Sullegittimo interesse del titolare del trattamento in caso di aassenza del consenso (art. 6.1.f) GDPR)

Una federazione sportiva tennis olandese cede ai suoi sponsor i dati personali degli atleti federati, pur senza loro consenso.

Ricorre il legittimo interesse ex art. 6.1.f) GDPR?

Potrebbe anche darsi di si, risponde Corte Giust. 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond c. Autoriteit Persoonsgegevens.

Devono ricrrere anmcjhe gli altri elemenit precista dlal norma cit. e … la valutazione compete al giudice nazionale.

I passi salienti:

<<49     Pertanto, un interesse commerciale del titolare del trattamento, come quello menzionato al punto 47 della presente sentenza, potrebbe costituire un legittimo interesse, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, purché non sia contrario alla legge. Spetta tuttavia al tribunale nazionale valutare, caso per caso, l’esistenza di un interesse del genere, tenendo conto del quadro giuridico applicabile e di tutte le circostanze del caso. (…)

51      In secondo luogo, per quanto riguarda la condizione relativa alla necessità di tale trattamento per il conseguimento di detto interesse e, in particolare, l’esistenza di mezzi meno lesivi delle libertà e dei diritti fondamentali degli interessati e altrettanto adeguati, occorre constatare che sarebbe segnatamente possibile, per una federazione sportiva come il KNLTB, che intenda comunicare a titolo oneroso i dati personali dei suoi membri a terzi, informare previamente i suoi membri e chiedere a questi ultimi se desiderano che i loro dati siano trasmessi a tali terzi a fini di pubblicità o di marketing. (…)

56      Inoltre, il giudice del rinvio dovrà tener conto della circostanza che i dati in questione sono trasmessi, in particolare, a un fornitore di giochi d’azzardo e di giochi da casinò, come la NLO, le cui attività di promozione e di marketing, pur se legittime, sono esercitate in un contesto che, contrariamente a quanto risulta dal considerando 47 del RGPD, non sembra essere caratterizzato da una relazione pertinente e adeguata tra gli interessati e il titolare del trattamento. Inoltre, in talune circostanze, il trattamento di tali dati potrebbe avere effetti nefasti sui membri delle associazioni di tennis considerati in quanto tali attività possono esporre detti membri ai rischi connessi allo sviluppo della ludopatia>>.

Pilatesca decisione che non afrronta il tema principalre: questa cessione agli sponsor era stata da loro imposta? C’era margine di manovra diversa? E’ prassi diffusa nel mercato europep questo impoegnoi verso lo sponsor?

A nulla conta , invece, il settore di business dello sponsor, purchè lecito.

La telecamera sulla pubblica viola la privacy solo se supera le necessità di tutela

Sull’annosa questione del bilanciamento tra diritto alla privacy dei terzi (qui di un vicino costretto a percorrere quel tratto di strada) e di difesa della proprietà in capo al prorietario, interessante è l’insegnamento di Cass. Sez. I, Ord. 19 marzo 2024 n. 7.289, rel. Tricomi (anteriore alle modifiche cod. priv. ex GDPR, però).

Vale la pena di riportare tutti i passaggi pertinenti:

<<3.3.2. – Come osservato dal Garante per il trattamento dei dati personali nel Provvedimento dell’8 aprile 2010, il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza non forma oggetto di legislazione specifica; al riguardo si applicano, pertanto, le disposizioni generali in tema di protezione dei dati personali.

La raccolta, la registrazione, la conservazione e, in generale, l’utilizzo di immagini configurano anche autonomamente considerate, forme di trattamento di dati personali (art. 4, comma 1, lett. b), del Codice). È considerato dato personale, infatti, qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione. [ovvio]  (…)

Inoltre, è necessario:

– che il trattamento dei dati attraverso sistemi di videosorveglianza sia fondato su uno dei “presupposti di liceità” che il Codice prevede espressamente per i soggetti pubblici (svolgimento di funzioni istituzionali: artt. 18-22 del Codice) e per soggetti privati ed enti pubblici economici (es. adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di interessi”, consenso libero ed espresso ex artt. 23-27 del Codice).

– che sia rispettato il “principio di necessità” ex art.3 del Codice, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo l’utilizzazione di dati personali;

– che l’attività di videosorveglianza venga effettuata nel rispetto del c.d. “principio di proporzionalità” nella scelta delle modalità di ripresa e dislocazione degli apparecchi, nonché nelle varie fasi del trattamento che deve comportare, comunque, un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1, lett. d) del Codice).

3.3.3. – Ne consegue che, a differenza di quanto sostiene il ricorrente, l’utilizzo di sistemi di video sorveglianza può determinare, in relazione al posizionamento degli apparecchi e della qualità delle immagini un trattamento di dati personali, quando, può mettere a rischio la riservatezza di soggetti portatori di una situazione giuridica soggettiva riconosciuta dall’ordinamento e deve essere effettuato nel rispetto dei principi prima ricordati.

3.3.4.- Va ulteriormente rimarcato, tuttavia, che la disciplina del Codice non trova integrale applicazione nel caso di “trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali” qualora i dati non siano comunicati sistematicamente a terzi ovvero diffusi: tanto è previsto dall’art. 5, comma 3 del Codice, che si premura di sottolineare che, anche in tale ipotesi, resta ferma l’applicazione della disposizione in tema di responsabilità civile e necessaria l’adozione di cautele a tutela della sicurezza dei dati, di cui agli artt. 15 e 31 del Codice.

Segnatamente, l’art. 15 prevede espressamente la risarcibilità del danno, anche non patrimoniale, ai sensi dell’art.2050 c.c. per effetto del trattamento dei dati personali, compreso il caso di violazione delle disposizioni su modalità di trattamento e requisiti dei dati (art. 11 del Codice); l’art. 31 stabilisce ampi obblighi di sicurezza nel trattamento e nella custodia dei dati.

In particolare, possono rientrare nell’ambito descritto dall’art. 5, comma 3, del Codice gli strumenti di videosorveglianza idonei a identificare coloro che si accingono ad entrare in luoghi privati (videocitofoni ovvero altre apparecchiature che rilevano immagini o suoni, anche tramite registrazione), oltre a sistemi di ripresa installati nei pressi di immobili privati ed all’interno di condomini e loro pertinenze (quali posti auto e box), con la precisazione che, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.), l’angolo visuale delle riprese deve essere comunque limitato ai soli spazi di esclusiva pertinenza di colui che effettuata il trattamento (ad esempio antistanti l’accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni (cortili, pianerottoli, scale, garage comuni) ovvero ad ambiti antistanti l’abitazione di altri condomini, come chiarito dallo stesso Garante nel Provvedimento dell’8 aprile 2010, al par. 6.1. “Trattamento di dati personali per fini esclusivamente personali”.

3.3.5. – Di contro, nel caso di “Trattamento di dati personali per fini diversi da quelli esclusivamente personali”, anche ad opera di un privato (par.6.2. del Provvedimento dell’8 aprile 2010) il trattamento può essere effettuato solo ove sia stato espresso il consenso preventivo dell’interessato (art.23 del Codice) oppure se ricorra uno dei presupposti di liceità previsti dall’art. 24 del Codice in alternativa al consenso.

In merito, il Garante, dopo avere preso atto che nel caso di impiego di strumenti di videosorveglianza la possibilità di acquisire il consenso risulta in concreto limitata dalle caratteristiche stesse dei sistemi di rilevazione, ha ritenuto di dare attuazione all’istituto del bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice) procedendo all’individuazione dei casi in cui la rilevazione delle immagini, con esclusione della diffusione, può avvenire senza consenso, qualora, con le modalità stabilite nello stesso provvedimento, sia effettuata nell’intento di perseguire un legittimo interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro.

Segnatamente, il Garante ha distinto due ipotesi, per le quali ha escluso la necessità del consenso preventivo informato, avendo attuato il bilanciamento degli interessi ai sensi dell’art.24, comma 1, lett. g) del Codice:

– I) Videosorveglianza (con o senza registrazione delle immagini). Tali trattamenti sono ammessi in presenza di concrete situazioni che giustificano l’installazione, a protezione delle persone, della proprietà o del patrimonio aziendale. Nell’uso delle apparecchiature volte a riprendere, con o senza registrazione delle immagini, aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), resta fermo che il trattamento debba essere effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.).

– II) Riprese nelle aree condominiali comuni, qualora i trattamenti siano effettuati dal condominio (anche per il tramite della relativa amministrazione).

3.3.6.- In sintesi, per quanto interessa il presente procedimento, e in relazione alla normativa applicabile ratione temporis, va affermato che:

– In tema di tutela dei dati personali trattati mediante l’impiego di sistemi di videosorveglianza, il trattamento posto in essere ad opera di un soggetto privato deve rispettare i presupposti di liceità previsti dal D.Lgs. n. 196/2003, il principio di necessità ed il principio di proporzionalità;

– La disciplina derogatoria di cui all’art .5, comma 3, del D.Lgs. n. 196/2003 è applicabile al trattamento dei dati mediante sistemi di videosorveglianza solo nel caso in cui il trattamento sia eseguito da persona fisica a fini personali e senza diffusione o comunicazione dei dati, entro un ambito operativo circoscritto, in linea di massima e in via esemplificativa, mediante strumenti di videosorveglianza idonei a identificare coloro che si accingono ad entrare in luoghi privati o sistemi di ripresa installati nei pressi di immobili privati o all’interno di condomini, il cui angolo visuale di ripresa sia comunque limitato ai soli spazi di esclusiva pertinenza di colui che effettuata il trattamento (ad esempio antistanti l’accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni ad altri soggetti;

– Il trattamento di dati personali mediante sistemi di videosorveglianza (con o senza registrazione delle immagini) per fini diversi da quelli esclusivamente personali ad opera di un privato, nel caso in cui sia effettuato in presenza di concrete situazioni che giustificano l’installazione, a protezione delle persone, della proprietà o del patrimonio aziendale (principio di necessità), non richiede quale presupposto di liceità il consenso informato dell’interessato, in quanto ricorre il presupposto di liceità alternativo ex art. 24, comma 1, lett. g) del D.Lgs. n. 196/2003, costituito dal provvedimento di bilanciamento degli interessi adottato dal Garante in data 8 aprile 2010 (par.6.2.2.1.); resta fermo, in osservanza del principio di proporzionalità, che l’utilizzo delle apparecchiature volte a riprendere aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), deve essere effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti, in uso a terzi o su cui terzi vantino diritti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)>>.

Si v. ora, dopo il GDPR, le linee guida europee dell’EDPB 29.01.2020 e l’infografica 2022 del ns. Garante:

la Corte di Giustizia si conferma circa la messa a disposizioni del pubblico nella diffusione peer to peer. Esamina inoltre la compatibilità della richiesta di informazioni con il GDPR

Corte Giustizia 17.06.2021, C-597/19, Microm c. Telenet, conferma la propria giurisprudenza in tema di comunicazione al pubblico e in particolare in tema di di quella modalità (oggi la più -l’unica- utilizzata) che è la messa a disposizione per il download.

Conferma in particolare l’orientamento in tema di reti peer to peer con la tenica Bit Torrent (v. la sentenza Ziggo The pirate Bay del 14.06.2017, C-610/95).

A nulla rileva che il file sia spezzettato in pacchetti, §§ 43 ss.

E’ riaffermata la conseueta fattispcie costitutiva della violazione, §§ 46 – 47.

Interessante è l’applicazione al caso sub iudice: <<Nel caso di specie, risulta che ogni utente della rete tra pari (peer-to-peer) di cui trattasi che non abbia disattivato la funzione di caricamento del software di condivisione client-BitTorrent carica su tale rete i segmenti dei file multimediali che ha precedentemente scaricato sul suo computer. Purché risulti – circostanza questa che spetta al giudice del rinvio verificare – che gli utenti interessati di tale rete hanno acconsentito all’utilizzo di tale software dando il loro consenso all’applicazione di quest’ultimo dopo essere stati debitamente informati sulle sue caratteristiche, si deve ritenere che detti utenti agiscano con piena cognizione del loro comportamento e delle eventuali relative conseguenze. Una volta accertato, infatti, che essi hanno attivamente acconsentito all’utilizzo di un siffatto software, l’intenzionalità del loro comportamento non è in alcun modo inficiata dal fatto che il caricamento sia automaticamente generato da tale software.>>, § 49.

E poi : <<Per quanto riguarda le reti tra utenti (peer-to-peer), la Corte ha già dichiarato che la messa a disposizione e la gestione, su Internet, di una piattaforma di condivisione che, mediante l’indicizzazione di metadati relativi ad opere protette e la fornitura di un motore di ricerca, consente agli utenti di tale piattaforma di localizzare tali opere e di condividerle nell’ambito di una simile rete costituisce una comunicazione al pubblico, ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29 (sentenza del 14 giugno 2017, Stichting Brein, C‑610/15, EU:C:2017:456, punto 48).   53        Nel caso di specie, come in sostanza constatato dall’avvocato generale ai paragrafi 37 e 61 delle sue conclusioni, i computer dei suddetti utenti che condividono lo stesso file costituiscono la rete tra pari (peer-to-peer) vera e propria, denominata lo «swarm», nella quale essi svolgono lo stesso ruolo dei server nel funzionamento della Rete (World Wide Web)>>, §§ 52-53.

V. la precisazione , che segue la sentenza Renckhoff del 2018, per il caso in cui l’opera fosse presente senza restrizioni in internet: << In ogni caso, anche qualora si dovesse accertare che un’opera è stata previamente pubblicata su un sito Internet, senza restrizioni che impediscano il suo scaricamento e con l’autorizzazione del titolare del diritto d’autore o dei diritti connessi, il fatto che, mediante una rete tra pari (peer-to-peer), utenti come quelli di cui trattasi nel procedimento principale abbiano scaricato segmenti del file contenente tale opera su un server privato e a ciò sia seguita una messa a disposizione mediante il caricamento di tali segmenti all’interno di questa medesima rete significa che tali utenti hanno svolto un ruolo decisivo nella messa a disposizione di detta opera a un pubblico che non era stato preso in considerazione dal titolare di diritti d’autore o di diritti connessi su quest’ultima quando ha autorizzato la comunicazione iniziale (v., per analogia, sentenza del 7 agosto 2018, Renckhoff, C‑161/17, EU:C:2018:634, punti 46 e 47).  58      Consentire una siffatta messa a disposizione mediante il caricamento di un’opera, senza che il titolare del diritto d’autore o dei diritti connessi su quest’ultima possa far valere i diritti previsti dall’articolo 3, paragrafi 1 e 2, della direttiva 2001/29 non rispetterebbe il giusto equilibrio, di cui ai considerando 3 e 31 di tale direttiva, che deve essere mantenuto, nell’ambiente digitale, tra, da un lato, l’interesse dei titolari del diritto d’autore e dei diritti connessi alla protezione della loro proprietà intellettuale, garantita all’articolo 17, paragrafo 2, della Carta dei diritti fondamentali (in prosieguo: la «Carta»), e, dall’altro, la tutela degli interessi e dei diritti fondamentali degli utilizzatori dei materiali protetti, in particolare la tutela della loro libertà di espressione e d’informazione, garantita all’articolo 11 della Carta, nonché la tutela dell’interesse generale (v., in tal senso, sentenza del 9 marzo 2021, VG Bild-Kunst, C‑392/19, EU:C:2021:181, punto 54 e giurisprudenza ivi citata). Il mancato rispetto di tale equilibrio pregiudicherebbe, inoltre, l’obiettivo principale della direttiva 2001/29, che consiste, come risulta dai considerando 4, 9 e 10 della medesima, nella previsione di un elevato livello di protezione a favore dei titolari di diritti che consenta a questi ultimi di ottenere un adeguato compenso per l’utilizzo delle loro opere o di altri materiali protetti, in particolare in occasione di una messa a disposizione del pubblico>>.

Curiosa infine è la seconda questione pregiudiziale: << 60  Il giudice del rinvio chiede, in sostanza, se la direttiva 2004/48 debba essere interpretata nel senso che un soggetto contrattualmente titolare di taluni diritti di proprietà intellettuale, che tuttavia non li sfrutta esso stesso, ma si limita a chiedere il risarcimento del danno ai presunti autori di violazioni, possa beneficiare delle misure, delle procedure e dei mezzi di ricorso di cui al capo II di tale direttiva.     61      Tale questione deve essere intesa come comprensiva di tre parti, vale a dire, in primo luogo, quella relativa alla legittimazione ad agire di un soggetto come la Mircom per chiedere l’applicazione delle misure, delle procedure e dei mezzi di ricorso di cui al capo II della direttiva 2004/48; in secondo luogo, quella inerente alla questione di stabilire se un soggetto del genere può aver subito un pregiudizio, ai sensi dell’articolo 13 di tale direttiva e, in terzo luogo, quella concernente la ricevibilità della sua richiesta di informazioni, ai sensi dell’articolo 8 della direttiva in parola, in combinato disposto con l’articolo 3, paragrafo 2, della medesima>>.

La risposta è positiva, § 96.

Segue poi la trattazione di due questioni relative al bilanciamento tra tutela della proprietà intellettuale e tutela della riservatezza: il titolare aveva infatti chiesto al gestore di ottenere dati personali (numeri IP, nome e indirizzo) dei presunti contraffattori. Precisamente le questioni terza e quarta sono così riformulate: <<il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679 debba essere interpretato nel senso che esso osta, da un lato, alla registrazione sistematica, da parte del titolare dei diritti di proprietà intellettuale, nonché da parte di un terzo per suo conto, di indirizzi IP di utenti di reti tra pari (peer-to-peer) le cui connessioni Internet sono state asseritamente utilizzate nelle attività di violazione e, dall’altro, alla comunicazione dei nomi e degli indirizzi postali di tali utenti a detto titolare oppure a un terzo al fine di consentirgli di proporre un ricorso per risarcimento dinanzi a un giudice civile per il danno asseritamente causato da tali utenti>>, § 101.

La risposta, come spesso, è generica , in quanto per lo più  basata su clausole generali: la disposizione cit. del GDPR non osta alla comuncazione di tali informazioni al titolare a condizione <<che le iniziative e le richieste in tal senso da parte di detto titolare o di un terzo siano [1] giustificate, [2] proporzionate e [3] non abusive e [4] abbiano il loro fondamento giuridico in una misura legislativa nazionale, ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58 [dir. sulla privacy nelle comunicazioni elettroniche] , che limita la portata delle norme di cui agli articoli 5 e 6 di tale direttiva>>, § 132 (numeri tra parentesti quadra aggiunti).

Si noti il requisito sub 4, relativo alla necessità di esistenza di disposizione nazionale ad hoc.