nuove linee guida EDPB

Le nuove linee guida dell’EDPB per i motori di ricerca

Le nuove linee guida sul diritto all’oblio per i motori di ricerca sono state adottate ufficialmente il 2 Dicembre 2019 dall’EDPB.

Prima di tutto: che cos’è l’EDPB?

EDPB sta per European Data Protection Board.

È un ente indipendente dell’Unione Europea, che è stato costituito con lo scopo di assicurare l’applicazione uniforme delle regole in materia di protezione dei dati personali.

Inoltre, è un luogo di cooperazione tra le varie Autorità di Sorveglianza, come il nostro Garante Privacy e i suoi corrispettivi nei vari Stati membri. Infatti, l’EDPB è composto proprio dai rappresentanti dei vari Garanti e ai suoi incontri può partecipare anche la Commissione al fine di garantire l’applicazione e l’interpretazione uniforme delle norme in materia di dati personali.

Tra i vari compiti di questo organo, rientra quello di adottare delle linee guida che prima della sua costituzione erano del Working Party Articolo 29, un gruppo di lavoro che era stato costituito sempre all’interno dell’Unione per dare indicazioni sulle regole adottate.

Il diritto di cancellazione (diritto all’oblio)

Il diritto all’oblio è uno dei diritti che il GDPR riconosce alle persone fisiche e consiste nel diritto a non veder diffondere informazioni sul proprio passato una volta che sia trascorso un certo lasso di tempo dall’accadimento incorporato nell’informazione.

Il diritto all’oblio si riferisce, in modo particolare, a informazioni su condanne giudiziarie o che siano pregiudizievoli all’onore dell’interessato.

Ad esempio, il diritto di un politico a non vedere il suo nome associato a un’inchiesta del passato, ma anche nel caso di un lavoratore il cui nome risulta sul sito di un’azienda poi fallita.

Le linee guida per i motori di ricerca

Le linee guida che l’EDPB ha emanato lo scorso dicembre riguardano i motori di ricerca come Google e il diritto degli interessati a non essere indicizzati.

In altre parole, viene riconosciuto il diritto a non vedere comparire certi episodi del proprio passato quando si inserisce il proprio nome e cognome su un qualsiasi motore di ricerca.

La cancellazione del proprio nome dai risultati di ricerca si ha con la deindicizzazione dei contenuti.

In altre parole, non viene rimosso il contenuto (ad esempio l’articolo di giornale), bensì la sua comparsa tra i risultati del motore di ricerca attraverso la ricerca nominativa. Se su Google l’utente inserirà nel campo di ricerca il proprio nome, il risultato pregiudizievole che prima compariva non comparirà più.

I diritti in gioco

L’EDPB fa presente che in gioco ci sono due opposti diritti, entrambi riconosciuti dall’ordinamento e meritevoli di tutela.

Da un lato, infatti, vi è il diritto all’onore e al non vedersi associati a notizie pregiudizievoli una volta decorso un significativo periodo di tempo.

D’altro lato vi è l’interesse da parte degli utenti della Rete ad accedere alle informazioni presenti sul web, nonché il diritto di cronaca e di informazione.

Questi diritti vanno bilanciati attentamente da chi riceve una richiesta di cancellazione.

La base giuridica della richiesta di deindicizzazione

La prima cosa che il motore di ricerca deve verificare quando riceve una richiesta di deindicizzazione è la sua legittimità, detta anche base giuridica.

Qualsiasi richiesta che viene fatta per esercitare un diritto, infatti, si fonda su un diritto riconosciuto da qualche parte nell’ordinamento che rappresenta la sua base giuridica.

Ora, la base giuridica per la richiesta di deindicizzazione viene individuata negli articoli 17 e 21 del GDPR che disciplinano, rispettivamente, il diritto alla cancellazione e il diritto di opposizione.

Il precedente: la sentenza Google Spain

L’EDPB ci ricorda che un caso di richiesta di deindicizzazione ad un motore di ricerca era sta già stato analizzato dalla Corte di Giustizia dell’Unione Europea con la sentenza Costeja o Google Spain.

Il signor Costeja è un cittadino spagnolo che inserendo il proprio nome su Google incorreva in due articoli della Vanguardia, un quotidiano spagnolo, che riportavano la notizia delle aste immobiliari conseguenti al pignoramento che aveva subito per debiti previdenziali.

Benché la vicenda giudiziaria connessa fosse ormai definita da anni, il nome del signor Costeja continuava a comparire in relazione a quella vicenda.

Il sig. Costeja presentò quindi un reclamo all’Autorità per i Dati personali spagnola nel quale chiedeva al quotidiano di rimuovere la notizia e a Google di eliminare i link.

L’Autorità ribadì che il quotidiano aveva pubblicato la notizia legittimamente nell’esercizio del diritto di cronaca e che tale notizia poteva pertanto permanere nell’archivio e nel database del quotidiano. Tuttavia, relativamente a Google, l’Autorità richiese la rimozione dal motore di ricerca dei link agli articoli in questione.

Google sollevò una questione di interpretazione delle allora vigenti normative europee innanzi la Corte di Giustizia per sapere quali fossero gli obblighi a cui sono sottoposti i motori di ricerca.

La decisione della Corte di Giustizia ripercorre la normativa antecedente all’adozione del GDPR, e continua a rappresentare un modus di ragionamento che le nuove linee guida dell’EDPB continuano a seguire per il bilanciamento del diritto dell’interessato con quello degli utenti ad accedere alle informazioni presenti in rete.

Infatti, viene sottolineato che tale bilanciamento è presente nella struttura stessa dell’art. 17 GDPR, laddove nel primo paragrafo sono indicati i motivi che legittimano la domanda di cancellazione del dato, mentre nel terzo paragrafo sono indicate le eccezioni.

I motivi per la cancellazione

L’articolo 17 GDPR nel primo paragrafo prevede che:

1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;

d) i dati personali sono stati trattati illecitamente;

e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.

Art. 17 paragrafo 1, GDPR

Naturalmente, una richiesta di deindicizzazione può essere fatta per più motivi (ad esempio non sono più necessari).

Non necessità del trattamento

Secondo le nuove linee guida dell’EDPB, l’indicizzazione non è più necessaria rispetto alle finalità del trattamento quando:

  • L’informazione sull’interessato è detenuta da una socità che è stata rimossa dai pubblici registri;
  • Il link diretto al sito di un’azienda contiene dati di una persona che non vi lavora più;
  • L’informazione è stata pubblicata su Internet per un numero di anni definito da un obbligo legale ed è rimasta online oltre tale termine.

Revoca del consenso

La revoca del consenso è un caso piuttosto raro nel caso dei motori di ricerca perché l’interessato presta (e revoca) il consenso al soggetto che pubblica il dato (quindi al gestore del sito internet). Quindi l’interessato dovrebbe revocare il consenso al gestore del sito internet che, a sua volta, dovrebbe informare il motore di ricerca della richiesta ricevuta, così l’interessato potrebbe fare una richiesta ai sensi dell’art. 17.1.c.

Opposizione al trattamento

Il terzo caso, infatti, riguarda l’esercizio del diritto di opposizione al trattamento.

Le linee guida sono state particolarmente utili perché viene evidenziato il cambio di prospettiva (e di onere della prova) per l’esercizio del diritto di cancellazione per questo motivo.

Infatti, la Direttiva 95/46/CE prevedeva che fosse l’interessato a richiedere la cancellazione per “motivi preminenti e legittimi, derivanti dalla sua situazione particolare”.

Il GDPR, invece, richiede al Titolare di dimostrare i motivi preminenti e legittimi per continuare il trattamento. Tra questi rientrano le eccezioni al diritto di cancellazione elencate al paragrafo 3 dell’art. 17 GDPR. In caso contrario, il Titolare deve procedere alla cancellazione.

Di conseguenza, il motore di ricerca, salvo nei casi di eccezione indicati dall’art. 17.3 GDPR, procederà a deindicizzare il nominativo in relazione al link.

Se diamo un occhio a quelli che erano considerati i motivi legittimi per la richiesta di cancellazione possiamo avere un’idea più precisa del bilanciamento e delle opposizioni che, oggi a contrario, possono essere opposte dai motori di ricerca.

Nel 2014 il Working Party Articolo 29 aveva emanato una serie di criteri per la cancellazione che oggi tornano utili anche ai motori di ricerca e alle Autorità Garanti per gestire le richieste di deindicizzazione sulla base del diritto di opposizione al trattamento.

  • La persona non ha un ruolo pubblico;
  • L’informazione non è collegata alla vita professionale e riguarda la sfera intima della persona;
  • L’informazione costituisce hate speech, calunnia, o diffamazione secondo una pronuncia giudiziale;
  • L’informazione riflette un’opinione personale e non appare un fatto verificato;
  • Il dato è relativo a un reato bagatellare avvenuto molto tempo prima e causa pregiudizio al soggetto.

Trattamento illecito

Il trattamento è illecito, innanzitutto, quando non è conforme a quanto previsto dall’art. 6 GDPR.

Le nuove linee guida dell’EDPB sostengono che comunque la nozione di liceità del trattamento debba essere ampia quando si considera la richiesta di deindicizzazione e non ristretta al rispetto meramente formale del GDPR.

Ad esempio, ciò può dipendere da una pronuncia giudiziale o da una decisione delle Autorità di Controllo.

Viene anche precisato che nei casi in cui il motore di ricerca non sia in grado di dimostrare la liceità del trattamento, allora la richiesta di deindicizzazione debba essere accolta perché il trattamento deve essere considerato illegittimo sulla base della contrarietà dell’interessato che può comunque opporsi.

Cancellazione dei dati in adempimento ad un obbligo legale

L’ultima ipotesi riguarda il caso in cui l’indicizzazione debba essere rimossa sulla base di un obbligo legale dell’Unione Europea o di uno Stato membro.

Può dipendere da un ordine dell’autorità (ingiunzione, condanna) oppure da una legge che preveda la cancellazione, oppure il superamento del periodo di trattamento da parte del Titolare. Questo caso potrebbe anche incluedere l’ipotesi di dati non anonimizzati o identificativi contenuti negli open data.

I dati sono stati raccolti nell’offerta di servizi della società dell’informazione a un minore

La direttiva del 2000 sui servizi della società dell’informazione definisce tali servizi come attività economiche online a carattere direttamente o indirettamente oneroso (ad esempio, remunerate attraverso pubblicità).

In tal senso, tali attività devono essere caute nel trattare dati di minori e i motori di ricerca non devono indicizzare tali dati.

Le eccezioni alla richiesta di deindicizzazione

Il terzo paragrafo dell’articolo 17 GDPR, come visto, contiene l’elenco delle ragioni che i motori di ricerca (e i titolari in generale) possono addurre per rifiutare la deindicizzazione o la cancellazione del dato.

3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

a) per l’esercizio del diritto alla libertà di espressione e di informazione;

b) per l’adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;

o e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Paragrafo 3 articolo 17 GDPR

L’esercizio del diritto alla libertà di espressione e di informazione

La sentenza Google Spain ha dato degli spunti di riflessione che le nuove linee guida dell’EDPB hanno ripercorso.

Infatti, all’epoca la Corte di Giustizia aveva previsto come regola generale la prevalenza del diritto alla privacy rispetto al diritto degli utenti di accedere alle informazioni attraverso i motori di ricerca.

Tuttavia, tale valutazione può essere influenzata da una serie di fattori tra cui la natura dell’informazione, la sua rilevanza e l’interesse degli utenti ad accedervi. Tale interesse può variare a seconda del ruolo giocato dal soggetto interessato nella vita pubblica.

Infatti, in un’altra pronuncia della Corte di Giustizia Europea contro Google, si è precisato che:

La circostanza che l’articolo 17, paragrafo 3, lettera a), del regolamento 2016/679 oramai preveda espressamente che è escluso il diritto dell’interessato alla cancellazione allorché il trattamento è necessario all’esercizio del diritto relativo, in particolare, alla libertà di informazione, garantita dall’articolo 11 della Carta, è espressione del fatto che il diritto alla protezione dei dati personali non è un diritto assoluto, ma deve, come sottolinea il considerando 4 di detto regolamento, essere considerato in relazione alla sua funzione sociale ed essere bilanciato con altri diritti fondamentali, conformemente al principio di proporzionalità [v., del pari, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert, C‑92/09 e C‑93/09, EU:C:2010:662, punto 48, e parere 1/15 (accordo PNR UE-Canada) del 26 luglio 2017, EU:C:2017:592, punto 136].

CJEU, C-136/17, sentenza del 24 Settembre 2019, par. 59

In altre parole, il motore di ricerca ha margine per rifiutare la deindicizzazione se dimostra che ciò è necessario per tutelare la libertà di informazione degli utenti internet.

Adempimento di un obbligo giuridico

Questo è un caso improbabile perché al momento appare difficile immaginare un obbligo giuridico di diffondere una notizia imposto a un motore di ricerca che, notoriamente, non pubblica informazioni, ma organizza e mostra informazioni raccolte e pubblicate da altri.

Si potrebbe applicare, tuttavia, come giustificazione per la mancata deindicizzazione laddove la pubblicazione dell’informazione sia conseguente a un pubblico interesse o ad un ordine legale.

Motivi di interesse pubblico o come pubblici ufficiali

Tale ipotesi è applicabile solo laddove il motore di ricerca venga investito di tale potere.

In una simile ipotesi, il motore di ricerca dovrà valutare (e motivare) se il rifiuto della richiesta di deindicizzazione sia necessario al perseguimento del motivo di interesse pubblico, altrimenti tale rifiuto non potrà godere dell’esenzione prevista dal paragrafo 3.

Motivi di pubblico interesse nel settore della salute

Parimenti, in tale ipotesi, la legittimazione deve essere fornita da uno Stato membro o da una normativa della UE.

Ad ogni modo, tale ipotesi sembra altamente improbabile, soprattutto se non accompagnata da un ordine di cancellazione di informazioni che potrebbero essere altrimenti rinvenute dagli utenti.

Archiviazione per fini di ricerca scientifica, storica, statistica

In tale ipotesi, il motore di ricerca deve dimostrare che la deindicizzazione sarà di ostacolo ai summenzionati fini di archiviazione nel pubblico interesse per la ricerca scientifica, storica e statistica.

Le nuove linee guida dell’EDPB chiariscono che gli scopi siano perseguiti direttamente dal motore di ricerca e che non possano essere perseguiti senza la deindicizzazione del nome dell’interessato.

La possibilità che tale deindicizzazione possa influenzare gli scopi di ricerca degli utenti non è rilevante ai fini di tale esenzione.

Accertamento, esercizio e difesa di un diritto in giudizio

Tale motivo di esenzione è altamente improbabile che possa costituire un motivo di rifiuto da parte del motore di ricerca.

Le nuove linee guida dell’EDPB sottolineano che la richiesta di deindicizzazione prevede la soppressione di alcuni risultati dalla pagina del motore di ricerca quando è utilizzato il nome dell’interessato come criterio di ricerca. L’informazione pertanto rimane accessibile utilizzando altri termini di ricerca.

Conclusione

In definitiva, le nuove linee guida pubblicate dall’EDPB, per quanto siano applicabili solo ai motori di ricerca, ci aiutano a riflettere sul diritto alla cancellazione dei dati e possono essere un ottimo spunto di riflessione anche per gli altri Titolari su come affrontare le richieste di cancellazione.

Ad esempio, se una certa pagina web presente sul sito della mia azienda può essere fonte di prova (immaginiamo un post con una serie di commenti offensivi) potrò sicuramente utilizzare tali criteri per rifiutare la cancellazione a fini di difesa in giudizio contro l’autore dell’hate speech.

Se alcuni termini ti sembrano confusi o hai dubbi su qualcosa, scrivimi pure, sarò felice di risponderti. Al momento sto lavorando ad una piccola guida sul GDPR che pubblicherò qui sul sito. Nel frattempo, qui trovi gli ultimi articoli (in inglese) che ho scritto per il sito di Advisera.

Alla prossima.

Alessandra


Pubblicato

in

,

da