Trattamento di dati raccolti nell’esercizio di attività professionali e di tutela della salute per fini di propaganda elettorale

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy  collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – I dati personali raccolti nell’esercizio di attività professionali e di impresa, ovvero nell’ambito dell´attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica, in quanto tale finalità non è riconducibile agli scopi legittimi per i quali i dati sono stati raccolti, salvo che il titolare acquisisca uno specifico e informato consenso dell’interessato.

Massima (2) – L’invio di messaggi di propaganda elettorale da parte di un medico (o altro professionista) verso pazienti (o clienti) legati al medesimo da pregressi rapporti di amicizia o in relazione ai quali un personale e strutturato vincolo di amicizia si è sovrapposto, sostituendolo nella sua natura, al rapporto professionale, deve considerarsi quale «attività a carattere esclusivamente personale o domestico» ex art. 2, par. 2, lett. c), GDPR e, come tale, esclusa dall’ambito di applicazione del GDPR.

Provvedimento: GPDP, Docweb n. 9501766 del 1° ottobre 2020

Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9501766

Keywords: Propaganda elettorale, politica, sanità, salute, attività professionali e di impresa, pazienti, principio di liceità e trasparenza, principio di limitazione della finalità, condizioni di liceità, consenso dell’interessato, informativa, applicazione GDPR, attività a carattere esclusivamente personale, rapporti di amicizia, esenzione domestica.

Riferimenti normativi: (1) artt. 5, par. 1, lett. a) e b), 6, par. 1, lett. a), 9, par. 2, lett. a) e 13 GDPR; (2) art. 2, par. 2, lett. c), GDPR.

Data del commento: 21 settembre 2022

Massime e Commento di Daniele Sborlini

1. Il caso

Secondo notizie diffuse dalla stampa, un medico di base candidato alle elezioni aveva utilizzato la rubrica dei suoi pazienti per inviare loro, mediante WhatsApp, numerosi messaggi a fini di propaganda elettorale.

Il Garante, apprese tali notizie nel corso delle proprie attività di monitoraggio, richiedeva informazioni al medico, il quale ammetteva di avere utilizzato i suddetti dati per l’invio di materiale elettorale, precisando tuttavia che le comunicazioni erano state inviate a pazienti con cui intercorrevano rapporti di amicizia o che avevano specificamente richiesto di essere avvisati degli appuntamenti elettorali, senza tuttavia produrre elementi a supporto di tali affermazioni.

L’Autorità provvedeva all’avvio del procedimento per l’eventuale adozione di provvedimenti nei confronti del medico titolare del trattamento, individuando le presunte violazioni di legge nell’utilizzo delle numerazioni telefoniche dei pazienti per l’invio di messaggi di propaganda elettorale senza adeguata base giuridica e idonee informazioni agli interessati, in violazione dei principi di liceità e trasparenza di cui all’art. 5, par. 1, lett. a), GDPR (Regolamento (UE) 2016/679), nonché degli obblighi previsti dagli artt. 6, par. 1, lett. a) [ma anche 9, par. 2, lett. a)] e 13, GDPR.

2. Le questioni

Le questioni poste dal caso in esame riguardano essenzialmente (i) la possibilità, per gli esercenti la professione sanitaria, di utilizzare i dati personali raccolti nell’ambito dell’attività di tutela della salute per fini di propaganda elettorale e (ii) l’applicabilità del GDPR ai trattamenti con fini di propaganda elettorale svolti dal professionista sanitario verso propri pazienti, nel caso in cui questi ultimi siano legati al titolare del trattamento (anche) da un rapporto di amicizia.

2.1. Utilizzabilità dei dati raccolti nel contesto di attività di tutela della salute per fini di propaganda elettorale

La prima questione è risolta dal Garante nel senso di escludere che i dati personali raccolti nell’esercizio di attività di tutela della salute possano essere legittimamente trattati dal professionista sanitario per fini di propaganda elettorale, in assenza di uno specifico e informato consenso dell’interessato, da acquisirsi e documentarsi in conformità a quanto previsto dal GDPR.

Il Garante perviene a questa conclusione in applicazione di un suo costante orientamento (cfr. infra, par. 3), da ultimo cristallizzato nel provvedimento in materia di propaganda elettorale e comunicazione politica del 18 aprile 2019 (GPDP, Docweb n. 9105201 del 18 aprile 2019), ivi espressamente richiamato rilevando che «i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica in quanto tale finalità non è riconducibile agli scopi legittimi per i quali i dati sono stati raccolti, salvo che il titolare acquisisca uno specifico e informato consenso dell’interessato» (GPDP, Docweb n. 9501766 del 1° ottobre 2020, in commento).

La soluzione offerta si basa sul principio di limitazione della finalità ex art. 5, par. 1, lett. b), GDPR, ivi rilevante in particolare sotto il profilo dell’obbligo di trattare i dati personali per scopi compatibili con quelli per cui gli stessi sono stati inizialmente raccolti. La successiva finalità di propaganda elettorale, infatti, non è compatibile con gli scopi per cui, nell’ambito dell’attività di tutela della salute, i dati sono stati inizialmente raccolti. Al riguardo, occorre sottolineare come la finalità di propaganda elettorale risulti connotata da una «evidente specificità» (cfr. GPDP, Docweb n. 9105201 del 18 aprile 2019, punto 5, D), circostanza che, ad esempio, ne esclude l’automatica sovrapposizione in termini di compatibilità anche con la finalità, pur apparentemente affine, di marketing (Ibidem).

Il trattamento per finalità successive, incompatibili con quelle iniziali, può essere legittimamente effettuato soltanto in presenza di un’adeguata condizione di liceità, rappresentata, in tal caso, dal consenso dell’interessato (cfr. art. 6, par. 4 e considerando n. 50, GDPR). La ravvisata necessità di acquisire lo specifico consenso al trattamento per fini di propaganda elettorale, pertanto, si impone anche per ragioni di conformità al principio di liceità di cui all’art. 5, par. 1, lett. a), GDPR, nonché a quanto stabilito dall’art. 6, par. 1, lett. a), GDPR e, nel caso in cui risultino trattate categorie particolari di dati personali, dall’art. 9, par. 2, lett. a), GDPR, il quale consente di derogare al divieto di trattamento di tali dati in presenza del consenso «esplicito» dell’interessato. 

Per completezza, al di là di quanto stabilito nel caso di specie, è bene evidenziare come il richiamato orientamento del Garante non riguardi esclusivamente i dati trattati dagli esercenti la professione sanitaria, bensì anche i dati raccolti dalle strutture sanitarie, così come, più ampiamente, i dati acquisiti nell’esercizio di attività professionali e di impresa (GPDP, Docweb n. 9105201 del 18 aprile 2019, punto 5, C).

2.2. Il rilievo dell’esenzione domestica nel caso di pazienti legati da un rapporto di amicizia con il medico titolare del trattamento

Rispetto alla seconda questione, l’Autorità rileva che le violazioni contestate non possano ritenersi integrate in quanto il trattamento svolto dal medico risulta escluso dall’ambito di applicazione materiale del GDPR ai sensi dell’art. 2, par. 2, lett. c).

La norma in questione stabilisce la c.d. “esenzione domestica” (household exemption), in base alla quale il regolamento non si applica ai trattamenti di dati personali «effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico». Ai sensi del considerando n. 18 GDPR, attività di questo tipo sarebbero quelle «senza una connessione con un’attività commerciale o professionale», le quali «potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività».

L’esenzione domestica prevede una limitazione al diritto fondamentale alla protezione dei dati personali stabilito all’art. 8 della Carta dei diritti fondamentali UE e, per questa ragione, in conformità all’art. 52, par. 1, della Carta, deve essere interpretata in modo restrittivo.

Nel caso in esame, il Garante ritiene integrata la suddetta eccezione prendendo atto delle specifiche caratteristiche del trattamento svolto dal titolare, sulle quali è bene pertanto soffermarsi.

Anzitutto, ivi i messaggi di propaganda elettorale risultavano inviati ad alcune centinaia di persone, di cui tuttavia la maggior parte non era legata da un rapporto professionale con il titolare. Di interesse, dunque, era la restante parte dei destinatari, la quale risultava così composta: i) persone legate da un originario rapporto di amicizia con il titolare, soltanto successivamente divenute pazienti, i cui dati erano noti al titolare anche prima di questo momento; ii) persone la cui conoscenza originava nel rapporto professionale, ma con le quali era successivamente maturata un’amicizia «profonda, duratura e contrassegnata da costante frequentazione al di fuori dell’attività professionale» (GPDP, Docweb n. 9501766 del 1° ottobre 2020, in commento).

L’Autorità ha preso atto di quanto dichiarato dal medico circa la sua relazione con tali interessati e, nella specie, della circostanza che gli stessi «debbano essere qualificati come soggetti a lui legati da pregressi rapporti di amicizia, ovvero siano pazienti in relazione ai quali un personale e strutturato vincolo di amicizia si è sovrapposto, sostituendolo nella sua natura, al rapporto professionale medico-paziente» (Ibidem).

Conseguentemente, ha rilevato che «con riguardo a tali soggetti non possa considerarsi integrata la contestata violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. a) del Regolamento atteso che, nel caso di specie, il candidato ha dichiarato di aver fatto uso di una rubrica personale contenente i recapiti telefonici di soggetti legati allo stesso da rapporti di amicizia per i quali può considerarsi applicabile l’esenzione di cui all’art. 2, par. 2, lett. c), del Regolamento» (Ibidem) e pertanto ha disposto l’archiviazione del procedimento sanzionatorio.

Il Garante è pervenuto a questa conclusione considerando anche altri elementi del caso concreto, quali la scarsa numerosità degli interessati coinvolti, nonché la circostanza che nessun reclamo o segnalazione fosse pervenuto all’Ufficio in riferimento ai fatti esaminati.

Il percorso argomentativo seguito dal Garante nella risoluzione della questione esaminata appare rilevante anche per trattamenti diversi da quelli aventi per oggetto i dati personali raccolti dagli esercenti la professione sanitaria nell’attività di tutela della salute, potendo essere esteso, più latamente, ai trattamenti dei dati raccolti nell’esercizio di altre attività professionali, purché svolti da persone fisiche (resterebbero dunque esclusi dall’esenzione domestica quelli svolti da imprese o aziende sanitarie, posto che l’art. 2, par. 2, lett. c), GDPR risulta applicabile soltanto ai trattamenti «effettuati da una persona fisica»).

3. Precedenti

Sulla questione dell’utilizzabilità, per fini di propaganda elettorale, dei dati raccolti nell’esercizio di attività professionali, di impresa e di cura è stata già anticipata la sussistenza di un orientamento consolidato del Garante, ribadito anche nel provvedimento GPDP, Docweb n. 9105201 del 18 aprile 2019, punto 5,  (sul quale si veda anche il commento di A. Basunti, Liceità del trattamento e obblighi del titolare in materia di propaganda elettorale e comunicazione politica, in Data Protection e Privacy Officer, 11 gennaio 2022), nonché nel precedente Docweb n. 9091942 del 7 marzo 2019 («Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario») e che affonda le sue radici in provvedimenti adottati nel contesto della normativa previgente. In particolare, l’impostazione risulta stabilita, almeno implicitamente, in GPDP, Docweb n. 634369 del 12 febbraio 2004 (il quale dispone che, fuori dai casi stabiliti al suo interno e inerenti all’uso di dati tratti da registri o elenchi pubblici, è possibile trattare dati per fini di propaganda elettorale solo con il consenso dell’interessato, previa fornitura di idonea informativa) e, in via espressa, nei successivi provvedimenti di carattere generale in materia di propaganda elettorale GPDP, Docweb n. 1165613 del 7 settembre 2005 (che vieta l’utilizzo, per fini di propaganda elettorale, dei dati personali raccolti nell´esercizio di attività professionali e di impresa, così come degli indirizzari e dei dati acquisiti per la prestazione di servizi, anche di cura. Cfr. punti 2, lett. D, e 3) e Docweb n. 3013267 del 6 marzo 2014 (il quale precisa il divieto citato, ponendo a suo fondamento il principio di limitazione della finalità. Cfr. par. 5.4.2., lett. A). Relativamente alla casistica applicativa di questo orientamento, si richiamano i provvedimenti sanzionatori GPDP, Docweb n. 3407167 del 31 luglio 2014 (invio, da parte di una struttura sanitaria, di missive volte a promuovere la candidatura di un professionista operante presso la struttura verso i pazienti della stessa, in assenza di informativa e consenso) e Docweb n. 9106367 del 14 febbraio 2019 (ove veniva comminata una sanzione di 16.000,00 euro a un medico che aveva inviato e-mail di propaganda elettorale verso pazienti seguiti presso una struttura sanitaria nella quale aveva prestato la propria attività in passato, senza rendere l’informativa e acquisire il consenso).

Rispetto all’esenzione domestica, seppur riguardanti ambiti differenti da quello ivi considerato, cfr. i provvedimenti GPDP, Docweb n. 9751362 del 10 febbraio 2022 (ove s’è affermato che le operazioni di pubblicazione di dati personali su Internet, in modo da rendere tali dati accessibili a un numero indefinito di persone, sono soggette al GDPR) e Docweb n. 9542071 del 14 gennaio 2021 (con sui s’è ribadita l’applicabilità del GDPR ai trattamenti previsti dai sistemi che acquisiscono dati biometrici per fini di verifica dell’orario di lavoro dei dipendenti).

La Corte di giustizia UE (CGUE) si è pronunciata più volte sulla corretta interpretazione dell’esenzione domestica di cui al previgente art. 3, par. 2, secondo trattino, direttiva 95/46/CE [recante una formulazione sostanzialmente analoga a quella ex art. 2, par. 2, lett. c), GDPR]. Tra le decisioni in materia, in questa sede risulta opportuno il richiamo a CGUE, causa C-25/17, sentenza del 10 luglio 2018, nella quale è stato stabilito che un’attività non può essere considerata a carattere esclusivamente personale o domestico, se il suo scopo è quello di rendere i dati personali accessibili a un numero indefinito di persone, ovvero se si estende, anche solo in parte, allo spazio pubblico, ed è pertanto diretta verso l’esterno della sfera privata della persona che procede al trattamento (in riferimento alla raccolta di dati personali da parte dei membri di una comunità religiosa nell’ambito di un’attività di predicazione porta a porta e ai trattamenti successivamente previsti).

A livello interno, appare altresì rilevante Cass. pen., sez. III, sent. 9 luglio 2004, n. 30134 (ud. 28 maggio 2004), nella quale la Suprema Corte ha affermato che «(…) l’utilizzazione di dati per fini elettorali non può ritenersi effettuata per fini esclusivamente personali, ma per motivi di profitto e vantaggio (…)», dichiarando infondato il ricorso avverso una condanna per il reato di trattamento illecito dei dati personali per fini di propaganda elettorale senza il consenso degli interessati, relativamente al motivo avente a oggetto l’erronea applicazione della norma incriminatrice di cui all’abr. art. 35, l. 675/1996 in relazione all’art. 3 della l. cit. in materia di trattamento di dati per fini esclusivamente personali.

Sul rapporto tra esenzione domestica e trattamento dati con fini di propaganda elettorale, il Gruppo di lavoro ex art. 29, nel parere 5/2009 sui social network online, rispetto al trattamento svolto dagli utenti dei social ha indicato che l’esenzione anzidetta deve ritenersi inapplicabile nel caso in cui l’utente utilizzi il servizio principalmente nel perseguimento di fini commerciali, politici o di beneficienza (Article 29 Working Party, Opinion 5/2009 on online social networking, 12 June 2009, 01189/09/EN, WP 163, par. 3.1.1.). Sull’esenzione domestica, si v. anche quanto da ultimo stabilito dal Comitato Europeo per la Protezione dei Dati (EDPB, Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, v. 2.0, 29 gennaio 2020, par. 3.2.).

4. Bibliografia

Sul trattamento dei dati personali per fini di propaganda elettorale, anche se non in riferimento alle specifiche questioni esaminate in questa sede, si vedano: G. Buttarelli, Marketing politico e tutela dei dati personali, 26th International Conference on Privacy and Personal Data Protection, Wroclaw, 14, 15, 16 settembre 2004; Id., La manipolazione online delle informazioni personali e le sfide democratiche, in Gnosis, 2019, 1, pp. 37-43; I. Rizzuto, Le nuove frontiere del “digital marketing”: dalla profilazione alla manipolazione “online” nell’ambito politico alla luce del GDPR, in Ciberspazio e diritto, 2018, 1-2, pp. 99-120; G. D’Ippolito, Comunicazione politica “online”: dal messaggio politico commercializzato alle sponsorizzazioni sui “social network”, in Rivista di diritto dei media, 2020, 1, pp. 159-179; C. Bennett-S. Oduro Marfo, Privacy, Voter Surveillance and Democratic Engagement: Challenges for Data Protection Authorities, International Conference of Data Protection and Privacy Commissioners (ICDPPC), 2019. 

Per un inquadramento della disciplina relativa alle condizioni di liceità del trattamento (da soddisfare ex novo ove si intendano utilizzare per una differente finalità i dati già raccolti per altra finalità) si veda, amplius, F. Bravo, Le condizioni di liceità del trattamento di dati personali, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, pp. 110-193; F. Bravo, Il consenso e le altre condizioni di liceità del trattamento di dati personali, in G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, pp. 101-178; nonché D. Poletti, Le condizioni di liceità del trattamento dei dati personali, in Giurisprudenza italiana, 2019, 12, pp. 2783-2789. 

Con riguardo alle condizioni di liceità del trattamento e agli obblighi del titolare in relazione al tema della propaganda elettorale e alla comunicazione politica si veda, in questo Osservatorio Privacy, il commento già citato di A. Basunti, Liceità del trattamento e obblighi del titolare in materia di propaganda elettorale e comunicazione politica (commento a GPDP, Docweb n. 9105201 del 18 aprile 2019), in Data protection e privacy officer, dell’11 gennaio 2022.

Sull’esenzione domestica, si veda A. Spangaro, L’ambito di applicazione materiale della disciplina del Regolamento europeo 679/2016, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, cit., pp. 35-44. Con specifico riguardo all’interpretazione fornita dalla CGUE nel caso C-25/17 sopra citato, si veda R. Panetta-F. Sartore, Proselitismo religioso e protezione dei dati personali: tra esigenze di tutela e particolarità della fattispecie, in Responsabilità civile e previdenza, 2019, 1, pp. 101-121 e, spec., par. 3. Rispetto alla normativa previgente, si vedano M. Gorgoni, Oggetto ed ambito di applicazione, in C.M. Bianca-F.D. Busnelli (a cura di), La protezione dei dati personali. Commentario al D.Lgs. 30 giugno 2003, n. 196, Padova, 2007, pp. 97-125; S. Niger, Il diritto alla protezione dei dati personali, in J. Monducci-G. Sartor (a cura di), Il Codice in materia di protezione dei dati personali. Commentario sistematico al D. Lgs. 30 giugno 2003, n. 196, Padova, 2004, pp. 16-17.


Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy  collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Previous Article
Next Article
Open Access