seminario neuromarketing

Diritto all’oblio e motori di ricerca: un’interessante pronuncia del Garante Privacy

Il Garante respinge il difetto di giurisdizione eccepito da un noto motore di ricerca con sede in Irlanda e ordina la rimozione dell'URL.

Diritto all’oblio e motori di ricerca: un’interessante pronuncia del Garante Privacy

La nuova frontiera del diritto all’oblio, con cui sempre più spesso il Garante per la protezione dei dati personali è chiamato a fare i conti, è sicuramente costituita dalla pretesa del soggetto interessato dall’informazione ad ottenere non già l’inibizione della riproposizione di notizie datate e per le quali non v’è più interesse pubblico alla divulgazione (oblio “tradizionale”), quanto piuttosto la deindicizzazione delle stesse, ovverosia l’eliminazione dai risultati che si ottengono inserendo una determinata query in un motore di ricerca.

Gli strumenti positivi interni e comunitari

Di questa nuova criticitàlegata alla “memoria infinita” del web, si è mostrato del resto pienamente consapevole il legislatore UE nel “Regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” (cd. GDPR, la cui entrata in vigore è fissata al 25 maggio 2018) che, non a caso, positivizza all’art. 17 il diritto all’oblio 2.0, assicurando espressamente «il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando (il titolare) abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tale diritto è in particolare rilevante se l’interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da internet» (considerando nr. 65).

Non va poi dimenticato – sul versante interno – il codice in materia di protezione dei dati personali (D. Lgs 196/2003) che, oltre ad imperniare in via generale il trattamento dei dati sul principio del previo consenso dell’interessato (art. 23), stabilisce esplicitamente il diritto di questi ad ottenere che i dati siano esatti (dunque, se necessario, aggiornati), ma anche pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati (art. 11), dovendosi garantire, in ogni caso, il «…rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali» (art. 2).

Sotto il profilo del riconoscimento normativo del diritto alla riservatezza, dunque, la posizione degli interessati è sufficientemente salda. È pur vero, tuttavia, che la effettività di una situazione giuridica non si misura solamente avendo riguardo al diritto sostanziale (ovverosia, appunto, al riconoscimento normativo di una certa posizione di vantaggio o protezione), bensì dal raffronto tra esso e gli strumenti di tutela che l’ordinamento concretamente appresta.

Nel caso di specie, al di là di eventuali profili di rilievo penale (ovviamente rimessi alla giurisdizione ordinaria), il soggetto individuato dal legislatore per far valere le proprie istanze è un’Autorithy, ovverosia il Garante per la protezione dei dati personali. Si tratta, com’è noto, di una agenzia indipendente dotata di particolare competenza specialistica, cui sono attribuiti poteri ispettivi, inibitori e sanzionatori.

 Il casus belli e l’invocazione di un oblio “sanzionatorio”

Proprio per misurare il quantum di effettività della tutela assicurata dal Legislatore in via astratta e dal Garante in via attuativa, è significativo analizzare un caso deciso di recente dall’Authority ed avente ad oggetto l’istanza di rimozione di un URL dai risultati offerti da alcuni motori di ricerca.

Più precisamente, l’interessato contestava la legittimità della diffusione online, operata da un sito statunitense, di dati riferiti ad un arresto subito nel 2015. Successivamente, però, non solo il reato ascritto all’interessato-ricorrente era stato derubricato in una fattispecie meno grave, ma soprattutto era intervenuta una pronuncia di archiviazione. Di tali evoluzioni, tuttavia, il sito non dava conto, con evidente pregiudizio per il soggetto in termini di lesione della propria reputazione.

La prima peculiarità della vicenda, quindi, sta nel fatto che il soggetto – verosimilmente nell’impossibilità di attivare efficaci procedure di tutela in territorio USA in ordine all’aggiornamento-rimozione dei dati obsoleti – chiede ai principali motori di ricerca di de-indicizzare l’URL del sito in questione relativo alla propria posizione. Si fa ricorso, dunque, all’oblio informatico non già perché era cessato l’interesse pubblico alla conoscibilità della notizia (trattandosi di fatti tutto sommato recenti) ma in forma, per così dire, indiretta, giacché viene richiesta la de-indicizzazione del sito in considerazione del contenuto non (più) esatto delle notizie in esso contenute.

Il principio invocato dal ricorrente, quindi, può essere sintetizzato in questi termini: la rimozione dal motore di ricerca deve poter essere invocata non solo quando oramai non v’è più esigenza di accessibilità della collettività alla notizia (oblio, per così dire, tradizionale), ma anche quando il sito su cui essa è riportata rifiuti di emendarla. Viene così in rilievo un oblio che potremmo definire cautelare o (addirittura) sanzionatorio.

La difesa di Yahoo

Invero, uno dei motori di ricerca intimati, vale a dire Microsoft, per il motore di ricerca Bing, forniva positivo riscontro all’istanza di rimozione avanzata dal ricorrente, anche se precisava che la mancata deindicizzazione da parte di altri motori di ricerca avrebbe di fatto neutralizzato l’accorgimento adottato, in quanto avrebbe comportato «l’automatico reinserimento del suindicato URL tra i risultati di ricerca correlati all’inserimento del nominativo».

L’altra società richiesta della rimozione, cioè Yahoo Italia, sollevava invece una questione di difetto di giurisdizione dell’Authority italiana (nonché, indirettamente, di corretta instaurazione del contraddittorio). In particolare, si argomentava che, rispetto al funzionamento dell’omonimo motore di ricerca, il titolare del trattamento fosse Yahoo!Emea Limited, ovverosia una società con sede in Irlanda.

Secondo il resistente, infatti, solo la società “madre” disponeva di potere decisionale e ciò anche con riguardo agli utenti che abbiano sede in Italia, mentre la società italiana «non ha alcun controllo sui contenuti che appaiono su Yahoo!Search».

La decisione del Garante

Il Garante, tuttavia, respinge le argomentazioni proposte dall’intimato, osservando che Yahoo!Italia S.r.l. può essere ritenuta organizzazione stabile sul territorio italiano di Yahoo!Emea Limited (ovverosia la società irlandese) e ciò perché «l’attività svolta dalla prima è diretta quanto meno a rendere economicamente redditizio il servizio reso da Yahoo!Emea Limited». 

A tale conclusione l’Authority perviene richiamando, tra l’altro, l’art. 5, comma 1, del Codice Privacy che assoggetta al diritto nazionale ogni «trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato». Nello stesso senso, poi, si erano già orientate alcune sentenze della Corte di Giustizia Europea (sent. “Google Spain” del 13 maggio 2014 nr. 131; sent. “Weltimmo” del 1° ottobre 2015 nr. 230) rispetto alle previsioni contenute nella Direttiva Privacy 95/46/CE.

Del resto, poi, la stessa Yahoo era già risultata soccombente dinanzi al Tribunale di Milano in altro caso simile (sent. 5 gennaio 2017) e, in quel caso, il Giudice aveva ancorato la sussistenza della giurisdizione italiana anche alla necessità di garantire il principio di effettività della tutela «a fronte di una lesione derivante da un illecito trattamento […] i cui effetti dannosi si sono verificati in Italia».

Sulla base di questi presupposti, quindi, il Garante accoglie il ricorso e, oltre a condannare gli intimati alla rifusione delle spese, ordina a Yahoo di provvedere alla rimozione dell’URL “incriminato”. Le esigenze di pienezza della tutela, dunque, prevalgono sui tecnicismi derivanti dagli organigrammi societari.


Marco Fiorillo
A cura di: Marco Fiorillo Autore Inside Marketing
© RIPRODUZIONE RISERVATA E' vietata la ripubblicazione integrale dei contenuti
Le vostre Opinioni
MacroambienteDiritto all’oblio e motori di ricerca: un’interessante pronuncia del Garante Privacy
Iscrizione Newsletter Settimanale

Vuoi essere sempre aggiornato su ciò che avviene nel mondo del marketing e della comunicazione? Iscriviti alla newsletter di Inside Marketing

Acconsento ed ho letto Privacy Policy

Grazie per esserti registrato!

A breve riceverai una mail di conferma per attivare la tua registrazione.

Se non ricevi la mail di conferma, controlla nella cartella "posta indesiderata" ed aggiungi insidemarketing.it ai mittenti attendibili

In caso di problemi puoi contattarci all' indirizzo redazione[at]insidemarketing.it