SOMMARIO: 1. La motivazione del Garante. 2. La fondatezza della domanda e la violazione dei diritti costituzionali e del Regolamento UE/679/2016 da parte di Google. 2.1. Disposizioni del Regolamento UE 2016/678 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. 2.2. Legge italiana nr. 179/91 e Convenzione di New York sui diritti del fanciullo del 20.11.1989. 2.3. Art. 17 del Regolamento UE/679/2016. 3. Applicazione delle Linee Guida sul diritto all’oblio dell’EDPB nr. 5/2019. 4. L’importanza del provvedimento per il diritto all’oblio su Google
Premessa
Il diritto all’oblio su Google può essere invocato anche quando i dati presenti sul web, diversi dal nome e cognome dell’individuo, lo rendono indirettamente identificabile. Questo principio è stato recentemente stabilito dal Garante per la privacy in risposta a un reclamo presentato dal marito di una donna defunta che era stata ritrovata in casa dopo essersi tolta la vita. Google inizialmente accoglieva, sempre dinanzi al Garante, la richiesta di rimozione delle notizie del suicidio dalle ricerche per il nome della compianta donna. Analoghi risultati, però, continuavano ad essere visualizzati nelle ricerche associate al nome della città e alla professione svolta della defunta (“poliziotta”). Motivo per cui il coniuge presentava una seconda richiesta per cancellare notizie da Google, che il motore di ricerca rigettava trattandosi di un criterio di ricerca diverso dal nome proprio. Nuovamente, quindi, l’interessato sottoponeva il caso all’Autorità per la protezione dei dati che, con provvedimento numero 30 del 26 gennaio 2023, dichiarava il reclamo fondato e ingiungeva a Google di disporre la rimozione degli URL segnalati anche dalle ricerche reperibili in associazione al nuovo criterio segnalato (nome della città + “poliziotta”).
La motivazione del Garante
“Il bilanciamento tra l’interesse della collettività a conoscere le informazioni contenute negli articoli reperibili tramite gli URL indicati dai reclamanti – si legge nel provvedimento del Garante – e l’interesse dei soggetti coinvolti, depone nel senso di ritenere quest’ultimo prevalente, data la necessità, nel caso in esame, di garantire la più ampia tutela ai figli minori della defunta”. Il reclamo, infatti, era stato presentato dal coniuge della donna defunta anche in proprio e nell’interesse dei figli minori, che nulla sapevano delle circostanze e del luogo in cui il decesso della madre si verificava e per i quali il medico che li aveva in cura aveva indicata come necessaria la rimozione dal web di informazioni relative alla vicenda che i minori avrebbero potuto recuperare tramite una semplice ricerca in rete senza essere a ciò adeguatamente preparati.
La fondatezza della domanda e la violazione dei Diritti costituzionali e del Regolamento UE/679/2016 da parte di Google
Le notizie delle quali si richiedeva la rimozione non solo riportavano la dettagliata ricostruzione dell’evento, quanto recavano tali e tanti elementi da consentire l’identificazione dei minori (diffusione dell’immagine della loro mamma, nominativo di quest’ultima, indirizzo della loro abitazione, specificazione che i figlioli della defunta sono due, ecc.), senza che il ricorrente avesse mai prestato il consenso al loro lecito trattamento. Ed allora, appariva evidente come la permanenza in rete di tali contenuti rappresentassero una forte violazione dei diritti costituzionali (ed in particolare alla riservatezza ed all’oblio), sia dei minori che dello stesso ricorrente. Google nel respingere l’istanza formulata dall’odierno istante, così illegittimamente motivava: “Tenga presente che non effettuiamo la rimozione per determinati tipi di query, tra cui: – query che non riguardano il suo nome specifico – query relative al nome di una società. Al momento non rimuoveremo risultati relativi alla query da lei indicata nel reclamo”.
Disposizioni del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali
Senonchè l’assunto era contrario alla normativa vigente; ed infatti il D.Lgs 30.06.2003, n. 196, come modificato dal D.Lgs 10.08.2018 n. 101 (recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati’), all’art. 2-terdecies, sotto il titolo “Diritti riguardanti le persone decedute”, così dispone:
“1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione” (…)3. La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma. (…) “.
Ebbene, nel caso di specie il ricorrente agiva in forza di un interesse proprio e, soprattutto, dei figlioli minori, quindi per ragioni familiari meritevoli di altissima protezione.
A ciò bisogna aggiungere che risultava essere, altresì, violato il diritto all’immagine della defunta, il cui nominativo, le foto, nonchè le tragiche modalità della sua morte erano liberamente accessibili sul motore di ricerca attraverso una semplice ricerca correlata a “poliziotta” ed al nominativo della città in cui viveva. Premesso che i minori diventavano ogni giorno più consapevoli della loro situazione, la facile reperibilità delle informazioni rappresentava una gravissima fonte di rischio; vieppiù se si considera che gli stessi acquisivano sempre maggiore dimestichezza con la tecnologia – stava di fatto che avevano hanno tentato di reperire sul motore di ricerca notizie sulla madre, con le intuibili conseguenze del caso.
La gravità della condotta di Google non consisteva, quindi, nell’aver diffuso notizie riguardanti un caso di cronaca, quanto nell’aver ostinatamente rifiutato la cancellazione dei risultati di ricerca correlati alla compianta donna nonché delle sue immagini.
Legge italiana n.176/91 e Convenzione di New York sui diritti del fanciullo del 20.11.1989
In merito al quadro normativo applicabile al caso di specie – prima di procedere ad una compiuta analisi della nuova normativa dettata, in materia di protezione dei dati personali, dal nuovo Regolamento UE/679/2016 – il ricorrente rappresentava quanto segue.
In materia di protezione dei minori di età, la L. n. 176/91 ha ratificato la ‘Convenzione di New York sui diritti del fanciullo’ del 20.11.1989, ove – all’art. 3 – dispone: “In tutte le decisioni relative ai fanciulli, di competenza sia delle istituzioni pubbliche o private di assistenza sociale, dei tribunali, delle autorità amministrative o degli organi legislativi, l’interesse superiore del fanciullo deve essere una considerazione preminente (…)”. La reputazione e l’onore dei fanciulli trovano espresso riconoscimento anche nell’art. 16 della medesima Convenzione, a norma del quale: “1. Nessun fanciullo sarà oggetto di interferenze arbitrarie o illegali nella sua vita privata, nella sua famiglia, nel suo domicilio o nella sua corrispondenza, e neppure di affronti illegali al suo onore e alla sua reputazione. Il fanciullo ha diritto alla protezione della legge contro tali interferenze o tali affronti”.
Infine, per tutelare i minori da ogni forma di violenza e/o aggressione, fisica o psicologica, a norma dell’art. 19 della Convenzione di New York, gravano sugli Stati firmatari importanti oneri; in particolare: “1. Gli Stati parti adottano ogni misura legislativa, amministrativa, sociale ed educativa per tutelare il fanciullo contro ogni forma di violenza, di oltraggio o di brutalità fisiche o mentali, di abbandono o di negligenza, di maltrattamenti o di sfruttamento, compresa la violenza sessuale, per tutto il tempo in cui è affidato all’uno o all’altro, o ad entrambi, i suoi genitori, al suo rappresentante legale (o rappresentanti legali), oppure ad ogni altra persona che ha il suo affidamento (…)”.
Art. 17 del Regolamento UE/679/2016
Quanto previsto dalla citata Convenzione è divenuto, poi, il pilastro della normativa europea in materia di tutela dei minori; non a caso la disciplina introdotta dal nuovo Regolamento UE/679/2016 – c.d. G.D.P.R., General Data Protection Regulation – reca specifiche norme, seppur limitate all’esercizio del consenso, a protezione dei fanciulli, in particolar modo dei minori degli anni 14. Muovendo dalla disciplina generale prevista in materia di trattamento dei dati personali, l’art. 17 Regolamento UE/679/2016 (in seguito GDPR, che ha sostituito l’art. 7, co. 3, D.lgs. n. 196/2003 – Codice della Privacy) prevede che il soggetto a cui il dato personale si riferisce ha diritto di ottenere: “(…) dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; (…) d) i dati personali sono stati trattati illecitamente (…)”.
Il consapevole esercizio del diritto alla cancellazione (meglio noto come diritto all’oblio) non può prescindere da una preventiva disamina dei principi fondamentali applicabili al trattamento dei dati personali, elencati nell’art. 5 GDPR; in particolare: “I dati personali sono: (…) c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (…)”.
Tali principi devono essere altresì integrati alla luce di quanto previsto dall’art. 6 (Liceità del trattamento) del medesimo Regolamento, in forza del quale il trattamento dei dati personali può considerarsi lecito qualora: “(…) f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali (…)”, con la conseguenza che l’utilizzo di informazioni che vìolino i diritti fondamentali e personalissimi dell’individuo (tra i quali rientrano – a pieno titolo – il diritto alla reputazione, all’immagine ed al decoro personale), deve considerarsi pienamente illecito.
Ebbene, nel caso in esame i dati non erano stati trattati secondo liceità, correttezza e trasparenza. E ciò in palese violazione dell’art. 8 Reg.to UE/679/2016 ove, nel dettare la disciplina applicabile in materia di condizioni applicabili al consenso dei minori, è previsto che: “1. Qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni. 2. Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili”.
Cosicché il persistere della memorizzazione dei contenuti di lite sui motori di ricerca determinava una grave compressione del diritto del ricorrente alla riservatezza e reputazione, propria e dei minori di cui esercita la potestà genitoriale, anche in relazione alla peculiarità dell’operazione di trattamento, caratterizzata da sistematicità e capillarità della divulgazione dei dati (consultabili semplicemente digitando “poliziotta caltanissetta”) – e, quindi, della loro facile accessibilità e consultabilità – e dalla natura degli stessi dati trattati.
È noto, inoltre, che l’art. 5 del GDPR (par. 1, lett. e) dispone che i dati personali devono essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per i quali essi sono stati raccolti o successivamente trattati. Nel caso di specie è in discussione, oltre la liceità del trattamento dei dati per i fatti di cui sopra, il mantenimento stesso della riferibilità della notizia al ricorrente, in proprio e n.q., nonostante il decorso di mesi dalla relativa pubblicazione e, conseguentemente, il venir meno dell’interesse pubblico alla notizia stessa. Nel caso di specie, Garante definiva il rigetto alla rimozione opposto da Google in contrasto con quanto previsto dal Codice il quale attribuisce, “a chi abbia un interesse proprio oppure agisca a tutela di interessi familiari meritevoli di protezione“, la possibilità di esercitare i diritti di cui agli artt. 15-22 del Regolamento in riferimento a dati di persone decedute. Inoltre, “non può ritenersi sussistente un interesse pubblico attuale a conoscere la vicenda posto che riguarda un tragico evento che ha coinvolto una persona comune”.
Applicazione delle Linee Guida sul diritto all’oblio dell’EDPB n. 5/2019
Come noto, la sentenza della Corte di Giustizia del 13 maggio 2014, C-131/12[1] e le Linee Guida sul diritto all’oblio dell’EDPB n. 5/2019[2] stabiliscono che i motori di ricerca come Google debbano applicare il blocco degli URL segnalati dalle ricerche svolte a partire dal nome dell’interessato che siano obsolete e non più di interesse pubblico, mentre i medesimi contenuti devono rimanere disponibili per ricerche svolte con chiavi di ricerca diverse. Nel provvedimento di specie, però, basandosi sul Regolamento europeo che definisce i dati personali come “qualsiasi informazione riguardante una persona fisica identificata o identificabile“, il Garante ha stabilito che la chiave di ricerca diversa dal nome della persona, idonea ad identificare in modo univoco la de cuius, configura un trattamento di dati personali della medesima da parte di Google, trovando applicazione e disposizioni del Regolamento europeo e del Codice in materia di protezione dei dati personali. Un fattore determinante per la decisione del Garante è stato anche il comportamento di Google che, attraverso il suo strumento di pubblicazione automatica delle ricerche, suggeriva “suicida” per le chiavi di ricerca contenenti il nome della città + “poliziotta”. In tal modo, il riferimento da generico diventava univoco e si riferiva alla donna defunta visto che, “da quel che è noto, non ci sono state altre agenti di sesso femminile che, negli ultimi anni, si sono tolte la vita in quella città e sono finite agli onori della cronaca”. L’aggiunta di questo termine nella funzione cosiddetta “auto-complete” di Google aveva amplificato l’identificabilità della donna in virtù del riferimento al suo ruolo professionale, al limitato contesto territoriale e alle cause della sua morte.
Il principio indicato nella sentenza della Corte di Giustizia (causa C-131/12)[3] e nelle Linee Guida WP Art. 29[4] secondo cui “Il gestore di un motore di ricerca è obbligato a sopprimere dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona”[5], deve necessariamente tener conto delle disposizioni normative intervenute successivamente ed, in particolare, dell’art. 21 del Regolamento in base al quale “l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’art. 6, paragrafo 1, lettere e) o f). Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”.[6]
Nel caso di specie il risultato della ricerca effettuato tramite il riferimento alla città e alla professione della defunta costituiva un trattamento dei dati personali relativo alla compianta donna ed alla sua famiglia, tenuto conto della definizione di ‘dato personale’ fornita dall’art. 4 del Regolamento (“qualsiasi informazione riguardante una persona fisica identificata o identificabile (‘interessato’); laddove si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica psichica, economica, culturale, sociale”.[7]
L’importanza del provvedimento per il diritto all’oblio su Google
Questo recente provvedimento di rimozione notizie da Google rinforza gli orientamenti del diritto all’oblio in Italia per tutti i casi in cui le ricerche rendono identificabile indirettamente la persona interessata. In questo contesto, diamo rilievo anche al provvedimento n. 133 del 20 giugno 2019[8], nel quale il Garante ordinava a Google di rimuovere alcuni risultati di ricerca reperibili in associazione alla query del presidente di una cooperativa, il cui riferimento era da ritenersi idoneo ad identificare il reclamante.
—
[1] Cfr. [online] https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A62012CJ0131
[2] Cfr. [online] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-52019-criteria-right-be-forgotten-search-engines_it
[3] Versione integrale [online] https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A62012CJ0131
[4] Per maggiori informazioni https://edpb.europa.eu/about-edpb/who-we-are/legacy-art-29-working-party_it
[6] Si segnala il provvedimento integrale del Garante nr. 133 del 20.6.2019 rinvenibile [online] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9124420
[7] Cfr. [online] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9124420
[8] Cfr. [online] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9124420