La tutela della privacy nel caso di diffusione, senza consenso, di uno screenshot di un post facebook

Sommario: 1. Nozione di dato personale – 2. Screenshot: considerazioni sulla tutela della privacy – 3. Conclusioni 

1. Nozione di dato personale

La privacy, di per sé, è un concetto “exasperatingly vague and evanescent”, conseguentemente, il diritto alla privacy non viene concepito come una formula unitaria, bensì come una costellazione di diritti, sicché il suo nucleo costitutivo di situazioni soggettive non è a struttura semplice, bensì composita e articolata.

Come si argomenterà, il diritto alla privacy, oggi, non si riferisce più soltanto all’inviolabilità della sfera privata, come proiezione di un indifferenziato interesse al “right to be let alone” (riservatezza), ma si è realizzata una notevole metamorfosi qualitativa che orienta irreversibilmente il diritto alla privacy a caratterizzarsi come potere di controllo sulla circolazione delle informazioni personali.

Ed il potere di controllo sulla circolazione delle informazioni personali, ha, come fine primario, quello di proteggere e tutelare la dignità delle persone prevalentemente sotto il profilo della loro identità. Da qui si parla spesso di privacy come protezione dell’identità personale.

In tale ottica, il concetto di dato personale è estremamente importante nella normativa sulla privacy tanto da determinarne la portata applicativa.

La metodologia di classificazione del dato personale rappresenta pertanto il principale elemento di discernimento tra l’obbligo di osservare il codice normativo di riferimento e l’ambito di irrilevanza.

Per dato personale s’intende “qualunque informazione relativa a persona fisica, persona giuridica ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (art. 4, lett. B, Codice della privacy): è uno specifico contenuto relativo al patrimonio informativo dell’interessato (la persona a cui si riferiscono i dati soggetti al trattamento si definisce “interessato”).

Ne deriva che il dato personale è una categoria generale ed ampia che include quasi tutte le informazioni riferibili direttamente e indirettamente alla persona fisica o giuridica (ad es. nome e cognome, data di nascita, residenza, codice fiscale) compresi i suoni e le immagini.

Un elenco esaustivo di tutte le informazioni che si possono ricomprendere in tale categoria è molto complesso ed è in perenne evoluzione.

2. Screenshot: considerazioni sulla tutela della privacy

La definizione contenuta nel su richiamato art. 4, lett. b), talvolta risulta generica e di scarso supporto per la risoluzione dei casi concreti. Fermo restando che la genericità è probabilmente voluta dal Legislatore di settore per consentire una più ampia tutela, in tali situazioni occorre un maggiore sforzo ermeneutico per distinguere ciò che è identificabile come dato personale da cosa non lo è.

Procedendo per gradi nell’analisi della definizione, dobbiamo dapprima soffermarci sulla seguente locuzione “qualunque informazione relativa a persona fisica, persona giuridica ente od associazione”, rispetto alla quale in via generale i dati personali possono distinguersi in due macrocategorie: dati oggettivi, ad esempio: nome, cognome, età, sesso, componenti del sangue; dati soggettivi, ad esempio opinioni o valutazioni.

In tale concetto sono da includersi quindi tutte le informazioni grafiche, acustiche, numeriche, fotografiche purché siano riferibili ad una persona fisica o giuridica.

“Identificati” o “identificabili” sono invece due attributi che consentono di distinguere due importanti sottocategorie di informazioni: dati personali che permettono l’identificazione dell’interessato in modo diretto (così definiti dall’art. 4, lett. c), C.d.P.), quali i dati anagrafici e quelli contrattuali, ovvero i dati presenti in ogni tipologia di elenco in cui si faccia menzione del nome e cognome di una persona, o anche in un post Facebook; informazioni attraverso le quali è possibile identificare la persona, per esempio con riferimento al contesto, le caratteristiche fisiche, colore dei capelli, statura, vestiario indossato da una persona che appartiene ad una classe o che partecipa ad un meeting.

L’altro elemento caratterizzante il dato personale è la diretta ed indiretta identificabilità dell’informazione. Mentre la diretta identificazione è un concetto di immediata comprensione, è direttamente identificabile un’informazione come il nome associato al cognome di una persona (come avviene, senza dubbio alcuno, in un post Facebook), ma possono verificarsi casi dove frammenti di informazioni rendono la persona indirettamente identificabile.

L’identificazione è fondamentale, in quanto permette di distinguere la persona da qualsiasi altro soggetto. In ultima istanza, il dato personale è un concetto dinamico, sul quale ha preponderante rilevanza il contesto nel quale è situato e le componenti intrinseche dello stesso, nel senso che anche se un’informazione isolata non è in grado di portare all’identificazione di un individuo, il fatto che detta informazione possa essere utilizzata per l’identificazione tramite incrocio con altri dati ne determina comunque la natura di dato personale.

Rebus sic stantibus, il dato personale è meritevole di tutela giuridica, perché costituisce la proiezione informatica della nostra vita reale e contiene in sé la capacità di incidere nel concreto vivere degli interessati.

Il diritto alla protezione dei dati personali consiste nel diritto a che il trattamento dei propri dati avvenga in conformità delle norme che lo disciplinano.

Sebbene, a livello nazionale, la raccolta delle norme in tema di trattamento dei dati personali abbia preso il nome di “codice della privacy” e, di conseguenza, l’Autorità garante del corretto trattamento dei dati personali si sia autodefinita “Garante della privacy”, suggerendo che tutela della privacy e protezione dei dati personali siano concetti sovrapponibili, la protezione dei dati personali è funzionale alla tutela dei “dati privati”, ma non si esaurisce in essa, estendendosi “a ogni dato riferito o riferibile a una persona identificata o identificabile, quale che ne sia il contenuto o l’oggetto” (Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali: dalla Direttiva 95/46 al nuovo Regolamento, Torino, 2016, pag. 45).

In altri termini, mentre la privacy, attenendo alla tutela delle informazioni private, ha una portata prettamente individualistica, il diritto alla protezione dei dati personali, riflettendo l’interesse alla correttezza e liceità del trattamento dei dati e finendo quindi per attingere le garanzie di trasparenza e legalità quali presupposti del funzionamento del sistema democratico (Rodotà, S., Tecnologie e diritti, Bologna, 1995, 19 ss., 101 ss.), presenta la duplice natura di diritto fondamentale dell’individuo e interesse della collettività (v. Corte Europea di Giustizia, 6.10.2015, C-362/14, Maximillian Schrems c. Data Protection Commissioner).

È lecito pertanto affermare che, il discrimen tra le due nozioni si rinviene nel bene oggetto di tutela, la sfera privata, che ha una portata esclusivamente individualistica, nel diritto alla privacy e l’interesse generale alla correttezza e liceità del trattamento dei dati, nel diritto alla protezione dei dati personali, che ha la duplice natura di diritto dell’individuo e interesse della collettività. La salvaguardia dell’autodeterminazione informativa, il cui controllo gradua o addirittura impedisce l’invadenza degli altri nella propria sfera privata, articolata non soltanto nei vari istituti del consenso informato, ma anche nella valutazione di impatto privacy, è presidio essenziale per mantenere il governo sulle nostre tracce digitali, che più di ogni altro aspetto concorrono oggi a definire la nostra identità e, con essa, la nostra libertà. Ogni violazione può avere conseguenze concrete: da un’esposizione non desiderata della nostra persona fino a forme di irreversibile e incontrollata diffusione di dati personali. Si pensi all’ipotesi di un post Facebook fatto oggetto di screenshot e fatto circolare, in tale forma e senza cautele censorie, all’insaputa dell’interessato.

Ciò precisato, la tutela che le norme nazionali e sovranazionali offrono alla privacy è condotta sostanzialmente mediante la disciplina del trattamento dei dati personali per almeno due ordini di ragioni.

In primo luogo, non potendo interferire nella spontanea pubblicazione e condivisione di contenuti privati (il detto post Facebook), in quanto espressione della libertà di manifestazione, al legislatore non resta, per tutelare la privacy, che prevenire lo scorretto utilizzo di dati altrui da parte di chi, per ragioni istituzionali o professionali, o anche privatamente (es. screenshot su Facebook), ne venga in possesso.

Se infatti la salvaguardia della privacy dipende anche, in parte, dal comportamento on line dei singoli, che dovrebbe essere reso sempre più consapevole attraverso politiche di sensibilizzazione ai rischi insiti nella rete, quello che può essere garantito a livello di diritto positivo è una disciplina che enfatizzi l’importanza del corretto trattamento dei dati e sanzioni le violazioni perpetrate in materia.

In secondo luogo, in una società sempre più globalizzata e “connessa”, l’evoluzione normativa scaturita dall’esigenza di tutelare la privacy, quale prerogativa individuale, ha progressivamente coinvolto anche interessi di portata generale attribuendo un ruolo centrale alla protezione dei dati personali, che, in forza del Regolamento 2016/679/UE ha assunto altresì la connotazione di “diritto pubblico europeo” (Pizzetti, F., La protezione dei dati personali dalla direttiva al nuovo regolamento: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni, in Riv. dir. media, 2018, 1, pag. 10).

L’introduzione nel nostro ordinamento di una disciplina speciale in materia di trattamento dei dati personali, corredata di un dettagliato impianto sanzionatorio, è stata promossa dall’Unione Europea.

La direttiva 1995/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, ha sancito il dovere degli Stati membri di stabilire e adottare “misure appropriate per garantire la piena applicazione” delle sue disposizioni e di prevedere “le sanzioni da applicare in caso di violazione delle disposizioni di attuazione” (art. 24).

Il Regolamento generale per la protezione dei dati n. 679, definito G.D.P.R., l’acronimo inglese che sta per l’espressione General Data Protection Regulation, adottato il 27 aprile 2016, e pubblicato sulla Gazzetta ufficiale dell’Unione Europea il 4 maggio 2016, è ad oggi il riferimento normativo comunitario fondamentale in materia. Operativo dal 25 maggio 2018, tutti gli Stati membri della Comunità hanno dovuto adeguarsi tramite il recepimento della norma.

Tale fonte normativa, al fine di classificazione della nozione che ci occupa, fa riferimento alla richiamata Direttiva Comunitaria 46/95/CE, ed in particolare l’art. 2, lett. a) sancisce quale “dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Passando ad una descrizione più specifica del documento, la definizione di dato personale deve essere suddivisa in quattro punti: qualsiasi informazione; concernente (l’interessato a cui si riferiscono i dati); identificata o identificabile (riferito all’informazione); persona fisica (riferito all’interessato).

L’avverbio “concernente”, caratterizza le relazioni tra le informazioni e l’interessato; l’informazione può essere riferita ad una cosa, un evento o altro, si pensi, a titolo esemplificativo, proprio ad un post Facebook in cui l’interessato esprime un commento o un rilievo in ordine ad una determinata questione o vicenda.

Sulla scorta di tali basi, il nostro Legislatore, dapprima con la Legge, 31.12.1996, n. 675, poi con il Decreto legislativo, 30.6.2003, n. 196 (Codice della privacy), modificato dal D.L., 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla Legge, 3.12.2021, n. 205, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, ha inteso sanzionare, anche penalmente, le violazioni in materia di trattamento dei dati personali prevedendo alcune fattispecie incriminatrici ad hoc.

Il capo II del titolo III della parte III del Codice della privacy, dedicato agli illeciti penali, inizia con l’art. 167. Nella sua attuale formulazione, la norma punisce, al primo comma, con la reclusione da sei mesi a un anno e sei mesi, la violazione di alcune norme in materia di trattamento di dati comuni e, al secondo comma, con la reclusione da uno a tre anni, il trattamento di dati sensibili e giudiziari condotto senza le dovute cautele.

Sul punto, la Giurisprudenza di legittimità precisa che costituiscono illecito trattamento di dati personali sia la condotta di utilizzazione di dati che fuoriesca dalla sfera personale e domestica dell’agente, che in quanto tale non può essere ritenuta riconducibile a “fini esclusivamente personali”, sia la condotta che, pur realizzata per fini esclusivamente personali, consista nella diffusione dei dati, ancorché in forma non sistematica (Corte di Cassazione, sesta sezione penale, sentenza 19.10.2016, n. 6587).

Il bene giuridico tutelato dalla disciplina normativa è stato tradizionalmente identificato nel diritto alla protezione dei dati personali, che, come sopra anticipato, si declina sia come diritto fondamentale dell’individuo, sancito dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea, dall’art. 16, par. 1, del Trattato sul funzionamento dell’Unione europea e, indirettamente, dalla nostra Costituzione (ad es. dall’art. 2 Cost., in quanto strettamente connesso al diritto all’identità personale, dall’art. 3, co. 1, Cost., per il suo legame con la dignità, e dall’art. 21 Cost., che tutela l’interesse a che la manifestazione esterna della propria personalità non venga travisata), sia come interesse della collettività, su cui vigila in ultima analisi l’Autorità garante per la protezione dei dati personali (GPDP).

Alla stregua delle argomentazioni sopra enucleate, si appalesa che il titolare dei dati personali (trasfusi, ad esempio, in un post privato), nel momento in cui il post stesso viene diffuso, senza consenso e senza cautele censorie, in forma di screenshot, risulta privato del potere di intervenire (pur disponendone liberamente e come meglio crede) sui dati personali in cui il post stesso si sostanzia.

A quel punto, egli è, senz’altro, legittimato a rivendicarne la paternità e richiederne la rimozione o l’eliminazione, o altre forme di inibizione, e nell’ipotesi in cui tale diffusione non consentita abbia procurato danni, può domandarne il giusto risarcimento. Tale discorso va esteso anche ai post pubblici. Nessuno, di fatti, può arrogarsi il potere di diffonderlo, senza consenso dell’interessato, con strumenti differenti da quelli previsti dal social medium in questione, come la condivisione post, espressamente disciplinata nella Privacy Policy e previamente accettata all’atto dell’iscrizione.

Ad esempio, ben si potrebbe, legittimamente, optare per la procedura di condivisione del post sulla bacheca del noto social network, e farne commento o critica secondo le regole accettate da chi è iscritto a Facebook (Privacy Policy).

L’autore del post, in virtù delle facoltà e dei poteri connaturati al suo buon diritto di paternità dei propri dati personali, di libertà di manifestazione del pensiero (nella sua accezione più lata che ricomprenda anche quello di ripensamento, rettifica o revoca di un pensiero) e di tutela della privacy, ritenendo legittimamente di volerlo eliminare, si ritrova poi nell’impossibilità di poter controllare il destino del suo prodotto e dei suoi dati personali ivi trasfusi (il post) qualora venga  “catturato” come screenshot.

Quest’ultimo, ormai sfuggito ad ogni forma di controllo, in quanto traslato integralmente in uno screenshot fatto circolare a mezzo email o con qualsivoglia modalità, diviene oggetto di circolazione potenzialmente all’infinito, nonostante l’autore non avesse fornito consenso a chicchessia a farlo circolare (se non la mera previa autorizzazione a renderlo oggetto, al più, di condivisione su Facebook secondo le regole del social network di Privacy Policy) e benché avesse esercitato il suo sacrosanto potere/facoltà di cancellarlo.

In breve, ogni potere di controllo sulla circolazione delle informazioni personali resta inopinatamente frustrato dall’utilizzo dello strumento dello screenshot e della sua successiva diffusione. Il potere di controllo sulla circolazione delle informazioni personali, avente, come fine primario, quello di proteggere e tutelare la dignità delle persone prevalentemente sotto il profilo della loro identità, resta sostanzialmente svuotato. Qui, subentra la normativa a tutela che interviene a sanzionare le condotte che operano tale illecito: ecco in quale senso, oggi, si parla, sempre più spesso, di privacy come protezione dell’identità personale.

Il concetto di dato personale, l’abbiamo sopra illustrato, è ormai ragionevolmente precisato da interpretazioni e norme come qualsiasi informazione che possa ricondurre alla soggettività, persona fisica o giuridica, consentendone anche indirettamente l’identificazione.

Orbene, la normativa sulla privacy si prefigge lo scopo di tutelare la persona in senso ampio attraverso la nozione di trattamento dei dati personali al fine di garantire il rispetto dei diritti e delle libertà fondamentali, la dignità dell’interessato (con tale espressione si intende generalmente tutto il corpus di libertà e diritti descritti nella Parte prima della Costituzione italiana), l’identità personale ed il diritto alla protezione dei dati personali.

Il progresso sociale, tecnologico e la globalizzazione con l’abbattimento delle barriere fisiche, hanno comportato forti mutamenti di questi diritti mettendone a repentaglio la tutela e facendo sorgere un’impellente esigenza di rafforzamento della stessa. La procedura di cattura mediante screenshot è una tipica esemplificazione concreta di tale progresso tecnologico, che in maniera tranchant elude la Policy Privacy, la sola previamente accettata dall’utente iscritto al social network, consentendo una diffusione non autorizzata e pertanto illecita.

3. Conclusioni

Percorrendo le fila dell’odierna disamina, è emerso in primis che rileva la nozione di dato personale il cui elemento caratterizzante è la diretta ed indiretta identificabilità dell’informazione ad una persona, ovvero la sua inconfutabile riconducibilità all’interessato. Esso è meritevole di tutela giuridica, perché costituisce la proiezione informatica della nostra vita reale e contiene in sé la capacità di incidere nel concreto vivere degli interessati. Di fatti, nel corso degli ultimi decenni, via via si è formalizzata e specializzata la normativa di settore, sia a livello europeo che nazionale, conducendo ad una tutela, anche in sede penale, sempre più stringente della privacy, intesa non tanto più nella sua accezione di inviolabilità della sfera privata, ossia come proiezione di un indifferenziato interesse al “right to be let alone” (riservatezza), ma verso una più dinamico orientamento del diritto alla privacy come potere di controllo sulla circolazione delle informazioni personali.

Orbene, un post Facebook è un contenuto di dati personali che possono circolare solo mediante le regole, previamente accettate dall’interessato, della condivisione disciplinata dalla Privacy Policy del social network in parola, o, in alternativa, previo consenso dell’interessato medesimo e per finalità preautorizzate e predeterminate.

Il post, se catturato integralmente in uno screenshot e fatto circolare a mezzo email o con altri mezzi di diffusione, senza consenso e privo di cautele censorie (senza oscuramento dei dati personali identificativi), diviene oggetto di circolazione incontrollata, incontrollabile e potenzialmente ad libitum, privandone l’interessato del potere di disposizione, in ultima analisi, ledendo illecitamente la sua dignità personale sotto il profilo dell’identità e, di volta in volta, secondo i casi, finanche la pletora dei diritti costituzionalmente protetti attinenti alle libertà personali.

Le tesi e le soluzioni prospettate sono diretta conseguenza degli approdi dottrinari e giurisprudenziali contemporanei, in relazione al diritto positivo, e dunque ancorate ad una determinata interpretazione degli istituti giuridici coinvolti.