La normativa sulla protezione dei dati personali
2. La normativa sulla protezione dei dati personali
2.1. Il Regolamento generale sulla protezione dei dati (GDPR). - Le fonti orali spesso contengono quelli che la normativa definisce “dati personali”, cioè informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona: la stessa voce può essere riconosciuta come un “dato personale”. Chi produce e conserva le fonti orali è quindi soggetto al Regolamento generale sulla protezione dei dati (General Data Protection Rules, d’ora in poi GDPR), regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Nel riquadro seguente vengono riportate le definizioni dal GDPR, per meglio contestualizzare le tematiche affrontate.
GDPR
Art. 4: Definizioni
Ai fini del presente regolamento s'intende per:
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (C26, C27, C30)
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro; (C67)
4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; (C24, C30, C71-C72)
5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; (C26, C28-C29)
6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico; (C15)
7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; (C74)
8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento; (C31)
10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;
11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; (C32, C33)
12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; (C85)
13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; (C34)
14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; (C51)
15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; (C35)
Il GDPR stabilisce che il trattamento dei dati personali è legittimo solamente se si verifica almeno una delle condizioni previste dall’art. 6, riportato nel riquadro seguente:
GDPR
Articolo 6
Liceità del trattamento
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:(C40)
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43)
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; (C46)
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. (C47-C50)
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti.
L’adozione del GDPR non ha peraltro comportato la completa soppressione della previgente normativa nazionale di tutela della privacy, il D.Lgs. 196/2003 recante il Codice in materia di protezione dei dati personali, alcune disposizioni del quale sono tuttora in vigore. Il GDPR, infatti, stabilisce che, limitatamente ad alcuni aspetti, gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali. Il D.Lgs. 101/2018 ha pertanto adattato la normativa italiana al GDPR, abrogando tutti gli articoli del D.Lgs. 196/2003 incompatibili con il Regolamento, emendando vari degli articoli sopravvissuti e introducendone di nuovi.
Anche il vecchio Codice di deontologia e di buona condotta per il trattamento di dati personali per scopi storici (all. 2 al D.Lgs.196/2003) è stato aggiornato nei riferimenti normativi, emendato (in modo marginale), e ribattezzato Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica (Pubblicate sulla Gazzetta Ufficiale n. 12 del 15 gennaio 2019). Resta fermo il valore vincolante di questo allegato al Codice della privacy: “Il rispetto delle disposizioni contenute nelle regole deontologiche (…) costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali” (D.Lgs.196/2003 art. 2-quater c. 4).
Per chiunque produca, usi e conservi fonti orali, le Regole deontologiche sono la bussola che deve sempre orientarne il comportamento, quando trattano dati personali.
2.2 Raccolta e archiviazione nel pubblico interesse. - Di particolare interesse per coloro che trattano fonti orali per conto di un’istituzione pubblica che ha tra i propri scopi statutari quello della ricerca o della produzione e raccolta di documentazione (università, scuole, centri di ricerca pubblici, biblioteche e archivi pubblici) è la condizione posta al comma 1, lett. E), che stabilisce che il trattamento dei dati personali è legittimo se “è necessario per l’esecuzione di un compito di interesse pubblico”.
Il GDPR lascia che siano la normativa dell’Unione europea o le leggi nazionali a determinare quali tipi di attività siano da considerarsi di pubblico interesse. La legge degli Stati membri può, ad esempio, definire come “compito di interesse pubblico” la ricerca e la raccolta di documentazione storica, la conservazione degli archivi da parte di una specifica istituzione o la conservazione di determinate categorie di archivi.
Altri soggetti - pubblici o privati, diversi da quelli appena sopra menzionati – coinvolti in progetti di raccolta, conservazione e valorizzazione di fonti orali, possono fondare il trattamento sul “consenso dell’interessato” o sul “legittimo interesse” del titolare. In particolare:
Ricercatori o ricercatrici indipendenti che trattano fonti orali per ricerca storica o scientifica possono fare riferimento al comma 1, lett. F), che riconosce la liceità del trattamento se “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi”, intendendo la pratica della ricerca un “legittimo interesse” dei ricercatori, anche indipendenti.
Per quanto riguarda il concetto di “archiviazione nel pubblico interesse”, questo è spiegato nel Considerando 158.
Il GDPR ammette diverse deroghe a favore, appunto, dell’archiviazione nel pubblico interesse:
GDPR
Considerando 158
“le autorità pubbliche o gli organismi pubblici o privati che tengono registri [Il termine “registri” è una traduzione errata nella versione italiana dell’originale inglese “records”, cioè “documenti”] di interesse pubblico dovrebbero essere servizi che, in virtù del diritto dell’Unione o degli Stati membri, hanno l’obbligo legale di acquisire, conservare, valutare, organizzare, descrivere, comunicare, promuovere, diffondere e fornire accesso a registri con un valore a lungo termine per l’interesse pubblico generale.”
Quali istituti attuano “archiviazione nel pubblico interesse”? Come si può notare, non è la natura degli archivi, ma il mandato dell’istituzione che li conserva a fare la differenza. Di certo gli archivi nazionali, gli Archivi di Stato e gli archivi comunali – così come l’Archivio storico dell’Unione Europea – compiono “archiviazione nel pubblico interesse” ai sensi del GDPR.
La legge nazionale italiana (D.Lgs.196/2003, art. 2-sexies) riconosce il rilevante interesse pubblico, fra gli altri, dei “trattamenti effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti detenuti negli Archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante (…)” (c. 2, lett. Cc). Questo vuol dire che, per il combinato disposto tra GDPR e Codice della privacy, tali trattamenti sono leciti, anche in assenza di consenso da parte degli interessati (GDPR art. 6, c. 1 lett. E).
La facoltà che il GDPR conferisce agli Stati membri di introdurre deroghe ai diritti di cui agli articoli 15, 16, 18, 19, 20 e 21, in caso di trattamenti a fine di “archiviazione nel pubblico interesse”, in Italia è stata esercitata mediante le Regole deontologiche, che all’art. 7 prevedono le modalità specifiche con cui si esercitano i diritti di rettifica e di accesso relativamente ai dati personali contenuti nei fondi archivistici.
Pertanto, la conservazione, l’ordinamento e la comunicazione di archivi già formati di fonti orali da parte degli Archivi di Stato, degli archivi storici degli enti pubblici e degli archivi privati dichiarati di interesse storico particolarmente importante è lecita, anche in assenza di consenso da parte degli interessati, in virtù del riconoscimento del rilevante interesse pubblico dei trattamenti effettuati; si noti, tuttavia, che tale normativa esclude altri tipi di trattamento, come ad es. l’ulteriore raccolta o la pubblicazione dei dati, per procedere ai quali andranno pertanto individuate altre soluzioni (altre basi giuridiche o, come si vedrà meglio in seguito, soluzioni di minimizzazione dei dati).
2.3. Il caso delle persone defunte
Un altro aspetto importante da tenere in considerazione per chi si occupa di fonti orali è che, mentre il GDPR protegge i dati personali delle persone viventi e non detta regole inerenti i dati personali dei defunti, in Italia la legge protegge i dati personali anche delle persone decedute.
La materia è regolata dall’art. 2-terdecies del D.Lgs. 196/2003 (Diritti riguardanti le persone decedute), dalle Regole deontologiche (art. 7 c. 3 e passim) e dal Codice dei beni culturali (D.Lgs. 42/2004). Com’è noto, l’art. 122 del d. lgs 42/2004, relativo alla consultabilità dei documenti d’archivio, prevede l’esclusione dalla consultazione per 40 o 70 anni dei documenti contenenti determinate categorie di dati personali, indipendentemente dall’esistenza in vita o meno dell’interessato; implicitamente, dunque, anche il Codice dei beni culturali prevede la tutela dei dati personali dei defunti, se di data più recente rispetto ai termini di consultabilità.
Le norme a protezione dei dati personali (se applicate correttamente) non pongono in pericolo la conservazione dei materiali e, in linea di massima, neppure la loro consultabilità nel luogo dove sono conservate le raccolte. Pongono però limiti alla possibilità di diffondere on line documenti e strumenti di ricerca contenenti dati personali.
Sono limiti che occorre saper affrontare.
2.4 Evoluzione della normativa: comunicazione, diffusione e diritto all’oblio. - La distinzione tra comunicazione e diffusione dei dati è stata inizialmente introdotta dalla direttiva 95/46/CE (recepita in Italia con l. 675/1996, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), e successivamente abrogata dal GDPR; tuttavia, tale previsione, in quanto compatibile con il Regolamento, è stata mantenuta nel nostro ordinamento.
L’ordinamento italiano (D.Lgs.196/2003, art. 2-ter, c. 4) pone una determinante distinzione tra “comunicazione” e “diffusione” dei dati personali, ovvero (in relazione ad archivisti e ricercatori), fra la possibilità di aver accesso ai dati e la possibilità di renderli noti pubblicamente.
La giurisprudenza ha posto a sua volta una serie di principi.
Nel 1998 la Cassazione (III sez. civ, sentenza 3679/1998) ha riconosciuto il “legittimo interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore ed alla sua reputazione la reiterata pubblicazione di una notizia, in passato legittimamente divulgata”. Affermato inizialmente in relazione alla tradizionale attività giornalistica, questo principio troverà applicazione soprattutto in relazione alle pubblicazioni in rete.
In particolare, il cosiddetto “diritto all’oblio” rovescia la tradizionale concezione dei limiti temporali alla consultabilità dei documenti, ovvero: il passare del tempo affievolisce l’esigenza di mantenere riservate determinate informazioni personali. Con il diritto all’oblio, il passare del tempo fa scemare l’interesse pubblico alla conoscenza, quindi prevale la tutela dei dati personali (Barrera 2019, Barrera in stampa).
Nel 2004 il Garante per la protezione dei dati personali, a seguito del ricorso di un imprenditore che era stato sanzionato dall’Autorità garante della concorrenza pone limiti alla ricercabilità di documenti contenenti dati personali da parte dei motori di ricerca (cosiddetta “deindicizzazione”); la pubblicazione “perpetua”, infatti, è “ben più grave di quella a mezzo stampa che pure costituisce una precisa sanzione accessoria, limitata però nel tempo”. Secondo il Garante mantenere la diffusione su internet reca danno “sproporzionato” e quindi il documento deve essere spostato in un’area del sito non ricercabile da Google o da altri motori di ricerca.
La stessa soluzione è stata adottata in altri casi di notizie fornite dalla stampa: “Ferma restando l’intangibilità dell’archivio storico,” il Garante “ha ordinato di sospendere la reperibilità dell’informazione attraverso i più comuni motori di ricerca generalisti”, lasciando però la possibilità di reperire gli articoli tramite il motore di ricerca interno al sito del giornale.
Anche la Cassazione civile è intervenuta in proposito con la sentenza n. 5525 del 2012 nella quale si sancisce l’obbligo di contestualizzare, aggiornandole, vecchie notizie di cronaca giudiziaria on line.
Infatti, secondo la Suprema Corte, mentre “l’archivio si caratterizza per essere ordinato secondo criteri determinati… nella rete internet le informazioni non sono in realtà organizzate e strutturate, ma risultano isolate, poste tutte al medesimo livello (“appiattite”), senza una valutazione del relativo peso, e prive di contestualizzazione (…). Si pone allora l’esigenza di attribuzione della fonte dell’informazione ad un soggetto, della relativa affidabilità, della qualità e della correttezza dell’informazione”.
Anche la Corte di giustizia dell’Unione europea si pone sulla stessa linea con la sentenza sul caso Google Spain (2014), che sancisce il diritto alla deindicizzazione da parte dei motori di ricerca, stabilendo l’obbligo di deindicizzare i dati qualora essi siano “inadeguati, non pertinenti o eccessivi in rapporto alle finalità del trattamento”, oppure “non siano aggiornati”, o ancora “siano conservati per un arco di tempo superiore a quello necessario, a meno che la loro conservazione non si imponga per motivi storici, statistici o scientifici”.
Di recente, è intervenuta nuovamente la Cassazione a Sezioni riunite (cosa che conferisce speciale importanza al pronunciamento). La sentenza Cassazione civile, Sezioni unite, sentenza 22 luglio 2019, n. 19681 ha affermato che la rievocazione storica “a meno che non riguardi personaggi che hanno rivestito o rivestono tuttora un ruolo pubblico, ovvero fatti che per il loro stesso concreto svolgersi implichino il richiamo necessario ai nomi dei protagonisti, deve svolgersi in forma anonima perché nessuna particolare utilità può trarre chi fruisce di quell’informazione dalla circostanza che siano individuati in modo preciso coloro i quali tali atti hanno compiuto.”
Si tratta del principio, non nuovo, della minimizzazione dei dati personali:
“L’utente può diffondere i dati personali se pertinenti e indispensabili alla ricerca e se gli stessi non ledono la dignità e la riservatezza delle persone.” (Codice deontologico – ora Regole deontologiche – art. 11, c. 4).
Le stesse Regole deontologiche stabiliscono che è dovere degli archivisti (e quindi di chi conserva raccolte di documenti, ivi inclusi quelli orali) promuovere l’accesso agli archivi, il che implica anche la possibilità di renderli disponibili on line.
Sia la Cassazione che il Garante danno indicazioni su come conciliare promozione dell’accesso agli archivi e protezione dati personali, riassumibili come segue:
− creare un’area del sito non ricercabile da Google o da altri motori generali di ricerca (Garante 2004);
− prevenire la decontestualizzazione di immagini e di documenti, inserendo opportuni metadati sulla ricerca, sulle immagini/suoni, su tutti gli elementi che rendano possibile conoscere le motivazioni, le circostanze e i dati tecnici relativi alla raccolta (Cassazione 5525/2012);
− non pubblicare on line nomi, in caso di informazioni lesive della reputazione di persone comuni (ovvero persone che non suscitano l’interesse della collettività, per le quali prevale il diritto alla riservatezza rispetto ad avvenimenti del passato dei quali si sia ormai spenta la memoria collettiva) (Sezioni Unite Cassazione 19681/2019).
2.5. La storia non si cancella. - Nel 2016 il Garante, sulla scorta delle indicazioni del “Gruppo di lavoro Articolo 29”, che è il gruppo dei Garanti della privacy europei, ha dichiarato infondato il ricorso di un ex terrorista che chiedeva la deindicizzazione di alcuni articoli, studi, atti processuali in cui erano riportati gravi fatti di cronaca che lo avevano visto protagonista tra la fine degli anni ‘70 e i primi anni ‘80. L’Autorità ha rilevato che “le informazioni di cui si chiede la deindicizzazione fanno riferimento a reati particolarmente gravi, che rientrano tra quelli indicati nelle Linee guida sull’esercizio del diritto all’oblio adottate dal Gruppo di lavoro dei Garanti privacy europei nel 2014, reati per i quali le richieste di deindicizzazione devono essere valutate con minor favore dalle Autorità di protezione dei dati, pur nel rispetto di un esame caso per caso”. Secondo il Garante, poi, “le informazioni hanno ormai assunto una valenza storica, avendo segnato la memoria collettiva. Esse riguardano una delle pagine più buie della storia italiana, della quale il ricorrente non è stato un comprimario, ma un vero e proprio protagonista. Inoltre, nonostante il lungo lasso di tempo trascorso dagli eventi l’attenzione del pubblico è tuttora molto alta su quel periodo e sui fatti trascorsi, come dimostra l’attualità dei riferimenti raggiungibili mediante gli stessi url”.