EntiOnLine
Categorie
indietro
26/11/2014 Motori di ricerca: valutazione sistematica e criteri comuni per il trattamento dei reclami
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

14/IT

WP 225

ORIENTAMENTI PER L'ESECUZIONE DELLA SENTENZA DELLA CORTE DI GIUSTIZIA DELL'UNIONE EUROPEA
NELLA CAUSA C-131/12 "GOOGLE SPAIN E INC. CONTRO AGENCIA ESPANOLA DE PROTECCIO'N DE DATOS (AEPD) E MARIO COSTEJA GONZA'LEZ"

.... ( omissis) ...

E. Ruolo delle autorita' di protezione dei dati

24. Sebbene la sentenza della CGUE abbia apportato nuovi elementi, la decisione in merito alla cancellazione di un determinato risultato di ricerca comporta, in sostanza, una valutazione sistematica della conformita' del trattamento dei dati personali effettuato dal motore di ricerca ai principi della protezione dei dati. Il gruppo di lavoro ritiene pertanto che i reclami presentati dagli interessati alle autorita' di protezione dei dati riguardanti il rifiuto totale o parziale da parte del motore di ricerca debbano considerarsi – per quanto possibile – domande formali ai sensi dell'articolo 28, paragrafo 4, della direttiva. Di conseguenza, tali domande devono essere trattate dall'autorita' di protezione dei dati a norma della legislazione nazionale analogamente alle altre domande/reclami/richieste di mediazione.

25. Il presidente del gruppo di lavoro contattera' i motori di ricerca al fine di chiarire quale sia lo stabilimento nell'UE che l'autorita' di protezione dei dati competente deve contattare e, se necessario, pubblichera' i risultati della consultazione pubblica.

PARTE II - Elenco dei criteri comuni per il trattamento dei reclami da parte delle autorita' europee di protezione dei dati

Nella decisione del 13 maggio 2014, la CGUE ha chiarito l'applicazione ai motori di ricerca della normativa in materia di protezione dei dati. La Corte ha concluso che gli utenti possono chiedere ai motori di ricerca, a determinate condizioni, la cancellazione dall'elenco dei risultati delle ricerche effettuate a partire dal loro nome di link a informazioni che incidono sulla loro vita privata. Qualora un motore di ricerca rifiuti tale richiesta, l'interessato puo' portare il caso all'attenzione delle autorita' di protezione dei dati o dell'autorita' giudiziaria competente, affinche' siano effettuate le verifiche necessarie e sia presa una decisione, conformemente ai poteri di cui dispongono ai sensi della normativa nazionale.

Deriva dalla sentenza della CGUE secondo cui l'interessato puo' "chiedere [a un motore di ricerca] che l'informazione [riguardante la sua persona] non venga piu' messa a disposizione del grande pubblico in virtu' della sua inclusione in un [...] elenco dei risultati". La Corte ha altresi' stabilito che i diritti fondamentali "prevalgono, in linea di principio, non soltanto sull'interesse economico del gestore del motore di ricerca, ma anche sull'interesse di tale pubblico ad accedere all'informazione suddetta in occasione di una ricerca concernente il nome di questa persona". Tale diritto e' riconosciuto dalla CGUE in virtu' dei diritti fondamentali previsti a norma degli articoli 7 e 8 della Carta dei diritti fondamentali dell'UE e in applicazione dell'articolo 12, lettera b) e dell'articolo 14, lettera a), primo comma, della direttiva 95/46/CE.

La Corte ha altres' riconosciuto l'esistenza di una deroga a questa norma generale, laddove "per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, [...] l'ingerenza nei [...] diritti fondamentali [dell'interessato] e' giustificata dall'interesse preponderante del grande pubblico [...] ad avere accesso, mediante l'inclusione [dell'informazione] nell'elenco dei risultati, all'informazione di cui trattasi".

Una prima analisi delle denunce sinora ricevute dagli interessati, le cui richieste di cancellazione dall'elenco dei risultati sono state rifiutate dai motori di ricerca, ha permesso alle autorita' di protezione dei dati di stabilire una serie di criteri comuni che dette autorita' potranno utilizzare per verificare il rispetto della normativa relativa alla protezione dei dati. Le autorita' di protezione dei dati valuteranno i reclami caso per caso, applicando i criteri esposti in seguito.

L'elenco dei criteri e' da ritenersi uno strumento di lavoro flessibile, che sara' d'ausilio per le autorita' di protezione dei dati nel processo decisionale. I criteri saranno applicati conformemente alla legislazione nazionale pertinente.

Si prevede che, nella maggior parte dei casi, per giungere a una decisione sara' necessario prendere in considerazione piu' criteri. In altri termini, nessun criterio e' di per se' determinante.

Ogni criterio deve essere applicato alla luce dei principi stabiliti dalla CGUE e in particolare dell'"interesse del grande pubblico ad accedere all'informazione".

CRITERI E OSSERVAZIONE

1. Il risultato della ricerca concerne una persona fisica? Il risultato della ricerca appare in seguito a una ricerca effettuata a partire dal nome dell'interessato?

La sentenza Google riconosce che una ricerca su Internet effettuata a partire dal nome di una persona puo' incidere significativamente sul diritto di un singolo individuo al rispetto della vita privata.

Le autorita' di protezione dei dati prenderanno altresi' in considerazione gli pseudonimi e i soprannomi come termini di ricerca pertinenti, laddove l'interessato possa stabilire che sono collegati alla sua vera identita'.

2. L'interessato riveste un ruolo nella vita pubblica? L'interessato e' una personalita'?

La CGUE ha introdotto un'eccezione per le richieste di cancellazione dall'elenco dei risultati da parte degli interessati che rivestono un ruolo nella vita pubblica, laddove vi sia un interesse del pubblico ad avere accesso alle informazioni che li riguardano. Questo criterio e' piu' ampio di quello relativo alle "personalita'".

Cosa si intende per "ruolo nella vita pubblica"?

Non e' possibile definire con certezza il tipo di ruolo nella vita pubblica che una persona deve rivestire per giustificare l'accesso pubblico alle informazioni che la riguardano ottenute mediante un risultato di ricerca.

Tuttavia, a titolo di esempio, i politici, i funzionari pubblici di alto livello, gli uomini di affari e i membri delle professioni (regolamentate) possono essere considerati persone che rivestono un ruolo nella vita pubblica. Esistono dei motivi per consentire al pubblico di cercare informazioni pertinenti alle loro funzioni e attivita' pubbliche.

Una buona regola generale e' cercare di definire quando l'accesso del pubblico a una determinata informazione – resa disponibile mediante una ricerca a partire dal nome dell'interessato – possa tutelare tale pubblico da una condotta pubblica o professionale scorretta.

E' altresi' difficile definire la sottocategoria rappresentata dalle "personalita'". In generale si puo' affermare che le personalita' sono persone che, per le loro funzioni/mansioni, sono soggette a un certo livello di esposizione mediatica.

Nella risoluzione n. 1165(1998) dell'Assemblea parlamentare del Consiglio d'Europa, riguardante il diritto alla vita privata, e' contenuta una possibile definizione di "personalita'", secondo la quale le personalita' sono persone che detengono una carica pubblica o che usano risorse pubbliche e, in senso piu' ampio, tutti coloro che rivestono un ruolo nella vita pubblica, nei settori della politica, dell'economia, delle arti, della sfera sociale, dello sport o in qualunque altro ambito.

Alcune informazioni sulle personalita' possono essere a carattere prettamente privato e, di norma, non dovrebbero comparire nei risultati di ricerca, ad esempio le informazioni sul loro stato di salute o sui familiari. Tuttavia, in linea di principio, qualora i richiedenti siano personalita' e l'informazione in questione non sia di carattere prettamente privato, la motivazione contraria alla cancellazione dei rispettivi risultati di ricerca sara' piu' solida. Nel ricercare il giusto equilibrio, e' di particolare rilevanza la giurisprudenza della Corte europea dei diritti dell'uomo.

Corte europea dei diritti dell'uomo, von Hannover contro Germania (n. 2), 2012: "Il ruolo o la funzione dell'interessato e la natura delle attivita' oggetto dell'informazione e/o foto costituiscono un altro importante criterio, connesso al precedente. A tal proposito deve essere fatta una distinzione tra soggetti privati e persone che operano in un contesto pubblico, quali le personalita' politiche o pubbliche. Di conseguenza, mentre un soggetto privato sconosciuto al pubblico puo' richiedere una protezione specifica del proprio diritto alla vita privata, lo stesso non vale per le personalita' (cfr. Minelli contro Svizzera (dec.), 14991/02, del 14 giugno 2005, e Petrenco, di cui sopra, punto 55). Deve essere fatta una distinzione fondamentale tra la pubblicazione di fatti che potrebbero alimentare un dibattito in una societa' democratica, ad esempio riguardo a personalita' politiche nell'esercizio delle loro funzioni ufficiali, e la pubblicazione di informazioni sulla vita privata di un individuo che non esercita funzioni del genere (cfr. Von Hannover, di cui sopra, punto 63, e Standard Verlags GmbH, di cui sopra, punto 47)"1.

3. L'interessato e' un minore?

In linea di principio, qualora l'interessato sia legalmente minorenne – ossia, non abbia ancora compiuto 18 anni al momento della pubblicazione dell'informazione – e' piu' probabile che le autorita' di protezione dei dati chiedano la cancellazione dei risultati pertinenti.

Le autorita' di protezione dei dati sono tenute a tenere conto del concetto di "interesse superiore del minore". Tale concetto si ritrova, tra l'altro, all'articolo 24 della Carta dei diritti fondamentali dell'UE. "In tutti gli atti relativi ai minori, siano essi compiuti da autorita' pubbliche o da istituzioni private, l'interesse superiore del minore deve essere considerato preminente".

4. I dati sono esatti?

Di norma, "esatto" significa "veritiero rispetto a fatti". Vi e' una differenza tra un risultato di ricerca che si riferisce chiaramente all'opinione di una persona su un'altra persona e un risultato contenente informazioni fattuali.

Nella legislazione relativa alla protezione di dati, le nozioni di esattezza, adeguatezza e incompletezza sono strettamente connesse. E' piu' probabile che le autorita' di protezione dei dati ritengano opportuno sopprimere un risultato di ricerca in caso di effettiva inesattezza e qualora il risultato presenti un'immagine errata, inadeguata o fuorviante di un individuo. Quando un interessato si oppone a un risultato di ricerca poiche' lo ritiene inesatto, le autorita' di protezione dei dati possono intervenire qualora il ricorrente fornisca tutte le informazioni necessarie per stabilire che i dati siano effettivamente errati.

Nei casi in cui una controversia sull'inesattezza dell'informazione sia ancora pendente, ad esempio presso il tribunale, o qualora sia in corso un'indagine di polizia, le autorita' di protezione dei dati possono scegliere di non intervenire sino alla conclusione del procedimento.

5. I dati sono pertinenti e non eccessivi?

  • I dati si riferiscono alla vita professionale dell'interessato?

  • I risultati della ricerca rinviano a informazioni considerabili discorsi di incitamento all'odio/diffamazioni/ oltraggio o reati analoghi nell'ambito dell'espressione contro il richiedente?

  • E' chiaro che i dati riflettono un'opinione personale o sembrano essere fatti accertati?

L'obiettivo generale di tali criteri e' valutare se l'informazione contenuta nel risultato di una ricerca sia pertinente o meno per l'interesse del grande pubblico ad accedere all'informazione.

La pertinenza e' altresi' strettamente collegata a quando risalgono i dati. In base ai fatti del caso, le informazioni pubblicate da molto tempo, ad esempio quindici anni fa, possono essere meno pertinenti di quelle pubblicate un anno fa.

L'autorita' di protezione dei dati valutera' la pertinenza in base ai fattori elencati in seguito.

a. I dati si riferiscono alla vita professionale dell'interessato?

Nell'esaminare la richiesta di cancellazione dall'elenco dei risultati, le autorita' di protezione dei dati devono operare una prima distinzione tra vita privata e vita professionale.

La tutela dei dati – e la legge sul rispetto della vita privata in senso piu' ampio – riguarda innanzitutto il rispetto del diritto fondamentale di un individuo alla vita privata (e alla protezione dei dati). Sebbene tutti i dati relativi a una persona siano dati personali, non tutti sono privati. Deve essere fatta una distinzione fondamentale tra la vita privata di una persona e la figura pubblica o professionale rivestita da tale persona. Meno un'informazione rivela sulla vita privata di una persona, piu' la presenza di tale informazione in un risultato di ricerca e' considerata accettabile.

Di norma, un'informazione relativa alla vita privata di una persona che non ricopre alcun ruolo nella vita pubblica non dovrebbe considerarsi pertinente. Tuttavia, anche le personalita' godono di un diritto alla vita privata, sebbene in forma limitata o modificata.

E' piu' probabile che l'informazione sia piu' pertinente se si riferisce alla vita professionale attuale dell'interessato. Tuttavia, molto dipendera' dalla natura dell'attivita' professionale dell'interessato e dal legittimo interesse del pubblico ad avere accesso a tale informazione per mezzo di una ricerca a partire dal nome di detta persona.

Altre due domande sono qui pertinenti:

  • i dati riguardanti l'attivita' lavorativa di una persona sono eccessivi?

  • l'interessato svolge ancora la stessa professione?

b. I risultati della ricerca rinviano a informazioni eccessive o considerabili discorsi di incitamento all'odio/diffamazioni/oltraggio o reati analoghi nell'ambito dell'espressione contro il richiedente?

Di norma, le autorita' di protezione dei dati non hanno il potere ne' le competenze per occuparsi delle informazioni che potrebbero costituire un illecito civile o penale relativo a "discorsi" contro il ricorrente, quali un discorso d'incitazione all'odio, la diffamazione o l'oltraggio. In tali casi, qualora una richiesta di cancellazione dall'elenco dei risultati sia stata respinta, le autorita' di protezione dei dati potranno indirizzare l'interessato verso le autorita' di polizia e/o giudiziarie. La situazione sarebbe diversa nel caso in cui un tribunale abbia stabilito che la pubblicazione dell'informazione costituisce effettivamente un reato o una violazione di altre normative.

Spetta tuttavia alle autorita' di protezione dei dati valutare se la normativa relativa alla protezione dei dati sia stata effettivamente rispettata.

c. E' chiaro che i dati riflettono un'opinione personale o sembrano essere fatti accertati?

La natura dell'informazione contenuta in un risultato di ricerca puo' altresi' essere pertinente, in particolare la differenza tra opinione personale e fatti accertati. Le autorita' di protezione dei dati riconoscono che alcuni risultati di ricerca conterranno link a contenuti che potrebbero essere parte di una campagna personale contro una determinata persona, consistenti in "invettive" o eventualmente in commenti personali sgradevoli. Sebbene l'accessibilita' a tale informazione possa essere offensiva e importuna, non necessariamente le autorita' di protezione dei dati considereranno necessario sopprimere i risultati della ricerca pertinenti. Tuttavia, e' piu' probabile che le autorita' di protezione dei dati prendano in considerazione la cancellazione dei risultati di ricerca che contengono dati che sembrano essere fatti accertati, ma che sono inesatti in termini fattuali.

6. L'informazione e' di natura delicata ai sensi dell'articolo 8 della direttiva 95/46/CE?

Come regola generale, i dati di natura delicata (definiti all'articolo 8 della direttiva 95/46/CE in quanto "categoria particolare di dati") hanno una maggiore incidenza sulla vita privata dell'interessato rispetto ai dati personali "ordinari". Un buon esempio potrebbero essere le informazioni sulla salute, la sessualita' o le convinzioni religiose di una persona. E' piu' probabile che le autorita' di protezione dei dati intervengano nei casi in cui le richieste di cancellazione dei risultati respinte riguardino risultati che rivelano al pubblico tali informazioni.

7. I dati sono aggiornati? I dati sono disponibili piu' a lungo di quanto necessario per le finalita' del trattamento?

Come regola generale, le autorita' di protezione dei dati interverranno a questo riguardo con l'obiettivo di garantire che le informazioni che non sono piu' ragionevolmente attuali e divenute inesatte perche' non piu' aggiornate siano rimosse. Tale valutazione dipendera' dalla finalita' del trattamento originario.

8. Il trattamento dei dati arreca un pregiudizio all'interessato? I dati hanno un impatto negativo eccessivo sull'interessato?

L'interessato non ha l'obbligo di dimostrare il danno subito per richiedere la cancellazione dei risultati. In altre parole, il danno arrecato non e' una condizione per esercitare il diritto riconosciuto dalla CGUE. Tuttavia, la dimostrazione che la pubblicazione di un risultato di ricerca arreca un pregiudizio all'interessato costituisce un valido elemento a favore dell'eliminazione del risultato2.

La direttiva 95/46/CE consente all'interessato di opporsi al trattamento dei dati per motivi preminenti e legittimi. In caso di opposizione giustificata, il responsabile del trattamento deve cessare il trattamento dei dati personali.

I dati possono avere un impatto eccessivamente negativo sull'interessato qualora un risultato di ricerca riguardi un'infrazione di minore entita' o superficiale che non sia piu' - o non sia mai stata - oggetto di un dibattito pubblico e laddove non vi sia piu' alcun ampio interesse pubblico nell'accedere all'informazione.

9. Il risultato della ricerca rimanda a informazioni che mettono a rischio l'interessato?

Le autorita' di protezione dei dati riconosceranno che l'accessibilita' a determinate informazioni mediante le ricerche su Internet puo' esporre gli interessati a rischi quali, ad esempio, il furto di identita' o lo stalking. In tali casi, laddove il rischio sia significativo, e' probabile che le autorita' di protezione dei dati ritengano opportuna la cancellazione di un risultato di ricerca.

10. In quale contesto e' stata pubblicata l'informazione?

  1. Il contenuto e' stato pubblicato volontariamente dall'interessato?

  2. Il contenuto era inteso a essere reso pubblico? L'interessato era ragionevolmente a conoscenza che il contenuto sarebbe stato reso pubblico?

Qualora l'unica base giuridica per la pubblicazione di dati personali su Internet sia il consenso, ma l'interessato lo revochi, in tal caso l'attivita' di trattamento – ossia, la pubblicazione – non avra' piu' alcuna base giuridica e dovra' pertanto essere cessata.

2 CGUE, Google Spain SL, Google Inc. contro Agencia Espanola de Proteccio'n de Datos (AEPD), Mario Costeja Gonzalez, 13 maggio 2014, punto 96, "occorre sottolineare che la constatazione di un diritto siffatto non presuppone che l'inclusione dell'informazione in questione nell'elenco di risultati arrechi un pregiudizio all'interessato".

Nel valutare le richieste, le autorita' di protezione dei dati prenderanno in considerazione se il link debba essere rimosso anche nel caso in cui il nome o l'informazione non vengano previamente o simultaneamente cancellati dalla fonte d'origine.

In particolare, laddove l'interessato abbia dato il proprio consenso per la pubblicazione originaria, ma non riesca successivamente a revocare detto consenso e la richiesta di rimozione sia rifiutata, in linea di principio le autorita' di protezione dei dati riterranno opportuna la cancellazione del risultato di ricerca.

11. Il contenuto originario e' stato pubblicato a scopi giornalistici?

Le autorita' di protezione dei dati riconoscono che, in base al contesto, puo' essere pertinente tenere conto del fatto che l'informazione e' stata pubblicata a fini giornalistici. Il fatto che l'informazione sia pubblicata da un giornalista, il cui lavoro consiste nell'informare il pubblico, e' un fattore da soppesare. Tuttavia, questo criterio non costituisce di per se' una base sufficiente per respingere una richiesta, dato che la sentenza opera una netta distinzione tra la base giuridica per la pubblicazione da parte dei mezzi di comunicazione e la base giuridica per l'organizzazione da parte dei motori di ricerca dei risultati di una ricerca a partire dal nome di una persona.

12. L'editore dei dati ha il potere o l'obbligo giuridico di rendere pubblicamente disponibili i dati personali?

Alcune autorita' pubbliche hanno il dovere giuridico di rendere pubbliche determinate informazioni personali - ad esempio ai fini della registrazione elettorale. Tale aspetto varia in base alla legge e agli usi degli Stati membri. Laddove cio' si verifichi, le autorita' di protezione dei dati possono ritenere appropriata la cancellazione, mentre rimane valido il requisito per l'autorita' pubblica di rendere l'informazione pubblicamente disponibile. Tuttavia, tale aspetto deve essere valutato caso per caso, assieme ai criteri relativi all'obsolescenza e alla mancanza di pertinenza.

Le autorita' di protezione dei dati possono ritenere che la cancellazione dall'elenco dei risultati sia opportuna anche qualora esista un obbligo giuridico di rendere il contenuto disponibile sul sito web d'origine.

13. I dati riguardano un reato?

Gli Stati membri dell'UE possono adottare diversi approcci per quanto concerne la divulgazione pubblica delle informazioni relative ad autori di reati e ai rispettivi reati. Possono esservi disposizioni giuridiche specifiche, con un'incidenza sulla disponibilita' di tali informazioni nel tempo. Le autorita' di protezione dei dati tratteranno tali casi conformemente ai principi e agli approcci nazionali. Di norma, e' piu' probabile che le autorita' di protezione dei dati prendano in considerazione la cancellazione dei risultati di ricerca riguardo a reati di portata relativamente minore, commessi molto tempo fa, rispetto a risultati connessi a reati piu' gravi verificatisi piu' di recente. Tuttavia, tali questioni richiedono un'attenta analisi e saranno esaminate caso per caso.

.... ( omissis) ...

Fonte: Garante per la Protezione dei dati - WP225 GUIDELINES ON THE IMPLEMENTATION OF THE COURT OF JUSTICE OF THE EUROPEAN UNION JUDGMENT ON “GOOGLE SPAIN AND INC V. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) AND MARIO COSTEJA GONZÁLEZ” C-131/12

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=667236

Banca dati