Diritto all’oblio: 50 i ricorsi definiti dal Garante dopo sentenza Google Spain

20150127155607-google-building-44Sono  circa cinquanta i ricorsi definiti dal Garante privacy relativi a persone comuni, figure pubbliche locali, professionisti che si sono rivolti all’Autorità dopo il mancato accoglimento delle richieste di deindicizzazione da parte di Google. Un’altra decina di ricorsi  sono in via di definizione.

E’ il bilancio dell’attività del Garante a quasi un anno e mezzo dalla cosiddetta sentenza “Google Spain” (C-131/12 ) della Corte di Giustizia dell’Unione Europea sul diritto all’oblio, che ha imposto a  Google di dare un riscontro alle richieste di rimozione, dai risultati della ricerca, dei link alle pagine web che contengono il nominativo del richiedente.

Di fronte al diniego di Google, gli utenti italiani possono rivolgersi in “appello” al Garante per la privacy o all’autorità giudiziaria. Una opportunità, quella del ricorso al Garante, sfruttata finora solo da un esiguo numero di persone a fronte delle migliaia di istanze rigettate dalla società di  Mountain View.

In circa un terzo dei casi definiti, il Garante ha accolto le richieste degli interessati ordinando a Google la  rimozione dei link a pagine presenti sul web che riportavano:

  • dati personali ritenuti non più di interesse pubblico,
  • informazioni spesso eccedenti, riferite anche a persone estranee alla vicenda giudiziaria narrata, o lesive della sfera privata.

In tutti gli altri casi, invece, l’Autorità ha respinto le richieste ritenendo che la posizione di Google fosse corretta, risultando prevalente l’interesse pubblico ad accedere alle informazioni tramite motori di ricerca. Si trattava, infatti, in prevalenza, di vicende processuali di sicuro interesse pubblico, anche a livello locale, spesso recenti o per le quali non erano ancora stati esperiti tutti i gradi di giudizio. I dati personali riportati, tra l’altro, risultavano trattati nel rispetto del principio di essenzialità dell’informazione.

Annunci

La Francia non accetta i confini dell’oblio

L’appello di Google è stato respinto: il Garante francese per la privacy è fermamente deciso a estendere le deindicizzazioni alla versione globale del motore di ricerca

Roma – La Commission nationale de l’informatique et des libertés (CNIL) francese ha respinto il ricorso informale di Google contro la sua richiesta di veder rimossi, in base alla declinazione europea del diritto alla privacy che costituisce il diritto all’oblio, specifici link anche dai risultati offerti dalle versioni del motore di ricerca non specificatamente pensate per i paesi europei, ed in particolare da google.com.

Il diritto all’oblio, il diritto attribuito ai cittadini del Vecchio Continente dalla sentenza della Corte di Giustizia dell’Unione Europea del 2014, permette di veder de-indicizzati dai motori di ricerca dei link a notizie ed episodi che secondo il diretto interessato dovrebbero rimanere sepolti nel passato.

Successivamente il Gruppo di Lavoro Articolo 29 ha sviluppato diverse linee guida sull’interpretazione della disciplina del diritto all’oblio, arrivando fino a prescrivere (senza però alcun potere costrittivo) ai motori di ricerca di non agire solo sui domini europei, corrispondenti ai paesi da cui provengono le richieste con cui i cittadini vogliono far dimenticare dalla Rete specifiche informazioni, ma in generale anche sui domini.com.
Alla stessa conclusione era quindi giunta anche la Commissione francese che aveva preteso che il delisting fosse adottato su tutte le estensioni del motore di ricerca di Mountain View: la logica è che – affinché il diritto europeo all’oblio sia efficace – la sua applicazione non si debba esaurire esclusivamente entro i confini del Vecchio Continente.

Google, da parte sua, non vuole diventare il giudice atto a decidere tra diritto alla cronaca e quello alla privacy, rispetto ai concetti di non rilevanza e non attualità, su cui è necessario il confronto.

Ma soprattutto non vuole che un’interpretazione ed un sentimento europeo finisca per influenzare la diffusione delle informazioni a livello globale.
Lo aveva ribadito con un post ufficiale Peter Fleischer, consulente globale alla privacy di Google, che aveva riferito che nessuna nazione dovrebbe poter avere il controllo sul tipo di contenuti disponibili online altrove.
La CNIL ha tuttavia respinto tale accusa circa la “volontà da parte nostra di far applicare la normativa francese all’estero” e riaffermato piuttosto di voler “far osservare completamente la normativa europea da parte di operatori stranieri che offrono però i loro servizi in Europa“.
Respingendo l’opposizione di Mountain View CNIL ha ribadito che il motore di ricerca deve applicare le regole sulla privacy degli utenti a livello globale o rischiare multe pari a 340mila dollari.

Google, da parte sua, ha riferito di aver già lavorato duramente per applicare il diritto all’oblio richiesto dalle autorità europee in Europa, ma che è in disaccordo con le richieste francesi.

Google si adeguerà alle misure richieste dal Garante a tutela della privacy

The headquarters of Google.Approvato dall’Autorità il protocollo di verifica

Google adotterà tutte le misure a tutela della privacy degli utenti italiani prescritte dal Garante per la protezione dei dati personali e, per la prima volta in Europa, dovrà assoggettarsi a verifiche periodiche che monitorino l’avanzamento dei lavori di adeguamento della propria piattaforma ad una normativa nazionale.

L’Autorità ha approvato [doc. web n. 3738244] il protocollo di verifica previsto nel provvedimento adottato nel luglio scorso [doc. web n.3283078] nei confronti di Mountain View. Si passa pertanto dalla fase delle prescrizioni impartite dal Garante a Google a quella della loro realizzazione pratica, che dovrà essere ultimata entro il 15 gennaio 2016.

Il documento prevede:

  • aggiornamenti trimestrali sullo stato di avanzamento dei lavori e
  • la possibilità per l’Autorità di effettuare presso la sede americana di Google verifiche di conformità alla disciplina italiana delle misure in via di implementazione.

In base al protocollo, l’Autorità potrà monitorare costantemente le modifiche che Google deve apportare ai trattamenti dei dati personali degli utenti che usufruiscono dei suoi servizi, tra cui il motore di ricerca, la posta elettronica, la diffusione di filmati (tramite YouTube) e il proprio social network.

Queste in sintesi le più importanti misure che Google dovrà implementare nel corso nel 2015:

Informativa privacy

La società dovrà migliorare la privacy policy,

  • rendendola chiara, accessibile e
  • differenziandola in base ai servizi offerti (ad esempio Gmail, Google Wallet, Chrome etc.).

L’informativa dovrà includere, tra l’altro, dettagli sulle finalità e modalità del trattamento dei dati degli utenti, inclusa la profilazione effettuata mediante l’incrocio dei dati tra diversi servizi, l’utilizzo dei cookie e di altri identificativi come il fingerprinting (un sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell’utente e le archivia direttamente presso i server della società).

Dovrà inoltre predisporre un archivio con le precedenti versioni del testo dell’informativa, così da consentire agli utenti di verificare le modifiche via via apportate.

Consenso dell’utente

Se vorrà profilare chi utilizza i suoi servizi, Google dovrà prima ottenerne il consenso informato. Tale meccanismo dovrà essere implementato, anche se con differenti modalità, sia per i nuovi account, sia per quelli già esistenti.

Dovrà essere data piena attuazione anche al provvedimento generale adottato dal Garante nel maggio scorso sull’uso dei cookie e su altre modalità di tracciamento degli utenti, inclusi quelli che non si sono registrati presso i servizi della società.

A tutti gli interessati dovrà comunque essere garantito il diritto di opporsi al trattamento dei propri dati per finalità di profilazione.

Conservazione e cancellazione dei dati

La multinazionale statunitense dovrà ulteriormente migliorare le modalità di conservazione e di cancellazione dei dati personali degli utenti. In particolare, dovranno essere garantite tempistiche precise per la cancellazione dei dati, sia di quelli online sia di quelli archiviati su sistemi di back-up.

Dovranno essere revisionate le regole interne relative all’anonimizzazione, affinché la procedura adottata sia realmente efficace e conforme alle indicazioni già fornite dai Garanti europei.

Richieste di rimozione delle informazioni dai risultati di ricerca da parte degli utenti

Continuerà lo scambio di informazioni in merito alle richieste di rimozione che Google ha ricevuto da parte degli utenti italiani, così da poter monitorare le modalità di applicazione del cosiddetto diritto all’oblio.

Diritto all’oblio: prime pronunce del Garante dopo i no di Google

312980219_thlIl Garante privacy ha adottato i primi provvedimenti in merito alle segnalazioni presentate da cittadini dopo il mancato accoglimento da parte di Google delle loro richieste di deindicizzare pagine presenti sul web che riportavano dati personali ritenuti non più di interesse pubblico.
A seguito della recente sentenza della Corte di Giustizia europea sul diritto all’oblio, Google è infatti tenuta a dare un riscontro alle richieste di cancellazione, dai risultati della ricerca, delle pagine web che contengono il nominativo del richiedente reperibili utilizzando come parola chiave il nome dell’interessato.
 
La società deve valutare di volta in volta vari elementi quali ad esempio:
  • l’interesse pubblico a conoscere la notizia,
  • il tempo trascorso dall’avvenimento,
  • l’accuratezza della notizia e la rilevanza della stessa nell’ambito professionale di appartenenza.

Di fronte al diniego di Google, gli utenti italiani possono rivolgersi al Garante per la privacy o all’autorità giudiziaria.

Le segnalazioni e i ricorsi pervenuti al Garante, riguardano la richiesta di deindicizzazione di articoli relativi a vicende processuali ancora recenti e in alcuni casi non concluse.
 
In sette dei nove casi [doc. web nn. 3623819, 3623851, 3623897, 36239193623954, 3624003 e 3624021] definiti il Garante non ha accolto la richiesta degli interessati, ritenendo che la posizione di Google fosse corretta in quanto è risultato prevalente l’aspetto dell’interesse pubblico ad accedere alle informazioni tramite motori di ricerca, sulla base del fatto che le vicende processuali sono risultate essere troppo recenti e non ancora espletati tutti i gradi di giudizio.
 
In due casi [doc. web nn. 3623877 e 3623978], invece, l’Autorità ha accolto la richiesta dei segnalanti.
  • Nel primo, perché nei documenti pubblicati su un sito erano presenti numerose informazioni eccedenti, riferite anche a persone estranee alla vicenda giudiziaria narrata.
  • Nel secondo, perché la notizia pubblicata era inserita in un contesto idoneo a ledere la sfera privata della persona.

Tutto ciò in violazione delle norme del Codice privacy e del codice deontologico che impone di diffondere dati personali nei limiti dell'”essenzialità dell’informazione riguardo a fatti di interesse pubblico” e di non descrivere abitudini sessuali riferite a una determinata persona identificata o identificabile.

L’Autorità ha quindi prescritto a Google di deindicizzare le url segnalate.

Sono alcune decine, al momento, le segnalazioni giunte al Garante a seguito della sentenza della Corte di Giustizia europea sul diritto all’oblio.

Google Italia: arrivano i paletti del Garante privacy

google-logoMountain View dovrà assicurare maggiore trasparenza nel trattamento dei dati e garanzie per chi utilizza i suoi servizi

Gli utenti che useranno i servizi o il motore di ricerca di Google in Italia saranno più tutelati. Il Garante privacy ha stabilito che il colosso di Mountain View non potrà utilizzare i loro dati a fini di profilazione se non ne avrà prima ottenuto il consenso e dovrà dichiarare esplicitamente di svolgere questa attività a fini commerciali.

Si è conclusa con un provvedimento prescrittivo l’istruttoria avviata lo scorso anno dal Garante italiano a seguito dei cambiamenti apportati dalla società alla propria privacy policy. Si tratta del primo provvedimento in Europa che – nell’ambito di un’azione coordinata con le altre Autorità di protezione dei dati europee ed a seguito della pronuncia della Corte di Giustizia europea sul diritto all’oblio – non si limita a richiamare al rispetto dei principi della disciplina privacy, ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformità alla legge.

La società ha infatti unificato in un unico documento le diverse regole di gestione dei dati relative alle numerosissime funzionalità offerte – dalla posta elettronica (Gmail), al social network (GooglePlus), alla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube), alle mappe on line (Street View), all’analisi statistica (Google Analytics) – procedendo pertanto all’integrazione e interoperabilità anche dei diversi prodotti e dunque all’incrocio dei dati degli utenti relativi all’utilizzo di più servizi.
Nel corso dell’istruttoria, caratterizzata anche da diverse audizioni con i suoi rappresentanti, Google ha adottato una serie di misure per rendere la propria privacy policy più conforme alle norme. Il Garante ha tuttavia rilevato il permanere di diversi profili critici relativi:

  • alla inadeguata informativa agli utenti,
  • alla mancata richiesta di consenso per finalità di profilazione,
  • agli incerti tempi di conservazione dei dati

e ha dettato una serie di regole, che si applicano all’insieme dei servizi offerti.

Informativa

Primo livello

L’Autorità ha prescritto a Google l’adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l’utenza:

  • l’indicazione dei trattamenti e dei dati oggetto di trattamento (es. localizzazione terminali, indirizzi IP etc.),
  • l’indicazione dell’indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc.;

Ma soprattutto Google dovrà spiegare chiaramente, nell’informativa generale:

  • che i dati personali degli utenti sono monitorati e utilizzati, tra l’altro, a fini di profilazione per pubblicità mirata e
  • che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting (sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell’utente e, a differenza dei cookie che vengono istallati sul pc o nello smartphone, le archivia direttamente presso i server della società).

Secondo livello

In un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti.

Consenso per fini di profilazione e pubblicità comportamentale

Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati – sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie e fingerprinting – Google dovrà acquisire il previo consenso degli utenti e non potrà più limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali.

In proposito, l’Autorità ha anche indicato una modalità innovativa e di facile impiego che, senza gravare eccessivamente sulla navigazione dell’utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.

Conservazione

Google dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti “attivi”, sia successivamente archiviati su sistemi di “back up”.

Cancellazione dati personali

Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano soddisfatte:

  • al massimo entro due mesi se i dati sono conservati sui sistemi “attivi”
  • entro sei mesi se i dati sono archiviati sui sistemi di back up.

Per quanto riguarda, invece, le richieste di cancellazione che interessano l’utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell’Unione europea sul diritto all’oblio.

Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante.

In quest’arco temporale, l’Autorità monitorerà l’implementazione delle misure prescritte. La società dovrà infatti sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante, sulla base del quale verranno disciplinati tempi e modalità per l’attività di controllo che l’Autorità svolgerà nei confronti di Mountain View.

Google paga una multa da 1 milione di euro inflitta dal Garante privacy per il servizio Street View

IMG_4125-copyGoogle ha pagato una sanzione di 1 milione di euro applicata dal Garante privacy per il servizio Street View.

I fatti contestati risalgono al 2010 quando le auto del colosso di Mountain View percorrevano le strade italiane senza essere perfettamente riconoscibili e non consentendo, in tal modo, alle persone presenti nei luoghi percorsi dalle “Google Cars” di decidere se sottrarsi o meno alla “cattura” delle immagini. Numerose erano state le segnalazioni all’Autorità da parte di persone che non desideravano comparire nelle foto pubblicate on line (che, peraltro, permangono in rete per un tempo considerevole e possono essere ingrandite).

Il Garante aveva prescritto [doc. web n. 1759972] alla società di Mountain View:

  • di rendere le “Google cars” facilmente individuabili, attraverso cartelli o adesivi ben visibili,
  • di pubblicare sul proprio sito web, tre giorni prima dell’inizio delle riprese, le località visitate dalle vetture di Street View, stabilendo che per le grandi città è necessario indicare i quartieri in cui circolano le vetture. Analogo avviso deve essere pubblicato da Google sulle pagine di cronaca locale di almeno due quotidiani e diffuso per mezzo di un’emittente radiofonica locale per ogni regione visitata.

Le misure sono state tempestivamente adottate da Google.

A conclusione dell’intero procedimento sanzionatorio il Garante ha ritenuto di applicare [doc.web n. 2954309], anche in relazione al fatto che i dati raccolti illecitamente erano destinati a confluire all’interno di una grande banca dati di particolare rilevanza, quale è sicuramente quella gestita da Google nell’ambito del servizio Street View, la sanzione nella cifra complessiva di un milione di euro, pagata qualche settimana fa da Google.

Proprio tenendo conto di trovarsi di fronte a una società che, nell’anno 2012, ha registrato un fatturato consolidato pari a oltre 50 miliardi di dollari, il Garante ha deciso di avvalersi della norma del Codice privacy che mira a rendere effettive le sanzioni quando sono dirette a soggetti di notevoli dimensioni economiche.

 

Dear Mr. Page… I Garanti del mondo a Big G: i “Google Glass” rispettino la privacy dei cittadini

pg-46-google-glasses-apLe Autorità di garanzia scrivono a Larry Page:  subito chiarimenti e l’avvio di un confronto.

Quali informazioni raccoglie Google attraverso i “Glass”, i famosi occhiali a realtà aumentata? Con chi le condivide? Come intende utilizzarle? Come viene  garantito il rispetto delle legislazioni sulla privacy? Come pensa Google di risolvere il problematico aspetto della raccolta di informazioni di persone che, a loro insaputa, vengono “riprese” e “registrate” tramite i Glass?

Sono solo alcune delle questioni che le Autorità di protezione dati di diversi continenti riunite nel GPEN (Global Privacy Enforcement Network), hanno messo nero su bianco in una lettera inviata alla multinazionale californiana sullo sviluppo di Google Glass, una tecnologia in via di sperimentazione legata all’elaborazione elettronica dei dati, indossabile sotto forma di occhiali, che comprende una microcamera, un microfono ed un dispositivo Gps con accesso ad Internet.

Le Autorità per la privacy, tra le quali il Garante italiano, hanno espresso preoccupazione riguardo all’impatto privacy che può derivare dall’uso dei Google Glass e forti timori sul possibile futuro uso di sistemi di “riconoscimento facciale”.

Le Autorità hanno quindi chiesto alla società un sollecito riscontro

  • sulle implicazioni privacy legate allo sviluppo di questa nuova tecnologia e
  • sulle misure che intende prendere per garantire il rispetto della vita privata in tutti i Paesi del mondo.

Google è stata invitata ad un confronto, attraverso incontri e dimostrazioni pratiche sull’uso dei “super-occhiali”. Nonostante  l’esigenza più volte affermata che la privacy sia parte integrante della progettazione di ogni prodotto e servizio prima del lancio, nessuna Autorità di protezione dati è stata sentita dalla multinazionale e le uniche informazioni di cui dispongono i Garanti, derivano in gran parte dai media o dalla pubblicizzazione del dispositivo ad opera della stessa Google.

“Le nuove tecnologie sono state sempre connotate dal binomio “opportunità-rischi” – afferma Antonello Soro, Presidente del Garante privacy – ma certo i Google Glass lasciano prevedere grandi pericoli per la vita privata. Chiunque  finisse nel raggio visivo di chi indossa questi occhiali – continua Soro – potrebbe, a quanto è dato sapere, venire fotografato, filmato, riconosciuto e, una volta avuto accesso ai suoi dati sparsi sul web, individuato nei suoi gusti, nelle sue opinioni, nelle sue scelte di vita. La sua vita gli verrebbe in qualche modo sottratta per finire nelle micro memorie degli occhiali o rilanciata in rete. Ci sono già norme che vietano la messa on line di dati personali senza il consenso degli interessati. Ma di fronte a questi strumenti le leggi non bastano: serve un salto di consapevolezza da parte di fornitori di servizi Internet, degli sviluppatori di software e degli utenti. E’ indispensabile ormai riuscire a promuovere a livello globale un uso etico delle nuove tecnologie.