Dichiarazioni personali dei dirigenti pubblici e tutela della privacy ex art. 6.1.e ed ex art. 9.1 GDPR

Se ne occupa Corte di Giustizia 01.08.2022, C-184/20.

In Lituania i dirigenti di enti pubblici, o  pubblicamente finanziati, devono presentare all’assunzione una dichiarazione di interessi privati, con questo contenuto:

  L’articolo 6 della legge succitata, intitolato «Contenuto della dichiarazione», così recita:

«1.      Il dichiarante indica nella sua dichiarazione le seguenti informazioni relative a sé stesso, al proprio coniuge, convivente o partner:

1)      nome, cognome, numero identificativo personale, numero di previdenza sociale, datore/i di lavoro e mansioni;

2)      persona giuridica di cui il dichiarante o il coniuge, convivente o partner riveste la qualità di associato o di socio;

3)      attività indipendente, come definita nella legge della Repubblica di Lituania sull’imposta sui redditi;

4)      appartenenza a imprese, enti, associazioni o fondi e funzioni ivi esercitate, fatta eccezione per l’appartenenza a partiti politici e a sindacati;

5)      doni (diversi da quelli di parenti) ricevuti nel corso degli ultimi dodici mesi civili, se il loro valore supera EUR 150;

6)      informazioni sulle operazioni concluse nel corso degli ultimi dodici mesi civili e sulle altre operazioni in corso, se il valore dell’operazione è superiore a EUR 3 000;

7)      parenti o altre persone o dati noti al dichiarante idonei a far insorgere un conflitto d’interessi.

2.      Il dichiarante può omettere i dati relativi al coniuge, convivente o partner se vivono separati, non formano un nucleo familiare comune ed egli non dispone pertanto di tali dati» (§ 29)-

Dichiarazione che viene resa poi pubblica in rete (§ 30).

Il giudice a quo chiede se ciò contrasti con le disposizioni in oggetto.

Riposta della CG:

<< 1) L’articolo 7, lettera c), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 6, paragrafo 1, primo comma, lettera c), e paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letti alla luce degli articoli 7, 8 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, devono essere interpretati nel senso che ostano a una normativa nazionale che prevede la pubblicazione in rete della dichiarazione di interessi privati che qualsiasi direttore di un ente percettore di fondi pubblici è tenuto a presentare, in quanto, in particolare, tale pubblicazione riguardi dati nominativi, relativi al coniuge, convivente o partner nonché ai parenti o conoscenti del dichiarante che possono dar luogo a un conflitto di interessi, nonché qualsiasi operazione conclusa nel corso degli ultimi dodici mesi il cui valore ecceda EUR 3 000.

2)      L’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che la pubblicazione, sul sito Internet dell’autorità pubblica incaricata di raccogliere le dichiarazioni di interessi privati e di controllarne il contenuto, di dati personali idonei a divulgare indirettamente l’orientamento sessuale di una persona fisica costituisce un trattamento di categorie particolari di dati personali, ai sensi di tali disposizioni>>.

la Corte di Giustizia si conferma circa la messa a disposizioni del pubblico nella diffusione peer to peer. Esamina inoltre la compatibilità della richiesta di informazioni con il GDPR

Corte Giustizia 17.06.2021, C-597/19, Microm c. Telenet, conferma la propria giurisprudenza in tema di comunicazione al pubblico e in particolare in tema di di quella modalità (oggi la più -l’unica- utilizzata) che è la messa a disposizione per il download.

Conferma in particolare l’orientamento in tema di reti peer to peer con la tenica Bit Torrent (v. la sentenza Ziggo The pirate Bay del 14.06.2017, C-610/95).

A nulla rileva che il file sia spezzettato in pacchetti, §§ 43 ss.

E’ riaffermata la conseueta fattispcie costitutiva della violazione, §§ 46 – 47.

Interessante è l’applicazione al caso sub iudice: <<Nel caso di specie, risulta che ogni utente della rete tra pari (peer-to-peer) di cui trattasi che non abbia disattivato la funzione di caricamento del software di condivisione client-BitTorrent carica su tale rete i segmenti dei file multimediali che ha precedentemente scaricato sul suo computer. Purché risulti – circostanza questa che spetta al giudice del rinvio verificare – che gli utenti interessati di tale rete hanno acconsentito all’utilizzo di tale software dando il loro consenso all’applicazione di quest’ultimo dopo essere stati debitamente informati sulle sue caratteristiche, si deve ritenere che detti utenti agiscano con piena cognizione del loro comportamento e delle eventuali relative conseguenze. Una volta accertato, infatti, che essi hanno attivamente acconsentito all’utilizzo di un siffatto software, l’intenzionalità del loro comportamento non è in alcun modo inficiata dal fatto che il caricamento sia automaticamente generato da tale software.>>, § 49.

E poi : <<Per quanto riguarda le reti tra utenti (peer-to-peer), la Corte ha già dichiarato che la messa a disposizione e la gestione, su Internet, di una piattaforma di condivisione che, mediante l’indicizzazione di metadati relativi ad opere protette e la fornitura di un motore di ricerca, consente agli utenti di tale piattaforma di localizzare tali opere e di condividerle nell’ambito di una simile rete costituisce una comunicazione al pubblico, ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29 (sentenza del 14 giugno 2017, Stichting Brein, C‑610/15, EU:C:2017:456, punto 48).   53        Nel caso di specie, come in sostanza constatato dall’avvocato generale ai paragrafi 37 e 61 delle sue conclusioni, i computer dei suddetti utenti che condividono lo stesso file costituiscono la rete tra pari (peer-to-peer) vera e propria, denominata lo «swarm», nella quale essi svolgono lo stesso ruolo dei server nel funzionamento della Rete (World Wide Web)>>, §§ 52-53.

V. la precisazione , che segue la sentenza Renckhoff del 2018, per il caso in cui l’opera fosse presente senza restrizioni in internet: << In ogni caso, anche qualora si dovesse accertare che un’opera è stata previamente pubblicata su un sito Internet, senza restrizioni che impediscano il suo scaricamento e con l’autorizzazione del titolare del diritto d’autore o dei diritti connessi, il fatto che, mediante una rete tra pari (peer-to-peer), utenti come quelli di cui trattasi nel procedimento principale abbiano scaricato segmenti del file contenente tale opera su un server privato e a ciò sia seguita una messa a disposizione mediante il caricamento di tali segmenti all’interno di questa medesima rete significa che tali utenti hanno svolto un ruolo decisivo nella messa a disposizione di detta opera a un pubblico che non era stato preso in considerazione dal titolare di diritti d’autore o di diritti connessi su quest’ultima quando ha autorizzato la comunicazione iniziale (v., per analogia, sentenza del 7 agosto 2018, Renckhoff, C‑161/17, EU:C:2018:634, punti 46 e 47).  58      Consentire una siffatta messa a disposizione mediante il caricamento di un’opera, senza che il titolare del diritto d’autore o dei diritti connessi su quest’ultima possa far valere i diritti previsti dall’articolo 3, paragrafi 1 e 2, della direttiva 2001/29 non rispetterebbe il giusto equilibrio, di cui ai considerando 3 e 31 di tale direttiva, che deve essere mantenuto, nell’ambiente digitale, tra, da un lato, l’interesse dei titolari del diritto d’autore e dei diritti connessi alla protezione della loro proprietà intellettuale, garantita all’articolo 17, paragrafo 2, della Carta dei diritti fondamentali (in prosieguo: la «Carta»), e, dall’altro, la tutela degli interessi e dei diritti fondamentali degli utilizzatori dei materiali protetti, in particolare la tutela della loro libertà di espressione e d’informazione, garantita all’articolo 11 della Carta, nonché la tutela dell’interesse generale (v., in tal senso, sentenza del 9 marzo 2021, VG Bild-Kunst, C‑392/19, EU:C:2021:181, punto 54 e giurisprudenza ivi citata). Il mancato rispetto di tale equilibrio pregiudicherebbe, inoltre, l’obiettivo principale della direttiva 2001/29, che consiste, come risulta dai considerando 4, 9 e 10 della medesima, nella previsione di un elevato livello di protezione a favore dei titolari di diritti che consenta a questi ultimi di ottenere un adeguato compenso per l’utilizzo delle loro opere o di altri materiali protetti, in particolare in occasione di una messa a disposizione del pubblico>>.

Curiosa infine è la seconda questione pregiudiziale: << 60  Il giudice del rinvio chiede, in sostanza, se la direttiva 2004/48 debba essere interpretata nel senso che un soggetto contrattualmente titolare di taluni diritti di proprietà intellettuale, che tuttavia non li sfrutta esso stesso, ma si limita a chiedere il risarcimento del danno ai presunti autori di violazioni, possa beneficiare delle misure, delle procedure e dei mezzi di ricorso di cui al capo II di tale direttiva.     61      Tale questione deve essere intesa come comprensiva di tre parti, vale a dire, in primo luogo, quella relativa alla legittimazione ad agire di un soggetto come la Mircom per chiedere l’applicazione delle misure, delle procedure e dei mezzi di ricorso di cui al capo II della direttiva 2004/48; in secondo luogo, quella inerente alla questione di stabilire se un soggetto del genere può aver subito un pregiudizio, ai sensi dell’articolo 13 di tale direttiva e, in terzo luogo, quella concernente la ricevibilità della sua richiesta di informazioni, ai sensi dell’articolo 8 della direttiva in parola, in combinato disposto con l’articolo 3, paragrafo 2, della medesima>>.

La risposta è positiva, § 96.

Segue poi la trattazione di due questioni relative al bilanciamento tra tutela della proprietà intellettuale e tutela della riservatezza: il titolare aveva infatti chiesto al gestore di ottenere dati personali (numeri IP, nome e indirizzo) dei presunti contraffattori. Precisamente le questioni terza e quarta sono così riformulate: <<il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679 debba essere interpretato nel senso che esso osta, da un lato, alla registrazione sistematica, da parte del titolare dei diritti di proprietà intellettuale, nonché da parte di un terzo per suo conto, di indirizzi IP di utenti di reti tra pari (peer-to-peer) le cui connessioni Internet sono state asseritamente utilizzate nelle attività di violazione e, dall’altro, alla comunicazione dei nomi e degli indirizzi postali di tali utenti a detto titolare oppure a un terzo al fine di consentirgli di proporre un ricorso per risarcimento dinanzi a un giudice civile per il danno asseritamente causato da tali utenti>>, § 101.

La risposta, come spesso, è generica , in quanto per lo più  basata su clausole generali: la disposizione cit. del GDPR non osta alla comuncazione di tali informazioni al titolare a condizione <<che le iniziative e le richieste in tal senso da parte di detto titolare o di un terzo siano [1] giustificate, [2] proporzionate e [3] non abusive e [4] abbiano il loro fondamento giuridico in una misura legislativa nazionale, ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58 [dir. sulla privacy nelle comunicazioni elettroniche] , che limita la portata delle norme di cui agli articoli 5 e 6 di tale direttiva>>, § 132 (numeri tra parentesti quadra aggiunti).

Si noti il requisito sub 4, relativo alla necessità di esistenza di disposizione nazionale ad hoc.

Sulla validità del “consenso” prestato nella protezione dei dati personali

La corte di giustizia (CG) chiarisce il concetto di <consenso>> ex GDPR art. 4 n° 11 e art. 6.1.a (e pure ex art. 7; nonchè per le corrispondnenti norne della dir. 95/46/CE, che nel caso poteva essere pure applicabile per una sfasatura temporale in fase esecutiva).  Qui ricorderò solo disposizioni del GDPR

Si tratta di CG 11.11.2020, C-61719, OrangeRomani vs  Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) .

Il trattamento consisteva nella raccolta e conservazione di documenti di identità , cheisti per la stipula e gestione dicotnratti di servizi telefonici  da parte di un gestore rumeno.

La Cg ricorda il cons. 32 GDPR sulla preselezione di caselle, pratica mon ammmissibile, e l’art. 7.2 sulla chaira distinguibilità quando il consenso abbia pure altri oggetti.

<<Informato>< poi significa <<in conformità all’articolo 10 di tale direttiva, letto alla luce del considerando 38 di quest’ultima, nonché all’articolo 13 di tale regolamento, letto alla luce del suo considerando 42, che il responsabile del trattamento fornisca alla persona interessata un’informazione alla luce di tutte le circostanze che corredano il trattamento dei dati, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, di modo che tale persona venga a conoscenza del tipo di dati che devono essere trattati, dell’identità del responsabile del trattamento, della durata, nonché delle modalità e delle finalità che esso persegue. Una siffatta informazione deve consentire a detta persona di individuare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa (v., per analogia, sentenza del 1° ottobre  2019, Planet49, C‑673/17, EU:C:2019:801, punto 74).>>, § 40.

Inoltre le clausole non devono  <<indurre la persona interessata in errore circa la possibilità di stipulare il contratto anche qualora essa rifiuti di acconsentire al trattamento dei suoi dati. In mancanza di informazioni di tal genere, non si può ritenere che il consenso di tale persona al trattamento dei suoi dati personali sia stato prestato liberamente né, peraltro, in modo informato>>, § 41.

L’onere della prova del valido consenso spetterebbe al titolare del trattamento, § 42: il giudizio si basa sul disposto dell’art. 7,.1 per cui <<Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali>>. Tale esito interpretativo non è scontato anche se probabilmente corretto: servirebbe riflfessine specifica

Spetta poi al giudice nazionale accertare se il consenso sia stato <specifico>, § 47, e se l’informtiva ex art. 13 sia stata completa, § 48 e infine se sia corretta nel senso di far capire che il contratto poteva essere stipulato anche senza fornire la carta di identità, § 49.

Infine , dice la CG, è dubbia che sia <libero> il cosenso, visto che <<nell’ipotesi di un suo rifiuto, l’Orange România, discostandosi dalla procedura normale che conduce alla conclusione del contratto, esigeva che il cliente interessato dichiarasse per iscritto di non acconsentire né alla raccolta né alla conservazione della copia del suo documento di identità. Infatti, come osservato dalla Commissione in udienza, un siffatto requisito supplementare è tale da incidere indebitamente sulla libera scelta di opporsi a tale raccolta e a tale conservazione, circostanza che spetta altresì al giudice del rinvio verificare. >>, § 50.