Il Garante privacy nella nota dell’11 settembre 2023 ci riferisce di aver ammonito Google ordinandogli di “rimuovere i risultati di ricerca di un Url collegato a un sito web falso” che recava nell’indirizzo, come se non bastasse, nome e cognome di un noto imprenditore italiano con affermazioni lesive la sua reputazione.
Vediamone i dettagli.
Telemarketing selvaggio, il Garante privacy multa Tiscali e Comparafacile: ecco perché
Indice degli argomenti
Il criterio di esattezza del dato personale
La nostra Autorità nell’ammonire Google ordinandogli di rimuovere tempestivamente un Url (Uniform Resource Locator), più semplicemente “indirizzo web”, ribadisce, tra gli altri, l’importanza del criterio di esattezza del dato personale.
Si tratta di uno dei principi cardine del GDPR il quale prevede che i dati personali trattati non solo siano corretti, ma anche aggiornati. Qualora poi fossero non esatti o sbagliati, devono essere rettificati, a maggior ragione quando la richiesta arriva dall’interessato. Rientra tra i principi fondamentali previsti dall’art. 5 del citato Regolamento. Si tratta di un requisito imprescindibile per una corretta attività di trattamento.
Nel caso di specie, tale criterio incide sulla valutazione delle richieste di deindicizzazione, come vedremo in chiusura ed entro quali limiti, anche grazie alle linee guida dell’EDPB predisposte in materia.
Ciò posto, un dato personale inesatto comporta un trattamento illecito.
Da qui, è fatto obbligo al titolare del trattamento di verificare, in modo periodico, l’attendibilità del dato personale trattato, anche senza esplicita richiesta dell’interessato.
L’inesattezza è data anche da un dato non errato, ma incompleto; da qui, la possibilità all’interessato di chiedere e ottenere “senza ingiustificato ritardo”, la rettifica o l’integrazione dei propri dati che sono nella disponibilità del Titolare (art. 16).
Ancora una precisazione. Il dato esatto non deve essere (per forza) “integro”, nel senso di inalterabile. L’esattezza del dato rappresenta, infatti, un criterio ben più ampio del dato che non può essere alterato. Il titolare per conseguenza dovrà, al fine di garantire l’esattezza, monitorare il dato per tutto il suo ciclo di vita cioè da quando lo raccoglie a che lo cancella in maniera definitiva e irreversibile, se vuole essere conforme al dettato normativo – compliant in parte qua, al GDPR.
Sito falso: il provvedimento del Garante privacy
Vediamo ora più nel dettaglio il provvedimento in questione, ed emesso nei confronti del noto colosso del web, il più conosciuto motore di ricerca, analizzandolo tra: fatti, difese e attività istruttoria, motivazioni e principi e relativa decisione.
I fatti
Un noto imprenditore italiano conosciuto anche all’estero essendo operativo anche a livello internazionale, in qualità di Presidente di un fondo di investimento privato nel settore finanziario e a capo di alcune fondazioni, venuto a conoscenza dell’esistenza di un sito internet costituito dalle sue generalità (nome e cognome) bene indicizzato su Google nel quale comparivano altri dati personali (come l’immagine, i luoghi delle varie residenze ecc.), ed era gestito da anonimi malfattori, poiché conteneva tutta una serie di “affermazioni diffamatorie e lesive della sua onorabilità” pregiudizievoli per le sue attività imprenditoriali, faceva oltre ad apposite denunce presso le competenti Autorità giudiziarie, anche tempestiva richiesta di deindicizzazione del sito al motore di ricerca Google.
Google in tutta risposta, negava la richiesta del malcapitato imprenditore fino a che un tribunale non glielo imponeva con apposita sentenza. A quel punto, Google effettuava la deindicizzazione del link ma solo sui server operanti nella Federazione Russa.
Oltretutto il sito incriminato non forniva alcuna informativa, violando gli artt. 12 e ss GDPR.
Le reciproche difese delle parti e l’attività istruttoria
Con nota del 21 marzo 2023 il Garante intimava al noto motore di ricerca, in qualità di titolare del trattamento, di “fornire elementi in ordine alla richiesta del reclamante e di far conoscere se avesse intenzione di adeguarsi ad essa”.
Poco dopo, con nota dell’11 aprile 2023, in tutta risposta Google negava le richieste dell’imprenditore sostenendo che le stesse non rientrassero nella tutela della protezione dei dati, e che per tali motivi, non poteva disporre “di alcuno strumento, elemento o informazione in grado … di svolgere una valutazione in merito alla pretesa inesattezza dei contenuti riportati nell’Url”.
Per contro, il noto malcapitato imprenditore/reclamante ribadiva, con altra nota del 9 maggio 2023, le ragioni del reclamo, precisando “le plurime violazioni del Regolamento poste in essere dagli autori del sito https://…, e in particolare la mancanza di informativa e dei riferimenti dei titolari del sito, che rendono impossibile porre rimedio all’utilizzo improprio della sua immagine e dei suoi dati personali”. Resistendo, in pratica, nelle sue doglianze.
Le motivazioni, i principi di diritto sottesi e la decisione
Poste le premesse procedurali in virtù del principio di stabilimento a fondamento di una legittima competenza del Garante italiano (art. 55), la nostra Autorità in merito all’istanza di rimozione dell’indirizzo web, invoca anzitutto le “Linee Guida 2014” e a seguire le più recenti Linee Guida n. 5/2019, adottate dallo European Data Protection Board (EDPB) il 7 luglio 2020, “contenenti i criteri per l’applicazione del diritto all’oblio da parte dei motori di ricerca”.
Non solo, rileva altresì che l’incriminato Url apparendo tra i primi risultati di ricerca su Google, altro non dimostrava se non una forte indicizzazione oltre che un chiaro intento denigratorio nei confronti dell’utente/interessato, malcapitato imprenditore.
In punto privacy, il sito fraudolento non conteneva “alcun riferimento all’informativa sull’utilizzo dei dati personali né al titolare del trattamento cui rivolgersi per esercitare i diritti di opposizione e di rettifica di cui all’art. 12 del Regolamento”, divenendo per conseguenza “…estremamente difficile per l’interessato […] esercitare tali diritti e porre rimedio all’uso improprio e a fini denigratori dei suoi dati personali”. Ciò che è stato, in effetti.
Per tutti questi motivi, dunque, il Garante della privacy ha ritenuto fondato il reclamo proposto, e per l’effetto ha ingiunto a Google di rimuovere il sito falso e denigratorio, nel termine di venti giorni. In caso contrario, scatterà la sanzione ai sensi e per gli effetti di cui all’art. 83 – GDPR, verosimilmente esemplare.
Deindicizzazione quale concreta applicazione del diritto all’oblio
Il Garante nell’ordinare la deindicizzazione dell’indirizzo web (url) a Google, in definitiva, riconosce il diritto all’oblio.
Non a caso, questo – se applicato ai motori di ricerca – si concretizza nella pratica di deindicizzazione rappresentando un’operazione differente dalla rimozione/cancellazione di un contenuto, poiché in questa ipotesi non viene eliminato, bensì “deindicizzato” e cioè non più direttamente accessibile tramite i motori di ricerca.
La questione non è nuova, anzi ricordiamo la famosa vicenda Google Spain (2014) nella quale il diritto all’oblio è stato consacrato riconoscendo, per la prima volta, la titolarità – in termini di trattamento – di un motore di ricerca.
Sull’art. 17 GDPR occorre fare una precisazione importante. Ad una prima lettura anche solo della rubrica “Diritto alla cancellazione («diritto all’oblio»)” potremmo essere tratti in inganno pensando che la cancellazione e l’oblio siano la stessa cosa. Niente affatto, si tratta di due diritti distinti. Per quanto, con specifico riferimento al “diritto all’oblio”, autorevole dottrina, lo ritenga (quasi) inapplicabile o di dubbiosa applicazione.
Le linee guida dell’EDPB: le motivazioni e le eccezioni
Le linee guida dell’EDPB si preoccupano anzitutto di individuare le “basi giuridiche di una richiesta di deindicizzazione” ai sensi e per gli effetti del GDPR indicando sei cd “motivazioni”, e in particolare il “diritto di chiedere la deindicizzazione” quando:
- i dati personali non sono più necessari rispetto al trattamento del fornitore del motore di ricerca (art. 17, par. 1, lett. a);
- l’interessato revoca il consenso;
- l’interessato ha esercitato il diritto di opporsi al trattamento dei suoi dati personali (art. 17, par. 1, lett. c);
- i dati personali sono stati trattati illecitamente (art. 17, par. 1, lett. d);
- i dati personali sono stati cancellati per adempiere un obbligo legale (art. 17, par. 1, lett. e);
- quando i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione a minori (art.17, par. 1, lett. f).
Rimandando alla lettura integrale delle Linee guida, in estrema sintesi l’EDPB si preoccupa di chiarire sostanzialmente che l’interessato possa fare richiesta di deindicizzazione a un motore di ricerca sempre o quasi purché il medesimo si appoggi su una o più basi giuridiche anche contemporaneamente invocate.
Così agendo l’interessato/utente sarà legittimato, in forza dell’art. 17 par. 1 lett. a), a richiedere direttamente al fornitore del motore di ricerca di rimuovere il contenuto dai propri risultati di ricerca.
Da qui, continuano le linee guida dell’EDPB, occorre “la cancellazione dall’elenco delle informazioni personali che lo riguardano laddove le informazioni personali siano inesatte o non aggiornate a causa del trascorrere del tempo”, previo bilanciamento tra la tutela della privacy di un individuo/interessato e gli interessi degli utenti/collettività ad accedere alle informazioni in rete. Passaggio indubbiamente interessante.
Le Linee guida precisano poi che “l’interessato può richiedere la deindicizzazione qualora i dati siano stati trattati in modo illecito” sottolineando come “la nozione di trattamento illecito dev’essere interpretata in modo ampio, ma oggettivo”.
Quanto alle eccezioni al diritto alla deindicizzazione, le Linee guida ne ravvisano cinque, e in particolare:
- “il trattamento è necessario per esercitare il diritto alla libertà di espressione e di informazione”, in pratica, un contenuto non dev’essere rimosso se e nella misura in cui il motore di ricerca dimostri che includerlo sia strettamente necessario alla libera informazione degli utenti Internet;
- “…il trattamento è necessario per l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento” tanto nell’accezione di obbligo di legge, quanto in quell’altra di esecuzione di un compito svolto nel pubblico interesse/esercizio di pubblici poteri. Perciò occorre “trovare un equilibrio tra i diritti dell’interessato e l’interesse degli utenti di Internet ad accedere alle informazioni”;
- “…motivi di interesse pubblico nel settore della sanità pubblica” facendo un focus su questo delicato settore che coinvolge il dato sanitario, l’EDPB si preoccupa di precisare che l’esercizio del diritto ex art. 17 GDPR deve, in questi casi, tradursi come “l’eliminazione di alcuni risultati dalla pagina dei risultati” senza che “le informazioni siano completamente cancellate dall’indice dei motori di ricerca”;
- “…finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o finalità statistiche” riguardano sempre motivi di interesse pubblico e, per l’effetto, limitano l’esercizio del citato diritto “nella misura in cui ciò potrebbe rendere impossibile o compromettere gravemente il raggiungimento degli obiettivi di tale trattamento”;
- “…accertamento, esercizio o difesa di un diritto in sede giudiziaria” con la precisazione che le informazioni, in un processo di rimozione, debbano rimanere comunque accessibili.
In altre parole, e alla luce delle argomentazioni trattate nelle Linee guida, possiamo dunque concludere dicendo che il diritto all’oblio, applicato nella deindicizzazione da farsi presso i motori di ricerca, non è assoluto, ma relativo bilanciandolo tra il diritto alle informazioni per tutti gli utenti/interessati e i diritti del singolo individuo/interessato in qualche modo lesionato nella sua (nuova) “privacy”.
