Ovvero la spiegazione noiosa sul perché il mio blog non ha una informativa privacy che segue i dettami del GDPR.
TL;DR1: perché non ce n’è bisogno.
Cosa dice la legge
Andiamo per ordine: la cosiddetta “informativa sulla privacy” è prevista dal regolamento europeo GDPR Legge 679 / 2016.
Il comma 2 dell’articolo 2 del GDPR dice:
Il presente regolamento non si applica ai trattamenti di dati personali:
[…]
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico; (C18)
La nota C18 in burocratese sta per “considerando 18”, ed eccolo qua:
Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.
Con queste premesse, il GDPR non si applica alla fattispecie con la quale questo sito viene gestito:
- sono effettivamente una persona fisica: non sono una associazione o una società;
- in questo blog si parla di passioni che non hanno alcuna connessione con la mia attività professionale: per intendersi, non è il blog di un avvocato che scrive di leggi cercando di farsi un po’ di autopromozione;
- non è una attività commerciale: non vi vendo nulla e non ho ricavi pubblicitari da questo sito;
- non cedo le vostre informazioni per avere servizi in cambio: non ci sono cookies di profilazione e non è possibile registrarsi attraverso un account social (Google, Facebook, etc…).
Fin qui, i vostri dati continuano a rimanere nella mia sfera domestica e personale.
Il “trattamento” che comporta la registrazione al blog non è molto diverso da ciò che tutti facciamo quando un conoscente ci invia una email e noi conserviamo nella rubrica il suo nome e il suo indirizzo di posta elettronica.
Ma se pubblico un commento?
Vediamo però che succede quando si lascia un commento e il nome di chi interviene nella discussione viene pubblicato sul sito.
La giurisprudenza è abbastanza chiara2 sul fatto che la pubblicazione nel web di dati personali, essendo destinata a una platea potenzialmente infinita, non può in nessun caso essere considerata “sfera personale”.
Però il blog è stato configurato in modo che non venga pubblicato né il nome utente e né la email di chi scrive un commento, bensì un “nome visualizzato” che:
- non è per forza univoco e può essere modificato in qualsiasi momento
- se avete seguito le mie istruzioni, non è il vostro nome ma uno pseudonimo
- se non avete seguito le mie istruzioni, avrò provveduto personalmente a pseudonomizzare
Ma sto comunque pubblicando un dato personale o no? Secondo l’art.4 del GDPR un dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
Una persona potrebbe essere comunque identificabile attraverso uno pseudonimo? Certamente, e per questo l’art.4 regola la pseudonimizzazione come trattamento per il quale
i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Quindi il solo “nome visualizzato”, opportunamente pseudonomizzato in calce a un commento pubblicato sul blog, non è sufficiente a identificare la persona fisica, anche alla luce del considerando 26 che aggiunge un criterio di ragionevolezza:
per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.
Ovviamente nel testo del commento bisogna evitare la diffusione di dati personali riferiti all’autore stesso o a soggetti terzi: ma per quello mi affido al vostro buonsenso e, se non bastasse, all’attività di moderazione.
Copyleft e dintorni
Un’ultima nota in legalese per trattare il tema dei diritti di autore.
Il blog è principalmente frutto del mio lavoro e di chi vorrà partecipare a titolo gratuito. Tutti i contenuti sono rilasciati con licenza Creative Commons 4.0 del tipo “Attribuzione – NonCommerciale – CondividiAlloStessoModo”. Qui trovi tutte le informazioni.
Per le illustrazioni ho utilizzato immagini di pubblico dominio, spesso recuperate dal progetto Wikimedia, associazione per la quale tra l’altro dono il mio 5×1000 ogni anno. Alcune immagini sono state scaricate da Pexels e sono libere da diritti e royalties secondo la loro licenza.
- Acronimo inglese che sta per “Too Long; Didn’t Read” (troppo lungo, non ho letto). Si utilizza in risposta a un messaggio eccessivamente prolisso. A volte può indicare il tentativo di riassumere con poche parole una lunga spiegazione. ↩︎
- Si veda, ad esempio, questa sentenza: https://www.privacy.it/archivio/cortegiust.s20031106.html ↩︎