a distanza. È referente italiano per le attività di ricerca della American Society of Comparative Law per le tematiche della data protectiony. Ricopre incarichi scientifici e professionali fin dagli anni ‘90 promuovendo la conoscenza della normativa sui dati personali. Partecipa al Gruppo di lavoro della Division of Data Science dell’Università di Berkeley. Sostenendo l’importanza di un approccio integrato alle tematiche della Data Protection, nel 2018 ha fondato con Miriam Polini e Nicola Tilli la Global Data Protection Alliance, che unisce le competenze di legali, informatici e manager internazionali per la tutela e valorizzazione effettiva dei dati.MIRIAM POLINIAvvocato in Milano, abilitato al patrocinio avanti le Corti Superiori, è Senior Partner di SLT&Partners – Novastudia da 16 anni. Laureata all’Università degli Studi di Pavia, Dottore di ricerca in Diritto penale interno e comparato presso l’Università degli Studi “Carlo Bo” di Urbino, è stata titolare di contratti di ricerca in importanti progetti con l’Università degli Studi “Carlo Bo” di Urbino e Università degli Studi di Macerata. Ha avuto incarichi di docenza per la SSPL dell’Università degli studi “Carlo Bo” di Urbino e per il Corso “Risk Management for SME and Emerging Risk” modulo Data Protection, dell’Università di Parma. Ha collaborato con la cattedra di diritto penale commerciale e progredito dell’Università Statale di Milano, è stata tutor della scuola di specializzazione per le professioni forensi dell’Università Statale di Milano. Autrice e Co-autrice di diverse pubblicazioni, relatore in eventi di formazione è responsabile scientifica di Novastudia Formazione. È ideatore, curatore e co-autore dell’opera.NICOLA TILLIAvvocato in Milano dal 1996, Cassazionista, Founding Partner del network di studi legali internazionalistici Novastudia Professional Alliance. Autore di varie pubblicazioni per primarie case editrici giuridico-professionali. Ha collaborato negli ultimi venticinque anni con l’Istituto di diritto civile (cattedra di diritto comparato) Università Statale di Milano, Libera Università di Castellanza (LUIC), Università Bocconi di Milano, Università del Piemonte Orientale e con incarichi di docenza o lecturer presso Università degli Studi “Carlo Bo” di Urbino, LUISS di Roma, Università di Parma. Trainer di Business School Il Sole 24 Ore, IKN, AIIA (Ass. Internal Auditors) È consulente e DPO per primarie imprese.
Nicola Tilli, Marco Maglio, Miriam Polini | Maggioli Editore 2019
Scrivi un commento
Accedi per poter inserire un commento