Garante a Yahoo!: via il link alla pagina web con dati inesatti e superati

yahoo-privacy-eagle-communicationsYahoo! Emea Limited dovrà rimuovere il link alla pagina web di un sito statunitense in cui sono pubblicate informazioni inesatte e non aggiornate relative ad un cittadino italiano coinvolto in una vicenda giudiziaria accaduta in territorio americano.

Lo ha stabilito il Garante privacy accogliendo il ricorso di un uomo che si era visto pubblicare propri dati personali (alcuni persino attinenti alle caratteristiche fisiche) su un sito che riporta gli arresti compiuti ogni giorno negli Stati Uniti [doc. web n. 6026501].

Il ricorrente – già rivoltosi, senza esito, oltre che al motore di ricerca anche a Microsoft e Aol –  lamentava il danno derivante dalla pubblicazione di notizie inesatte e obsolete relative ad un arresto subito nel 2015 per un reato poi derubricato in uno di minore gravità.

Circostanza, quest’ultima, non riportata nel sito, in cui risultavano ancora le notizie relative alla prima ipotesi di reato e non venivano fornite informazioni sui successivi sviluppi della vicenda archiviata “con un non luogo a provvedere nell’immediato futuro”.

Il Garante, anche alla luce della direttiva 95/46/CE e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale sulla base del principio di stabilimento.

Tale decisione è stata confermata anche da una recente sentenza pronunciata dal Tribunale di Milano nell’ambito di un giudizio di opposizione attivato da Yahoo! contro un precedente provvedimento del Garante in cui si stabilivano principi analoghi.

Il Tribunale, oltre a confermare la giurisdizione dell’Autorità italiana alla luce della direttiva europea 95/46/CE così come interpretata dalla Corte di Giustizia, ha affermato che alla stessa conclusione si può comunque pervenire attraverso la necessità di garantire il principio della effettività della tutela “a fronte di una lesione derivante da un illecito trattamento di dati personali avvenuti on line e i cui effetti dannosi si sono verificati in Italia”.

Nell’accogliere il ricorso, l’Autorità ha dunque:

  • ritenuto illecita la diffusione di informazioni non aggiornate e inesatte riferite al ricorrente, perché in contrasto con la normativa europea e nazionale, e
  • ordinato a Yahoo!  di provvedere alla rapida rimozione, in associazione con il nome e cognome dell’uomo, dell’Url alla pagina web.

L’Autorità, infine, ha dichiarato non luogo a provvedere sul ricorso nei confronti di Microsoft e di Aol che hanno provveduto a rimuovere il link nel corso del procedimento. 

Diritto all’oblio: 50 i ricorsi definiti dal Garante dopo sentenza Google Spain

20150127155607-google-building-44Sono  circa cinquanta i ricorsi definiti dal Garante privacy relativi a persone comuni, figure pubbliche locali, professionisti che si sono rivolti all’Autorità dopo il mancato accoglimento delle richieste di deindicizzazione da parte di Google. Un’altra decina di ricorsi  sono in via di definizione.

E’ il bilancio dell’attività del Garante a quasi un anno e mezzo dalla cosiddetta sentenza “Google Spain” (C-131/12 ) della Corte di Giustizia dell’Unione Europea sul diritto all’oblio, che ha imposto a  Google di dare un riscontro alle richieste di rimozione, dai risultati della ricerca, dei link alle pagine web che contengono il nominativo del richiedente.

Di fronte al diniego di Google, gli utenti italiani possono rivolgersi in “appello” al Garante per la privacy o all’autorità giudiziaria. Una opportunità, quella del ricorso al Garante, sfruttata finora solo da un esiguo numero di persone a fronte delle migliaia di istanze rigettate dalla società di  Mountain View.

In circa un terzo dei casi definiti, il Garante ha accolto le richieste degli interessati ordinando a Google la  rimozione dei link a pagine presenti sul web che riportavano:

  • dati personali ritenuti non più di interesse pubblico,
  • informazioni spesso eccedenti, riferite anche a persone estranee alla vicenda giudiziaria narrata, o lesive della sfera privata.

In tutti gli altri casi, invece, l’Autorità ha respinto le richieste ritenendo che la posizione di Google fosse corretta, risultando prevalente l’interesse pubblico ad accedere alle informazioni tramite motori di ricerca. Si trattava, infatti, in prevalenza, di vicende processuali di sicuro interesse pubblico, anche a livello locale, spesso recenti o per le quali non erano ancora stati esperiti tutti i gradi di giudizio. I dati personali riportati, tra l’altro, risultavano trattati nel rispetto del principio di essenzialità dell’informazione.

La Francia non accetta i confini dell’oblio

L’appello di Google è stato respinto: il Garante francese per la privacy è fermamente deciso a estendere le deindicizzazioni alla versione globale del motore di ricerca

Roma – La Commission nationale de l’informatique et des libertés (CNIL) francese ha respinto il ricorso informale di Google contro la sua richiesta di veder rimossi, in base alla declinazione europea del diritto alla privacy che costituisce il diritto all’oblio, specifici link anche dai risultati offerti dalle versioni del motore di ricerca non specificatamente pensate per i paesi europei, ed in particolare da google.com.

Il diritto all’oblio, il diritto attribuito ai cittadini del Vecchio Continente dalla sentenza della Corte di Giustizia dell’Unione Europea del 2014, permette di veder de-indicizzati dai motori di ricerca dei link a notizie ed episodi che secondo il diretto interessato dovrebbero rimanere sepolti nel passato.

Successivamente il Gruppo di Lavoro Articolo 29 ha sviluppato diverse linee guida sull’interpretazione della disciplina del diritto all’oblio, arrivando fino a prescrivere (senza però alcun potere costrittivo) ai motori di ricerca di non agire solo sui domini europei, corrispondenti ai paesi da cui provengono le richieste con cui i cittadini vogliono far dimenticare dalla Rete specifiche informazioni, ma in generale anche sui domini.com.
Alla stessa conclusione era quindi giunta anche la Commissione francese che aveva preteso che il delisting fosse adottato su tutte le estensioni del motore di ricerca di Mountain View: la logica è che – affinché il diritto europeo all’oblio sia efficace – la sua applicazione non si debba esaurire esclusivamente entro i confini del Vecchio Continente.

Google, da parte sua, non vuole diventare il giudice atto a decidere tra diritto alla cronaca e quello alla privacy, rispetto ai concetti di non rilevanza e non attualità, su cui è necessario il confronto.

Ma soprattutto non vuole che un’interpretazione ed un sentimento europeo finisca per influenzare la diffusione delle informazioni a livello globale.
Lo aveva ribadito con un post ufficiale Peter Fleischer, consulente globale alla privacy di Google, che aveva riferito che nessuna nazione dovrebbe poter avere il controllo sul tipo di contenuti disponibili online altrove.
La CNIL ha tuttavia respinto tale accusa circa la “volontà da parte nostra di far applicare la normativa francese all’estero” e riaffermato piuttosto di voler “far osservare completamente la normativa europea da parte di operatori stranieri che offrono però i loro servizi in Europa“.
Respingendo l’opposizione di Mountain View CNIL ha ribadito che il motore di ricerca deve applicare le regole sulla privacy degli utenti a livello globale o rischiare multe pari a 340mila dollari.

Google, da parte sua, ha riferito di aver già lavorato duramente per applicare il diritto all’oblio richiesto dalle autorità europee in Europa, ma che è in disaccordo con le richieste francesi.

Diritto all’oblio: prime pronunce del Garante dopo i no di Google

312980219_thlIl Garante privacy ha adottato i primi provvedimenti in merito alle segnalazioni presentate da cittadini dopo il mancato accoglimento da parte di Google delle loro richieste di deindicizzare pagine presenti sul web che riportavano dati personali ritenuti non più di interesse pubblico.
A seguito della recente sentenza della Corte di Giustizia europea sul diritto all’oblio, Google è infatti tenuta a dare un riscontro alle richieste di cancellazione, dai risultati della ricerca, delle pagine web che contengono il nominativo del richiedente reperibili utilizzando come parola chiave il nome dell’interessato.
 
La società deve valutare di volta in volta vari elementi quali ad esempio:
  • l’interesse pubblico a conoscere la notizia,
  • il tempo trascorso dall’avvenimento,
  • l’accuratezza della notizia e la rilevanza della stessa nell’ambito professionale di appartenenza.

Di fronte al diniego di Google, gli utenti italiani possono rivolgersi al Garante per la privacy o all’autorità giudiziaria.

Le segnalazioni e i ricorsi pervenuti al Garante, riguardano la richiesta di deindicizzazione di articoli relativi a vicende processuali ancora recenti e in alcuni casi non concluse.
 
In sette dei nove casi [doc. web nn. 3623819, 3623851, 3623897, 36239193623954, 3624003 e 3624021] definiti il Garante non ha accolto la richiesta degli interessati, ritenendo che la posizione di Google fosse corretta in quanto è risultato prevalente l’aspetto dell’interesse pubblico ad accedere alle informazioni tramite motori di ricerca, sulla base del fatto che le vicende processuali sono risultate essere troppo recenti e non ancora espletati tutti i gradi di giudizio.
 
In due casi [doc. web nn. 3623877 e 3623978], invece, l’Autorità ha accolto la richiesta dei segnalanti.
  • Nel primo, perché nei documenti pubblicati su un sito erano presenti numerose informazioni eccedenti, riferite anche a persone estranee alla vicenda giudiziaria narrata.
  • Nel secondo, perché la notizia pubblicata era inserita in un contesto idoneo a ledere la sfera privata della persona.

Tutto ciò in violazione delle norme del Codice privacy e del codice deontologico che impone di diffondere dati personali nei limiti dell'”essenzialità dell’informazione riguardo a fatti di interesse pubblico” e di non descrivere abitudini sessuali riferite a una determinata persona identificata o identificabile.

L’Autorità ha quindi prescritto a Google di deindicizzare le url segnalate.

Sono alcune decine, al momento, le segnalazioni giunte al Garante a seguito della sentenza della Corte di Giustizia europea sul diritto all’oblio.

Google Italia: arrivano i paletti del Garante privacy

google-logoMountain View dovrà assicurare maggiore trasparenza nel trattamento dei dati e garanzie per chi utilizza i suoi servizi

Gli utenti che useranno i servizi o il motore di ricerca di Google in Italia saranno più tutelati. Il Garante privacy ha stabilito che il colosso di Mountain View non potrà utilizzare i loro dati a fini di profilazione se non ne avrà prima ottenuto il consenso e dovrà dichiarare esplicitamente di svolgere questa attività a fini commerciali.

Si è conclusa con un provvedimento prescrittivo l’istruttoria avviata lo scorso anno dal Garante italiano a seguito dei cambiamenti apportati dalla società alla propria privacy policy. Si tratta del primo provvedimento in Europa che – nell’ambito di un’azione coordinata con le altre Autorità di protezione dei dati europee ed a seguito della pronuncia della Corte di Giustizia europea sul diritto all’oblio – non si limita a richiamare al rispetto dei principi della disciplina privacy, ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformità alla legge.

La società ha infatti unificato in un unico documento le diverse regole di gestione dei dati relative alle numerosissime funzionalità offerte – dalla posta elettronica (Gmail), al social network (GooglePlus), alla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube), alle mappe on line (Street View), all’analisi statistica (Google Analytics) – procedendo pertanto all’integrazione e interoperabilità anche dei diversi prodotti e dunque all’incrocio dei dati degli utenti relativi all’utilizzo di più servizi.
Nel corso dell’istruttoria, caratterizzata anche da diverse audizioni con i suoi rappresentanti, Google ha adottato una serie di misure per rendere la propria privacy policy più conforme alle norme. Il Garante ha tuttavia rilevato il permanere di diversi profili critici relativi:

  • alla inadeguata informativa agli utenti,
  • alla mancata richiesta di consenso per finalità di profilazione,
  • agli incerti tempi di conservazione dei dati

e ha dettato una serie di regole, che si applicano all’insieme dei servizi offerti.

Informativa

Primo livello

L’Autorità ha prescritto a Google l’adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l’utenza:

  • l’indicazione dei trattamenti e dei dati oggetto di trattamento (es. localizzazione terminali, indirizzi IP etc.),
  • l’indicazione dell’indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc.;

Ma soprattutto Google dovrà spiegare chiaramente, nell’informativa generale:

  • che i dati personali degli utenti sono monitorati e utilizzati, tra l’altro, a fini di profilazione per pubblicità mirata e
  • che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting (sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell’utente e, a differenza dei cookie che vengono istallati sul pc o nello smartphone, le archivia direttamente presso i server della società).

Secondo livello

In un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti.

Consenso per fini di profilazione e pubblicità comportamentale

Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati – sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie e fingerprinting – Google dovrà acquisire il previo consenso degli utenti e non potrà più limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali.

In proposito, l’Autorità ha anche indicato una modalità innovativa e di facile impiego che, senza gravare eccessivamente sulla navigazione dell’utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.

Conservazione

Google dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti “attivi”, sia successivamente archiviati su sistemi di “back up”.

Cancellazione dati personali

Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano soddisfatte:

  • al massimo entro due mesi se i dati sono conservati sui sistemi “attivi”
  • entro sei mesi se i dati sono archiviati sui sistemi di back up.

Per quanto riguarda, invece, le richieste di cancellazione che interessano l’utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell’Unione europea sul diritto all’oblio.

Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante.

In quest’arco temporale, l’Autorità monitorerà l’implementazione delle misure prescritte. La società dovrà infatti sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante, sulla base del quale verranno disciplinati tempi e modalità per l’attività di controllo che l’Autorità svolgerà nei confronti di Mountain View.

Diritto all’oblio anticipato da una sentenza della Cassazione

” (…) predisposizione di un sistema idoneo a segnalare (nel corpo o nel margine) la sussistenza di un seguito o di uno sviluppo della notizia e quale esso sia stato (…), consentendone il rapido ed agevole accesso da parte degli utenti ai fini del relativo adeguato approfondimento», questo il nuovo obbligo a carico dei gestori di archivi e database di non facile gestione imposto dalla recente sentenza n°5525, del 5 aprile 2012 della Cassazione. 

In sostanza: nel caso in cui la notizia di cronaca sia:

  • collocata nell’archivio storico della testata online e
  • resa disponibile tramite l’intervento dei motori di ricerca

allora il «titolare dell’organo di informazione» deve provvedere a curarne anche la messa a disposizione della contestualizzazione e aggiornamento.

Fatti

Durante gli anni di Tangentopoli, un assessore di un comune dell’hinterland milanese veniva arrestato e in seguito prosciolto dalle accuse di corruzione. La notizia del suo arresto in data 22 aprile 1993 è tuttora riportata nell’archivio storico del Corriere della Sera all’indirizzo http://www.corriere.it

L’ex assessore si era così rivolto prima al Garante della privacy cui aveva chiesto il blocco dei dati personali che lo riguardavano contenuti nell’articolo “incriminato”, quindi al tribunale di Milano. Sia l’uno sia l’altro gli avevano dato torto. 

L’intervento della Cassazione

La Cassazione cancellava la sentenza del tribunale milanese. La Corte pur prendendo atto che:

  • non esiste un profilo di diffamazione o lesione alla reputazione (la notizia, a quell’altezza di tempo, è vera e pertanto non ha senso discutere su una rettifica)
  • non ha senso confinare l’articolo in area non indicizzabile dai motori di ricerca (esiste ancora una rilevanza pubblica della notizia, visto che l’uomo viene definito come un possibile candidato a una delle prossime tornate elettorali o comunque papabile per un incarico non elettivo),

argomenta che la notizia, proprio perché vera in un determinato contesto temporale, ha bisogno di essere aggiornata, in questo caso con la conclusione del procedimento giudiziario che condusse all’arresto:

«Così come la rettifica è finalizzata a restaurare l’ordine del sistema informativo alterato dalla notizia non vera (che non produce nessuna nuova informazione), del pari l’integrazione e l’aggiornamento sono invero volti a ripristinare l’ordine del sistema alterato dalla notizia (storicamente o altrimenti) parziale».

Che fare, dunque?

Il Titolare del trattamento (in questo caso la società editoriale) deve pertanto provvedere all’aggiornamento delle informazioni attraverso la 

  • predisposizione di un sistema idoneo a segnalare (nel corpo o nel margine) la sussistenza di un seguito o di uno sviluppo della notizia e quale esso sia stato (…), 
  • consentendone il rapido ed agevole accesso da parte degli utenti ai fini del relativo adeguato approfondimento”.

All’aggiornamento deve provvedere il titolare dell’archivio e non il motore di ricerca perché quest’ultimo è, nella lettura della Corte, un semplice intermediario telematico “che offre un sistema automatico di reperimento di dati e informazioni attraverso parole chiave“.

 

 

 

La Nuova Privacy Europea

Portabilità del dato, obbligo per le Aziende di nominare un “Data Protection Officer” e di redigere un “Privacy Impact Assessment”, queste alcune tra le più rilevanti novità della privacy prossima (e dietro l’angolo) che maggiormente andranno ad impattare sui Modelli privacy  adottati in Azienda. 

Ma diamo un’occhiata più da vicino.

Il 25 gennaio 2012 la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati. Si tratta di un Regolamento, che andrà a sostituire la vecchia direttiva 95/46/CE, e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).

Sul sito della Direzione Generale “Giustizia”  sono raccolte tutte le informazioni e la documentazione pertinenti: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm.

Va ricordato che i Regolamenti UE sono immediatamente esecutivi, non necessitando di recepimento da parte degli Stati membri, a differenza delle direttive. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE. 

 

Il Regolamento

Queste, in sintesi, alcune tra le maggiori novità della proposta di Regolamento:

  • restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);
  • viene introdotto l’obbligo di nominare un “data protection officer” (incaricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti, mentre scompare l’obbligo per i titolari di notificare i trattamenti di dati personali;
  • viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
  • si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all’oblio”, ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);
  • viene introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy) oltre al principio generale detto “privacy by design” (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);
  • si stabilisce l’obbligo per tutti i titolari di notificare all’autorità competente le violazioni dei dati personali (“personal data breaches”);
  • si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

 

La Direttiva

Per quanto riguarda la proposta di Direttiva, essa sostituirà, una volta adottata, la Decisione-Quadro (la 2008/977/GAI) attualmente in vigore che disciplina i trattamenti di dati da parte delle autorità giudiziarie e di polizia.

Va sottolineato che le disposizioni della Direttiva si applicheranno, in via generale, a tutti i trattamenti di dati personali svolti in uno Stato Membro per tali finalità “istituzionali”, mentre la Decisione-Quadro disciplina esclusivamente lo scambio di dati fra autorità competenti degli Stati Membri ed il trattamento successivo dei dati scambiati in tale contesto.

La Direttiva riprende l’impostazione del Regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento ecc.. Essa  contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa i criteri di legittimità dei trattamenti in oggetto nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Come già ricordato, le sue disposizioni dovranno essere recepite attraverso apposite norme nazionali.

L’iter per l’approvazione definitiva dei due strumenti normativi proposti comporterà l’intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di “codecisione” (ora definita dal Trattato di Lisbona “procedura legislativa”).