x

x

La Corte federale canadese sul caso Globe24h.com: paradossi ed un inedito right to be forgotten

Di Monica Senor

 

La sentenza 30 gennaio 2017 della Corte federale canadese è una triste cronaca di paradossi annunciati.

Il caso esaminato e deciso dalla Corte nordamericana riguarda il titolare del sito internet Globe24h.com, avente sede e server in Romania, il quale, tra il 2012 ed il 2013, ha downloadato e ripubblicato le sentenze pubblicate sui siti istituzionali dei tribunali ordinari ed amministrativi canadesi, nonché quelle pubblicate dal Canadian Legal Information Institute (CanLII) e della Société Québécoise d’Information Juridique (SOQUIJ), consentendone l’indicizzazione sui motori di ricerca.

L’esistenza del sito veniva scoperta, attraverso delle banali vanity search, da alcuni canadesi coinvolti nelle vicende giudiziarie sottese alle sentenze pubblicate. Richiesta a Globe24h.com la cancellazione dei dati, gli interessati ricevevano in risposta la richiesta di pagamento di una fee per la rimozione immediata delle informazioni personali pubblicate, oppure la prospettiva di una rimozione gratuita in un tempo approssimativo di sei mesi.

Nel maggio 2014 veniva interessato della questione l’Office of the Privacy Commissioner of Canada (OPCC), il quale, in esito ad un’approfondita indagine, nel giugno 2015, pubblicava un report of findings in cui sosteneva che Globe24h.com aveva violato il Personal Information Protection and Electronic Documents Act (PIPEDA).

Nell’ottobre 2015 il caso approdava alla Corte federale di Ottawa, la quale emetteva la pronuncia in commento.

La motivazione si articola in vari passaggi, tra cui degni di annotazione sono quelli relativi alla ritenuta sussistenza della giurisdizione canadese ed all’infondatezza della publicy available exception rivendicata da Globe24h.com come base giuridica per legittimare la sua attività.

Sotto il primo profilo, la Corte ha statuito che il PIPEDA può essere applicato in tutte le ipotesi in cui esista un “real and substantial link” tra un trattamento di dati personali effettuato all’estero ed il Canada. Nel caso di specie, la connessione territoriale è stata individuata in tre fattori: 1) oggetto del giudizio avanti la Corte è la ripubblicazione di decisioni delle corti canadesi contenenti informazioni personali scaricate da Globe24h.com da siti legali canadesi; 2) pur essendo localizzato in Romania, Globe24h.com si rivolge direttamente ai canadesi atteso che viene pubblicizzato come un sito che fornisce libero accesso alla giurisprudenza canadese; 3) l’attività del sito, in termini di danni, impatta esclusivamente sui cittadini canadesi (cfr. sentenza, pagg.16 e ss.).

Sotto il secondo profilo, la Corte ha respinto l’eccezione sollevata dal titolare di Globe24h.com (si noti che tutte le eccezioni prese in esame in sentenza sono quelle sostenute da Sebastian Radulescu, titolare del sito, avanti l’OPCC atteso che nel giudizio avanti la Corte federale il convenuto non è comparso) volta a sostenere la legittimità del trattamento in quanto effettuato su dati personali già pubblicamente disponibili.

Nello specifico la Corte ha accolto l’interpretazione suffragata dall’OPCC secondo cui la scriminante (dall’obbligo di ottenere il consenso degli interessati) della “disponibilità pubblica” dei dati prevista dalla sezione 7 del PIPEDA deve essere letta in stretta correlazione con il paragrafo 1(d) del Regulations Specifying Publicly Available Information, il quale prevede che le informazioni personali contenute negli atti e nei documenti giudiziari sono da considerare pubblicamente disponibili solo quando il loro trattamento sia direttamente connesso con lo scopo per cui esse erano state originariamente visualizzate nell’atto o nel documento stesso.

La Corte ha osservato che, nel caso di specie, la pubblicazione delle sentenze sui siti istituzionali canadesi risponde all’open court principle, ovverosia al principio di accessibilità e trasparenza dell’amministrazione della giustizia, mentre la ripubblicazione con indicizzazione delle decisioni da parte di Globe24h.com non ha alcun riferimento diretto con tale scopo (cfr. sentenza, pag.29).

Accertata la violazione del PIPEDA, la Corte ha formalmente ordinato al titolare di Globe24h.com  di rimuovere dal sito tutte le decisioni dei tribunali e delle corti canadesi contenenti informazioni personali, di adottare tutte le misure necessarie per rimuovere tali decisioni anche dalla memoria cache dei motori di ricerca nonché di astenersi in futuro da ulteriori download e ripubblicazioni di atti giudiziari canadesi in violazione del PIPEDA (cfr. sentenza, pag.38).

Ma, al di là del dispositivo, la motivazione è particolarmente interessante laddove recita: “I was concerned about the enforceability of any order against the respondent as he and his server are not physically present in Canada. …

A declaration that the respondent has contravened PIPEDA, combined with a corrective order, would allow the applicant and other complainants to submit a request to Google or other search engines to remove links to decisions on Globe24h.com from their search results. …

Notably, Google’s policy on legal notices states that completing and submitting the Google form online does not guarantee that any action will be taken on the request. Nonetheless, it remains an avenue open to the applicant and others similarly affected. The OPCC contends that this may be the most practical and effective way of mitigating the harm caused to individuals since the respondent is located in Romania with no known assets”.

Come detto, si tratta di una sentenza in cui emergono alcuni già ben noti paradossi del diritto alla protezione dei dati personali.

Il primo attiene alla presunta compatibilità astratta tra open data e data protection.

Scrivono impeccabilmente a tal proposito gli avvocati Colin Lachance ed Ava Chisling: “There is no easy way to manage private facts in public documents, especially when the documents are posted online”. Specialmente, pare doveroso aggiungere, se il documento pubblico caricato online è una sentenza!

Il caso Globe24h.com era assolutamente prevedibile e non sarà neppure l’unico nel suo genere considerato che – come chi scrive ha già avuto modo di osservare anche su questa rivista – i rischi di violazione della vita privata delle parti processuali, derivanti dalla pubblicazione online dei provvedimenti giurisdizionali, sono altissimi e pressoché inevitabili.

E, francamente, è risibile che si pensi di poter scongiurare danni ai cittadini semplicemente imponendo un divieto di indicizzazione delle sentenze sui motori di ricerca o stabilendo ex lege che le informazioni personali contenute nelle decisioni non possano essere utilizzate per altre finalità rispetto a quelle per cui sono state ab origine pubblicate.

Una volta che un dato personale è online, quel dato è (forse non di diritto, ma) di fatto pubblico e pubblico significa accessibile ovunque, da chiunque.

Globe24h.com ha architettato un’operazione spudoratamente illecita ed è stato facilmente individuato ma quali e quante data analysis possono potenzialmente essere fatte sui database giudiziari messi online dalle corti? Quali e quante decisioni pregiudizievoli per i cittadini possono essere assunte sulla base (non espressamente dichiarata) dei risultati di una legittima ricerca nominativa condotta sui motori di ricerca interni dei siti istituzionali delle autorità giudiziarie? Quali e quante statistiche possono essere redatte in merito al lavoro, alle opinioni ed alle tendenze personali dei giudici di cui vengono pubblicate le sentenze?

In Italia, come all’estero, questi temi sembrano non interessare minimamente né i legislatori, né le DPA, né ancor meno i poteri giudiziari, tutti concentrati ad inseguire il mito della trasparenza della pubblica amministrazione, come se il concetto di “dato pubblico” in rete possa essere declinato diversamente a seconda del soggetto o del contesto a cui si riferisce.

Il secondo paradosso, foriero di grandi dibattiti tra giuristi ormai da parecchi anni, attiene all’efficacia territoriale delle data protection law.

La Corte canadese, nel caso di specie, ha dichiarato il PIPEDA applicabile in relazione ad un trattamento di dati personali effettuato all’estero in quanto riguardava direttamente cittadini canadesi: una presa di posizione molto simile a quella assunta dall’Europa con il nuovo Regolamento privacy.

Da tale assunto è conseguita la condanna di Globe24h.com per trattamento illecito di dati.

Ma poi, purtroppo, il cerchio si interrompe: la sentenza si rivela, infatti, sostanzialmente inutile perché il corrective order emesso dalla Corte di Ottawa non potrà mai essere eseguito in Romania.

L’ultimo paradosso, infine, è rappresentato dal fatto che la Corte ricorre ad una sorta di esecuzione mediata dell’ordine di rimozione, “suggerendo” agli interessati di chiedere a Google di provvedere alla cancellazione dai risultati del suo motore di ricerca dei contenuti illeciti indicizzati da Globe24h.com, utilizzando la sentenza stessa come prova dell’illiceità del trattamento.

I giudici canadesi, in tal modo, coinvolgono direttamente un intermediario della società dell’informazione (costringendolo ad intervenire) al fine di raggiungere un obiettivo (la rimozione) che sarebbe altrimenti irraggiungibile.

Si tratta di un’inedita versione dell’annoso right to be forgotten di matrice europea o di una più grave ipotesi di abdicazione della funzione pubblica da parte di un organo statale a favore di un soggetto privato?

Allo stato non è dato saperlo, ma quel che è certo è che la tendenza a cooptare i provider per la risoluzione delle questioni giuridiche sorte in Internet sta sempre più prendendo piede, come dimostrano le recenti richieste di inedite collaborazioni avanzate dai Governi alle piattaforme di social network per combattere fenomeni sociali che vanno dalla lotta al terrorismo, al cyberbullismo alle fake news.

 

Redatto il 20 febbraio 2017

Di Monica Senor

 

La sentenza 30 gennaio 2017 della Corte federale canadese è una triste cronaca di paradossi annunciati.

Il caso esaminato e deciso dalla Corte nordamericana riguarda il titolare del sito internet Globe24h.com, avente sede e server in Romania, il quale, tra il 2012 ed il 2013, ha downloadato e ripubblicato le sentenze pubblicate sui siti istituzionali dei tribunali ordinari ed amministrativi canadesi, nonché quelle pubblicate dal Canadian Legal Information Institute (CanLII) e della Société Québécoise d’Information Juridique (SOQUIJ), consentendone l’indicizzazione sui motori di ricerca.

L’esistenza del sito veniva scoperta, attraverso delle banali vanity search, da alcuni canadesi coinvolti nelle vicende giudiziarie sottese alle sentenze pubblicate. Richiesta a Globe24h.com la cancellazione dei dati, gli interessati ricevevano in risposta la richiesta di pagamento di una fee per la rimozione immediata delle informazioni personali pubblicate, oppure la prospettiva di una rimozione gratuita in un tempo approssimativo di sei mesi.

Nel maggio 2014 veniva interessato della questione l’Office of the Privacy Commissioner of Canada (OPCC), il quale, in esito ad un’approfondita indagine, nel giugno 2015, pubblicava un report of findings in cui sosteneva che Globe24h.com aveva violato il Personal Information Protection and Electronic Documents Act (PIPEDA).

Nell’ottobre 2015 il caso approdava alla Corte federale di Ottawa, la quale emetteva la pronuncia in commento.

La motivazione si articola in vari passaggi, tra cui degni di annotazione sono quelli relativi alla ritenuta sussistenza della giurisdizione canadese ed all’infondatezza della publicy available exception rivendicata da Globe24h.com come base giuridica per legittimare la sua attività.

Sotto il primo profilo, la Corte ha statuito che il PIPEDA può essere applicato in tutte le ipotesi in cui esista un “real and substantial link” tra un trattamento di dati personali effettuato all’estero ed il Canada. Nel caso di specie, la connessione territoriale è stata individuata in tre fattori: 1) oggetto del giudizio avanti la Corte è la ripubblicazione di decisioni delle corti canadesi contenenti informazioni personali scaricate da Globe24h.com da siti legali canadesi; 2) pur essendo localizzato in Romania, Globe24h.com si rivolge direttamente ai canadesi atteso che viene pubblicizzato come un sito che fornisce libero accesso alla giurisprudenza canadese; 3) l’attività del sito, in termini di danni, impatta esclusivamente sui cittadini canadesi (cfr. sentenza, pagg.16 e ss.).

Sotto il secondo profilo, la Corte ha respinto l’eccezione sollevata dal titolare di Globe24h.com (si noti che tutte le eccezioni prese in esame in sentenza sono quelle sostenute da Sebastian Radulescu, titolare del sito, avanti l’OPCC atteso che nel giudizio avanti la Corte federale il convenuto non è comparso) volta a sostenere la legittimità del trattamento in quanto effettuato su dati personali già pubblicamente disponibili.

Nello specifico la Corte ha accolto l’interpretazione suffragata dall’OPCC secondo cui la scriminante (dall’obbligo di ottenere il consenso degli interessati) della “disponibilità pubblica” dei dati prevista dalla sezione 7 del PIPEDA deve essere letta in stretta correlazione con il paragrafo 1(d) del Regulations Specifying Publicly Available Information, il quale prevede che le informazioni personali contenute negli atti e nei documenti giudiziari sono da considerare pubblicamente disponibili solo quando il loro trattamento sia direttamente connesso con lo scopo per cui esse erano state originariamente visualizzate nell’atto o nel documento stesso.

La Corte ha osservato che, nel caso di specie, la pubblicazione delle sentenze sui siti istituzionali canadesi risponde all’open court principle, ovverosia al principio di accessibilità e trasparenza dell’amministrazione della giustizia, mentre la ripubblicazione con indicizzazione delle decisioni da parte di Globe24h.com non ha alcun riferimento diretto con tale scopo (cfr. sentenza, pag.29).

Accertata la violazione del PIPEDA, la Corte ha formalmente ordinato al titolare di Globe24h.com  di rimuovere dal sito tutte le decisioni dei tribunali e delle corti canadesi contenenti informazioni personali, di adottare tutte le misure necessarie per rimuovere tali decisioni anche dalla memoria cache dei motori di ricerca nonché di astenersi in futuro da ulteriori download e ripubblicazioni di atti giudiziari canadesi in violazione del PIPEDA (cfr. sentenza, pag.38).

Ma, al di là del dispositivo, la motivazione è particolarmente interessante laddove recita: “I was concerned about the enforceability of any order against the respondent as he and his server are not physically present in Canada. …

A declaration that the respondent has contravened PIPEDA, combined with a corrective order, would allow the applicant and other complainants to submit a request to Google or other search engines to remove links to decisions on Globe24h.com from their search results. …

Notably, Google’s policy on legal notices states that completing and submitting the Google form online does not guarantee that any action will be taken on the request. Nonetheless, it remains an avenue open to the applicant and others similarly affected. The OPCC contends that this may be the most practical and effective way of mitigating the harm caused to individuals since the respondent is located in Romania with no known assets”.

Come detto, si tratta di una sentenza in cui emergono alcuni già ben noti paradossi del diritto alla protezione dei dati personali.

Il primo attiene alla presunta compatibilità astratta tra open data e data protection.

Scrivono impeccabilmente a tal proposito gli avvocati Colin Lachance ed Ava Chisling: “There is no easy way to manage private facts in public documents, especially when the documents are posted online”. Specialmente, pare doveroso aggiungere, se il documento pubblico caricato online è una sentenza!

Il caso Globe24h.com era assolutamente prevedibile e non sarà neppure l’unico nel suo genere considerato che – come chi scrive ha già avuto modo di osservare anche su questa rivista – i rischi di violazione della vita privata delle parti processuali, derivanti dalla pubblicazione online dei provvedimenti giurisdizionali, sono altissimi e pressoché inevitabili.

E, francamente, è risibile che si pensi di poter scongiurare danni ai cittadini semplicemente imponendo un divieto di indicizzazione delle sentenze sui motori di ricerca o stabilendo ex lege che le informazioni personali contenute nelle decisioni non possano essere utilizzate per altre finalità rispetto a quelle per cui sono state ab origine pubblicate.

Una volta che un dato personale è online, quel dato è (forse non di diritto, ma) di fatto pubblico e pubblico significa accessibile ovunque, da chiunque.

Globe24h.com ha architettato un’operazione spudoratamente illecita ed è stato facilmente individuato ma quali e quante data analysis possono potenzialmente essere fatte sui database giudiziari messi online dalle corti? Quali e quante decisioni pregiudizievoli per i cittadini possono essere assunte sulla base (non espressamente dichiarata) dei risultati di una legittima ricerca nominativa condotta sui motori di ricerca interni dei siti istituzionali delle autorità giudiziarie? Quali e quante statistiche possono essere redatte in merito al lavoro, alle opinioni ed alle tendenze personali dei giudici di cui vengono pubblicate le sentenze?

In Italia, come all’estero, questi temi sembrano non interessare minimamente né i legislatori, né le DPA, né ancor meno i poteri giudiziari, tutti concentrati ad inseguire il mito della trasparenza della pubblica amministrazione, come se il concetto di “dato pubblico” in rete possa essere declinato diversamente a seconda del soggetto o del contesto a cui si riferisce.

Il secondo paradosso, foriero di grandi dibattiti tra giuristi ormai da parecchi anni, attiene all’efficacia territoriale delle data protection law.

La Corte canadese, nel caso di specie, ha dichiarato il PIPEDA applicabile in relazione ad un trattamento di dati personali effettuato all’estero in quanto riguardava direttamente cittadini canadesi: una presa di posizione molto simile a quella assunta dall’Europa con il nuovo Regolamento privacy.

Da tale assunto è conseguita la condanna di Globe24h.com per trattamento illecito di dati.

Ma poi, purtroppo, il cerchio si interrompe: la sentenza si rivela, infatti, sostanzialmente inutile perché il corrective order emesso dalla Corte di Ottawa non potrà mai essere eseguito in Romania.

L’ultimo paradosso, infine, è rappresentato dal fatto che la Corte ricorre ad una sorta di esecuzione mediata dell’ordine di rimozione, “suggerendo” agli interessati di chiedere a Google di provvedere alla cancellazione dai risultati del suo motore di ricerca dei contenuti illeciti indicizzati da Globe24h.com, utilizzando la sentenza stessa come prova dell’illiceità del trattamento.

I giudici canadesi, in tal modo, coinvolgono direttamente un intermediario della società dell’informazione (costringendolo ad intervenire) al fine di raggiungere un obiettivo (la rimozione) che sarebbe altrimenti irraggiungibile.

Si tratta di un’inedita versione dell’annoso right to be forgotten di matrice europea o di una più grave ipotesi di abdicazione della funzione pubblica da parte di un organo statale a favore di un soggetto privato?

Allo stato non è dato saperlo, ma quel che è certo è che la tendenza a cooptare i provider per la risoluzione delle questioni giuridiche sorte in Internet sta sempre più prendendo piede, come dimostrano le recenti richieste di inedite collaborazioni avanzate dai Governi alle piattaforme di social network per combattere fenomeni sociali che vanno dalla lotta al terrorismo, al cyberbullismo alle fake news.

 

Redatto il 20 febbraio 2017