martedì 13 maggio 2014

Google search non può pubblicare dati sensibili, pur leciti, senza il consenso dell’interessato

È quanto affermato dalla sentenza EU:C:2014:317 (C-131/12) emessa il 13 maggio 2014 contro Google e la sua filiale spagnola. È inseribile nel filone giurisprudenziale, non sempre concorde, relativo ai servizi «search» e «autocomplete» (v. giurisprudenza penale e civile di Milano; Cass. pen., sez. III, 5107/14). Ha confermato, de facto, le ragioni alla base della multa da € 1 mln inflitta, un anno fa, dal Garante della Privacy per il servizio «street-view», smentendo le conclusioni dell’Avvocato generale rassegnate lo scorso 10 luglio.

Il caso. Un cittadino spagnolo citava Google ed un noto quotidiano innanzi all’equivalente del nostro Garante della privacy, perché avevano pubblicato notizie su un’esecuzione coattiva per un credito previdenziale ed una vendita all’asta, per altro risolta all’epoca dei fatti, autorizzata dal competente Ministero. Vinceva parzialmente e Google impugnava la decisione. La Corte adita sollevava una pregiudiziale sull’esegesi della Direttiva 95/46 relativa a «quali obblighi incombano ai gestori di motori di ricerca per la tutela dei dati personali delle persone interessate, le quali non desiderino che alcune informazioni, pubblicate sui siti web di terzi e contenenti loro dati personali che consentono di collegare ad esse dette informazioni, vengano localizzate, indicizzate e messe a disposizione degli utenti di Internet in modo indefinito». S’interrogava se l’uso di web spiders, crawlers e di domini riconducibili ad uno Stato membro e/o la pubblicazione nella sua lingua rientrasse nel campo di applicazione dell’art. 4 di questa direttiva e se tali attività violassero anche gli artt. 7 e 8 della Carta dei diritti fondamentali dell’UE (§ 20 della sentenza annotata).

Quadro normativo. La direttiva tutela i diritti e le libertà fondamentali delle persone fisiche, e «segnatamente del diritto alla vita privata, con riguardo al trattamento dei dati personali, nonché l’eliminazione degli ostacoli alla libera circolazione di tali dati», dettandone severi limiti. L’art. 3 sancisce che «le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi». L’art. 4 stabilisce l’applicazione delle norme nazionali attuative della stessa se il responsabile del trattamento è stabilito in uno o più stati comunitari od altrove «ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico» oppure si avvale per tale fine di «strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio» dell’UE. Il responsabile ha l’obbligo di designare un suo sostituto negli Stati membri, fatte salve le azioni legali promosse direttamente nei suoi confronti. Il capo II detta i principi relativi alla qualità dei dati ed alla legittimazione del loro trattamento: l’art. 9 prevede limiti connessi alla cronaca ed alla libertà d’espressione, il 12 ne regola il diritto d’accesso, il 14 il diritto d’opposizione dell’interessato ed il 28 il ruolo ed i poteri delle autorità di controllo.

Ambito di applicazione. La CGUE nota che «l’operazione consistente nel far comparire su una pagina Internet dati personali va considerata come un “trattamento” siffatto ai sensi dell’art. 2, lett. b), direttiva 95/46 (v. EU:C:2003:596)». Non vi è dubbio che si debbano considerare tali anche detti servizi offerti da Google: «esplorando Internet in modo automatizzato, costante e sistematico alla ricerca delle informazioni ivi pubblicate, il gestore di un motore di ricerca «raccoglie» dati siffatti, che egli “estrae”, “registra” e “organizza” successivamente nell’ambito dei suoi programmi di indicizzazione, “conserva” nei suoi server e, eventualmente, “comunica” e “mette a disposizione” dei propri utenti sotto forma di elenchi dei risultati delle loro ricerche». Fornisce indiscriminatamente dati riferibili, anche sensibili, a persone fisiche, identificate od identificabili, sì che è soggetto alle norme in esame ed ai rigidi vincoli per il loro trattamento, tanto più se visualizza documenti editi dai media, come nella fattispecie (EU:C:2008:727): una loro deroga snaturerebbe la ratio della direttiva.

Il provider è un responsabile del trattamento? Sono tali ai sensi dell’art. 2 «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali». Vi rientra anche il gestore del motore di ricerca dato che determina «le finalità e gli strumenti di tale attività e dunque del trattamento di dati personali che egli stesso effettua» nel suo ambito: è, dunque, soggetto ai suddetti oneri di protezione, pur non avendo alcun controllo sui dati pubblicati in rete da terzi. Infatti ha un ruolo decisivo nella loro diffusione globale, perché consente di reperire tutti i dati su una certa persona, anche quelli che la stessa non vorrebbe rendere pubblici. Questa attività «si distingue da e si aggiunge a quella effettuata dagli editori di siti web, consistente nel far apparire tali dati su una pagina Internet», di cui è un’integrazione, facilitandone il compito nel mappare il profilo dettagliato di una persona, tramite il servizio di ricerca online. L’editore, però, può invocare la scriminante prevista dall’art.9. Può indicare al provider quali dati non devono essere visualizzati od esclusi dai risultati della ricerca «con l’aiuto segnatamente di protocolli di esclusione come “robot.txt” o di codici come “noindex” o “noarchive”», ma questi, anche se tale facoltà non fosse esercitata, deve adoperarsi per il rispetto della privacy altrui, escludendoli autonomamente.

Gli stessi oneri gravano sulla filiale nazionale. Non vi è dubbio che si possa ricorrere al concetto di attività stabilita, come rilevato anche dal nostro governo e dagli altri intervenuti nel giudizio, dato che oltre al dominio mondiale, Google ne ha diversi nazionali, come nella fattispecie. In Spagna, come in altri paesi, Google search è il maggiore motore di ricerca, anche se, per motivi di concorrenza, non è stata resa nota l’ubicazione degli archivi e dei servers per il suo funzionamento. Oltre ad «informazioni indicizzate dai suoi “web spiders” o dai suoi crawler, ossia programmi informatici utilizzati per reperire e scandagliare il contenuto delle pagine web in modo metodico e automatizzato», offre un servizio di marketing e di vendita di prodotti rivolto principalmente alle aziende locali (v. la funzione di reperimento dati, di catalogazione delle abitudini degli utenti tramite i cookies, esplicate nella normativa sulla privacy e sulla raccolta di informazioni pubblicitarie): anche il trattamento dei dati funzionale al funzionamento del motore di ricerca non può essere sottratto a detti obblighi ed a queste garanzie (EU:C:2013:715). Il provider e l’editore, nei limiti sopra ricordati, saranno responsabili per le violazioni della privacy ai sensi degli artt. 4, 12 e 14.

Leciti o meno i dati vanno cancellati. La direttiva implica che su richiesta dell’interessato devono esser soppresse tutte le informazioni che lo riguardano e di cui non ha autorizzato la pubblicazione, siano esse lecite, come nel nostro caso, o meno. Infatti essa garantisce un elevato grado di tutela delle libertà e dei diritti fondamentali della persona, in primis quello alla riservatezza, fissando tali oneri e consentendo agli interessati di chiederne la rettifica o di opporsi alla loro pubblicazione, soprattutto se ciò può arrecare loro un grave pregiudizio (art. 1, Considerando 10 e 25). Ciò comprende anche il c.d. diritto all’oblio. Quanto sancito da questi e dagli artt. 6 (trattamento per scopi statistici, storici e scientifici), 7 e 28 coincide con la tutela prevista dai citati art. 7 e 8 della Carta. I diritti dell’interessato devono esser garantiti direttamente dagli Stati UE (EU:C:2013:355). Il responsabile deve adottare tutte le misure per il loro corretto trattamento e per assecondare le sue richieste. Non sempre, però, ciò potrebbe essere possibile e/o agevole per il carattere globale del web.

Privacy batte marketing. Vista la delicatezza della situazione e l’importanza dei diritti fondamentali garantiti dalla direttiva, nel bilanciamento degli interessi, quelli del cittadino alla propria privacy prevalgono su quelli economici del provider e/o dell’editore. Se non daranno prontamente seguito alla richiesta di cancellazione, l’interessato potrà adire le vie legali per ottenerla coattivamente.

Conclusioni della Corte. Nel nostro caso c’è stata una chiara violazione della privacy perché la notizia del pignoramento aveva perso la sua rilevanza pubblica e sociale, perciò, vista l’ingerenza nella sua vita privata, è lecita la richiesta del cittadino convenuto. Si rinvia al testo per le singole massime e per ogni eventuale approfondimento.

fonte: dirittoegiustizia.it//Google search non può pubblicare dati sensibili, pur leciti, senza il consenso dell’interessato - COMUNITARIO e INTERNAZIONALE | Diritto e Giustizia

Nessun commento:

Posta un commento

Lavoro domestico, nessun obbligo di comunicare l’infortunio lieve

I datori di lavoro domestici non hanno l’obbligo di comunicare all’INAIL gli infortuni sul lavoro lievi, anche quando si tratta di prestazio...