Home / Macroambiente / GDPR e minimizzazione dati: dalla Germania una decisione interessante

GDPR e minimizzazione dati: dalla Germania una decisione interessante

GDPR e minimizzazione dati: dalla Germania una decisione interessante

Tra le prime, la Corte di Bonn si pronuncia su GDPR e minimizzazione dei dati personali: dalla decisione emergono spunti interessanti.

L’avvento del GDPR è stato accompagnato, oltre che da una prevedibile grande eco mediatica, da giudizi piuttosto contrastanti da parte dei soggetti direttamente interessati dalla nuova normativa. In particolare, se da un lato le Authorities per la protezione dei dati e gli operatori del diritto hanno complessivamente salutato con favore l’avvento della disciplina dettata dal Regolamento in virtù dell’innalzamento dello standard di protezione degli interessati, gli imprenditori – o, più in generale i titolari del trattamento – hanno fin da principio lamentato il rischio di un significativo appesantimento burocratico e formale oltre che di costi, questi ultimi in particolare derivanti dalla necessità di ricorrere a costose consulenze per comprendere gli adempimenti occorrenti, le possibilità e i limiti dettati della nuova normativa. In tutto ciò, in ogni caso, sicuramente non aiuta il colpevole ritardo del legislatore italiano, che praticamente a un mese dalla piena efficacia del GDPR non ha ancora adottato il decreto di armonizzazione della normativa interna, perpetuandosi una grave situazione di incertezza. È indubbio, ad ogni modo, che per comprendere le effettive ricadute del GDPR risulterà imprescindibile analizzare l’applicazione concreta che della normativa sarà fatta (ed inizia ad esser fatta) dalle Autorità Amministrative preposte alla tutela dei dati personali e dai Tribunali chiamati a risolvere le controversie che in materia insorgeranno. Ebbene, analizzando una delle prime pronunce giurisprudenziali del panorama europeo e in particolare soffermandoci sul rapporto tra GDPR e minimizzazione dei dati, possiamo forse rinvenire indicazioni importanti rispetto al timore di un imperante “formalismo burocratico” nella disciplina privacy, timore che rinviene, nel caso di specie, non una completa smentita, quantomeno un significativo ridimensionamento.

Il caso

Il caso sottoposto all’attenzione della Corte Regionale di Bonn è, per la verità, piuttosto complesso nei suoi presupposti di fatto. Esso involge la domanda proposta da ICANN (Internet Corporation for Assigned Names and Numbers), una organizzazione non-profit che svolge, tra l’altro, una funzione che potremmo definire di “anagrafe di internet”: coordinando l’assegnazione di nomi e indirizzi internet, assicura la piena funzionalità del sistema di identificazione unico in rete. In altri termini, ICANN garantisce la cd. “risolvibilità universale“, ossia la univoca corrispondenza tra un indirizzo o un nome digitato in un browser e il sito cui si ha accesso, indipendentemente dal luogo del mondo in cui è avvenuta la digitazione. Una funzione analoga a quella appena descritta (e relativa a DNS e indirizzi web) ICANN svolge poi con riferimento agli indirizzi IP, che valgono a identificare in maniera univoca nella rete un certo dispositivo: l’ente, infatti, aiuta a coordinare il modo in cui gli indirizzi IP vengono distribuiti, così da evitare ripetizioni o conflitti. ICANN è anche il deposito centrale degli indirizzi IP, da cui vengono forniti degli intervalli ai registri regionali, che a turno li distribuiscono ai fornitori di connettività di rete.

Va però precisato che ICANN non attribuisce direttamente né il nome di dominio né gli indirizzi IP. Con riferimento ai primi, in particolare, la relativa commercializzazione avviene attraverso i cdd. “registrar“, ovverosia fornitori di servizi internet operanti in regime di libero mercato ma dei quali comunque ICANN cura il sistema di accreditamento. Per quanto qui d’interesse e semplificando, il dato significativo da evidenziare è che nel caso di specie è insorta una controversia proprio sulle clausole contrattuali che regolano l’accreditamento presso ICANN di un registrar (una società tedesca con sede a Bonn). Questo in particolare perché, in forza del contratto in questione (individuato con l’acronimo R.A.A., Registrar Accreditation Agreement), il registrar risultava obbligato a raccogliere e mantenere aggiornata una serie di dati, tra cui quelli relativi a nominativo, indirizzo postale, indirizzo email, numero di telefono e fax, di contatto amministrativo e tecnico in aggiunta ai dati relativi al Registred Name Holder, ovverosia per l’acquirente del dominio. In buona sostanza, in forza delle pattuizioni in essere il Registrar era tenuto a raccogliere una serie di dati ulteriori rispetto a quelli al soggetto (persona fisica o giuridica) acquirente del dominio e ciò allo scopo di agevolare contatti per ragioni amministrative o tecniche.

Ebbene, divenuto efficace il GDPR, il Registrar in questione (poi per questo convenuto in giudizio) aveva comunicato all’ICANN (attore in giudizio) che avrebbe proceduto solamente alla raccolta dei dati identificativi e di contatto del domain holder e non avrebbe più preteso (e quindi raccolto) quelli di soggetti (ulteriori e diversi) da contattare per esigenze tecniche o amministrative. In particolare, a giudizio del Registrar, il combinato disposto degli artt. 5 par. 1 lett. c) e 25 del GDPR non consentivano più di imporre la raccolta e il trattamento di tale tipologia di dati. Per contro, l’attore sosteneva che il convenuto fosse in ogni caso obbligato a raccogliere anche i dati ulteriori in virtù della specifica previsione contrattuale in tal senso, cui il GDPR non osterebbe.

GDPR e minimizzazione dei dati: la decisione della Corte

A giudizio della Corte, le pretese dell’attore (il quale domandava che fosse ordinato al convenuto di cessare e desistere dalla condotta ritenuta illecita, invocando un provvedimento presidenziale d’urgenza con comminatoria di una pena pecuniaria fino a 250.000€ ove controparte avesse continuato a non raccogliere i dati dei soggetti in contestazione) devono essere rigettate, in quanto infondate e indimostrate e, quindi, a cagione della loro contrarietà con le previsioni del GDPR.

E infatti, secondo i giudici tedeschi, nonostante la chiara previsione contrattuale relativa all’ampiezza oggettiva e soggettiva dei dati che il Registrar si era impegnato a raccogliere, va valorizzata la clausola del negozio ove si prevede che il Registrar debba pur sempre agire nel rispetto delle previsioni di legge e regolamento vigenti. In verità, la clausola potrebbe in sé risultare in buona sostanza superflua, giacché è fin troppo ovvio che l’autonomia privata, nel delineare un certo regolamento di interessi mediante un coacervo di clausole, trova e scontra in ogni caso il limite insuperabile delle norme di legge, salvo che si tratti di norme derogabili (si pensi, per il diritto italiano ad esempio, agli artt. 1418-1419-1339 c.c.). Verosimilmente l’unico significato da attribuire ad una pattuizione del genere è quella di cristallizzare la piena consapevolezza delle parti rispetto alla possibilità di un contrasto tra le pattuizioni e le norme di legge imperative, disciplinandone le conseguenze: se l’una prestazione non può (o non può più) essere eseguita, si esclude il rimedio risolutorio a vantaggio di una “ricalibrazione” delle obbligazioni reciprocamente assunte.

Così avviene nel caso di specie, ove è in questione un principio fondante del trattamento dei dati, ovverosia quello di minimizzazione dei dati che pare configgere con l’ampiezza dei dati che il Registrar risulterebbe contrattualmente obbligato a raccogliere. E infatti, secondo la previsione dell’art. 5 par. 1 lett. c) del GDPR, i dati personali devono essere, oltre che adeguati e pertinenti, «limitati a quanto necessario rispetto alle finalità per le quali sono trattati». All’art. 25, poi, nel sancire il principio «privacy by default» il GDPR impone che, sia ab imis che in continenti, il titolare del trattamento debba adottare misure tecniche e organizzative adeguate, tra cui per l’appunto la minimizzazione, finalizzate ad attuare in modo efficace i principi di protezione dei dati.

Ebbene, a giudizio della Corte l’attore non avrebbe dimostrato la sussistenza di una effettiva necessità di procedere al trattamento di dati ulteriori rispetto a quelli del domain name holder. Questo perché è senz’altro vero che la raccolta (e la messa a disposizione al pubblico, mediante il servizio whois) di un maggior numero di informazioni rende maggiormente agevole l’identificazione delle persone che a vario titolo intervengono nella gestione del dominio registrato, ma è per contro parimenti vero che il dato fondamentale (che continua senz’altro ad esser raccolto) è quello del responsabile, per così dire, in via principale, per i contenuti del sito web. Inoltre, non è affatto detto che questo soggetto debba essere diverso da quelli preposti alla gestione amministrativa (Admin-C) o tecnica (Tech-C) del dominio registrato: è ben possibile, in altri termini, che il soggetto da contattare sia uno soltanto. Anzi, in proposito il Collegio stigmatizza un dato, evidenziandone l’intrinseca irragionevolezza: non è comprensibile, infatti, per quale motivo siano raccolte meno informazioni (solamente nominativo ed indirizzo postale) con riguardo al domain name holder rispetto a quelle relative all’Admin-C o al Tech-C. Del resto, si aggiunge, la non-essenzialità dei dati di questi ulteriori soggetti deriva pure dal dato di riscontro in forza del quale, già in passato, la richiesta di registrazione non veniva comunque denegata in assenza di tali informazioni. In conclusione, quindi, la domanda di ICANN viene rigettata, restando confermata la legittimità della decisione assunta dal Registrar di interrompere il trattamento di dati personali ulteriori rispetto a quelli del soggetto richiedente la registrazione del dominio.

Proprio dal rinnovato e rafforzato rapporto tra GDPR e minimizzazione che la decisione della Corte di Bonn esplicita si può ricavare, in termini di considerazione generale, la prova che il nuovo Regolamento non è affatto un cumulo di inutili orpelli formali, né serve a garantire un lucro ai proliferanti consulenti privacy, ma persegue la finalità esattamente opposta: quella di garantire la prevalenza della sostanza sulla forma, assicurando uno standard elevato di tutela dei dati personali. E infatti, anche se nel caso di specie la vicenda presenta tratti di vera e propria “unicità” legati al fatto che un ruolo di regolazione è attribuito (invece che ad un soggetto pubblico, come usualmente avviene) a un ente privato, è indubbio che il principio di minimizzazione – come visto, centrale per la risoluzione della controversia – abbia una portata generale e quindi vale a neutralizzare le pretese eccedentarie e a circoscrivere il novero di dati personali che potranno essere raccolti e quindi trattati da ciascun soggetto (pubblico o privato) con il quale l’interessato dovesse entrare in contatto.

© RIPRODUZIONE RISERVATA È vietata la ripubblicazione integrale dei contenuti

Resta aggiornato!

Iscriviti gratuitamente per essere informato su notizie e offerte esclusive su corsi, eventi, libri e strumenti di marketing.

loading
MOSTRA ALTRI