x

x

Privacy - Garante per la protezione dei dati personali: diritto all’oblio garantito oltre i confini dell’Unione Europea

Privacy - Garante per la protezione dei dati personali: diritto all’oblio garantito oltre i confini dell’Unione Europea
Privacy - Garante per la protezione dei dati personali: diritto all’oblio garantito oltre i confini dell’Unione Europea

Il Garante ha assicurato il diritto all’oblio legittimamente esercitato da un cittadino italiano residente negli Stati Uniti ordinando a Google di deindicizzare gli Url contenenti informazioni false ed offensive non solo dalle versioni europee ma anche dai risultati di ricerca extraeuropei, estendendo l’attività di rimozione anche agli Url già deindicizzati nelle versioni europee di Google.

 

Premessa

La “sentenza Costeja” resa dalla Corte di Giustizia dell’Unione Europea il 13 maggio 2014, nota anche come il caso Google Spain, rappresenta un precedente importante in merito a due grandi questioni: l’applicabilità della Direttiva 95/46/CE sulla protezione dei dati personali ai fornitori di servizi, come Google, e la portata del diritto all’oblio degli interessati cui i dati si riferiscono.

La Corte ha, in primo luogo, qualificato l’attività di un motore di ricerca quale “trattamento di dati personali” ed il gestore quale titolare del medesimo trattamento.

Il motore di ricerca, infatti, raccoglie dati ai sensi della Direttiva 95/46/CE dal momento che trova informazioni pubblicate o inserite da terzi su Internet contenenti dati personali, le indicizza in modo automatizzato, le memorizza temporaneamente ed infine le mette a disposizione degli utenti

In secondo luogo, la Corte ha affermato che, se l’interessato ha diritto a che le informazioni riguardanti la sua persona non vengano più collegate al suo nome, allora il gestore di un motore di ricerca è obbligato a cancellare dall’elenco dei risultati di una ricerca effettuata a partire dal nome di una persona i link verso pagine web pubblicate da terzi e contenenti tali informazioni, anche nel caso in cui le predette informazioni non vengano previamente o simultaneamente eliminate dalle relative pagine web.

In linea con quanto pronunciato dalla Corte e con le Linee Guida adottate il 26 novembre 2014 dal Gruppo Articolo 29 si pone il recente provvedimento del Garante per la protezione dei dati personali che estende al di fuori dei confini europei la tutela nei confronti di un cittadino italiano.

 

I fatti

Il ricorrente chiedeva la rimozione di 26 Url dalla lista dei risultati europei ed extra europei del motore di ricerca Google ricavati con la digitazione del proprio nome e cognome.

Tali Url rimandavano ad alcuni forum o siti amatoriali dove venivano pubblicati messaggi o brevi articoli anonimi offensivi e lesivi della dignità e reputazione del ricorrente. Le notizie diffuse in alcuni casi insieme a delle foto che lo ritraevano, riguardavano informazioni false sul suo stato di salute o sulla commissione di reati gravi connessi alla sua attività di professore universitario.

Google, rilevando che due degli Url non venivano già più visualizzati ed altri quattro erano stati rimossi dalle versioni europee dei risultati di ricerca, sosteneva che, relativamente ai restanti Url, mancavano i presupposti per l’esercizio del diritto all’oblio così come indicati nella sentenza Costeja e nelle Linee Guida emanate dal WP29. Google, nello specifico, evidenziava l’assenza dell’elemento temporale in quanto gli articoli risultavano pubblicati nel 2017 e l’impossibilità da parte sua di accertare la verità e la fondatezza delle azioni legali avviate nei confronti del ricorrente legittimato ad agire, non nei confronti del motore di ricerca, bensì nei confronti dell’autore dell’articolo o del gestore del sito ove avvenuta la pubblicazione.

In merito alla domanda del ricorrente di rimozione globale dei contenuti falsi e offensivi da tutti i domini Google, quest’ultima sottolineava che il ricorrente aveva residenza in Italia e che le azioni volte alla tutela dei dati personali avevano un ambito di applicazione limitato al territorio comunitario citando nuovamente la sentenza Costeja nella misura in cui il bilanciamento di interessi fra diritto all’oblio e libertà di informazione va eseguito sulla base delle normative applicabili nello Stato europeo in cui la richiesta è formulata o al massimo nell’ambito dei sistemi giuridici degli Stati membri dell’Unione Europea.

Decisione dell’Autorità Garante

Il Garante in prima battuta ha evidenziato che, nelle ipotesi di bilanciamento tra esercizio del diritto all’oblio e diritto di informazione considerate dalle Linee Guida sull’attuazione della sentenza Costeja, il trattamento pregiudizievole di dati sensibili, quali quelli sullo stato di salute, rispetto ai dati personali “comuni” ha un impatto maggiore nei confronti dell’interessato e della sua vita privata. Più precisamente la deindicizzazione di un risultato di ricerca costituirebbe una soluzione adeguata laddove le informazioni false,  in termini di circostanze oggettive, siano diffuse nell’ambito di campagne personali contro un determinato soggetto colpito da esternazioni negative a ruota o commenti personali spiacevoli, generando impressioni inesatte e fuorvianti.

In secondo luogo il Garante ha rilevato che Google, in quanto titolare del trattamento connesso all’indicizzazione, dovesse ritenersi responsabile della conformità alla direttiva 95/46/CE, così come sancito dalla sentenza Costeja e che il trattamento era altresì stato posto in violazione dell’articolo 11 del Codice Privacy.

La reperibilità sul web di contenuti non corretti, peraltro aventi ad oggetto dati sensibili, ha avuto un impatto “sproporzionatamente negativo” sulla sfera del ricorrente che pertanto, ad avviso del Garante, esige una tutela effettiva, tenuto anche conto del fatto che il ricorrente risiede al di fuori dell’Unione Europea.

Per tutte le suddette ragioni il Garante ha ordinato di provvedere alla rimozione degli Url sia dalle versioni europee che extra europee dei risultati di ricerca inclusi anche gli Url già deindicizzati nelle versioni europee di Google.

(Garante per la protezione dei dati personali, Provvedimento 21 dicembre 2017, n. 557)