GUIDA ALL’IMPLEMENTAZIONE DELLA CORTE DI GIUSTIZIA DELL’UNIONE EUROPEA

SENTENZA “GOOGLE SPAIN SL, GOOGLE Inc. vs AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, e MARIO COSTEJA GONZÁLEZ”

LINEE GUIDA WP 29 WORKING PARTY PER IL DIRITTO ALL’OBLIO SUI MOTORI DI RICERCA

(causa C−131/12)

 

Guida estratta dall’ARTICOLO 29

DATA PROTECTION WORKING PARTY

Adottata il 26 Novembre 2014

Il “Working Party” è stato istituito ai sensi dell’articolo 29 in merito alla direttiva 95/46/CE. È un organismo indipendente consultivo europeo per la protezione dei dati e la privacy. I suoi compiti sono descritti all’articolo 30 della direttiva 95/46/CE e all’articolo 15 della direttiva 2002/58/EC.

Il segretariato è generato dalla Direzione C (diritti fondamentali e cittadinanza dell’Unione) della Commissione europea, Direzione Generale Giustizia, B-1049 Bruxelles, Belgio, Ufficio N MO-59 02/013.

Sito: http://ec.europa.eu/justice/data-protection/index_en.htm

SINTESI

  1. Motori di Ricerca come Titolari del Trattamento

La sentenza riconosce che gli operatori del motore di ricerca elaborano i dati personali e sono identificati come titolari del trattamento ai sensi dell’articolo 2 della direttiva 95/46/CE. Il trattamento dei dati personali effettuato nell’ambito dell’attività di un motore di ricerca, si distingue da quello svolto da terze parti come editori di siti, web-sites, o testate giornalistiche.

  1. Un giusto equilibrio tra i diritti e gli interessi fondamentali

Nei termini della Corte di giustizia dell’Unione europea (abbreviato in: CGUE),  “alla luce della potenziale gravità degli effetti di questo trattamento sui diritti fondamentali  alla vita privata e alla protezione dei dati, i diritti della persona interessata prevalgono, come regola generale, sull’interesse economico del motore di ricerca e su quello degli utenti Internet di avere accesso alle informazioni personali attraverso il motore di ricerca”. Tuttavia, deve esserci un bilanciamento dei diritti e degli interessi in gioco e il risultato può dipendere dalla natura e dalla sensibilità dei dati trattati e dall’interesse del pubblico di avere accesso a tali informazioni particolari. L’interesse del pubblico sarà significativamente maggiore se il soggetto interessato ha un ruolo nella vita pubblica.

  1. Limiti dell’impatto della revoca sull’accesso all’informazione

In pratica, l’impatto della revoca sui diritti delle persone per la libertà di espressione e l’accesso alle informazioni risulterà molto limitato. Nel valutare le circostanze rilevanti, le Autorità Europee per la Protezione dei Dati (di seguito: DPA Data Protection Authorities) sistematicamente prenderanno in considerazione l’interesse del pubblico di avere accesso alle informazioni. Se l’interesse del pubblico sostituisce i diritti dell’Interessato, la revoca non sarà possibile.

  1. Nessuna informazione viene eliminata dalla fonte originale

La sentenza afferma che il diritto riguarda solo i risultati ottenuti dalle ricerche effettuate sulla base del nome di una persona e non richiede la cancellazione del link dagli indici del motore di ricerca complessivamente. Cioè, le informazioni originali continueranno ad essere accessibili, utilizzando altri termini di ricerca o tramite accesso diretto alla fonte originale dell’editore.

  1. Nessun obbligo per i soggetti Interessati di contattare il sito web originale

Gli individui non sono tenuti a contattare il sito web originale per esercitare i propri diritti nei confronti dei motori di ricerca. La legge sulla protezione dei dati si applica all’attività del motore di ricerca che funge da controllore. Pertanto, gli interessati devono poter esercitare i propri diritti conformemente alle disposizioni della direttiva 95/46/CE e, più in particolare, alle leggi nazionali che la attuano.

  1. Diritto dei soggetti interessati a richiedere la de-indicizzazione

Secondo la legislazione dell’UE, tutti hanno il diritto alla protezione dei dati personali. In pratica, i DPA controllano le richieste che riguardano il rapporto tra l’interessato e l’UE, nel caso in cui l’interessato è cittadino o residente di uno Stato membro dell’UE.

  1. Effetto territoriale di una richiesta di rimozione

Per dare piena efficacia ai diritti del soggetto interessato, come definito nella sentenza della Corte, le richieste di rimozione devono essere inoltrate in modo da garantire un’efficace e completa protezione dei diritti dei soggetti interessati nel rispetto delle normative europee. In questo senso, limitare la rimozione ai soli domini UE, poiché gli utenti tendono ad accedere ai motori di ricerca attraverso i rispettivi domini nazionali, non può essere considerato un mezzo adeguato per garantire in modo soddisfacente i diritti degli interessati in base alla sentenza. In pratica, ciò significa che in ogni caso anche la de-indicizzazione dovrebbe essere efficace su tutti i domini rilevanti, tra cui il “.com”.

  1. Informazione al pubblico sulla de-indicizzazione di link specifici

La pratica di informare gli utenti dei motori di ricerca che l’elenco dei risultati alle loro richieste non è completa come conseguenza dell’applicazione della protezione dei dati europea, non prevede nessun obbligo giuridico in base alle norme sulla protezione dei dati. Una simile pratica sarebbe accettabile solo se le informazioni sono presentate in modo tale che gli utenti non possono in alcun caso dimostrare che un determinato individuo ha chiesto la cancellazione dei risultati relativi a questo.

  1. Comunicazione con i redattori di siti web sulla de-indicizzazione dei collegamenti specifici

I motori di ricerca non dovrebbero, in generale, informare i webmaster delle pagine de-indicizzate in merito alla questione che alcune pagine web non possono accedere dal motore di ricerca in risposta ad una specifica ricerca basata sul nome. Non esiste alcuna base giuridica per una tale comunicazione di routine ai sensi della legislazione comunitaria in materia di protezione dei dati.

In alcuni casi, i motori di ricerca potrebbero voler contattare l’editore originale in relazione ad una particolare richiesta, prima di prendere qualsiasi decisione di eliminazione, al fine di ottenere informazioni aggiuntive per la valutazione delle circostanze in merito a tale richiesta.

Tenuto conto dell’importante ruolo che i motori di ricerca svolgono nella diffusione e nell’accessibilità alle informazioni pubblicate su Internet e delle legittime aspettative che i webmaster possono avere per quanto riguarda l’indicizzazione e la presentazione delle informazioni in risposta alle domande degli utenti, l’articolo 29 del Working Party (in seguito: Working Party) invita i motori di ricerca a fornire il criterio di de-indicizzazione che loro utilizzano, per fare più ricerche statistiche e renderle disponibili.

SOMMARIO

PARTE I: Interpretation of the CJEU judgment………………………..

  1. Motori di ricerca come Titolari del trattamento e giudici……………………………………………….
  2. Esercizio dei diritti…………………………………………………………………………..
  3. Ambito……………………………………………………………………………………….
  4. Comunicazione a terze parti………………………………………………………………….
  5. Ruolo delle Autorità Garante Per La Protezione dei Dati……………………………………

PARTE II: Elenco dei criteri comuni per la gestione dei reclami da parte delle Autorità Garanti per la protezione dei dati…………………………………………………………………………………………………..

PARTE I: Interpretazione del giudizio della CGUE

Il presente documento è stato progettato per fornire informazioni su come i DPA riuniti nel Working Party intendono attuare la sentenza della CGUE in caso di “Google Spain SL e Google Inc. contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González” (C-131/12). Inoltre esso contiene l’elenco dei criteri comuni che i DPA applicheranno per gestire i reclami, caso per caso, depositati presso i loro uffici nazionali a seguito dei rifiuti di de-indicizzazione dai motori di ricerca. L’elenco dei criteri dovrebbe essere considerato come uno strumento di lavoro flessibile che mira a aiutare i DPI durante i processi decisionali. I criteri saranno applicati in conformità alle legislazioni nazionali pertinenti. Nessun singolo criterio è di per sé determinante. L’elenco dei criteri non è esaustivo e si evolverà nel tempo, basandosi sull’esperienza dei DPA.

  1. Motori di ricerca come Titolari del trattamento e motivi giuridici
  2. La sentenza riconosce che gli operatori del motore di ricerca elaborano i dati personali e lo fanno in qualità di titolari del trattamento ai sensi dell’art. 2 della Direttiva 95/46/CE (§§ 27, 28 e 33).
  3. Il trattamento dei dati personali effettuati nel contesto di attività del motore di ricerca può essere distinto da quello svolto da editori di siti web, che invece consiste nel caricare i dati su una pagina Internet (§ 35).
  4. Il motivo giuridico di tale trattamento, in virtù della direttiva UE all’art. 7 (f), la necessità per il legittimo interesse del titolare del trattamento o di terze parti a cui sono rivolti i dati (§73).
  5. Il trattamento dei dati personali effettuato dall’operatore di un motore di ricerca è in grado di influire in modo significativo sui diritti fondamentali alla privacy e alla protezione dei dati personali quando la ricerca effettuata mediante tale motore avviene sulla base del nome di un individuo, dato che tale elaborazione consente a qualsiasi utente di Internet di ottenere, attraverso l’elenco dei risultati, una panoramica strutturata delle informazioni relative a tale individuo che sono rintracciabili su Internet – informazioni che potenzialmente riguardano un vasto numero di aspetti della sua vita privata e che, senza il motore di ricerca, non avrebbero potuto essere correlati o avrebbero potuto essere stati trovati solo con grande difficoltà – e quindi di stabilire un profilo più o meno dettagliato della persona interessata. Inoltre, l’effetto dell’interferenza con questi diritti del titolare del trattamento è accentuato dall’importante ruolo svolto da Internet e dai motori di ricerca nella società moderna, che rendono onnipresenti le informazioni contenute nell’elenco dei risultati (§80).
  6. In relazione all’equilibrio degli interessi che possono legittimare il trattamento effettuato dal motore di ricerca, in virtù della sentenza, prevalgono i diritti dell’interessato, in linea di principio, sull’interesse economico del motore di ricerca, alla luce della potenziale gravità dell’impatto di questo trattamento sui diritti fondamentali alla privacy e alla protezione dei dati personali. Questi diritti inoltre prevalgono generalmente sui diritti degli utenti di internet di avere accesso alle informazioni personali attraverso la ricerca sul motore di ricerca in del nome del soggetto. Tuttavia, bisogna trovare un equilibrio tra i diversi diritti e interessi e il risultato può dipendere da una parte dalla natura e dalla sensibilità dei dati trattati e dall’altra dall’interesse del pubblico di avere accesso a tali informazioni particolari, un interesse che può variare dal ruolo svolto dal soggetto interessato nella vita pubblica (§ 81).
  7. L’interessato ha il diritto di richiedere, se ci sono le condizioni che sono determinate sotto l’art. 12 e 14 della Direttiva 95/46/CE, di ottenere la de-indicizzazione dei link dalle pagine web pubblicate da terze parti che contengono informazioni relative a loro dall’elenco dei risultati visualizzati dopo una ricerca effettuata sulla base di un nome di una persona.
  8. I rispettivi motivi legali degli editori e dei motori di ricerca sono differenti. Il motore di ricerca dovrebbe effettuare la valutazione di diversi elementi (interesse pubblico, rilevanza pubblica, natura dei dati, rilevanza effettiva …) sulla base del proprio motivo giuridico, che deriva dal proprio interesse economico e da quello degli utenti di avere accesso alle informazioni tramite i motori di ricerca e utilizzando un nome come termine di ricerca. Anche quando (continua) la pubblicazione da parte degli editori originali è legale, la diffusione universale e l’accessibilità di tali informazioni da parte di un motore di ricerca, insieme ad altri dati relativi allo stesso individuo, possono essere illegali a causa dell’impatto sproporzionato sulla privacy.

La sentenza non obbliga i motori di ricerca a svolgere in modo permanente tale valutazione sulla base di tutte le informazioni che elaborano, ma solo quando devono rispondere alle richieste dei soggetti interessati per l’esercizio dei loro diritti.

  1. L’interesse dei motori di ricerca nel trattamento dei dati personali è economico. Ma c’è anche un interesse per gli utenti di Internet a ricevere le informazioni utilizzando i motori di ricerca. In questo senso, occorre tener conto del diritto fondamentale della libertà di espressione nella valutazione delle richieste dei soggetti interessati, intesa come “la libertà di ricevere e di comunicare informazioni e idee” all’articolo 11 della Carta europea dei diritti fondamentali.
  2. L’impatto dell’esercizio dei diritti umani sulla libertà di espressione degli editori e degli utenti sarà generalmente molto limitato. I motori di ricerca devono prendere in considerazione l’interesse del pubblico di avere accesso alle informazioni nella loro valutazione delle circostanze che circondano ogni richiesta. I risultati non dovrebbero essere eliminati se l’interesse del pubblico nell’accesso a tali informazioni prevale. Ma anche quando un determinato risultato di ricerca viene eliminato, il contenuto del sito web di origine è ancora disponibile e le informazioni possono ancora essere accessibili tramite il motore di ricerca, utilizzando altri termini di ricerca.
  3. Esercizio dei Diritti
  4. La legge sulla protezione dei dati si applica all’attività di un motore di ricerca che funge da controllore. Pertanto, i soggetti interessati dovrebbero essere in grado di esercitare i propri diritti in conformità delle disposizioni della direttiva 95/46/CE e più precisamente delle leggi nazionali che lo attuano.
  5. Gli individui non sono tenuti a contattare il sito originale, in precedenza o simultaneamente, per esercitare i propri diritti nei confronti dei motori di ricerca. Ci sono due diverse operazioni di elaborazione, con motivi di legittimità differenziati e anche con diversi impatti sui diritti e gli interessi di un individuo. L’individuo può ritenere che, in base alle circostanze del caso, è meglio contattare il webmaster per richiedere la cancellazione delle informazioni o l’applicazione di protocolli per la “non indicizzazione”, ma la sentenza non richiede questo.
  6. Per lo stesso motivo, un individuo può scegliere come esercitare i propri diritti nei confronti dei motori di ricerca selezionando uno o più di essi. Facendo una richiesta a uno o più motori di ricerca, l’individuo sta facendo una valutazione dell’impatto della comparsa delle informazioni controverse in uno o più dei motori di ricerca e, di conseguenza, decide sui rimedi che possono essere sufficienti per diminuire o eliminare tale impatto.
  7. Mentre la direttiva 95/46/CE non contiene disposizioni specifiche sui mezzi per l’esercizio dei diritti, la maggior parte delle legislazioni nazionali in materia di protezione dei dati prevede una grande flessibilità a tale riguardo e offre agli interessati la possibilità di presentare le loro richieste in vari modi, indipendentemente dal fatto che il titolare possa aver stabilito procedure “ad hoc”.

Di conseguenza, e come migliore pratica che sarebbe in linea con tutti i possibili requisiti legali in tutti gli Stati membri dell’UE, i soggetti interessati dovrebbero essere in grado di esercitare i propri diritti con gli operatori del motore di ricerca utilizzando qualsiasi mezzo adeguato. Sebbene l’uso di meccanismi specifici che possono essere sviluppati dai motori di ricerca, come le procedure online e i form digitali, possono avere vantaggi e sono consigliabili per la sua convenienza, non dovrebbe essere il modo esclusivo per i soggetti interessati di esercitare i loro diritti.

  1. Per le stesse ragioni, i motori di ricerca devono rispettare le leggi nazionali in materia di protezione dei dati per quanto riguarda i requisiti per la richiesta e per i termini e il contenuto delle risposte. In particolare, quando l’interessato richiede la cancellazione di alcuni link, alcuni form di identificazione possono essere predisposti dal titolare del trattamento, ma sempre in linea con le leggi nazionali ritenute necessarie e proporzionate per verificare l’identità del richiedente nel contesto della richiesta. Quando il titolare raccoglie le informazioni di identificazione, dovrebbero essere presenti adeguate misure di salvaguardia.

Affinché il motore di ricerca sia in grado di effettuare tutte le circostanze del caso per la valutazione richiesta, i soggetti interessati devono spiegare in modo sufficiente i motivi per cui richiedono la de-indicizzazione, identificando gli URL specifici e se svolgono un ruolo nella vita pubblica, o no.

  1. Quando il motore di ricerca rifiuta la richiesta di rimozione, deve essere dichiarata una sufficiente spiegazione all’interessato riguardo la ragione del rifiuto. Inoltre, deve avvisare l’interessato che può rivolgersi all’Autorità Garante per la protezione dei dati o alla Corte, se non è soddisfatto della risposta. Tali spiegazioni dovrebbero essere fornite anche dai soggetti interessati alla DPA, nel caso in cui decidano di farne riferimento.
  2. La sentenza ritiene che le filiali nazionali di Google nell’UE siano stabilimenti della società e che l’elaborazione dei dati personali nel motore di ricerca Google viene effettuata nel contesto delle attività di questi stabilimenti che rendono applicabili le norme UE in materia di protezione dei dati.

La Direttiva 95/46/CE non contiene nessuna specifica disposizione riguardo la responsabilità degli stabilimenti dei titolari del trattamento localizzati nel territorio degli Stati Membri. L’unico riferimento è contenuto all’art. 4.1.a, che dichiara che “quando il medesimo titolare del trattamento risiede sul territorio di più Stati Membri deve adottare le misure necessarie affinché ciascuno di questi stabilimenti rispetti gli obblighi previsti dalla legislazione nazionale applicabile”. Questa disposizione è in parte chiarita dal Motivo 19: “quando un singolo titolare del trattamento risiede in diversi territori degli Stati Membri tramite diverse filiali deve garantire, per evitare ogni infrazione delle norme nazionali, che ciascuno degli stabilimenti rispetti gli obblighi imposti dalla normativa nazionale, per le sue attività”.

L’effettiva applicazione della sentenza e della legge sulla protezione dei dati richiede che i soggetti interessati possano esercitare i propri diritti presso le sedi nazionali dei motori di ricerca nei rispettivi Stati Membri di residenza, ed anche che le Autorità Garanti per la Protezione dei Dati possano contattare le loro rispettive filiali nazionali in relazione alle richieste o ai reclami presentati dagli interessati.

Tali sedi sono ovviamente libere di seguire le procedure interne per far fronte alle richieste direttamente, o inoltrando le richieste ad altri stabilimenti della società. Potrebbe anche essere ragionevole aspettarsi che come prima attività sia consigliato agli interessati di utilizzare procedure “ad hoc” sviluppate dall’azienda e i corrispondenti form digitali. Ma se l’interessato insiste nel contattare la filiale nazionale, loro non dovrebbe rifiutare la richiesta.

  1. Ambito
  2. La sentenza è rivolta specificamente ai motori di ricerca generalisti, ma ciò non significa che non possa essere applicata ad altri intermediari. I diritti possono essere esercitati ogniqualvolta siano soddisfatte le condizioni stabilite nella sentenza.
  3. Le ricerche incluse nelle pagine web non producono gli stessi effetti dei motori di ricerca “esterni”. Da una parte recuperano solo le informazioni contenute in pagine web specifiche. D’altra parte, anche se un utente cerca la stessa persona in un certo numero di pagine web, i motori di ricerca interni non tracceranno un profilo completo dell’individuo leso e i risultati non avranno un grave impatto su di lui. Dunque, il regolamento sul diritto alla rimozione non dovrebbe applicarsi ai motori di ricerca con un campo di azione limitato, in particolare nel caso di strumenti di ricerca di siti web di giornali.
  4. L’articolo 8 della Carta UE dei diritti fondamentali, al quale fa riferimento un numero esplicito di paragrafi, riconosce il diritto alla protezione dei dati a “chiunque”. In pratica, i DPA (Autorità Garanti per la protezione dei dati) si concentreranno su reclami in cui esiste un nesso chiaro tra l’interessato e l’UE, ad esempio quando l’interessato è cittadino o residente di uno Stato membro dell’UE.
  5. Come affermato dalla Corte, il diritto dell’UE si applica, e la sentenza deve essere attuata per quanto riguarda l’operazione di elaborazione che consiste nel “trovare informazioni pubblicate o immesse su Internet da parte di terzi, indicizzandole automaticamente, memorizzandole temporaneamente ed infine, rendendole disponibili agli utenti di Internet secondo un particolare ordine di preferenza”.

La CGUE sostiene che “l’art. 12 (b), primo comma (a), del primo paragrafo dell’articolo 14 della Direttiva 95/46/CE, devono essere interpretati nel senso che, per conformarsi ai diritti stabiliti da tali disposizioni e nella misura in cui le condizioni stabilite dalle suddette disposizioni sono effettivamente soddisfatte, l’operatore di un motore di ricerca è tenuto a rimuovere dall’elenco dei risultati mostrati a seguito di una ricerca effettuata sulla base del link di un nome di una persona a pagine web, pubblicate da terzi e contenenti informazioni relative a tale persona”.

La sentenza stabilisce pertanto una serie di obblighi dei risultati che incidono sull’intera operazione di elaborazione effettuata dal motore di ricerca. L’adeguata attuazione della sentenza deve essere fatta in modo tale che gli interessati siano effettivamente protetti dall’impatto che subiscono per la diffusione universale e dell’accessibilità delle informazioni personali fornite dai motori di ricerca quando le ricerche sono effettuate in base al nome degli individui.

Sebbene le soluzioni concrete possono variare a seconda dell’organizzazione interna e della struttura dei motori di ricerca, le decisioni di sottoscrizione devono essere attuate in modo da garantire una protezione efficace e completa dei diritti e delle leggi dell’Unione europea che devono essere rispettate facilmente. In questo senso, limitare la rimozione ai soli domini UE, affinché gli utenti tendono ad accedere ai motori di ricerca attraverso i loro domini nazionali, non può essere considerato un mezzo sufficiente per garantire in modo soddisfacente i diritti degli interessati in accordo con le normative. In pratica, ciò significa che in ogni caso la de-indicizzazione dovrebbe anche essere efficace in tutti i domini rilevanti, tra cui anche il .com.

  1. Dal punto di vista pratico e come già menzionato, la sentenza dichiara espressamente che il diritto influisce solo sui risultati ottenuti dalle ricerche effettuate col nome dell’individuo e non prevede mai che la completa cancellazione della pagina dagli indici del motore di ricerca sia necessario. La pagina deve ancora essere accessibile utilizzando altri termini di ricerca. Vale la pena ricordare che la sentenza utilizza il termine “nome”, senza ulteriori specificazioni. Si può quindi concludere che il diritto si applica a diverse versioni del nome, tra cui anche nomi familiari o differenti nomenclature.
  2. Comunicazione a terze parti
  3. Sembra che alcuni motori di ricerca hanno sviluppato la pratica di informare sistematicamente gli utenti dei motori di ricerca del fatto che alcuni risultati delle loro query siano stati eliminati in risposta alle richieste di un individuo. Se tali informazioni sarebbero solo visibili nei risultati della ricerca in cui i collegamenti ipertestuali sarebbero stati effettivamente eliminati, questo avrebbe fortemente minato lo scopo della sentenza. Tale pratica può essere accettabile solo se le informazioni sono offerte in modo tale che gli utenti non possono in nessun caso giungere alla conclusione che un determinato individuo abbia richiesto l’eliminazione dei risultati relativi a lui stesso.

L’utilizzo di avvisi o dichiarazioni dovrebbe essere effettuato in maniera coerente per impedire agli utenti di arrivare a supposizioni sbagliate o errate. Data la difficoltà di gestire queste affermazioni sulla base di un determinato tipo di termini di ricerca (ovvero ogni volta che vengono utilizzati i nomi), è consigliabile che queste informazioni siano fornite in una dichiarazione generale in modo permanente, inserita nelle pagine web dei motori di ricerca.

  1. I gestori dei motori di ricerca non dovrebbero, come pratica generale, informare i webmaster delle pagine interessate per la rimozione, riguardo il fatto che ad alcune pagine web non è possibile accedere dal motore di ricerca in risposta a specifiche richieste. Tale comunicazione non ha alcuna base giuridica ai sensi della normativa comunitaria in materia di protezione dei dati.

Come dichiarato precedentemente, ci sono delle differenze cruciali tra il motivo legale per l’elaborazione da parte dei motori di ricerca e il motivo legale per i trattamenti svolti da editori originali. L’articolo 7.f costituisce il fondamento giuridico delle operazioni di elaborazione necessarie ai fini degli interessi legittimi perseguiti dall’interessato o da terze parti o da parti alle quali sono divulgati i dati, salvo quando gli interessi sono superati dagli stessi interessi per i diritti e libertà fondamentali dell’interessato. L’interesse dei webmaster originari nel ricevere la comunicazione è discutibile per vari motivi. Da una parte, la de-indicizzazione di un collegamento ipertestuale in un risultato di ricerca, nella ricerca per il nome di una persona ha solo un impatto limitato, come descritto in precedenza. D’altra parte, i webmaster originali non possono utilizzare in modo efficace la comunicazione ricevuta, in quanto influisce su un’operazione di elaborazione eseguita dall’interessato su cui non hanno alcun controllo o influenza. Di fatto, i motori di ricerca non riconoscono un diritto legale per gli editori di avere il loro contenuto indicizzato e visualizzato o visibile in un particolare ordine

In ogni caso, questo interesse dovrebbe essere bilanciato con i diritti, libertà  e interessi della persona interessata.

Nessuna disposizione della normativa UE sulla protezione dei dati obbliga i motori di ricerca di comunicare ai webmaster originali che i risultati relativi al loro contenuto sono stati rimossi. Tale comunicazione è in molti casi un trattamento di dati personali e, in quanto tale, richiede una giusta base giuridica per essere legittima. L’articolo 7 della direttiva 95/46/CE non consente di comunicare regolarmente le decisioni di sottoscrizione ai controllori primari

D’altra parte, può essere legittimo che i motori di ricerca contattino gli editori originali prima di qualsiasi decisione riguardo una richiesta di eliminazione, in casi particolarmente difficili, quando è necessario ottenere una comprensione più completa delle circostanze del caso. In questi casi, i motori di ricerca dovrebbero adottare tutte le misure necessarie per proteggere correttamente i diritti del soggetto interessato.

Tenendo conto dell’importante ruolo che i motori di ricerca svolgono nella diffusione e nell’accessibilità delle informazioni pubblicate su Internet e le legittime aspettative che i webmaster possono avere per quanto riguarda l’indicizzazione delle informazioni e la visualizzazione in risposta alle domande degli utenti, il Working Party incoraggia fortemente i motori di ricerca di pubblicare i loro criteri di de-indicizzazione e rendere disponibili statistiche più dettagliate.

  1. Ruolo dell’Autorità per La Protezione dei Dati
  2. Nonostante i nuovi elementi della sentenza CGUE, decidere se un determinato risultato di ricerca debba essere eliminato comporta – in sostanza – una valutazione di routine, se l’elaborazione del trattamento dei dati personali effettuati dal motore di ricerca sia conforme ai principi della protezione dei dati. Pertanto il Gruppo di lavoro (Working Party) ritiene che le denunce presentate dagli interessati alle Autorità per la protezione dei dati per i totali rifiuti delle richieste o rifiuti parziali da parte dei motori di ricerca devono essere trattati – per quanto possibile – come richieste formali previste dall’articolo 28 (4), della Direttiva. Di conseguenza, tali ricorsi dovrebbero essere trattati normalmente dalle Autorità per la Protezione dei Dati attraverso la loro legislazione nazionale allo stesso modo di tutti gli altri reclami/ denunce/ richieste di mediazione.
  3. Il presidente del Working Party contatterà i motori di ricerca per chiarire quale stabilimento dell’UE dovrà essere contattato dall’Autorità per la protezione dei dati competente e renderà pubblica i risultati della consultazione se fosse necessario.

PARTE II: Lista dei criteri comunitari per la gestione dei reclami dalle Autorità Europee per la protezione dei dati

Nella decisione del 13 Maggio 2014, la Corte di Giustizia dell’Unione Europea dichiara l’applicazione della legge sulla protezione dei dati per i motori di ricerca. Si è concluso che gli utenti possono richiedere ai motori di ricerca, sotto determinate condizioni, di eliminare alcuni link afferenti la loro privacy dai risultati per le ricerche fatte in merito al loro nome. Dove un motore di ricerca rifiuta una richiesta, l’interessato può appellarsi in materia alle Autorità Garanti per la protezione dei dati, o rilevanti autorità giudiziarie, che possono effettuare i necessari controlli e prendere una decisione in virtù dei loro poteri giudiziali nazionali.

Seguito dal giudizio del CGUE che l’interessato può “richiedere [da un motore di ricerca] che l’informazione [relativa a lui personalmente] non sia per lungo tempo disponibile al pubblico generale sull’account di questo incluso in […] una lista di risultati”. La Corte inoltre ha stipulato che “la sovrascrizione di tali diritti, come regola, non hanno solo un interesse economico dell’operatore del motore di ricerca, ma anche l’interesse del pubblico in generale di avere accesso a tali informazioni su una ricerca relativa al nome dell’interessato”. Questo diritto è riconosciuto dalla Corte di Giustizia dell’Unione Europea alla luce dei diritti fondamentali garantiti agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea e nell’applicazione dell’Articolo 12 (b) primo comma, del primo paragrafo dell’Articolo 14 della Direttiva 95/46/CE.

La Corte ha anche riconosciuto l’esistenza di alcune eccezioni in merito a tale regolamento quando “per particolari ragioni, come ad esempio il ruolo svolto dall’interessato nella vita pubblica […], l’interferenza con [i] diritti fondamentali [dell’interessato] è giustificato dall’interesse preponderante del pubblico, per l’inclusione [delle informazioni] nell’elenco dei risultati, l’accesso alle informazioni in questione.

Una prima analisi dei reclami finora ricevuti dai soggetti interessati le cui richieste di rimozione sono state rifiutate dai motori di ricerca, hanno permesso alle Autorità Garanti della protezione dei dati di stabilire un elenco di criteri comuni da utilizzare per valutare se la legge sulla protezione dei dati è stata rispettata. I DPA (Data Protection Authority) valuteranno le denunce caso per caso, utilizzando i seguenti criteri.

L’elenco dei criteri dovrebbe essere considerato come uno strumento di lavoro flessibile che aiuterà i Garanti per la protezione dei dati durante il loro processo decisionale. I criteri saranno applicati in conformità alla legislazione nazionale pertinente.

Nella maggior parte dei casi, sembra che occorra prendere in considerazione più di un criterio per prendere una decisione. In altre parole, nessun singolo criterio è di per sé determinante.

Ogni criterio deve essere applicato alla luce dei principi stabiliti dalla CGUE e in particolare alla luce “dell’interesse del pubblico in generale di avere accesso alle informazioni”.

CRITERI e COMMENTI

  1. Il risultato della ricerca si riferisce a una persona fisica – cioè ad un individuo? E il risultato della ricerca va contro una ricerca sul nome dell’interessato?

La sentenza di Google ha riconosciuto l’impatto particolare che una ricerca su Internet, basata sul nome di un individuo, può avere sul suo diritto al rispetto della vita privata.

I Garanti per la protezione dei dati considereranno anche gli pseudonimi e i soprannomi come termini di ricerca pertinenti nel momento in cui l’individuo può stabilire che sono legati alla sua reale identità.

  1. Se il soggetto interessato svolge un ruolo nella vita pubblica? Se il soggetto dei dati è una figura pubblica?

La CGUE ha fatto un’eccezione per le richieste di cancellazione da parte dei soggetti interessati che svolgono un ruolo nella vita pubblica, dove c’è interesse del pubblico di avere accesso alle informazioni su di essi. Questo criterio è più ampio del criterio per le “figure pubbliche”.

In cosa consiste un “ruolo nella vita pubblica”?

Non è possibile stabilire con certezza il tipo di ruolo nella vita pubblica che un individuo deve disporre per giustificare l’accesso del pubblico alle informazioni riguardo questi tramite risultati di ricerca.

Tuttavia, per il regolamento, i politici, gli alti funzionari pubblici, gli uomini d’affari e i lavoratori professionisti possono essere considerati come aventi un ruolo nella vita pubblica. Questo argomento è a favore del pubblico che deve essere in grado di cercare informazioni relative ai loro ruoli e attività pubbliche.

Per un corretto regolamento buona norma è cercare di decidere dove il pubblico che ha accesso alle informazioni particolari – rese disponibili attraverso ricerca del nome del soggetto – proteggerà questi contro un comportamento pubblico o una condotta  professionale scorretta.

E’ ugualmente difficile stabilire il sottogruppo delle “figure pubbliche”. In generale sono definite figure pubbliche gli individui che, a causa delle loro funzioni/impegni, hanno un grado di esposizione mediatica.

La risoluzione 1165 (1998) dell’Assemblea parlamentare del Consiglio d’Europa sul diritto alla vita privata, fornisce una possibile definizione di “figure pubbliche”. Si dichiara che le “figure pubbliche sono persone impegnate negli uffici pubblici e/o utilizzano risorse pubbliche e, sopra di ogni cosa, tutti coloro che giocano un ruolo fondamentale nella vita pubblica, ad esempio in ambito politico, economico, artistico, nella sfera sociale, sportiva o in altri ambiti”.

Ci possono essere informazioni sulle figure pubbliche che sono veramente private e che normalmente non dovrebbero apparire nei risultati della ricerca, ad esempio informazioni relative alla loro salute o ai membri della famiglia. Ma come regola generale, se i candidati sono figure pubbliche, e le informazioni in questione non costituiscono informazioni veramente private, ci sarà un motivo più preponderante verso l’eliminazione dei risultati di ricerca relativi a loro. Nel determinare il giusto equilibrio, la giurisprudenza della Corte europea dei diritti dell’uomo (abbreviata in CEDU) è particolarmente rilevante.

CEDU Von Hannover c. Germania (n. 2), 2012: “Il ruolo o la funzione dell’interessato e la natura delle attività che sono oggetto del rapporto e/o della foto costituiscono un altro importante criterio relativo al precedente. A tale riguardo bisogna fare una distinzione tra privati e persone che agiscono in un contesto pubblico, come figure politiche o figure pubbliche. Di conseguenza, mentre un individuo privato sconosciuto al pubblico può rivendicare una particolare tutela del proprio diritto alla vita privata, lo stesso non vale per le figure pubbliche (v. Minelli contro la Svizzera (decr.), n. 14991/02, 14 giugno 2005, e Petrenco, citata, § 55). Una particolare distinzione va fatta tra i fatti che contribuiscono ad un fatto in una società democratica, per esempio relativa ai politici nell’esercizio delle loro funzioni ufficiali, e i dettagli relativi alla vita provati di un individuo che non esercita questa funzioni (v. sentenza Von Hannover, citata, § 63, e Standard Verlags GmbH, citata, § 47)”.

  1. Se il soggetto interessato è un minore?

Come un ruolo pubblico, se il soggetto interessato è legalmente minorenne – vale a dire che non ha ancora compiuto i 18 anni di età al momento della pubblicazione dell’informazione – il Garante per la protezione dei dati dovrà immediatamente richiedere la rimozione dei risultati di ricerca rilevanti.

Il concetto di “migliore interesse per il minorenne” deve essere presa in carico dalle DPA (Autorità per la protezione dei dati). Questo concetto può essere rintracciato, inter alia, all’articolo 24 della Carta dei diritti fondamentali dell’UE: “In tutte le azioni relative ad un minore d’età, svolte da un’autorità pubblica o un’istituzione privata, il migliore interesse per il minore deve essere di primaria considerazione”.

  1. Il dato è accurato?

In generale, “accurato” significa in materia accurato di fatto. C’è una differenza tra un risultato di ricerca che si riferisce chiaramente al parere di una persona di un’altra persona e quello che sembra contenere informazioni di fatto.

Nella normativa per la protezione dei dati, i concetti di accuratezza, adeguatezza e incompletezza sono strettamente correlati. Le DPA saranno più probabili nel considerare che l’eliminazione di un risultato di ricerca è appropriato quando esiste un’inaccuratezza dei fatti e quando questo presenta un’impressione inaccurata, inadeguata, o fuorviante di un individuo. Quando un soggetto interessato si oppone ad un risultato di ricerca perché è inaccurato, le Autorità per la protezione dei dati (DPA) possono prendere in carico tale richiesta se il soggetto richiedente fornisce tutte le informazioni necessarie per stabilire che i dati sono evidentemente inesatti.

Nei casi in cui è ancora in corso una controversia circa l’accuratezza delle informazioni, ad esempio in tribunale o in presenza di indagini di Polizia ancora in corso, le DPA possono scegliere di non intervenire finché il processo non sia terminato.

  1. Se i dati sono rilevanti e non eccessivi?

L’obiettivo generale di questi criteri è quello di valutare se le informazioni contenute in un risultato di ricerca sono rilevanti o meno, in base all’interesse del grande pubblico di avere accesso a tali informazioni.

La rilevanza è anche strettamente correlata alle tempistiche dei dati. A seconda del caso, le informazioni che sono state pubblicate molto tempo fa, ad es. 15 anni fa, potrebbero essere meno rilevanti rispetto alle informazioni pubblicate 1 anno fa.

Le autorità per la protezione dei dati valuteranno la pertinenza dei fatti secondo i seguenti fattori.

  1. I dati si riferiscono alla vita lavorativa del soggetto interessato?

Un’iniziale distinzione iniziale tra la vita privata e quella professionale deve essere fatta dalle Autorità per la protezione dei dati quando esaminano la richiesta di cancellazione.

La tutela dei dati – e la legge sulla privacy – si occupano principalmente del rispetto del diritto fondamentale della persona alla privacy (e della protezione dei dati). Anche se tutti i dati relativi a una persona sono dati personali, non tutti i dati di una persona sono privati. C’è una distinzione fondamentale tra la vita privata di una persona e la sua persona pubblica o professionale. La disponibilità di informazioni nel risultato di ricerca diventa più accettabile di quanto rivela la vita privata di una persona.

Come regola generale, l’informazione relativa alla vita privata del soggetto interessato che non svolge un ruolo nella vita pubblica deve essere considerata irrilevante. Tuttavia, le figure pubbliche hanno anche queste diritto alla privacy, anche se in forma limitata o modificata.

L’informazione è più probabile per essere rilevante se si riferisce alla vita attuale lavorativa del soggetto interessato, ma dipenderà molto dalla natura del lavoro del soggetto interessato e dal legittimo interesse del pubblico nell’accesso a tali informazioni, attraverso una ricerca sul proprio il suo nome.

Due ulteriori rilevanti domande sono importanti a tal proposito:

-I dati relativi all’attività lavorativa di una persona sono eccessivi?

-Il soggetto interessato è ancora impegnato nella stessa professione

attività?

  1. Il risultato della ricerca si collega a informazioni eccessive o che presumibilmente costituiscono un elemento di odio/ calunnie/ frode o reati simili nel campo dell’espressione contro il richiedente?

Le Autorità per la protezione dei dati non sono in genere abilitate e qualificate per affrontare informazioni che potrebbero costituire un reato civile o penale contro il denunciante, come l’incitazione all’odio, diffamazione o calunnia. In tali casi, i Garanti consiglieranno al soggetto interessato di rivolgersi alla Polizia e/o al tribunale qualora la richiesta di rimozione venga rifiutata. La situazione sarebbe diversa se un tribunale avesse ordinato che la pubblicazione delle informazioni sia effettivamente un reato o in violazione di altre leggi.

Tuttavia, le Autorità Garanti per la protezione dei dati rimangono competenti nel valutare se sia stata o meno rispettata la legge sulla privacy.

  1. I dati si basano sull’opinione personale dell’individuo o i fatti appaiono come verificati?

Lo stato dell’informazione contenuta nel risultato di ricerca può essere rilevante, in particolare la differenza tra opinione personale e fatti accaduti. I DPA (Data protection Authorities) riconoscono che alcuni risultati di ricerca contengono collegamenti a contenuti che possono essere parte di una campagna personale contro qualcuno, composta da commenti “personali” e forse spiacevoli. Anche se la disponibilità di tali informazioni può essere dannosa e sgradevole, ciò non significa necessariamente che i Garanti ritengano necessario disattivare il relativo risultato di ricerca. Tuttavia, i Garanti per la protezione dei dati saranno più probabili considerare l’eliminazione dei risultati di ricerca che contengono dati che sembrano accertati, ma che sono di fatto inopportuni.

  1. Le informazioni sono sensibili ai sensi dell’art. 8 della Direttiva 95/46/CE?

Come regola generale, il dato sensibile (definiti all’articolo 8 della direttiva 95/46/CE come “categorie speciali di dati”) ha un impatto maggiore sulla vita privata del soggetto interessato rispetto al dato personale “ordinario”. Un buon esempio potrebbero essere informazioni sulla salute di una persona, sulla sessualità o sulle credenze religiose. I Garanti per la protezione dei dati hanno maggiori probabilità di intervenire quando le richieste di cancellazione vengono rifiutate a causa dei risultati di ricerca che mostrano tali informazioni al pubblico.

  1. I dati sono aggiornati? I dati sono messi a disposizione per un tempo maggiore di quanto sia necessario per lo scopo del trattamento?

Come regola generale, le autorità Garanti terranno conto di questo fattore con l’obiettivo di assicurare che le informazioni che non sono state aggiornate e che sono diventate inesatte perché risultano obsolete, verranno disattivate. Tale valutazione dipenderà dallo scopo dell’originale elaborazione.

  1. L’elaborazione dei dati provoca un pregiudizio per l’interessato? I dati hanno uno sproporzionato impatto negativo sulla privacy del soggetto interessato?

Non esiste alcun obbligo per i soggetti interessati di mostrare i pregiudizi per richiedere la rimozione, in altre parole il pregiudizio non è una condizione per esercitare il diritto riconosciuto dalla CGUE. Tuttavia, se vi sono prove che la visibilità di un risultato di ricerca provoca un pregiudizio per l’interessato, questo sarebbe un grande fattore a favore della rimozione.

La direttiva 95/46/CE consente ai soggetti interessati di opporsi al trattamento qualora vi siano motivi legittimi per farlo. Qualora vi sia un’obiezione giustificata, il titolare del trattamento deve cessare di elaborare i dati personali.

I dati potrebbero avere un impatto fortemente negativo sui soggetti interessati quando un risultato di ricerca si riferisce a un delitto banale o sciocco che non è più – o forse non è mai stato – oggetto di dibattito pubblico e dove non esiste un interesse pubblico ampio affinché siano disponibili le informazioni.

  1. Il risultato di ricerca risulta collegato a informazioni che mettono a rischio il soggetto interessato?

Le Autorità Garanti riconosceranno che la reperibilità di determinate informazioni tramite ricerche su Internet può lasciare, ai soggetti interessati, che ci siano i rischi, come il furto di identità o lo stalking. In tali casi, laddove il rischio è sostanziale, i DPA sono probabili considerare che l’eliminazione di un risultato di ricerca è appropriata.

  1. In quale contesto sono state pubblicate le informazioni?
  • Il contenuto è stato reso pubblico con il consenso dell’interessato?
  • Il contenuto voleva essere reso pubblico? Il soggetto interessato è in grado di sapere che il contenuto sarà reso pubblico?

Se l’unica base giuridica per i dati personali disponibile su Internet è il consenso, ma l’individuo revoca il suo consenso, dunque l’attività di elaborazione – cioè la pubblicazione – mancherà di una base giuridica e dovrà quindi cessare.

Nel valutare le richieste, il Garante per la privacy prenderà in considerazione se il link deve essere de-indicizzato anche quando il nome o l’informazione non sono stati cancellati in anticipo o contemporaneamente dalla fonte originale.

In particolare, se l’interessato ha consentito all’originale la pubblicazione, ma in seguito non è in grado di revocare il suo consenso, e la richiesta di rimozione è stata rifiutata, il Garante in generale considererà che l’eliminazione del risultato della ricerca sarà appropriata.

  1. Il contenuto originale è stato pubblicato per scopi giornalistici?

Le Autorità Garanti riconoscono che, a seconda del contesto, può essere rilevante considerare se le informazioni sono state pubblicate per uno scopo giornalistico. Il fatto che le informazioni siano pubblicate da un giornalista, il cui compito è quello di informare il pubblico, è un fattore da tenere in considerazione. Tuttavia, questo criterio da solo non fornisce una base sufficiente per rifiutare una richiesta, in quanto la sentenza chiaramente distingue tra la base giuridica per la pubblicazione da parte dei media e la base giuridica dei motori di ricerca per organizzare i risultati di ricerca basati sul nome di una persona.

  1. L’editore dei dati ha un potere legale – o un obbligo giuridico – per rendere pubblici i dati personali?

Alcune autorità pubbliche hanno il dovere giuridico di rendere accessibili le informazioni su singole persone – ad esempio per scopi di statistiche elettorali. Ciò varia a seconda della legislazione e degli usi dei singoli Stati membri. Quando questo è il caso, le Autorità Garanti potrebbero non considerare che la rimozione sia appropriata, mentre persiste l’obbligo per l’autorità pubblica di rendere visibili le informazioni. Tuttavia, ciò dovrà essere valutato caso per caso, insieme ai criteri di “obsolescenza” e irrilevanza.

I Garanti per la protezione dei dati possono ritenere che la rimozione sia appropriata, anche se vi sia un obbligo giuridico di rendere disponibile il contenuto sul sito web originale.

  1. Se i dati si riferiscono ad un reato?

Gli Stati membri dell’UE potrebbero avere approcci diversi per quanto riguarda la disponibilità delle informazioni pubbliche sui colpevoli e sui loro reati. Possono esistere specifiche disposizioni legali che hanno un impatto sulla disponibilità di tali informazioni nel tempo. Le Autorità Garanti gestiranno tali casi rispettando i rispettivi principi e approcci nazionali. Come regola generale, le DPA saranno più propense a prendere in considerazione la rimozione dei risultati di ricerca relativi ad un reato minore accaduto molto tempo fa, rispetto alla rimozione dei risultati relativi a reati più gravi che si sono verificati recentemente. Tuttavia, tali temi richiedono un’attenta valutazione, dunque saranno valutate caso per caso.