Regolamento - 27/04/2016 - n. 679 art. 2 - Ambito di applicazione materialeAmbito di applicazione materiale 1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. 2. Il presente regolamento non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione; b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE; c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse. 3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici dell'Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all'articolo 98. 4. Il presente regolamento non pregiudica pertanto l'applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva. InquadramentoRatio della cosidetta “eccezione domestica” o “household exception” è il riconoscimento di una dimensione protetta e autonoma della persona, coincidente con la domus o comunque con i luoghi, fisici e virtuali, di sua pertinenza strettissima. In questi spazi l'individuo è esonerato dalla sottoposizione alle stringenti regole del GDPR. Si tratta in definitiva del riconoscimento dell'intangibilità della sfera privata, ossia di un concetto che è, esso stesso, al centro della normativa sulla protezione dei dati personali, e che rischierebbe, in modo paradossale, di risultare inaccettabilmente compresso proprio da un'applicazione esasperata della disciplina in esame. La deroga in commento alla normativa sui dati personali figurava già nella dir. 95/46/CE, all'art. 3.2, 2° trattino, nella medesima formulazione adottata nel Regolamento. Giova invece osservare, in ambito nazionale, che il recepimento nel codice privacy anteGDPR in attuazione della direttiva, all'art. 5.3 (oggi abrogato), non collimava del tutto con il disegno europeo dell'istituto, formatosi anche in seguito alla giurisprudenza della CGUE, ved. anche infra. Ambito di applicazioneLa deroga si applica a casi nei quali la raccolta e circolazione delle informazioni sono esclusivamente limitate alla sfera privata del titolare. È richiesta la compresenza di due condizioni: 1) il soggetto attivo del trattamento deve essere una persona fisica; 2) l'attività deve essere interamente domestica e/o interamente personale. Non è personale un'attività professionale o commerciale, cfr. considerando 18 GDPR. Sono considerate ex lege attività personali o domestiche: la corrispondenza e la tenuta di indirizzari, la fruizione di social network e le attività online svolte nel contesto di questi ultimi (considerando 18 GDPR). Rilevanza del contesto spazialeLa sentenza CGUE, 11 dicembre 2014, C-212/13, Ryneš costituisce un precedente rilevante in materia di applicabilità dell'eccezione domestica e un punto di riferimento per la comprensione della sua portata applicativa. Nella vicenda esaminata dalla Corte, il titolare del trattamento, persona fisica, aveva collocato per finalità di sicurezza personale strumenti di videosorveglianza che dall'immobile di sua proprietà inquadravano anche una porzione della strada pubblica antistante. L'appartenenza dell'area inquadrata a uno spazio non personale ha orientato il giudice europeo a escludere l'applicabilità dell'eccezione domestica (cfr. punto 33 sent. cit.). La stessa linea interpretativa è stata ribadita poi in CGUE, 10 luglio 2018, C-25/17, Jehovan Todistajat - Uskonnollinen Yhdyskunta, relativa all'attività di predicazione porta a porta da parte di esponenti della comunità dei Testimoni di Geova. In CGUE, 6 novembre 2003, C-101/01, Lindqvist, punto 47 è stata esclusa l'applicabilità dell'eccezione domestica alla pubblicazione di dati personali su un blog di Internet accessibile a un numero indeterminato di persone. In sostanza, è stato valorizzato l'elemento della circolazione impressa ai dati personali entro un spazio de facto pubblicamente consultabile. In senso conforme, cfr. CGUE 16 dicembre 2008, C-73/07, Satakunnan Markkinapörssi e Satamedia, punto 44, ove l'eccezione domestica è stata ritenuta inapplicabile a informazioni rese accessibili a un numero illimitato di destinatari, sostanzialmente perciò “diffuse” nel senso in cui tale termine è attualmente definito all'art. 2-ter, comma 4, lett. b) cod. privacy. Appare dunque decisivo, almeno nel formante giurisprudenziale della Corte di Giustizia UE, non solo l'ambito della circolazione impressa alle informazioni (Lindqvist, Satakunnan Markki napörssi e Satamedia), ma anche il contesto pubblico di raccolta dei dati personali (Ryneš, Jehovan Todistajat - Uskonnollinen Yhdyskunta). Vale la pena riportare un passaggio significativo della sentenza Ryneš, punto 33: «Posto che una videosorveglianza quale quella in questione nel procedimento principale si estende, anche se solo parzialmente, allo spazio pubblico, e pertanto è diretta verso l'esterno della sfera privata della persona che procede al trattamento dei dati [...], essa non può essere considerata un'attività esclusivamente “personale o domestica” ai sensi dell'art. 3, paragrafo 2, secondo trattino, della Direttiva 95/46». Nel codice privacy precedente al GDPR la deroga in esame era invece collegata al perseguimento di una finalità che potesse essere descritta come “esclusivamente personale” anziché a una dimensione spaziale privata della raccolta dei dati. Sussisteva dunque la possibilità di disallineamenti applicativi ove la raccolta dei dati personali in uno spazio non strettamente domestico o personale fosse effettuata per finalità esclusivamente personali. Lo stesso ex Gruppo di lavoro 29 appariva orientato a valorizzare il momento dell'intenzione personale del trattamento, cfr. WP29, op. 4/2007, 5: «[...] Le esenzioni dell'art. 3 tengono conto [...] della finalità [«intention»] d'uso». L'attuale declinazione dell'eccezione domestica appare ascrivibile alla particolare lettura che ne ha dato la Corte di giustizia, a partire dal citato arresto Ryneš. Per un'applicazione recente da parte del Garante, cfr. GPDP, 12 ottobre 2023 [9949494]:“L'utilizzo di sistemi di videosorveglianza da parte di persone fisiche nelle aree di diretto interesse (quali quelle inerenti al proprio domicilio e le sue pertinenze) è quindi da ritenersi, in linea di massima, escluso dall'ambito di applicazione materiale delle disposizioni in materia di protezione dati, perché rientrante tra i trattamenti effettuati per l'esercizio di attività a carattere esclusivamente personale e domestico. Ciò a condizione che l'ambito di comunicazione dei dati non ecceda la sfera familiare del titolare e le immagini non siano oggetto di comunicazioni a terzi o di diffusione e il trattamento non si estenda oltre gli ambiti di stretta pertinenza del titolare riprendendo immagini in aree comuni (anche di tipo condominiale quali scale, androni, parcheggi), luoghi aperti al pubblico (vie o piazze), o aree di pertinenza di terzi (giardini, terrazzi, porte o finestre di pertinenza di terzi). Ne discende quindi che è possibile installare sistemi di ripresa video, senza dover adempiere agli obblighi previsti dalle norme in materia di protezione dei dati personali, purché l'angolo di visuale delle telecamere sia limitato alle sole zone di propria pertinenza, anche eventualmente attraverso l'attivazione di una funzione di oscuramento delle parti eccedenti”. Irrilevanza della finalità di lucro o di vantaggi personaliGiova notare che nella proposta iniziale del Regolamento la deroga in commento era stata ulteriormente ristretta attraverso la specificazione che l'attività domestica o personale doveva essere senza finalità di lucro o comunque vantaggio personale («without any gainful interest»). La soppressione di tale precisazione nella versione finale del testo normativo autorizza a ritenere tali componenti non dirimenti nell'applicazione della deroga. Inoltre, certamente esclusi dalla deroga in esame sono i trattamenti afferenti ad attività commerciali o professionali. Attività online e limiti.Il considerando 18 include ex lege nella deroga all'ambito materiale di applicazione qui in esame le attività, anche online, di corrispondenza, di gestione di indirizzi e la partecipazione a social network, che risultano pertanto scriminate ed esenti dall'applicazione del Regolamento, ove contenute tuttavia entro un'area di comunicazione non eccedente alla normale sfera relazionale dell'individuo (v. giurisprudenza più sotto). Le situazioni indicate non devono considerarsi tassative. Appare perciò ragionevole, almeno in via di ipotesi, includere attività limitrofe, quali la partecipazione a forum di discussione, chat, ecc., e altresì, deve verosimilmente ritenersi, gli omologhi reali delle suddette attività, quali la condivisione di dati personali con amici in un luogo fisico, ad esempio un caffè o un circolo. Ciò permette di ampliare il concetto di spazio domestico o personale riempiendolo delle attività relazionali private che appaiono pienamente riconosciute dal considerando 18 GDPR. La condivisione, nello spazio virtuale e/o in quello fisico, deve invece ritenersi incompatibile con l'eccezione domestica qualora la circolazione, in questi spazi, sia diretta a destinatari indeterminati: cfr. CGUE, Lindqvist cit., punto 47; Satakunnan Markkinapörssi e Satamedia cit., punto 44. Per un'applicazione nell'ambito dei social network, cfr. anche (ex) WP29, op. 5/2009, par. 3.1.2: «Quando l'accesso alle informazioni del profilo non si limita ai contatti scelti, come nel caso in cui tutti gli iscritti all'SNS [servizio di social network, n.d.a.] hanno la possibilità di consultare un profilo o i relativi dati possono essere indicizzati da motori di ricerca, si oltrepassa la sfera personale o domestica. Analogamente, se un utente decide con cognizione di causa di non limitare l'accesso ad ‘amici' scelti, assume gli obblighi di un titolare di trattamento». Ragionando per analogia, si può ritenere esclusa l'applicabilità dell'eccezione domestica in tutti i casi nei quali sussista circolazione indiscriminata in contesti virtuali o reali, tenuto conto di indici significativi, quali il numero straordinariamente elevato dei destinatari delle informazioni, la tenuità di rapporto familiare/amicale o altre ragioni che appaiano evidentemente incompatibili con il concetto di dimensione relazionale puramente domestica o personale. Coordinando questi rilievi con quelli già sviluppati a proposito della decisione Ryneš cit., sembra di poter riconoscere alla deroga in esame il seguente ambito applicativo: la deroga vale quando sia la raccolta dei dati personali sia la loro circolazione si mantengano all'interno di una sfera puramente personale o domestica, anche non necessariamente materiale. «Poiché il sig. Buivids ha pubblicato il video in questione, senza alcuna restrizione di accesso, su un sito Internet dove gli utenti possono inviare, visionare e condividere contenuti video, rendendo così accessibili i dati personali ad un numero indefinito di persone, il trattamento di dati personali oggetto del procedimento principale non rientra nell'ambito dell'esercizio di attività a carattere esclusivamente personale o domestico (v., per analogia, sentenze del 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, punto 47; del 16 dicembre 2008, Satakunnan Markkinapörssi e Satamedia, C-73/07, EU:C:2008:727, punto 44; dell'11 dicembre 2014, Ryneš, C-212/13, EU:C:2014:2428, punti 31 e 33, e del 10 luglio 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punto 42)» (CGUE, 14 febbraio 2019, C–345/17, Buivids). «Come ha dichiarato la Corte, l'art. 3, paragrafo 2, secondo trattino, della dir. 95/46/CE dev'essere interpretato nel senso che comprende unicamente le attività che rientrano nell'ambito della vita privata o familiare dei singoli. A tale riguardo, un'attività non può essere considerata a carattere esclusivamente personale o domestico, ai sensi di tale disposizione, se il suo scopo è quello di rendere i dati personali accessibili a un numero indefinito di persone, ovvero se tale attività si estende, anche se solo parzialmente, allo spazio pubblico, e pertanto è diretta verso l'esterno della sfera privata della persona che procede al trattamento dei dati (v., in tal senso, sentenze del 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, punto 47; del 16 dicembre 2008, Satakunnan Markkinapörssi e Satamedia, C-73/07, EU:C:2008:727, punto 44, nonché dell'11 dicembre 2014, Ryneš, C-212/13, EU:C:2014:2428, punti 31 e 33) [...]. A tale riguardo dalla decisione di rinvio risulta che l'attività di predicazione porta a porta, nel cui ambito i membri della comunità dei testimoni di Geova raccolgono dati personali, ha, per sua stessa natura, la finalità di diffondere il credo della comunità dei testimoni di Geova presso persone che, come ha rilevato in sostanza l'avvocato generale al paragrafo 40 delle sue conclusioni, non appartengono al nucleo familiare dei membri predicatori. Tale attività è diretta quindi verso l'esterno della sfera privata dei membri predicatori» (CGUE, 10 luglio 2018, C-25/17, Jehovan todistajat - uskonnollinen yhdyskunta, punti 42-44). BibliografiaPelino, in Bolognini-Pelino-Bistofi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, cap. 1, § B.3.ii). |
