art. 6 GDPR Liceità del trattamento

Anche la cop,miuncazine orale di dati personale costituisce trattamento e pure se contenuti in pubblico archivio

Corte di Giustizia UE 7 marzo 2024, C-740/22:

Domande pregiuizli del giueice finlandese:

«1) Se una comunicazione verbale di dati personali integri un trattamento di dati personali ai sensi dell’articolo 2, paragrafo 1, e dell’articolo 4, punto 2, del [RGPD].

2) Se l’accesso del pubblico ai documenti ufficiali possa essere conciliato con il diritto alla protezione dei dati personali secondo le modalità indicate nell’articolo 86 del [RGPD], ove si preveda la possibilità di ottenere dal registro anagrafico presso un tribunale informazioni illimitate sulle sentenze penali o i reati commessi da una determinata persona fisica, qualora si richieda di comunicare al richiedente dette informazioni verbalmente.

3) Se, ai fini della risposta alla questione sub 2), acquisti rilevanza il fatto che il richiedente sia una società o una persona fisica».

Risposta in breve:

<<1) L’articolo 2, paragrafo 1, e l’articolo 4, punto 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

devono essere interpretati nel senso che:

la comunicazione orale di informazioni su eventuali condanne penali in corso o già scontate a carico di una persona fisica costituisce un trattamento di dati personali, ai sensi dell’articolo 4, punto 2, di tale regolamento, che rientra nell’ambito di applicazione materiale di detto regolamento, se tali informazioni sono contenute in un archivio o destinate a figurarvi.

2) Le disposizioni del regolamento 2016/679, in particolare il suo articolo 6, paragrafo 1, lettera e), e l’articolo 10 del medesimo,

devono essere interpretate nel senso che:

esse ostano a che i dati relativi a condanne penali di una persona fisica contenuti in un archivio tenuto da un organo giurisdizionale possano essere comunicati oralmente a qualsiasi persona al fine di garantire l’accesso del pubblico a documenti ufficiali, senza che la persona che chiede la comunicazione debba giustificare un interesse specifico a ottenere detti dati; il fatto che tale persona sia una società commerciale o un privato non rileva a tale riguardo>>.

Tutto sommato la risposta 2 discende da quella data al quesito 1 (pur se legata a specificità di diritto nazionale.

La telecamera sulla pubblica viola la privacy solo se supera le necessità di tutela

Sull’annosa questione del bilanciamento tra diritto alla privacy dei terzi (qui di un vicino costretto a percorrere quel tratto di strada) e di difesa della proprietà in capo al prorietario, interessante è l’insegnamento di Cass. Sez. I, Ord. 19 marzo 2024 n. 7.289, rel. Tricomi (anteriore alle modifiche cod. priv. ex GDPR, però).

Vale la pena di riportare tutti i passaggi pertinenti:

<<3.3.2. – Come osservato dal Garante per il trattamento dei dati personali nel Provvedimento dell’8 aprile 2010, il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza non forma oggetto di legislazione specifica; al riguardo si applicano, pertanto, le disposizioni generali in tema di protezione dei dati personali.

La raccolta, la registrazione, la conservazione e, in generale, l’utilizzo di immagini configurano anche autonomamente considerate, forme di trattamento di dati personali (art. 4, comma 1, lett. b), del Codice). È considerato dato personale, infatti, qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione. [ovvio] (…)

Inoltre, è necessario:

– che il trattamento dei dati attraverso sistemi di videosorveglianza sia fondato su uno dei “presupposti di liceità” che il Codice prevede espressamente per i soggetti pubblici (svolgimento di funzioni istituzionali: artt. 18-22 del Codice) e per soggetti privati ed enti pubblici economici (es. adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di interessi”, consenso libero ed espresso ex artt. 23-27 del Codice).

– che sia rispettato il “principio di necessità” ex art.3 del Codice, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo l’utilizzazione di dati personali;

– che l’attività di videosorveglianza venga effettuata nel rispetto del c.d. “principio di proporzionalità” nella scelta delle modalità di ripresa e dislocazione degli apparecchi, nonché nelle varie fasi del trattamento che deve comportare, comunque, un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1, lett. d) del Codice).

3.3.3. – Ne consegue che, a differenza di quanto sostiene il ricorrente, l’utilizzo di sistemi di video sorveglianza può determinare, in relazione al posizionamento degli apparecchi e della qualità delle immagini un trattamento di dati personali, quando, può mettere a rischio la riservatezza di soggetti portatori di una situazione giuridica soggettiva riconosciuta dall’ordinamento e deve essere effettuato nel rispetto dei principi prima ricordati.

3.3.4.- Va ulteriormente rimarcato, tuttavia, che la disciplina del Codice non trova integrale applicazione nel caso di “trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali” qualora i dati non siano comunicati sistematicamente a terzi ovvero diffusi: tanto è previsto dall’art. 5, comma 3 del Codice, che si premura di sottolineare che, anche in tale ipotesi, resta ferma l’applicazione della disposizione in tema di responsabilità civile e necessaria l’adozione di cautele a tutela della sicurezza dei dati, di cui agli artt. 15 e 31 del Codice.

Segnatamente, l’art. 15 prevede espressamente la risarcibilità del danno, anche non patrimoniale, ai sensi dell’art.2050 c.c. per effetto del trattamento dei dati personali, compreso il caso di violazione delle disposizioni su modalità di trattamento e requisiti dei dati (art. 11 del Codice); l’art. 31 stabilisce ampi obblighi di sicurezza nel trattamento e nella custodia dei dati.

In particolare, possono rientrare nell’ambito descritto dall’art. 5, comma 3, del Codice gli strumenti di videosorveglianza idonei a identificare coloro che si accingono ad entrare in luoghi privati (videocitofoni ovvero altre apparecchiature che rilevano immagini o suoni, anche tramite registrazione), oltre a sistemi di ripresa installati nei pressi di immobili privati ed all’interno di condomini e loro pertinenze (quali posti auto e box), con la precisazione che, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.), l’angolo visuale delle riprese deve essere comunque limitato ai soli spazi di esclusiva pertinenza di colui che effettuata il trattamento (ad esempio antistanti l’accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni (cortili, pianerottoli, scale, garage comuni) ovvero ad ambiti antistanti l’abitazione di altri condomini, come chiarito dallo stesso Garante nel Provvedimento dell’8 aprile 2010, al par. 6.1. “Trattamento di dati personali per fini esclusivamente personali”.

3.3.5. – Di contro, nel caso di “Trattamento di dati personali per fini diversi da quelli esclusivamente personali”, anche ad opera di un privato (par.6.2. del Provvedimento dell’8 aprile 2010) il trattamento può essere effettuato solo ove sia stato espresso il consenso preventivo dell’interessato (art.23 del Codice) oppure se ricorra uno dei presupposti di liceità previsti dall’art. 24 del Codice in alternativa al consenso.

In merito, il Garante, dopo avere preso atto che nel caso di impiego di strumenti di videosorveglianza la possibilità di acquisire il consenso risulta in concreto limitata dalle caratteristiche stesse dei sistemi di rilevazione, ha ritenuto di dare attuazione all’istituto del bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice) procedendo all’individuazione dei casi in cui la rilevazione delle immagini, con esclusione della diffusione, può avvenire senza consenso, qualora, con le modalità stabilite nello stesso provvedimento, sia effettuata nell’intento di perseguire un legittimo interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro.

Segnatamente, il Garante ha distinto due ipotesi, per le quali ha escluso la necessità del consenso preventivo informato, avendo attuato il bilanciamento degli interessi ai sensi dell’art.24, comma 1, lett. g) del Codice:

– I) Videosorveglianza (con o senza registrazione delle immagini). Tali trattamenti sono ammessi in presenza di concrete situazioni che giustificano l’installazione, a protezione delle persone, della proprietà o del patrimonio aziendale. Nell’uso delle apparecchiature volte a riprendere, con o senza registrazione delle immagini, aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), resta fermo che il trattamento debba essere effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.).

– II) Riprese nelle aree condominiali comuni, qualora i trattamenti siano effettuati dal condominio (anche per il tramite della relativa amministrazione).

3.3.6.- In sintesi, per quanto interessa il presente procedimento, e in relazione alla normativa applicabile ratione temporis, va affermato che:

– In tema di tutela dei dati personali trattati mediante l’impiego di sistemi di videosorveglianza, il trattamento posto in essere ad opera di un soggetto privato deve rispettare i presupposti di liceità previsti dal D.Lgs. n. 196/2003, il principio di necessità ed il principio di proporzionalità;

– La disciplina derogatoria di cui all’art .5, comma 3, del D.Lgs. n. 196/2003 è applicabile al trattamento dei dati mediante sistemi di videosorveglianza solo nel caso in cui il trattamento sia eseguito da persona fisica a fini personali e senza diffusione o comunicazione dei dati, entro un ambito operativo circoscritto, in linea di massima e in via esemplificativa, mediante strumenti di videosorveglianza idonei a identificare coloro che si accingono ad entrare in luoghi privati o sistemi di ripresa installati nei pressi di immobili privati o all’interno di condomini, il cui angolo visuale di ripresa sia comunque limitato ai soli spazi di esclusiva pertinenza di colui che effettuata il trattamento (ad esempio antistanti l’accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni ad altri soggetti;

– Il trattamento di dati personali mediante sistemi di videosorveglianza (con o senza registrazione delle immagini) per fini diversi da quelli esclusivamente personali ad opera di un privato, nel caso in cui sia effettuato in presenza di concrete situazioni che giustificano l’installazione, a protezione delle persone, della proprietà o del patrimonio aziendale (principio di necessità), non richiede quale presupposto di liceità il consenso informato dell’interessato, in quanto ricorre il presupposto di liceità alternativo ex art. 24, comma 1, lett. g) del D.Lgs. n. 196/2003, costituito dal provvedimento di bilanciamento degli interessi adottato dal Garante in data 8 aprile 2010 (par.6.2.2.1.); resta fermo, in osservanza del principio di proporzionalità, che l’utilizzo delle apparecchiature volte a riprendere aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), deve essere effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti, in uso a terzi o su cui terzi vantino diritti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)>>.

Si v. ora, dopo il GDPR, le linee guida europee dell’EDPB 29.01.2020 e l’infografica 2022 del ns. Garante:

Consenso informato circa trattamento algoritmico di dati reputazionali

Cass. 28.358 del 10.10.2023, rel. Nazzicone, sez. I, (link offerto da Il Sole 24 ore) esamina un caso di pretesa illegittimità di tratamento dati reptuaizonali da aprte di algoritmo (era un sito che offriva consulebza sulal reputaizone nel web).

Il focus è sul se sia valido il consenso (artt. 23 e 13 del d. lgs 196/2003, ora sostituiti dal GDPR) espresso enza conoscere esattamente il funzionamento dell’algoritmo.

O meglio, visto che la risposta deve essere negativa, bisogna capiure quando ricorra una conoscenza sufficiente per dare validità al consenso espresso. Il tema è assai interessante e si porrà sempre più spesso.

Premessa tecnica:

<<4.1. – Al giudice del merito era stato demandato di verificare,
sulla base delle regole dell’iniziativa de qua, se il trattamento svolto
con mezzi informatici fosse adeguatamente trasparente con
riguardo all’algoritmo di calcolo del c.d. rating reputazionale, fulcro
dell’intero sistema progettato al riguardo.
Secondo la sentenza rescindente, infatti, il necessario
accertamento in punto di fatto – al fine di reputare la validità del
consenso in ragione della sussistenza di una conoscenza effettiva
consapevolezza delle finalità e modalità di espletamento del
trattamento – riguardava la trasparenza e la conoscenza delle
caratteristiche funzionali dell’algoritmo.
Ciò che si richiedeva, cioè, non è che l’associato debba
conoscere ex ante con certezza l’esito finale delle valutazioni che il
sistema di intelligenza artificiale opera – perché altrimenti sarebbe
quanto meno inutile – ma il procedimento che conduce alle
medesime.
4.2. – In matematica, un procedimento da seguire viene
descritto sinteticamente da un’equazione, la quale si compone di
variabili e di funzioni che le collegano.
L’algoritmo è un procedimento di risoluzione di un problema: da
determinati dati di ingresso (input) derivano soluzioni (output).
Lo “schema esecutivo” di un algoritmo specifica, pertanto, i
passi da eseguire in sequenza, per giungere al risultato.
Gli studiosi della materia precisano che un algoritmo è
costruibile, se i dati ed il procedimento rispettano alcuni requisiti.

Li ricorda anche la ricorrente, nel primo motivo di ricorso:
richiedendosi che i passaggi siano elementari, univoci, di numero
finito, operabili in un tempo finito e con un risultato unico.
E, nel caso, in esame non è in questione se l’algoritmo, per
funzionare algebricamente e quindi per il processo informatico,
possedesse tali requisiti>>.

Poi passa a spiegare che il punctum dolens è la validità o meno del consenso espresso:

<<I requisiti del consenso sono, dunque, la prestazione libera e
specifica in riferimento ad un trattamento chiaramente individuato
e le previe informazioni di cui all’art. 13, ossia, in particolare, circa
le finalità e le modalità del trattamento.
Quando, come nella specie, i dati personali sono destinati ad
essere “lavorati” da un algoritmo, dovrà dunque anche tale
modalità essere coperta dal consenso.
Pertanto, nella vicenda in esame, ad integrare i presupposti del
“libero e specifico” consenso, affinché esso sia legittimo e valido, è
richiesto che l’aspirante associato sia in grado di conoscere
l’algoritmo, inteso come procedimento affidabile per ottenere un
certo risultato o risolvere un certo problema, che venga descritto
all’utente in modo non ambiguo ed in maniera dettagliata, come
capace di condurre al risultato in un tempo finito.
Che, poi, il procedimento, come spiegato con i termini della
lingua comune, sia altresì idoneo ad essere tradotto in linguaggio
matematico è tanto necessario e certo, quanto irrilevante: ed
invero, non è richiesto né che tale linguaggio matematico sia
osteso agli utenti, né, tanto meno, che essi lo comprendano.
Ciò che rileva, invece, è che sia possibile tradurre in linguaggio
matematico/informatico i dati di partenza, cosicché il tutto divenga
opportunamente comprensibile alla macchina, grazie ai soggetti
esperti programmatori, secondo le sequenze e le istruzioni tratte
dai dati “in chiaro”, come descritti nel regolamento più volte citato.
4.3. – Ora, sulla base degli accertamenti compiuti dal giudice
del merito, tali parametri di riferimento erano tutti presenti nel
regolamento>>

Poi la SC erra vistosamente:

<<Mentre non si comprende la pretesa che fosse indicato il “peso
specifico” dei vari criteri – posto che si tratta di termine scientifico,
concernente il rapporto tra il peso e il volume di una materia, non
sempre essendo opportuno il travaso al diritto dei termini di altre
scienze – si potrà anche non concordare con la logica o con taluno
dei criteri sottesi al sistema illustrato nel regolamento, che il primo
motivo del ricorso riporta: ma non è questione ora rilevante,
richiedendosi, ai fini del trattamento dei dati personali su consenso
dell’interessato, soltanto che il sistema dei parametri ostesi fosse
sufficientemente determinato.
E proprio questa è la situazione di fatto, accertata dal giudice
del merito, onde la sua sussunzione nella fattispecie del valido
consenso era dovuta, secondo il controllo affidato a questa Corte in
sede di legittimità>>

I vari fattori concorrenti non è detto abbiano la medesima importanza per determinare l’output finale. Il peso specifico di ciascuno può variare, per cui l’interessato deve avere il diritto di conoscerlo. Non capisce il punto la SC.

Si veda l’art. 14.2.g) GDPR, che impone al titolare del trattamento dare informazioni all’interessato circa <<l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato>>.

Dichiarazioni personali dei dirigenti pubblici e tutela della privacy ex art. 6.1.e ed ex art. 9.1 GDPR

Se ne occupa Corte di Giustizia 01.08.2022, C-184/20.

In Lituania i dirigenti di enti pubblici, o pubblicamente finanziati, devono presentare all’assunzione una dichiarazione di interessi privati, con questo contenuto:

L’articolo 6 della legge succitata, intitolato «Contenuto della dichiarazione», così recita:

«1. Il dichiarante indica nella sua dichiarazione le seguenti informazioni relative a sé stesso, al proprio coniuge, convivente o partner:

1) nome, cognome, numero identificativo personale, numero di previdenza sociale, datore/i di lavoro e mansioni;

2) persona giuridica di cui il dichiarante o il coniuge, convivente o partner riveste la qualità di associato o di socio;

3) attività indipendente, come definita nella legge della Repubblica di Lituania sull’imposta sui redditi;

4) appartenenza a imprese, enti, associazioni o fondi e funzioni ivi esercitate, fatta eccezione per l’appartenenza a partiti politici e a sindacati;

5) doni (diversi da quelli di parenti) ricevuti nel corso degli ultimi dodici mesi civili, se il loro valore supera EUR 150;

6) informazioni sulle operazioni concluse nel corso degli ultimi dodici mesi civili e sulle altre operazioni in corso, se il valore dell’operazione è superiore a EUR 3 000;

7) parenti o altre persone o dati noti al dichiarante idonei a far insorgere un conflitto d’interessi.

2. Il dichiarante può omettere i dati relativi al coniuge, convivente o partner se vivono separati, non formano un nucleo familiare comune ed egli non dispone pertanto di tali dati» (§ 29)-

Dichiarazione che viene resa poi pubblica in rete (§ 30).

Il giudice a quo chiede se ciò contrasti con le disposizioni in oggetto.

Riposta della CG:

<< 1) L’articolo 7, lettera c), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 6, paragrafo 1, primo comma, lettera c), e paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letti alla luce degli articoli 7, 8 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, devono essere interpretati nel senso che ostano a una normativa nazionale che prevede la pubblicazione in rete della dichiarazione di interessi privati che qualsiasi direttore di un ente percettore di fondi pubblici è tenuto a presentare, in quanto, in particolare, tale pubblicazione riguardi dati nominativi, relativi al coniuge, convivente o partner nonché ai parenti o conoscenti del dichiarante che possono dar luogo a un conflitto di interessi, nonché qualsiasi operazione conclusa nel corso degli ultimi dodici mesi il cui valore ecceda EUR 3 000.

2) L’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che la pubblicazione, sul sito Internet dell’autorità pubblica incaricata di raccogliere le dichiarazioni di interessi privati e di controllarne il contenuto, di dati personali idonei a divulgare indirettamente l’orientamento sessuale di una persona fisica costituisce un trattamento di categorie particolari di dati personali, ai sensi di tali disposizioni>>.

la Corte di Giustizia si conferma circa la messa a disposizioni del pubblico nella diffusione peer to peer. Esamina inoltre la compatibilità della richiesta di informazioni con il GDPR

Corte Giustizia 17.06.2021, C-597/19, Microm c. Telenet, conferma la propria giurisprudenza in tema di comunicazione al pubblico e in particolare in tema di di quella modalità (oggi la più -l’unica- utilizzata) che è la messa a disposizione per il download.

Conferma in particolare l’orientamento in tema di reti peer to peer con la tenica Bit Torrent (v. la sentenza Ziggo The pirate Bay del 14.06.2017, C-610/95).

A nulla rileva che il file sia spezzettato in pacchetti, §§ 43 ss.

E’ riaffermata la conseueta fattispcie costitutiva della violazione, §§ 46 – 47.

Interessante è l’applicazione al caso sub iudice: <<Nel caso di specie, risulta che ogni utente della rete tra pari (peer-to-peer) di cui trattasi che non abbia disattivato la funzione di caricamento del software di condivisione client-BitTorrent carica su tale rete i segmenti dei file multimediali che ha precedentemente scaricato sul suo computer. Purché risulti – circostanza questa che spetta al giudice del rinvio verificare – che gli utenti interessati di tale rete hanno acconsentito all’utilizzo di tale software dando il loro consenso all’applicazione di quest’ultimo dopo essere stati debitamente informati sulle sue caratteristiche, si deve ritenere che detti utenti agiscano con piena cognizione del loro comportamento e delle eventuali relative conseguenze. Una volta accertato, infatti, che essi hanno attivamente acconsentito all’utilizzo di un siffatto software, l’intenzionalità del loro comportamento non è in alcun modo inficiata dal fatto che il caricamento sia automaticamente generato da tale software.>>, § 49.

E poi : <<Per quanto riguarda le reti tra utenti (peer-to-peer), la Corte ha già dichiarato che la messa a disposizione e la gestione, su Internet, di una piattaforma di condivisione che, mediante l’indicizzazione di metadati relativi ad opere protette e la fornitura di un motore di ricerca, consente agli utenti di tale piattaforma di localizzare tali opere e di condividerle nell’ambito di una simile rete costituisce una comunicazione al pubblico, ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29 (sentenza del 14 giugno 2017, Stichting Brein, C‑610/15, EU:C:2017:456, punto 48). 53 Nel caso di specie, come in sostanza constatato dall’avvocato generale ai paragrafi 37 e 61 delle sue conclusioni, i computer dei suddetti utenti che condividono lo stesso file costituiscono la rete tra pari (peer-to-peer) vera e propria, denominata lo «swarm», nella quale essi svolgono lo stesso ruolo dei server nel funzionamento della Rete (World Wide Web)>>, §§ 52-53.

V. la precisazione , che segue la sentenza Renckhoff del 2018, per il caso in cui l’opera fosse presente senza restrizioni in internet: << In ogni caso, anche qualora si dovesse accertare che un’opera è stata previamente pubblicata su un sito Internet, senza restrizioni che impediscano il suo scaricamento e con l’autorizzazione del titolare del diritto d’autore o dei diritti connessi, il fatto che, mediante una rete tra pari (peer-to-peer), utenti come quelli di cui trattasi nel procedimento principale abbiano scaricato segmenti del file contenente tale opera su un server privato e a ciò sia seguita una messa a disposizione mediante il caricamento di tali segmenti all’interno di questa medesima rete significa che tali utenti hanno svolto un ruolo decisivo nella messa a disposizione di detta opera a un pubblico che non era stato preso in considerazione dal titolare di diritti d’autore o di diritti connessi su quest’ultima quando ha autorizzato la comunicazione iniziale (v., per analogia, sentenza del 7 agosto 2018, Renckhoff, C‑161/17, EU:C:2018:634, punti 46 e 47). 58 Consentire una siffatta messa a disposizione mediante il caricamento di un’opera, senza che il titolare del diritto d’autore o dei diritti connessi su quest’ultima possa far valere i diritti previsti dall’articolo 3, paragrafi 1 e 2, della direttiva 2001/29 non rispetterebbe il giusto equilibrio, di cui ai considerando 3 e 31 di tale direttiva, che deve essere mantenuto, nell’ambiente digitale, tra, da un lato, l’interesse dei titolari del diritto d’autore e dei diritti connessi alla protezione della loro proprietà intellettuale, garantita all’articolo 17, paragrafo 2, della Carta dei diritti fondamentali (in prosieguo: la «Carta»), e, dall’altro, la tutela degli interessi e dei diritti fondamentali degli utilizzatori dei materiali protetti, in particolare la tutela della loro libertà di espressione e d’informazione, garantita all’articolo 11 della Carta, nonché la tutela dell’interesse generale (v., in tal senso, sentenza del 9 marzo 2021, VG Bild-Kunst, C‑392/19, EU:C:2021:181, punto 54 e giurisprudenza ivi citata). Il mancato rispetto di tale equilibrio pregiudicherebbe, inoltre, l’obiettivo principale della direttiva 2001/29, che consiste, come risulta dai considerando 4, 9 e 10 della medesima, nella previsione di un elevato livello di protezione a favore dei titolari di diritti che consenta a questi ultimi di ottenere un adeguato compenso per l’utilizzo delle loro opere o di altri materiali protetti, in particolare in occasione di una messa a disposizione del pubblico>>.

Curiosa infine è la seconda questione pregiudiziale: << 60 Il giudice del rinvio chiede, in sostanza, se la direttiva 2004/48 debba essere interpretata nel senso che un soggetto contrattualmente titolare di taluni diritti di proprietà intellettuale, che tuttavia non li sfrutta esso stesso, ma si limita a chiedere il risarcimento del danno ai presunti autori di violazioni, possa beneficiare delle misure, delle procedure e dei mezzi di ricorso di cui al capo II di tale direttiva. 61 Tale questione deve essere intesa come comprensiva di tre parti, vale a dire, in primo luogo, quella relativa alla legittimazione ad agire di un soggetto come la Mircom per chiedere l’applicazione delle misure, delle procedure e dei mezzi di ricorso di cui al capo II della direttiva 2004/48; in secondo luogo, quella inerente alla questione di stabilire se un soggetto del genere può aver subito un pregiudizio, ai sensi dell’articolo 13 di tale direttiva e, in terzo luogo, quella concernente la ricevibilità della sua richiesta di informazioni, ai sensi dell’articolo 8 della direttiva in parola, in combinato disposto con l’articolo 3, paragrafo 2, della medesima>>.

La risposta è positiva, § 96.

Segue poi la trattazione di due questioni relative al bilanciamento tra tutela della proprietà intellettuale e tutela della riservatezza: il titolare aveva infatti chiesto al gestore di ottenere dati personali (numeri IP, nome e indirizzo) dei presunti contraffattori. Precisamente le questioni terza e quarta sono così riformulate: <<il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679 debba essere interpretato nel senso che esso osta, da un lato, alla registrazione sistematica, da parte del titolare dei diritti di proprietà intellettuale, nonché da parte di un terzo per suo conto, di indirizzi IP di utenti di reti tra pari (peer-to-peer) le cui connessioni Internet sono state asseritamente utilizzate nelle attività di violazione e, dall’altro, alla comunicazione dei nomi e degli indirizzi postali di tali utenti a detto titolare oppure a un terzo al fine di consentirgli di proporre un ricorso per risarcimento dinanzi a un giudice civile per il danno asseritamente causato da tali utenti>>, § 101.

La risposta, come spesso, è generica , in quanto per lo più basata su clausole generali: la disposizione cit. del GDPR non osta alla comuncazione di tali informazioni al titolare a condizione <<che le iniziative e le richieste in tal senso da parte di detto titolare o di un terzo siano [1] giustificate, [2] proporzionate e [3] non abusive e [4] abbiano il loro fondamento giuridico in una misura legislativa nazionale, ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58 [dir. sulla privacy nelle comunicazioni elettroniche] , che limita la portata delle norme di cui agli articoli 5 e 6 di tale direttiva>>, § 132 (numeri tra parentesti quadra aggiunti).

Si noti il requisito sub 4, relativo alla necessità di esistenza di disposizione nazionale ad hoc.

Sulla validità del “consenso” prestato nella protezione dei dati personali

La corte di giustizia (CG) chiarisce il concetto di <consenso>> ex GDPR art. 4 n° 11 e art. 6.1.a (e pure ex art. 7; nonchè per le corrispondnenti norne della dir. 95/46/CE, che nel caso poteva essere pure applicabile per una sfasatura temporale in fase esecutiva). Qui ricorderò solo disposizioni del GDPR

Si tratta di CG 11.11.2020, C-61719, OrangeRomani vs Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) .

Il trattamento consisteva nella raccolta e conservazione di documenti di identità , cheisti per la stipula e gestione dicotnratti di servizi telefonici da parte di un gestore rumeno.

La Cg ricorda il cons. 32 GDPR sulla preselezione di caselle, pratica mon ammmissibile, e l’art. 7.2 sulla chaira distinguibilità quando il consenso abbia pure altri oggetti.

<<Informato>< poi significa <<in conformità all’articolo 10 di tale direttiva, letto alla luce del considerando 38 di quest’ultima, nonché all’articolo 13 di tale regolamento, letto alla luce del suo considerando 42, che il responsabile del trattamento fornisca alla persona interessata un’informazione alla luce di tutte le circostanze che corredano il trattamento dei dati, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, di modo che tale persona venga a conoscenza del tipo di dati che devono essere trattati, dell’identità del responsabile del trattamento, della durata, nonché delle modalità e delle finalità che esso persegue. Una siffatta informazione deve consentire a detta persona di individuare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa (v., per analogia, sentenza del 1° ottobre 2019, Planet49, C‑673/17, EU:C:2019:801, punto 74).>>, § 40.

Inoltre le clausole non devono <<indurre la persona interessata in errore circa la possibilità di stipulare il contratto anche qualora essa rifiuti di acconsentire al trattamento dei suoi dati. In mancanza di informazioni di tal genere, non si può ritenere che il consenso di tale persona al trattamento dei suoi dati personali sia stato prestato liberamente né, peraltro, in modo informato>>, § 41.

L’onere della prova del valido consenso spetterebbe al titolare del trattamento, § 42: il giudizio si basa sul disposto dell’art. 7,.1 per cui <<Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali>>. Tale esito interpretativo non è scontato anche se probabilmente corretto: servirebbe riflfessine specifica

Spetta poi al giudice nazionale accertare se il consenso sia stato <specifico>, § 47, e se l’informtiva ex art. 13 sia stata completa, § 48 e infine se sia corretta nel senso di far capire che il contratto poteva essere stipulato anche senza fornire la carta di identità, § 49.

Infine , dice la CG, è dubbia che sia <libero> il cosenso, visto che <<nell’ipotesi di un suo rifiuto, l’Orange România, discostandosi dalla procedura normale che conduce alla conclusione del contratto, esigeva che il cliente interessato dichiarasse per iscritto di non acconsentire né alla raccolta né alla conservazione della copia del suo documento di identità. Infatti, come osservato dalla Commissione in udienza, un siffatto requisito supplementare è tale da incidere indebitamente sulla libera scelta di opporsi a tale raccolta e a tale conservazione, circostanza che spetta altresì al giudice del rinvio verificare. >>, § 50.