Pillole di GDPR: approfondimento su “Diritto all’immagine e privacy”

Pillole di GDPR: approfondimento su “Diritto all’immagine e privacy”

Fra i temi più attuali nell’ambito della tutela dei dati personali, quello del diritto all’immagine è certamente il più delicato, soprattutto per l’intreccio fra le diverse norme di cui tener conto e per la necessità di bilanciare gli interessi fra i soggetti coinvolti.

Il diritto all’immagine è tutelato da varie fonti normative; in particolare, dal codice civile, dalla legge sul diritto d’autore (legge 633/1941) e dalle norme sul trattamento e la protezione dei dati personali (GDPR e d.lgs. 196/2003).

La legge sul diritto d’autore stabilisce che per esporre, riprodurre o mettere in commercio l’immagine di una persona è sempre necessario ottenere il suo consenso; tuttavia, in alcune ipotesi la pubblicazione dell’immagine non necessita del consenso, come nel caso della partecipazione della persona a eventi d’interesse pubblico e svoltisi in pubblico, qualora prevalga l’interesse collettivo all’informazione.

Occorre precisare che sia nel caso del consenso sia nel caso del diritto di cronaca, non viene mai ceduto il diritto all’immagine, ma solo il suo esercizio.

La legge sul diritto d’autore non specifica con quali modalità deve essere raccolto il consenso, ma trattandosi di un dato personale, la tutela dell’immagine è protetta anche dalle più recenti norme in materia di trattamento e protezione dei dati personali, nelle quali il consenso è disciplinato in modo molto più preciso.

Infatti, il GDPR definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4 Regolamento UE 2016/679). Inoltre, per il Regolamento UE 2016/679, la fotografia potrebbe rientrare fra i dati particolari, ad esempio qualora fosse oggetto di trattamento attraverso un dispositivo tecnico che consenta l’identificazione univoca o l’autenticazione di una persona fisica. In questo caso, il consenso reso dall’interessato dovrà avere una forma “rafforzata”, come previsto dall’art. 9 del GDPR.

Il trattamento dell’immagine dovrà rispondere anche agli altri principi del Regolamento UE 2016/679, quali il principio di minimizzazione, per il quale i dati personali trattati dovranno essere pertinenti e limitati alle finalità perseguite. In altre parole, il Titolare del trattamento dovrà verificare se la tipologia di dato e il trattamento di cui sarà oggetto sono strettamente necessari per il raggiungimento delle finalità, oppure se si configura un trattamento abnorme rispetto agli scopi perseguiti.

L’argomento è dunque molto sfaccettato e richiede un’attenta analisi delle finalità, degli strumenti e del contesto, già in fase di progettazione, per poter definire la corretta modalità di trattamento nel rispetto di tutte le norme coinvolte.

DataConSec da oltre 15 anni affianca quotidianamente le più importanti imprese italiane e multinazionali, offrendo la propria esperienza per rafforzarne la governance e la compliance in modo integrato, dall’applicazione normativa alla Business Security.