Discussione legale su condivisione Internet

mark129 non ci sia a monte dello sharing un'attività economica in senso stretto

Quindi un ente pubblico o comunque che non chiede alcuna contropartita economica e che condivide il WiFi sarebbe "attività domestica"? Che so, un oratorio, ad esempio? Lo stesso WiFi in un ufficio, visto che non paghi ma ti pagano?

Temo che non sia così semplice. Io personale/domestica lo vedo più ristretto ad attività strettamente personali o del nucleo familiare (+ eventuali ospiti temporanei) - quello che importa è la definizione di "privacy" e non tanto se esiste una contropartita economica o no.

Temo però che una risposta ce la potrà dare solo la giurisprudenza quando sarà costretta ad occuparsene.

[cancellato] Quindi un ente pubblico o comunque che non chiede alcuna contropartita economica e che condivide il WiFi sarebbe "attività domestica"? Che so, un oratorio, ad esempio? Lo stesso WiFi in un ufficio, visto che non paghi ma ti pagano?

L'art. 2 lett. c) si applica alle persone fisiche. Forse il testo inglese può risultarti più chiaro, riguardo a "domestico": "by a natural person in the course of a purely personal or household activity".

[cancellato] Temo però che una risposta ce la potrà dare solo la giurisprudenza quando sarà costretta ad occuparsene.

Fino ad allora si applica tendenzialmente un principio considerato valido dalla caduta del fascismo ad oggi: quello che non è vietato (allora) è permesso.

[cancellato] e la definizione legale di "household" è piuttosto precisa - e non comprende i vicini di casa.

Non so a cosa ti riferisci in questo momento, tuttavia a parte che pare tu stia quasi considerando household preminente rispetto a personal (che include si i vicini di casa), ci sono delle definizioni a livello EU per l'applicazione delle esclusioni, e degli indirizzi interpretativi precedenti circa i quali tuttavia nessuno è considerato dirimente ma vanno valutati complessivamente.

Nel caso di specie, del confinante, la proprietà su cui accade l'attività è privata, la relazione tra i soggetti coinvolti è puramente personale (rapporto di vicinato, amicizia) e non c'è rapporto economico o professionale (almeno non mi pare che l'OP abbia detto di pagare un abbonamento al vicino), ergo PER ME è assolutamente pacifico che si applichi l'esclusione.

In generale invece, l'eccezione dell'art. 2 lett. c) era presente anche prima dell'attuale GDPR, e le relative clausole interpretative si considerano comunque valide ai fini di una ricostruzione delle fattispecie concrete secondo la normativa del 2016. In particolare delle tue obiezioni principali

[cancellato] Oltre a questo rimane il problema della riservatezza delle comunicazioni.

rilevava appunto tra i canoni interpretativi: secondo la previgente disciplina europea la possibilità di interferire con la privacy di un altro soggetto era da considerare come "potenzialmente" espressiva della necessità di tutela, MA SOLO in presenza di altri indici, di altre condizioni (condizione necessaria ma non sufficiente).

Al momento, anche se forse l'orientamento espresso dalle tre clausole di applicazione dell'eccezione del GDPR 2016 che riportavo prima (e che per inciso ricalcano alcuni degli altri principi interpretativi della Direttiva 95/46) sembra non dare altrettanto risalto all'impatto sulla privacy altrui dell'attività della persona fisica (che sia attività "personal" o "household"), personalmente sono orientato nel senso che i precedenti indici ricostruttivi trovino ancora una loro applicazione nei limiti specificati (e quindi la necessaria compresenza di uno o più di questi indici) al fine di valutare se una attività specifica rientri o meno nell'ambito di applicazione materiale del GDPR.

Quanto quindi alle relazioni in generale con l'art. 68 del Codice delle comunicazioni elettroniche, poiché è una fonte di legge a stabilire che lo Stato non può né impedire né limitare a privati cittadini l'accesso a RLAN di altri privati cittadini (a condizioni o meno di reciprocità), qualunque peso si voglia dare a definizioni e clausole delle direttive di Data Protection (attuale e precedente), è indirettamente ma positivamente (da diritto positivo) confermato che l'attività di condivisione di un accesso RLAN rientri tra le attività definibili personali o domestiche (IN ASSENZA di ulteriori indizi di senso contrario).

mark129 arte che pare tu stia quasi considerando household preminente rispetto a personal

No - dico solo che "household" ha una definizione precisa, e se può comprendere degli amici che vivono assieme, non comprende i vicini di casa.

mark129 rispetto a personal (che include si i vicini di casa),

Se mi spieghi come "purely personal activity" possa includere i vicini di casa La rubrica telefonica sul tuo cellulare è "purely personal", il log del traffico o delle chiamate telefoniche del tuo vicino di casa proprio no. E possono contenere dati sensibili.

Non puoi interpretare "personal" nel senso "che lo faccio solo io e non altri" o che è la tua connessione "personale". Devi considerare il significato di dato e attività "personale" nell'ambito della privacy. Ti staresti facendo i fatti privati di "altri" e non tuoi "personali" né quelli del tuo "ambiente domestico" dove un certo grado di condivisione delle strutture è inevitabile. E già se metti il naso senza permesso nel cellulare del tuo partner rischi ce li hai.

E non credo proprio che il Codice delle Comunicazioni ti autorizzi a trattare i dati altrui, come detto non si può impedire la condivisione del link radio, ma poi il traffico che ci passa sopra deve inevitabilmente ottemperare alle altre leggi, GDPR incluso. Ma come detto solo la giurisprudenza potrà chiarire la cosa.

[cancellato] No - dico solo che "household" ha una definizione precisa

[cancellato] Se mi spieghi come "purely personal activity" possa includere i vicini di casa

Ti rinnovo il mio dubbio iniziale: non so a che cosa tu ti stia riferendo, oppure a quali informazioni tu stia attingendo, ovvero a quali definizioni tu stia pensando, ma nell'ambito del GDPR UE non esiste una sorta di nomenclatura o tassonomia che racchiuda tutte e sole le definizioni possibili di domestico o personale.
Forse ti stai riferendo a provvedimenti/dati/info del garante della Privacy?

In attesa del tuo chiarimento, nell'ambito della UE, per definire i vari comportamenti come rientranti o meno nell'ambito di operatività dell'esclusione di cui all'art. 2 lett. c), si fa ricorso a creazioni giurisprudenziali, chiamale pure definizioni o indirizzi, clausole interpretative, in base alle quali uno specifico atto, classificabile sì in astratto come gestione di dati personali altrui, vada soggetto o meno a degli adempimenti da parte di chi va a gestire tali dati.

[cancellato] Non puoi interpretare "personal" nel senso "che lo faccio solo io e non altri" o che è la tua connessione "personale"

Non è così semplice come la metti ora, nel senso che proprio l'accesso a tali dati, se lo faccio solo io o comunque un numero ristretto / determinato di persone può qualificare assieme ad altri indici l'attività come personale o domestica.

[cancellato] Ti staresti facendo i fatti privati di "altri" e non tuoi "personali" né quelli del tuo "ambiente domestico" dove un certo grado di condivisione delle strutture è inevitabile.

Non è così lineare come sembri dire, farmi pure i fatti di altri (il vicino), con il consenso di questi altri (me lo ha chiesto lui di collegarsi a me sulla base di una relazione personale), a garanzia della mia responsabilità penale e civile (se mi vengono a cercare devo poter dimostrare di non aver commesso illeciti) è... escluso dall'ambito di applicabilità materiale del GDPR: aggiungo con ogni probabilità, sia perché the proof of the pudding is in the eating, visto che come dicevo sopra certi indici sono una creazione giurisprudenziale, sia perché pure quali dati vado a conservare e come vengono conservati possono inficiare la tendenziale esclusione.

[cancellato] In ambito legale i termini non sono usati a caso. Nell'inglese legale "household" ha un certo significato. La traduzione in Italiano di "domestico" non so se è corretta, "household" è più simile a "nucleo familiare".

In questo ambito non è esattamente così: a differenza di altre fonti di diritto internazionale in questa materia (da ultimo la revisione della Convenzione 108 del Consiglio d'Europa, pubblicata suilla nostra Gazzetta Ufficiale lo scorso 13 maggio), nel GDPR si è scelto scientemente di non dare definizioni limitate / chiuse per quei termini, ma di lasciarle all'interpretazione della Corte caso per caso (e questo causa molte incertezze e problemi interpretativi, sia per la scelta in se, sia per come la Corte di Giustizia ha attuato la cosa).
Per quanto riguarda la Convenzione 108 che citavo, adotta la stessa eccezione, con le stesse parole nell'art 3. co. 2:

This Convention shall not apply to data processing carried out by an individual in the course of purely personal or household activities.

A differenza del GDPR però è stato meglio esplicitato l'ambito che ci interessa nel Report esplicativo che accompagna il testo

The sharing of data within the private sphere encompasses notably the sharing between a family, a restricted circle of friends or a circle which is limited in its size and based on a personal relationship or a particular relation of trust

Vedi bene che i confini di quello che si può intendere con "personale o domestico" possono essere più ampi di quelli che mi pareva prospettassi tu.

[cancellato] No. Non è il numero di persone che accede al dato che lo determina, è la provenienza del dato e il diritto che hai ad usarlo/accedervi. "purely personal activity"

Il numero di persone ha influenza nel definire un interesse o un'attività come personale o domestico sotto diversi aspetti: un esempio in letteratura (le linee guida sulla video sorveglianza) forse chiaro è quello del tizio che si mette un'action cam in testa e poi si fa una sciata (o una corsa in bici), riprendendo paesaggi ma con apparizioni casuali e sporadiche di persone estranee. Ebbene è stato detto che se la registrazione venisse utilizzata solo dall'utilizzatore e da una sua stretta cerchia, per rivedere a mo' di souvenir / filmino l'esperienza, tale registrazione ricadrebbe sotto l'esenzione "household", mentre invece se tale registrazione venisse caricata sul web o inserita sui social (che so, una "storia"), allora non si applica l'esenzione, e questo solo perché, pur essendo la provenienza dei dati la medesima, l'accesso ad essi di un numero indeterminato di persone rende responsabile chi ha prodotto la registrazione stessa.

L'esempio di scuola deriva dal modo in cui la Corte di Giustizia ha applicato questa esenzione: in tutti i relativamente pochi casi di cui si è dovuta occupare, c'è stato quello del tizio che aveva filmato i poliziotti in commissariato durante una deposizione, e poi aveva pubblicato il video; il punto dirimente per la Corte fu proprio la pubblicazione, l'esposizione dei dati personali altrui ad una platea indefinita di persone, fatto che escludeva l'applicabilità dell'esenzione "personale o domestico".
Bada bene che la Corte non ha detto "se non l'avesse fatto, sarebbe ricaduto nell'ambito dell'esenzione", ma solo che "poiché l'ha fatto, sicuramente non ricade nell'ambito dell'esenzione"-

La Corte ha negli anni utilizzato sempre questo approccio che si potrebbe forse definire "in negativo", senza mai dare indicazioni "in positivo" di ciò che sia certamente esentato dal GDPR per la clausola "household".

[cancellato] sto commettendo un illecito, oppure siccome è solo una mia "attività personale" va tutto bene?

Stai sicuramente commettendo un illecito (mancano le basi dell'esenzione nel tuo esempio: tu con i tuoi babbaloni non hai alcuna relazione, sono estranei, ignoti a te e la frequenza / modalità di acquisizione fa presumere un'attività professionale), ma soprattutto nell'esempio continui a voler classificare come personale o domestico sulla sola base della provenienza del dato.
Come dicevo sopra, non è così che funziona, sono molti gli elementi che entrano in gioco per definire quei termini.

[cancellato] IMHO fornendo la connessione stai fornendo i mezzi a terzi per trattare dati personali nell'ambito delle loro attività - che non sono le tue.

Non mi sembra sia così, volendo quei terzi al più tratterebbero quei dati ma riferiti a me, e quindi per definizione non sarebbero dati personali non essendo riconducibili alla corretta identità/persona. E se invece non lo facessero, ammesso che il trattamento fosse lecito (correttamente acquisito), il vicino avrebbe comunque dovuto dare il suo consenso informato e loro provvedere a tutti gli adempimenti del GDPR.

Detto ciò, concludo dicendoti che i vari ag23900, andreagdipaolo o matteocontrini tra un po' mi crucifiggeranno per questo thread, mentre tu te la caverai impunemente...

[cancellato] perché siamo noiosissimi

Quello intendevo: le mie "materie" ed il mio approccio espositivo nella migliore delle ipotesi gli fanno saltare a piè pari i miei wot.

[cancellato] Però non di solo speedetest vivrà l'uomo...!

Certo, ma tante volte mi diverte di più chiedermi cose tipo "a che caiser serve ceph in single node".

[cancellato] Già avendo siti pubblici ancorché personali, ma non ristretti solo ad una specifica cerchia, mi sono premurato di avere una privacy policy e un'accurata gestione della "retention" e della sicurezza dei dati.

In realtà la questione si sta ponendo anche per attività meno geek delle tue e più lifestyle come l'IoT.
Oggi molti utenti sono in grado di implementare o gestire una casa cd. smart: tuttavia se (mi rifaccio idealmente alle pronunce sulla videosorveglianza) i dati altrui su suolo privato sono esentati da una compliance GDPR sulla base dell'interesse "personale o domestico", nel momento in cui l'appliance è gestita in cloud c'è un terzo soggetto, non autorizzato da alcuna close relationship con le persone riprese (vicini, amici, il tecnico Open Fiber, etc) che si trova a gestire i medesimi dati.
L'orientamento della giurisprudenza è molto incerto, se concedere ancora al proprietario l'esenzione, ovvero se considerarlo corresponsabile ed in che misura (se come data controller, data processor, ed in che misura).
Perché poi la legge dice che i diritti dei terzi trattati possono essere esercitati verso uno qualsiasi dei responsabili sulla base di una presunta e non meglio specificata joint responsibility.