Social network e nativi digitali: da semplice utilizzatore diventare titolare di un trattamento è un attimo
Un giovane d'oggi è un nativo digitale ed ha una dimestichezza con la tecnologia che non ha pari nei suoi genitori. La questione è: quanta consapevolezza si accompagna alla dimestichezza, segnatamente per ciò che concerne l'impiego di dati personali?
Sarebbe bene che quel giovane (soprattutto lui, senza escludere i meno giovani naturalmente) non restasse a digiuno di competenze, perlomeno di base, nella materia della protezione dei dati personali.
I dati personali, in un mondo in cui è onnipresente e pervasiva la web-society, sono assai più che in passato la proiezione sociale dell'individuo, la sua rappresentazione nei più disparati contesti (per lo più on line, appunto). Può questo individuo disinteressarsi di questa rappresentazione? Può ignorare l'esistenza di diritti di informazione e di controllo che gli permettono di condizionare l'uso che terzi facciano di informazioni/immagini che lo riguardano?
C'è una responsabilità verso sé stessi nell'uso dei propri dati. E soprattutto c'è una responsabilità verso gli altri circa gli utilizzi che si facciano di dati (informazioni, immagini) ad essi riferiti e/o riferibili (utilizzi massicciamente ricorrenti nella quotidianità).
In particolare, è il giovane conscio della facilità con cui da una situazione di non soggezione alle norme sulla protezione dei dati (di cui al Regolamento UE 2016/679, più noto come GDPR) le sue attività possano farlo assurgere alla posizione di titolare del trattamento, con gli obblighi, gli adempimenti, i rischi sanzionatori che ne derivano?
In base all'art. 2.2, lettera c), le disposizioni del GDPR non si applicano ai trattamenti di dati personali effettuati: 1) da una persona fisica; 2) per l'esercizio di attività a carattere esclusivamente personale o domestico. E' la ben nota eccezione domestica.
L'eccezione domestica è la cornice entro cui una persona può trattare dati personali senza doversi porre il problema della applicazione del pacchetto (davvero ragguardevole) di norme previsto dal GDPR; deve nondimeno prestare attenzione a ciò che fa, trattandosi di uno spazio giuridicamente limitato, condizionato.
Se la prima condizione (trattamento svolto da persona fisica) non pone particolari problemi, è sul significato di "attività a carattere esclusivamente personale o domestico" che è necessario soffermarsi.
Reputando che l'utilizzo dei due attributi non costituisca una mera ripetizione e che, al contrario, alluda a due (differenti) caratteristiche della attività, si deve affermare che: a) l'attività "a carattere esclusivamente personale" non può che essere quella che esclude, anche in via concorrente, qualsiasi elemento o motivo di natura professionale o commerciale; b) quanto al carattere esclusivamente "domestico" della attività, esso è da ricondurre all'ambito o contesto della vita privata e familiare dell'individuo, ambito o contesto che deve intendersi superato, in particolare, ogniqualvolta i dati siano resi accessibili ad un numero indefinito di persone.
In definitiva, quando si parla di attività (di trattamento di dati) a carattere personale il riferimento è alla tipologia della stessa, mentre il carattere domestico rinvia al suo ambito di estensione.
Va richiamata l'attenzione sul fatto che proprio il confine tra attività (di trattamento di dati) che assumono rilevanza "domestica" e "non domestica" sia critico quando le informazioni di tipo personale afferenti a terzi vengano immesse, pubblicate e fatte circolare, per esempio, sui social network. Ambienti in cui il varco di tale confine è molto facile, dove una mera disattenzione può trasformare una condivisione controllata (con un numero determinato di persone con cui vi sia un legame familiare e comunque personale) in una diffusione (in direzione di un numero non definito di persone) di dati, così che il giovane, da semplice utilizzatore che era, diventa inavvertitamente titolare del trattamento.
