E' una di quelle sanzioni che colpisce, che "fa scuola": il Garante romeno ha condannato ad una sanzione pecuniaria una persona fisica per aver pubblicato su Facebook dati personali altrui afferenti alla sfera privata e non professionale, senza il consenso degli interessati. All'utente è contestata la violazione di ben tre articoli del GDPR:
- l'art 5, che enumera i principi applicabili al trattamento dei dati personali; 
- l'art 6, che regola la liceità del trattamento;
- l'art 14, che dettaglia l'obbligo di informazione verso l'interessato. 

Qualche dettaglio sulla vicenda
Nel corso dell'istruttoria avviata dal Garante, l'autorità scopriva pubblicati online, senza il consenso degli interessati, numerosi dati personali: le buste paga (contenenti molteplici dati personali), fotografie, ma anche il registro delle iscrizioni di una scuola contenente, a sua volta, ulteriori dati in questo caso di minori. Oltre a questo il Garante ha tenuto in considerazione a carico della persona fisica anche un'azione avvenuta fuori dal mondo digitale, ovvero la distribuzione di volantini e altro materiale cartaceo.

Riscontrate le violazioni del principio di liceità del trattamento e della mancata ricezione del consenso al trattamento dati, il Garante ha poi approfondito le comunicazioni tra la persona fisica e gli interessati, riscontrando la totale mancanza delle dovute informative sul dove, come e quanto sarebbero stati trattati i dati.

L'articolo 2 del GDPR e i problemi interpretativi
La vicenda sarebbe piuttosto lineare non fosse per le disposizioni previste dell'art 2. del GDPR, nel quale sono normati gli scenari in cui non si applica il GDPR: tra questi figura il caso di trattamento di dati personali effettuati da persone fisiche nell'ambito di attività "esclusivamente" personali/ dometische. Inutile forse sottolineare quanto possa essere difficile tracciare un netto confine: quando si può dire che una persona sta effettuando una attività "esclusivamente personale"?

Secondo il Garante romeno entrare in possesso, memorizzare e poi pubblicare dati di amici o altre persone non è definibile come attività esclusivamente personale: pubblicare dati sui social comporta la perdita di controllo sugli stessi, la loro circolazione e la durata della circolazione. Al contrario, definire un trattamento dati come esclusivamente personale richiederebbe invece che questi avesse chiari e netti confini, soprattutto in termini di circolazione dei dati.

Per il Garante romeno la pubblicazione sui social non può avere carattere esclusivamente personale, quindi siamo entro il perimetro di validità del GDPR: così è capitato che un privato cittadino che ha diffuso dati di conoscenti e amici, si sia visto richiedere tutta la documentazione che solitamente è richiesta solo in ambito lavorativo.

Il problema "etico", al di là dell'interpretazione del Regolamento, è semplice: alcuni Garanti europei hanno già espresso parere favorevole all'emissione di sanzioni di questo genere, nella volontà di creare maggiore consapevolezza della "vita digitale" dando rilevanza giuridica ad azioni che quasi tutti i giorni moltissimi compiono senza pensarci troppo, come pubblicare foto di amici e conoscenti.

Qui il comunicato dell'Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal