Corte di Cassazione: dopo due anni, diritto all’oblio sugli articoli

Il dibattito sul difficile, e a volte mal riuscito, equilibrio tra diritto all’ oblio “the right to be forgotten” e il diritto di cronaca, espressione del diritto alla libera manifestazione del pensiero riconosciuto dall’art. 21 della Costituzione, si riaccende dopo l’ultima pronuncia della Corte di Cassazione n. 13161 del 24 giugno 2016. Perché la pronuncia porta a riflettere? Semplice, perché costituisce una palese distorsione di quanto affermato fin ora rispetto al diritto all’oblio. Proviamo a fare chiarezza.

La Corte di Cassazione già in passato con un’importante pronuncia n. 5525 del 4 aprile 2012, aveva preso posizione sul diritto all’oblio. Il caso riguardava un politico che, arrestato per corruzione nel lontano 1993 per poi essere successivamente assolto, lamentava che nell’archivio online di un’importante testata giornalistica, comparisse a distanza di molti anni, la notizia del suo arresto senza però che venisse fatta alcuna menzione dell’epilogo della vicenda risoltasi con la sua assoluzione. La Suprema Corte in quella sede, richiamando la disciplina prevista dal Codice Privacy d.lgs. 196/2003, ed in particolare l’art.11, sottolineava come l’interessato avesse diritto a che le informazioni oggetto di trattamento rispondessero non solo ai criteri di pertinenza, proporzionalità e necessità, ma fossero anche esatte e coerenti con la sua identità personale. E così, se da un lato si riconosceva che l’interesse del pubblico all’informazione può a volte costituire limitazione al diritto alla riservatezza del soggetto a cui i dati si riferiscono, nondimeno il diritto all’oblio, inteso come diritto “a che non vengano ulteriormente divulgate notizie che per il trascorrere del tempo abbiano perso rilevanza per la generalità dei consociati”, deve essere riconosciuto all’interessato. Tuttavia, così come sostenuto dai giudici, ciò non esclude che per la rilevanza storica del fatto di cronaca, anche a distanza di tempo, possa comunque persistere un interesse del pubblico alla conoscenza della notizia ma di questa devono darsi necessari aggiornamenti attraverso la predisposizione di sistemi volti ad indicare, nel corpo dell’articolo pubblicato o a margine dello stesso, i successivi sviluppi della vicenda, perché una notizia non aggiornata è una notizia non vera.

La sentenza sottolinea il vero cuore del diritto all’oblio che non è quello del singolo di poter cancellare la storia censurando il diritto di cronaca, ma il diritto dello stesso a che la notizia venga contestualizzata ed aggiornata offrendo una visione coerente della propria identità personale.

Si giunge così alla nota sentenza del 2014 cd. Google Spain della Corte di giustizia C-131/12, che ha avuto certamente il merito di riconoscere il diritto all’oblio del singolo nei confronti del gestore di un motore di ricerca. In questo caso, il diritto all’oblio è stato inteso quale diritto di ogni singola persona di richiedere direttamente al gestore del motore di ricerca, o in caso di inerzia di questo alle autorità competenti, la rimozione dall’elenco dei risultati di ricerca effettuata digitando il proprio nome, di link che riportano a pagine web pubblicate da soggetti terzi e contenenti informazioni a lui relative, e ciò a prescindere dal fatto che le informazioni vengano rimosse direttamente anche dalla pagina web dell’editore o che si tratti di informazioni veritiere e pubblicate lecitamente. Il diritto del singolo alla deindicizzazione dei risultati è giustificato infatti dalla circostanza, sottolineata dagli stessi giudici, che grazie all’attività del motore di ricerca, gli utenti del web possono accedere ad una moltitudine di informazioni, spesso irreperibili in altro modo nel mare di internet, che consentono di tracciare il profilo del soggetto su cui si incentra la ricerca. È evidente l’ingerenza di tale profilazione sulla vita privata del soggetto. Ma quel che è ancora più importante sottolineare, in tale sede, è che il diritto all’oblio così inteso non può riconoscersi a prescindere proprio perché potrebbero esserci evidenti ripercussioni negative sul legittimo interesse ad essere informati e, come sostengono i giudici della Corte,

se indubbiamente i diritti della persona interessata prevalgono, anche sul citato interesse degli utenti di Internet, tale equilibrio può nondimeno dipendere, in casi particolari dalla natura dell’informazione di cui trattasi e dal suo carattere sensibile per la vita privata della persona suddetta nonché dall’interesse del pubblico a ricevere tale informazione, il quale può variare in particolare, a seconda del ruolo che tale persona riveste nella vita pubblica.”

I giudici della Corte Europea attentamente colgono l’importanza che tale diritto del singolo sia valutato nel caso di specie e riconosciuto in presenza di determinati presupposti. Ed è apprezzabile come tale principio sia stato correttamente richiamato in un recente provvedimento del Garante Privacy n. 4988654 del 31 marzo 2016 in cui si è negato il diritto all’oblio per un ex- terrorista.

Ma, proprio alla luce del quadro appena tracciato, occorre esaminare la posizione ampiamente criticata ed assunta dalla Corte di Cassazione con la pronuncia del 24 giugno 2016 n 13161/2016. I giudici infatti, andando ben oltre il diritto del singolo alla deindicizzazione dei risultati offerti da un motore di ricerca, in presenza di determinate condizioni, sembrano aver dato netta prevalenza alla riservatezza del singolo a discapito del diritto di cronaca intervenendo seppur indirettamente sugli archivi online di testate giornalistiche. Hanno affermato, sulle orme di quanto detto dal Tribunale nel procedimento in commento, che

la facile accessibilità e consultabilità dell’articolo giornalistico, superiore quelle dei quotidiani cartacei, tenuto conto dell’ampia diffusione locale del giornale online, consentiva di ritenere che dalla data di pubblicazione fino a quella della diffida stragiudiziale fosse trascorso sufficiente tempo perché le notizie divulgate potessero aver soddisfatto gli interessi pubblici sottesi al diritto di cronaca giornalistica”.

In sostanza, seppur la rimozione dell’articolo dall’archivio della testata online, nel caso di specie fosse avvenuta spontaneamente, quel che assume rilievo è che la Cassazione, a circa due anni dai fatti oggetto della notizia di un procedimento ancora in corso, appellandosi ad un presunto diritto all’oblio, e ritendendo soddisfatto l’interesse pubblico ad esser informati, ha consentito che il diritto di cronaca cedesse il passo al diritto alla reputazione del singolo.

Ma a questo punto è opportuno chiedersi se con tale pronuncia la Corte abbia o meno innescato un pericolosissimo meccanismo, non solo per la distorsione del diritto all’oblio quale possibilità del singolo di cancellare ogni traccia del passato, ma soprattutto per l’interferenza che i giudici potrebbero avere rispetto al diritto di cronaca.

Altra spinosa questione sarà poi rintracciare una coerenza tra tale pronuncia della Cassazione e l’art. 17 del Nuovo regolamento Privacy 2016/679 che sarà applicato dal 2018, e che espressamente riconosce il “diritto alla cancellazione” quale diritto all’oblio. Infatti, se da un lato l’articolo al comma 1 riconosce che in presenza di uno dei motivi elencati ,

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”, dall’altro, al comma 3, viene precisato che tale obbligo di cancellazione, trova il proprio limite qualora il trattamento dei dati del soggetto richiedente sia necessario “a) per l’esercizio del diritto alla libertà di espressione e di informazione” o “d) a fini di archiviazione nel pubblico interesse”.

Dalla breve disamina fatta è evidente come la partita dell’equilibrio tra diritto all’oblio e diritto di cronaca, si giochi su un terreno ancora fertile in cui il ruolo degli avvocati e dei giudici assume rilevanza preminente per evitare interpretazioni fallaci e pericolose di un diritto, come quello all’oblio, che in una realtà informatica come la nostra, assumerà un sempre maggior rilievo.

Il parere del Garante Privacy sulla Banca Dati dei beni culturali illecitamente sottratti.

Con nota del 20 novembre 2015, il Ministero dei beni e delle attività culturali e del turismo (MIBACT) ha richiesto il parere del Garante privacy sullo schema di Decreto Ministeriale recante il regolamento di attuazione dell’articolo 85 del D.Lgs. 22 gennaio 2004, n. 42 riguardante l’attivazione della Banca Dati dei beni culturali illecitamente sottratti. (altro…)

Il Garante privacy sanziona la formazione di elenchi telefonici con dati presi dal web

Il Garante per la protezione dei dati personali ha sanzionato una società che “pescava” on line, per mezzo di appositi software, dati e informazioni per realizzare elenchi telefonici.

Il Garante ha ricordato la necessità di utilizzare il DBU (data base degli utenti) l’archivio elettronico che raccoglie  numeri di telefono e  altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

L’unica possibile alternativa è rappresentata dalla possibilità di raccogliere i consensi dei singoli utenti.

Ulteriori informazioni sul caso sono disponibili sul sito del Garante.

Guido Scorza relatore al convegno “La società sorvegliata. I nuovi confini della libertà”

Il prossimo 28 gennaio 2016, Guido Scorza sarà relatore al Convegno del Garante in occasione della Giornata Europea della privacy “La società sorvegliata. I nuovi confini della libertà”.
Il convegno sarà aperto da Antonello Soro, Garante per la protezione dei dati personali, e chiuso dalla Presidente della Camera dei Deputati, Laura Boldrini.
L’accesso alla Sala sarà consentito fino alle ore 9,15
Ulteriori informazioni sull’evento sono disponibili qui.

Entrano in vigore le regole del Garante privacy per l’uso dei cookie

Entro il prossimo 3 giugno i siti internet che intendono adoperare cookie dovranno adeguarsi alla misure prescritte in materia dal Garante per la protezione dei dati personali con il provvedimento dell’8 maggio 2014.

Ma quante sono le imprese (o, meglio, i siti) in regola con le indicazioni del Garante? Al momento, per la verità, regna una grandissima confusione, incentivata da soluzioni “peculiari”adottate da alcuni operatori.

Il provvedimento distingue gli adempimenti da porre in essere in relazione alla tipologia di cookie adoperati, vale a dire se si tratti di cookie “tecnici” o cookie di “profilazione”, nonché in relazione al soggetto che installa i cookie sul terminale dell’utente, vale a dire se si tratti del gestore del sito che l’utente sta visitando (c.d. editore) o un soggetto terzo che li installi tramite il primo (cc.dd. terze parti).

Sono qualificati come tecnici i cookie di navigazione (o di sessione), di funzionalità e analytics; questi ultimi sono considerati tecnici se adoperati dal gestore del sito per raccogliere dati, in forma aggregata, sul numero di utenti e su come questi visitano il sito.

Per l’installazione di tale tipologia di dispositivi il gestore del sito non dovrà acquisire uno specifico consenso da parte degli utenti, ma potrà limitarsi a fornire una specifica informativa in proposito, con le modalità che ritenga più opportune.

Continua a leggere su key4biz

In Gazzetta Ufficiale il Decreto sull’identità digitale

Adesso ci siamo davvero o, meglio, ci saremo prima che arrivi la primavera.

Il Decreto che stabilisce le regole per il rilascio, l’utilizzo e la gestione delle identità digitali delle imprese e dei cittadini italiani è stato pubblicato ieri sulla Gazzetta Ufficiale della Repubblica.

Perché SPID – acronimo del Sistema Pubblico di Identità digitale – entri in funzione, a questo punto, manca solo che, al più tardi dopo la pausa natalizia l’Agenzia per l’Italia digitale, sentito il Garante per la Privacy, definisca le regole tecniche e le modalità attuative e che, sempre sentita l’Autorità Garante per la Privacy – entro sessanta giorni dalla pubblicazione in Gazzetta del Decreto, la stessa Agenzia vari il proprio regolamento relativo alle modalità di accreditamento  dei soggetti SPID e quello relativo alle   procedure   necessarie   a consentire ai gestori dell’identità digitale, tramite l’utilizzo  di altri sistemi di identificazione informatica  conformi  ai  requisiti dello SPID, il rilascio dell’identità digitale.

Poi ci saremo davvero o, almeno, potremmo esserci se il mercato e le pubbliche amministrazioni faranno la loro parte iniziando ad utilizzare e far utilizzare l’identità digitale a cittadini ed imprese.

[Continua qui su Nova de Il Sole 24 Ore]

Garante Privacy: nuove regole in materia di biometria

Con un provvedimento generale di carattere prescrittivo del 12 novembre 2014, il Garante per la protezione dei dati personali ha fornito un quadro unitario di misure di carattere tecnico, organizzativo e procedurale per consentire ai titolari di conformare i trattamenti di dati biometrici alla disciplina vigente in materia di dati personali e per accrescerne i livelli di sicurezza.

In ragione dei particolari rischi connessi al trattamento di dati biometrici, per tale tipologia di trattamento è necessario sottoporre al Garante una richiesta di verifica preliminare ai sensi dell’art 17 del Codice Privacy.

Con il provvedimento in questione il Garante ha individuato alcune tipologie di trattamenti che presenterebbero minori rischi e che, pertanto, qualora posti in essere nel rispetto delle regole dettate, non necessiterebbero della verifica preliminare da parte dell’Autorità.

Questi i casi di esonero previsti dal provvedimento:

  1. a) Nell’autenticazione informatica, il trattamento di caratteristiche biometriche utilizzate come credenziali per l’accesso a banche dati e sistemi informatici (impronta digitale o emissione vocale), può avvenire, anche senza il consenso dell’interessato, purché sia svolto nel rispetto delle prescrizioni dettate per la raccolta, la cancellazione e la conservazione dei dati.
  2. b) Nel controllo dell’accesso fisico a luoghi “sensibili”, il trattamento di caratteristiche biometriche (impronta digitale o topografia della mano) può avvenire, anche senza il consenso dell’interessato, purché sia posto in essere nel rispetto delle prescrizione dettate dal provvedimento per l’acquisizione, la trasmissione tra dispositivi di acquisizione e postazioni di controllo e per la conservazione del riferimento biometrico.
  3. c) Al fine di regolare e semplificare l’accesso fisico di utenti ad aree fisiche pubbliche (es. biblioteche) o private o a servizi, possono utilizzarsi caratteristiche biometriche (impronta digitale o topografia della mano). In tal caso il trattamento dovrà avvenire, oltre che nel rispetto delle prescrizioni dettate, solo previa acquisizione del consenso dell’interessato. Devono comunque essere previste modalità alternative per chi rifiuta di rilasciare i propri dati biometrici.
  4. d) Per la sottoscrizione di documenti informatici, è ammesso il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware, laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal D. Lgs. 82/2005, che non prevedono la conservazione centralizzata di dati.

In ambito pubblico non è necessario il consenso dell’interessato se il trattamento di dati biometrici è necessario per il perseguimento di finalità istituzionali; al contrario, in ambito privato il presupposto di legittimità di tale trattamento è dato dal consenso libero degli interessati, che ha validità, fino alla sua revoca, per tutti i documenti da sottoscrivere. Deve sempre rendersi disponibile un sistema alternativo di sottoscrizione (cartaceo o digitale) che non comporti l’utilizzo di dati biometrici.

I dati biometrici e grafometrici non possono essere conservati, neanche temporaneamente, su dispositivi hardware utilizzati per la raccolta, ma devono essere memorizzati all’interno dei documenti informatici sottoscritti in forma cifrata tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata al ciclo di vita del documento e certificato digitale emesso da un certificatore accreditato.

L’accesso al modello grafometrico cifrato può avvenire esclusivamente tramite l’utilizzo della chiave privata e solo in caso di insorgenza di un contenzioso sull’autenticità della firma, a seguito di richiesta dell’autorità giudiziaria.

Al fine di informare i titolari del trattamento, i produttori di tecnologie biometriche e i fornitori di servizi, il Garante ha adottato delle Linee guida in materia di riconoscimento biometrico e firma grafometrica, che costituiscono parte integrante del provvedimento.

Per i titolari di trattamenti biometrici che rientrano nei casi di esonero e che abbiano già richiesto la verifica preliminare ai sensi dell’art. 17, il provvedimento dispone di comunicare la conformità del trattamento alle regole prescritte e che tale comunicazione comporterà il non luogo a provvedere sulle relative istanze.

Geolocalizzazione dei dipendenti: il Garante Privacy detta le regole

Con due distinti provvedimenti (n. 3505371 3474069), il Garante per la protezione dei dati personali ha accolto le istanze di verifica preliminare ex art. 17 del Codice Privacy avanzate da due società di telefonia in merito al trattamento di dati personali di geolocalizzazione dei propri dipendenti.

Le società coinvolte – Wind Telecomunicazioni S.p.A. ed Ericsson Telecomunicazioni S.p.A. – intenzionate ad introdurre, sui dispositivi smartphone forniti in dotazione ai propri lavoratori dislocati sul territorio, una nuova app di localizzazione geografica, hanno infatti richiesto all’Autorità un parere preventivo in ragione dei rischi specifici legati al trattamento dei dati personali.

L’attivazione di tale funzionalità sarebbe volta all’ottimizzazione del livello di servizi forniti sul territorio, in quanto consentirebbe di migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici, incrementando la velocità di risposta alle richieste dei clienti, anche e soprattutto in casi di emergenza o in presenza di calamità naturali. La geo-localizzazione, inoltre, rafforzerebbe le condizioni di sicurezza dei lavoratori permettendo l’invio mirato di soccorsi in caso di incidenti o difficoltà.

Le criticità connesse all’utilizzo di applicazioni di geolocalizzazione riguardano la possibilità che le stesse siano utilizzate al fine di effettuare un controllo a distanza indiretto sull’operato dei lavoratori. Sul punto il Garante si era già pronunciato con provvedimento generale n. 370 del 2011 in merito ai sistemi di localizzazione dei veicoli, sancendo che “se sono adottate le garanzie previste dall’art. 4, comma 2, l. n. 300/1970, i datori di lavoro privati e gli enti pubblici economici possono effettuare lecitamente il trattamento dei dati personali (diversi da quelli sensibili) relativi all’ubicazione dei propri dipendenti per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro, anche in assenza del consenso degli interessati”, individuando in ciò un legittimo interesse.

È evidente che, nel caso specifico portato all’attenzione dell’Autorità da Wind ed Ericsson, le garanzie nei confronti dei diritti e delle libertà dei dipendenti dovranno essere superiori stante la peculiarità del mezzo utilizzato per la geolocalizzazione, ossia lo smartphone, per sua stessa natura destinato a seguire il lavoratore in tutti gli spostamenti, anche in orario non lavorativo.

Il Garante, ritenuto di dover svolgere degli approfondimenti, ha richiesto chiarimenti alle aziende. In conseguenza di ciò è emerso che, in entrambi i casi, l’applicazione mobile installata sul dispositivo del dipendente invierà i dati di geolocalizzazione ad intervalli regolari (10 o 15 minuti) e che, al di fuori di questo intervallo, non sarà possibile accedere ai dati di posizione in tempo reale se non in presenza di specifiche esigenze (es. situazione di pericolo o emergenza del dipendente).

Allo stesso modo, le società richiedenti hanno comunicato che l’applicazione installata non interferirà con altre applicazioni e non potrà accedere a telefonate, sms o mail, e che non sarà possibile ricostruire, mediante i dati raccolti, gli spostamenti dei lavoratori nel corso della giornata lavorativa.

Da ultimo, il dipendente potrà disattivare l’applicazione al termine dell’orario di lavoro, nei periodi di ferie o malattie e, comunque, nei momenti contrattualmente stabiliti, come la pausa pranzo.

A tali condizioni, quindi, il Garante ha accolto e istanze di verifica preliminare, imponendo adempimenti ulteriori, quali la notificazione ai sensi dell’art. 37 comma 1, lett. a) del Codice Privacy e l’attivazione delle procedure previste dall’art. 4 comma 2 dello Statuto dei lavoratori[1], nonché la predisposizione di idonee misure di sicurezza volte a preservare l’integrità dei dati raccolti.

Ovviamente, le società istanti dovranno informare in maniera chiara e completa i propri dipendenti sulla natura dei dati trattati, sulle funzionalità del dispositivo e sulle ipotesi in cui sarà possibile disattivare la localizzazione durante l’orario lavorativo. Inoltre, le applicazioni utilizzate dovranno essere configurate in modo tale da rendere ben visibile se la funzionalità di geolocalizzazione è o meno attiva.

 


[1]Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.

In vigore il provvedimento del Garante Privacy sulle ‘chiamate mute’

Lo scorso 2 ottobre è entrato in vigore il provvedimento generale sulle cosiddette “chiamante mute”, adottato dal Garante per la protezione dei dati personali il 20 febbraio 2014 allo scopo di arginare un fenomeno sempre più diffuso, conseguenza dell’utilizzo, da parte degli operatori di telemarketing, di sistemi automatizzati per la generazione di chiamate che consentono di mantenere in stato di attesa le telefonate che abbiano già ricevuto risposta da un destinatario fino al momento in cui un operatore del call center si renda disponibile.

Le misure disposte dall’Autorità hanno la duplice finalità di ridurre la frequenza delle chiamate mute, contenendole entro una soglia di tollerabilità, e di diminuire gli effetti molesti per i destinatari.

Questi i principali adempimenti imposti dal Garante:

a) I call center sono tenuti a censire le chiamate effettuate in relazione all’esito delle stesse e garantire che la percentuale di chiamate mute non superi la soglia del 3% di quelle andate a buon fine, vale a dire delle chiamate che abbiano ricevuto risposta dal destinatario.

Tale percentuale deve essere misurata in relazione ad ogni singola campagna di telemarketing per periodi temporali non superiori a 10 giorni.

b) Al fine di ridurre lo stato di disagio e di ansia provocato dalla ricezione di chiamate mute, i call center sono tenuti ad adottare accorgimenti tecnici volti a rendere facilmente individuabile la provenienza della chiamata da un call center.

Il call center deve garantire che, nell’istante in cui la chiamata generata dal sistema abbia ricevuto risposta dal destinatario, venga trasmessa all’utente chiamato una traccia audio che riproduce un rumore ambientale sintetico (ad esempio, voci di sottofondo, brusio, squilli di telefono).

c) A seguito di una chiamata muta, è esclusa la possibilità di effettuare un nuovo contatto alla medesima utenza nei 5 giorni successivi. Qualora, dopo tale intervallo, l’utenza sia ricontattata, deve garantirsi che la stessa venga contattata attraverso un sistema prioritario di instradamento della chiamata, per cui sia sempre garantita la presenza di un operatore alla risposta.

d) I call center sono tenuti a conservare i report statistici delle percentuali di telefonate mute effettuate per ciascuna campagna promozionale per un periodo non inferiore ai 2 anni, così da consentire eventuali controlli nel periodo indicato.

Qui il provvedimento integrale.

Google: nuovi obblighi dal Garante Privacy

Con un provvedimento prescrittivo dello scorso 10 luglio si è conclusa l’istruttoria – avviata il 2 aprile 2013 dal Garante per la protezione dei dati personali italiano – volta al controllo della liceità e della correttezza dei trattamenti dei dati personali operati da Google Inc. a seguito della nuova privacy policy adottata dalla società.

Nel gennaio 2012 Google aveva, infatti, annunciato che dal successivo 1° marzo avrebbe unificato in un unico documento le regole di gestione dei dati relative alla fornitura dei diversi servizi – dalla posta elettronica (Gmail) alle mappe on line (Google Street View), dalla gestione dei pagamenti (Google Wallet) al negozio virtuale per l’acquisto di applicazioni, libri, musica, riviste, giochi (Google Play), dal social network (Google Plus) alla diffusione e visualizzazione di filmati (You Tube), ecc… – procedendo, in questo modo, all’integrazione e interoperabilità dei diversi prodotti e all’incrocio dei dati degli utenti relativi all’utilizzo di una pluralità di servizi.

Benché Google abbia adottato nel corso della predetta procedura una serie di misure e di modifiche della propria privacy policy, al fine di renderla quanto più possibile conforme alle disposizioni di legge in materia, all’esito dell’istruttoria il Garante Privacy italiano ha comunque riscontrato una serie di criticità riguardanti, in particolare: a) l’inadeguatezza dell’informativa fornita agli utenti: b) la mancata richiesta di consenso per finalità di profilazione; c) l’incertezza sui tempi di conservazione dei dati.

a) L’Autorità ha prescritto a Google di adottare – in conformità alle disposizioni di cui all’art. 13 del Codice Privacy – un sistema di informativa strutturato a più livelli che in ogni caso chiarisca all’utente che i suoi dati personali sono monitorati e utilizzati anche a fini di profilazione per pubblicità mirata e che tali dati vengono raccolti anche con tecniche più sofisticate dei semplici cookie, come il fingerprinting;

b) quanto al consenso, il Garante ha stabilito che l’utilizzazione da parte di Google dei dati personali degli utenti a fini di profilazione e pubblicità comportamentale personalizzata non potrà che avvenire previa acquisizione del consenso degli utenti stessi – secondo le modalità previste dagli artt. 23 e 24 del Codice Privacy -, non potendosi intendere il semplice utilizzo del servizio da parte dell’utente come accettazione incondizionata al trattamento dei propri dati.

A tal fine l’autorità ha indicato un meccanismo semplice e innovativo che consenta all’utente di scegliere in modo consapevole se fornire o meno il proprio consenso alla profilazione;

c) in relazione alla conservazione dei dati, Google dovrà definire tempi certi di conservazione, sulla base dell’art. 11, lettera e) del Codice Privacy, sia per quanto riguarda quelli mantenuti sui sistemi “attivi” che per quanto riguarda quelli archiviati sui sistemi di back up.

Per quanto riguarda le richieste di cancellazione di dati personali provenienti dagli utenti in possesso di un account Google, il Garante ha stabilito che tali richieste siano soddisfatte entro un termine massimo di due mesi (da intendersi come 62 giorni solari), se i dati sono conservati su sistemi “attivi”, e entro sei mesi (da intendersi come 180 giorni solari), laddove si tratti di dati archiviati su sistemi di back up.

Quanto alle richieste di cancellazione relative all’esercizio del diritto all’oblio avanzate in ordine ai risultati ottenuti attraverso l’utilizzo del motore di ricerca (Google search), l’Autorità ha ritenuto opportuno attendere gli sviluppi applicativi della recente pronuncia della Corte di Giustizia dell’Unione Europea del 13 maggio scorso (Causa C-131/12).

Si tratta, dunque, di un provvedimento – il primo in Europa – che non si limita a richiamare il rispetto delle disposizioni dettate in materia di protezione dei dati personali, ma che indica in concreto le misure da adottarsi affinché sia assicurata la conformità alla legge.

Per farlo Google avrà 18 mesi di tempo dalla notifica del provvedimento, a cui si rinvia per la lettura integrale.