Il caso Google al vaglio della Corte di Giustizia: il diritto all’oblio nell’era del web

Il colosso americano dei motori di ricerca Google fa parlare ancora di sé e, questa volta, per un importante risultato conseguito in tema di diritto all’oblio ex articolo 17 GDPR.

Con la sentenza dello scorso 24 Settembre, la Corte di Giustizia Europea ha infatti messo il punto alla controversia tra l’autorità Garante Francese CNIL (Commission nationale de l’informatique et des libertés) e Google LLC (prima Google Inc.) pronunciandosi in favore di quest’ultima società: Google dovrà applicare il diritto all’oblio (e, dunque, procedere alla rimozione degli URL dietro richiesta degli utenti/interessati – c.d. “deindicizzazione”) solo nelle versioni europee del suo motore di ricerca.

Indice

Gli antefatti
La decisione della Corte di Giustizia
Spunti di riflessione

Gli antefatti

Il provvedimento della Corte di Lussemburgo è in realtà l’epilogo di una vicenda iniziata nel 2015, dunque prima dell’entrata in vigore del GDPR. Infatti, il 21 Maggio 2015 la CNIL aveva intimato a Google Inc. di applicare la richiesta di deindicizzazione formulata da un utente francese a tutte le estensioni (europee e non) del nome di dominio del proprio motore di ricerca. Successivamente, nel marzo 2016, l’autorità francese aveva comminato una sanzione al colosso americano di 100.000 Euro per essersi limitata a cancellare gli URL presenti nelle sole versioni europee del proprio motore di ricerca.

Google aveva poi richiesto l’annullamento della sentenza al Consiglio di Stato francese, il quale aveva a sua volta demandato la risoluzione della vicenda alla Corte di Giustizia europea. La Corte è stata dunque chiamata a pronunciarsi in merito alla legittimità della predetta sanzione comminata a Google dall’autorità garante francese.

La decisione della Corte di Giustizia

La sentenza emessa dai giudici di Lussemburgo ha di fatto negato all’uomo coinvolto nel contenzioso la tutela al diritto di rimozione su scala globale – ribadiamo, già accordata dal CNIL – di informazioni personali presenti on line, deleterie per la sua reputazione.

La decisione della Corte di Giustizia muove da un preciso assunto illustrato nel proprio comunicato stampa n. 112/19: molti Stati al di fuori dell’Unione europea non garantiscono il diritto alla deindicizzazione. In conseguenza di ciò, si ritiene che “il diritto alla protezione dei dati personali [incluso il diritto all’oblio] non è una prerogativa assoluta, ma va […] contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

In altre parole, ogni Paese europeo può decidere sul proprio territorio di competenza – imponendo o meno la deindicizzazione degli URL – ma non può estendere la propria legislazione intervenendo su contenuti che devono o non devono essere indicizzati in altri Paesi del mondo.

Spunti di riflessione

La sentenza oggetto di analisi porta con sé numerosi interrogativi.

In primo luogo, occorrerà capire come i principi affermati nella sentenza e, nello specifico, il riconoscimento del diritto all’oblio “su base territoriale”, possano conciliarsi con alcuni capisaldi del diritto dell’Unione Europea. Ed infatti, il diritto all’oblio, individuato dallo stesso GDPR quale diritto irrinunciabile per tutti i cittadini dello Spazio Economico Europeo senza limiti spazio-temporali, non dovrebbe essere oggetto di alcun bilanciamento di interessi.

A maggior ragione, basti pensare che la stessa Corte di Giustizia europea nel noto caso Google Spain del 2014 riconobbe l’invasività dei motori di ricerca rispetto al diritto alla protezione dei dati personali e, considerata la gravità potenziale di tale ingerenza, precisò chiaramente che quest’ultima “non può essere giustificata dal semplice interesse economico del gestore di un siffatto motore di ricerca in questo trattamento di dati”.

In secondo luogo, la decisione adottata dai giudici del Lussemburgo contribuirà ad aumentare ulteriormente le differenze tra l’accesso ai contenuti su internet nelle varie aree del mondo, con evidente pregiudizio per gli utenti europei. Contestualmente, imporrà ai big dei motori di ricerca di adottare nuove strategie per rendersi conformi alle regole dettate dalla Corte di Giustizia e, contestualmente, di evitare di perdere un’importante fetta di mercato costituita dagli utenti/cittadini europei. In tale ottica, appaiono assolutamente condivisibili le parole del Presidente dell’Autorità di Controllo Italiana durante un’intervista rilasciata dopo la sentenza della Corte: “La decisione […] è un invito a Google e ai gruppi concorrenti affinché adottino soluzioni tecnologiche capaci di scoraggiare l’accesso degli utenti europei a motori di ricerca dislocati in Paesi al di fuori della Ue”.

La sentenza in questione pone infine un importante interrogativo in merito alla giusta collocazione dei provider di motori di ricerca nel mondo del diritto digitale ed evidenzia la necessità di definire i relativi ruoli e responsabilità mediante una normativa specifica, adeguata e “non territoriale”.

ASSO DPO: GDPR, prossimi eventi sul territorio nazionale

L’Associazione data Protection Officer (ASSO DPO) è lieta di patrocinare due nuovi eventi sul territorio nazionale, che si terranno nei prossimi 23, 24 e 27 settembre: il Workshop GFT Italia “L’utilizzo sostenibile dell’Intelligenza Artificiale a supporto della GDPR” e il Congresso Nazionale sul tema“RPA e AI – Robotic Process Automation (RPA) e Intelligenza Artificiale (AI)” di RPA ITALY.

Il Presidente di ASSO DPO Matteo Colombo sarà presente il 23 settembre al workshop tematico di GFT dal titolo “L’utilizzo sostenibile dell’Intelligenza Artificiale a supporto della GDPR. Nello scenario degli istituti bancari è sempre più impellente la necessità di sfruttare tecnologie e innovazione per migliorare la competitività, attraverso modalità giuridicamente sostenibili. Durante il workshop verranno analizzati casi concreti, sfruttando le peculiari testimonianze di esperti e partner, circa l’utilizzo dell’Intelligenza Artificiale e degli algoritmi di Machine Learning in relazione alla normativa GDPR.

Il Congresso Nazionale sul tema RPA ed AI organizzato dall’Associazione RPA ITALY si terrà a Milano il 24 settembre e a Roma il 27 settembre 2019. Questo Congresso ha l’obiettivo di spiegare perché l’RPA è un importante veicolo per tutte le tecnologie innovative di Intelligenza Artificiale che, sulla base dei dati digitali di cui esse si servono, aiuteranno le imprese a cogliere i benefici dell’Industia 4.0.

Il Componente del Comitato Scientifico di ASSO DPO, Fabio Ferrara, sarà relatore al panel “RPA, DPO and legal aspects” per parlare di Data Protection e sottolineare che la corretta protezione dei dati, anche quando questi sono manipolati da un software robot, deve essere una priorità assoluta per le Imprese.

Consenso del dipendente: sanzione da 150 mila euro dell’Autorità Privacy greca

Con Decisione n° 26/2019, l’Autorità per la protezione dei dati personali greca (Hellenic Data Protection Authority) ha disposto una sanzione da 150 mila euro – oltre a delle misure correttive – nei confronti della multinazionale PRICEWATERHOUSECOOPERS Business Solutions Limited Liability Business and Accounting Service Provider SA (PWC BS) per non aver individuato correttamente la base giuridica del trattamento dei dati personali dei propri dipendenti e non aver rispettato il principio di accountability, in conformità al Reg. UE 2016/679.

Indice

– La base giuridica del trattamento dei dati personali dei dipendenti
– La violazione del principio di accountability
– Le sanzioni – considerazioni finali

La base giuridica del trattamento dei dati personali dei dipendenti

Il Garante ha condotto un’indagine in merito alla legittimità del trattamento di dati personali degli impiegati di PWC BS scaturito da un reclamo presentato da un’organizzazione sindacale, nel quale veniva rilevato come il datore di lavoro avesse erroneamente individuato il consenso del dipendente quale base giuridica del trattamento.

Nella Decisione dell’autorità greca viene effettivamente contestata la correttezza della base giuridica individuata, in quanto il consenso del dipendente non può essere considerato come liberamente concesso nell’ambito del rapporto di lavoro a causa dell’evidente squilibrio tra le parti. Le basi giuridiche corrette per questo trattamento sono il contratto di lavoro, l’adempimento di obblighi di legge del titolare del trattamento o il suo legittimo interesse, che consiste nel funzionamento regolare ed efficace dell’azienda.

Altro aspetto importante sottolineato nella decisione è che la scelta del consenso del dipendente come base giuridica deve essere effettuata come ultima ratio, proprio per le sue caratteristiche di irreversibilità: infatti, la revoca del consenso è considerata alla stregua di un divieto definitivo di effettuare il trattamento, che comporta l’impossibilità di trattare i dati anche identificando una diversa base giuridica.

Il Garante evidenzia, infine, le conseguenze della scelta sbagliata della base giuridica: i dipendenti sono stati indotti a pensare che la legittimità del trattamento si fondasse sul consenso prestato, in violazione del principio di trasparenza e degli art. 13 e 14 del Reg. UE 2016/679, e si sono visti negare un corretto esercizio dei diritti privacy, in quanto questi ultimi variano a seconda della base giuridica determinata a fondamento del trattamento.  

La violazione del principio di accountability

Il Garante ha ritenuto che il principio di accountability o responsabilizzazione (art. 5 par. 2 del Reg. UE 2016/679) – che viene definito come il “nucleo del modello di compliance” privacy – sia stato così violato. Questo in quanto l’azienda non è stata in grado di soddisfare la richiesta dell’Autorità di documentare la propria scelta in merito alla base giuridica del trattamento dei dati personali dei dipendenti.

Inoltre, è stato rilevato come le modalità concrete di gestione abbiano comportato un trasferimento dell’onere della prova dell’accountability dal titolare all’interessato: in particolare, è stato richiesto ai dipendenti di firmare un documento con il quale riconoscevano che i loro dati personali – trattati dall’azienda – fossero direttamente collegati, pertinenti e appropriati al rapporto di lavoro e all’organizzazione dell’attività lavorativa stessa.

L’Autorità ha specificato, invece, che è onere di ciascun titolare adottare un modello di compliance privacy tale da dimostrare la corretta applicazione dei principi di cui all’art. 5 del Reg. UE 2016/679.

Le sanzioni – considerazioni finali

Il Garante ha esercitato i suoi poteri ai sensi dell’art. 58 par. 2 del Reg. UE 2016/679, imponendo delle misure correttive tali da comportare l’immediato adeguamento della Società al Regolamento, in conformità alla Decisione. Inoltre, reputando insufficienti le sole misure correttive, ha anche comminato una sanzione amministrativa pecuniaria di 150 mila euro, ai sensi dell’art. 83 del Reg. UE 2016/679, alla luce del fatturato rilevato dai bilanci pubblicati dalla Società.

Ad avviso di chi scrive, la Decisione fornisce importanti spunti per valutare un aggiornamento delle informative privacy fornite sino ad oggi dai titolari del trattamento italiani ai loro dipendenti; ci si chiede se l’interpretazione relativa al consenso del dipendente quale base giuridica in connessione con il principio di accountability adottata dal Garante Greco verrà presto condivisa da altre Autorità privacy in Europa.

FONTE: Summary of Hellenic DPA’s Decision n° 26/2019 (Hellenic Data Protection Authority)

Il pulsante “Mi piace” di Facebook: titolarità e adempimenti in capo al sito web che lo incorpora

Oggetto del presente articolo è la decisione del 29 luglio scorso della Corte di Giustizia, Sezione Seconda, causa C-40/17 assunta in applicazione della Direttiva 95/46 oggi abrogata, i cui principi sono stati tuttavia confermati dal Regolamento UE 2016/679, vertente su un caso relativo ad un’analoga questione già trattata dalla medesima Corte: possibili corresponsabilità dei proprietari di siti web o pagine social con i gestori di questi ultimi.

Indice

1. La questione
2. La decisione della Corte di Giustizia
3. Quali soluzioni in concreto?

La questione

L’associazione tedesca a tutela degli interessi dei consumatori, Verbraucherzentrale NRW, ha intentato un procedimento giudiziario avverso un rivenditore di abbigliamento online, Fashion ID, per avere quest’ultimo incorporato nel proprio sito web il plug-in “Mi piace” del social network Facebook, con conseguente trasmissione al server di Facebook di alcuni dati personali dei visitatori, indipendentemente dalla loro interazione con tale plug-in, in violazione della normativa sulla protezione dei dati.

In particolare, la Verbraucherzentrale NRW ha contestato al gestore dell’e-commerce di agire quale titolare del trattamento nella raccolta e trasmissione di tali dati personali alla piattaforma social, senza fornire al visitatore preventiva idonea informativa e senza raccoglierne il consenso.

Al parziale accoglimento delle richieste in primo grado, ha fatto seguito il ricorso della Fashion ID dinanzi al giudice del rinvio, che ha deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia i propri dubbi in materia di protezione dei dati personali:

– Un’associazione di categoria per la tutela dei consumatori è legittimata ad agire in giudizio per la tutela dei relativi dati personali?
– L’operatore di un sito web che incorpori un plug-in social che trasmette dati personali al gestore del social network è da considerarsi titolare o contitolare di tale trattamento?
– Qualora sia confermata la titolarità di tali trattamenti in capo al proprietario del sito web, qual è la corretta base giuridica da porre a fondamento degli stessi?

La decisione della Corte di Giustizia

In merito alla prima domanda, la Corte dichiara che la Direttiva madre non osta alla previsione di una normativa nazionale che consenta alle associazioni per la tutela dei consumatori di agire o resistere in giudizi volti a stabilire responsabilità in materia di protezione dei dati personali.

Il giudice del riesame attribuisce al proprietario di un sito web che incorpori un plug-in social, la titolarità del trattamento rispetto ad alcune delle operazioni effettuate tramite plug-in: la raccolta e la trasmissione dei dati personali dei visitatori al social network, ciò anche in mancanza di un effettivo accesso ai dati trasmessi.

Infatti, unicamente in relazione a tali trattamenti (e non rispetto alle operazioni successive effettuate dal social network) si individuano in capo alla società autonome finalità di trattamento, in particolare ottimizzare la pubblicità dei suoi prodotti rendendoli più visibili sul social e beneficiare del vantaggio commerciale che consiste nell’aumentare la pubblicità dei suoi beni.

Inoltre, in ossequio alla definizione di titolare del trattamento, è il gestore del sito web a determinare nel plug-in lo strumento idoneo al raggiungimento delle predette finalità, esercitando un’influenza decisiva sulla raccolta e la trasmissione dei dati dei propri visitatori.

Infine, la Corte precisa che le basi giuridiche che legittimano tale trattamento sono l’interesse legittimo di entrambi i corresponsabili, unitamente alla preventiva acquisizione del consenso.

Quali soluzioni in concreto?

La palla ora passa alle società proprietarie di siti web che vogliano continuare ad utilizzare i plug-in social: come acquisire in concreto il consenso dei visitatori?

Come spesso accade, infatti, l’interprete si preoccupa più dei principi giuridici, che non dell’applicazione concreta degli stessi: considerando che la raccolta e la trasmissione dei dati avvengono al momento dell’atterraggio del visitatore sul sito web incriminato indipendentemente dall’interazione che lo stesso possa avere con il plug-in, quale tecnologia dovranno utilizzare per informare preventivamente l’interessato e acquisirne le relative preferenze?

È davvero possibile attribuire ai gestori di siti web tale adempimento o, in applicazione del principio di “privacy by design e by default”, una soluzione tecnica dovrebbe essere implementata dai social network?

CNIL: 400 mila euro per violazione delle misure di sicurezza e della conservazione dei dati personali

La società francese SERGIC, specializzata nella promozione immobiliare, l’acquisto, la vendita, l’affitto e la gestione di proprietà – con 486 dipendenti e un fatturato di 43 milioni di euro – ha subito una sanzione GDPR da 400mila euro.

La violazione delle misure di sicurezza

La CNIL, l’autorità garante francese, ha ricevuto un reclamo da un interessato, in merito ad una violazione di dati personali inerente la piattaforma web SERGIC.

Dal reclamo emerge che una modifica nell’URL consentiva un accesso abusivo ai dati personali, nello specifico a 300 mila file, riferiti a 30 mila possibili locatari, contenenti copie di carte d’identità, tessere sanitarie, accertamenti fiscali, certificati di morte, certificati di matrimonio, previdenza sociale, certificati di pensione di invalidità, sentenze di divorzio, estratti conto, estratti conto bancari e ricevute di affitto.

La società era al corrente della violazione da tempo, ed ha impiegato circa 6 mesi per la risoluzione della vulnerabilità informatica. La CNIL ha sottolineato che non sono state adottate delle contromisure momentanee per ridurne la portata, nonostante l’accesso abusivo potesse essere messo in atto anche senza una particolare esperienza informatica.

Il Garante francese ha inoltre evidenziato l’alto numero delle persone coinvolte nella violazione e la “sensibilità” dei dati personali trattati, che necessitano di misure di sicurezza elevate.

L’ulteriore violazione inerente la conservazione di dati personali

L’ulteriore violazione riguarda i periodi di conservazione dei dati personali degli aspiranti locatari.

In particolare, il Garante ha ritenuto che il periodo di conservazione superasse il termine legato alla finalità perseguita – ossia la candidatura all’affitto di un immobile e la successiva selezione – in quanto venivano conservati anche i dati dei soggetti scartati.

È stata contestata anche la conservazione per l’ulteriore finalità di adempimento di obblighi legali o fini precontenziosi o contenziosi. L’accortezza richiesta dalla CNIL è quella di creare una repository ad hoc per questa finalità: i dati personali devono essere selezionati e trasferiti in apposito archivio, diverso dal data base “attivo” dei candidati alla selezione. Questa separazione logica assicura che, tramite apposite misure di sicurezza tecniche ed organizzative, i dati personali conservati siano resi accessibili solo a soggetti preposti (autorità, in adempimento di obblighi di legge). Al termine delle scadenze di legge, anche l’archivio separato va eliminato.

La sanzione da 400mila euro

Considerato quanto sopra, il Garante ha deciso di comminare una sanzione pecuniaria di 400 mila euro, per violazione delle regole inerenti le misure di sicurezza (art. 32 GDPR) e del principio di conservazione (art. 5 GDPR).

La sanzione comminata è esemplare, in quanto dimostra che le autorità privacy possono entrare nel merito delle scelte aziendali basate su norme come gli artt. 32 e 5 del GDPR, che sembravano lasciare margine di scelta al Titolare – imponendogli di tenere conto dello stato dell’arte e dei costi di attuazione nella scelta delle misure di sicurezza e di valutare il periodo di conseguimento della finalità nella definizione delle tempistiche di conservazione – anche nell’ambito della sua “responsabilizzazione”.

Il provvedimento comminato dovrebbe quindi rappresentare uno spunto di riflessione per tutti i Titolari del trattamento, rispetto alle scelte aziendali fatte nell’ambito della loro accountability con riferimento a misure di sicurezza e conservazione dei dati personali.