Garante della Privacy: diritto all’oblio, di cronaca e snippet

autore:

Allegra Bonomo

Il Garante della Privacy, interpellato in più occasioni da alcuni utenti che non avevano ottenuto dal motore di ricerca interessato la deindicizzazione di pagine presenti sul web che li riguardavano, ha negato, nella maggior parte dei casi, la sussistenza dei presupposti per l’esercizio del diritto all’oblio così come riconosciuti dalla Sentenza della Corte di Giustizia Europea del 13 maggio 2014 resa nella causa C 131/12.
L’Autorità, infatti, ha ribadito che non ogni notizia contenente dati personali deve essere resa irraggiungibile tramite i motori di ricerca, ma solo quella contenente dati risalenti nel tempo, privi di interesse alla conoscenza, non pertinenti o eventualmente non aggiornati, poiché solo in questi casi una persona ha diritto ad essere “dimenticato”. Le notizie contenenti dati personali se sono recenti e inerenti a fatti rilevanti e di interesse pubblico non devono essere rese inaccessibili, in quanto il diritto dell’interessato all’oblio deve essere bilanciato con il diritto della collettività ad essere informato, con il diritto di cronaca.
Nelle decisioni esaminate l’elemento temporale dell’argomento riferito ad una persona erge a criterio primario nell’accoglimento o meno della richiesta di deindicizzazione: ciò che è recente è difficilmente suscettibile di essere “dimenticato”, se a ciò si aggiunge l’interesse pubblico a conoscere la notizia, sul diritto all’oblio prevale il diritto di cronaca.
Il Garante ha altresì precisato che l’eventuale insussistenza dei presupposti per esercitare il diritto all’oblio, non impedisce all’utente che ritenga false o diffamatorie le affermazioni ad esso riferite e diffuse sul web, di rivolgersi all’editore per ottenere l’aggiornamento, la rettificazione e l’integrazione dei dati contenuti nell’articolo che lo riguardano.
Il Garante, infine, per la prima volta affronta la questione degli abstract visualizzati sotto il titolo di una pagina nei risultati di ricerca (i c.d. snippet) e, implicitamente, accoglie le argomentazioni del ricorrente secondo cui “sebbene Google ritenga irrilevante il contenuto degli snippet prodotto dal proprio motore di ricerca, tuttavia, l’estrapolazione dei dati degli interessati, attraverso gli algoritmi sviluppati dal motore di ricerca, poi visualizzati tramite i motore di ricerca medesimo, anche se riportanti dati personali incompleti, costituiscono a tutti gli effetti trattamenti di dati personali e come tali non possono non essere pertinenti, corretti e non fuorvianti”.
Il Garante, preso atto del fatto che il titolare del trattamento ha “fornito un adeguato riscontro all’istanza del ricorrente nel corso del procedimento”, dichiara di non dover procedere sul punto, ma di fatto equipara, ai fini della disciplina del trattamento dei dati personali, gli snippet elaborati automaticamente dal motore di ricerca ai risultati visualizzati dal motore stesso, così, a mio avviso, ampliando la nozione di “titolare” del trattamento.

Leggi tutto...

Violazione della privacy e riconoscimento del danno non patrimoniale

autore:

Allegra Bonomo

La sentenza della Suprema Corte, III sez. civile, n. 16133/2014 affronta il delicato argomento del risarcimento del danno non patrimoniale conseguente alla lesione del diritto alla riservatezza, affermando che il danno non patrimoniale risarcibile ai sensi dell’art. 15 del Codice per la protezione dei dati personali, non si sottrae alla verifica della “gravità della lesione” - relativo al diritto fondamentale alla protezione dei dati personali legato ai diritti e alle libertà fondamentali indicate all’art. 2 del Codice - e di “serietà del danno” – quale perdita di natura personale effettivamente sofferta dall’interessato.

Come è noto, l’art. 15 del Codice disciplina il tema della responsabilità civile per i danni procurati dal trattamento di dati personali e nello specifico sancisce, al primo comma, che “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile” e al secondo che “Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11”.

Il dettato normativo dunque prevede, in tema di violazione della privacy di un individuo, un allargamento rilevante dello spettro di ipotesi nelle quali il danno è risarcibile ossia, non solo nel caso sia stato commesso un illecito penale, ma in tutti i casi di violazione dei principi stabiliti dall’art. 11 del Codice (del principio di liceità e correttezza del trattamento; quello di finalità; il principio di qualità ed esattezza dei dati trattati; quello della pertinenza dei dati rispetto al trattamento; della giusta durata del periodo di conservazione dei dati).

La Suprema Corte, tuttavia, è intervenuta per circoscrivere e limitare in un certo senso, la risarcibilità del danno non patrimoniale nel sistema della responsabilità civile derivante da violazione della privacy.

Nel caso di specie, in particolare, tre studenti universitari, erano ricorsi al Tribunale di Roma lamentando l’illecito trattamento ad opera dell’Università, in quanto la stessa aveva reso visibile e conoscibile da chiunque digitasse sul motore di ricerca Google i loro nomi e cognomi, un file Excel contenente informazioni ad essi riferibili.

Il Tribunale di Roma accertava l’illiceità del trattamento disponendo la cancellazione dal web dei dati personali dei ricorrenti e, quanto al risarcimento del danno, escludeva che gli studenti avessero subito un danno patrimoniale, ma quanto a quello non patrimoniale stabiliva che “pur essendo stato dedotto il patema d’animo sofferto per rischio di possibili furti della propria identità, con la necessità di continui controlli, riteneva non dimostrata tale ultima circostanza, riscontrando, però, a fondamento del liquidato pregiudizio, un disagio conseguente alla propria indiscriminata esposizione personale anche di carattere economico”.

L’Università impugnava innanzi alla Corte di Cassazione la sentenza del Tribunale di Roma sulla base di tre motivi; in particolare, ai fini che qui interessano, la ricorrente lamentava l’errore del Tribunale per avere radicalmente omesso “di accertare nel caso di specie la serietà del danno ipoteticamente risarcibile e la gravità della lesione dei diritti fondamentali della persona”.

La accoglieva il suddetto motivo di censura rilevando come il Tribunale di Roma aveva effettivamente omesso di verificare in concreto la gravità della lesione (danno che superi la soglia minima di tollerabilità imposta dai doveri di solidarietà sociale) e la serietà del danno (non consista in un mero disagio o fastidio) lamentato dagli studenti, statuendo che neppure in tema di risarcimento del danno non patrimoniale per violazione della privacy può da essi prescindersi. 

Nella motivazione della sentenza, infatti, la Suprema Corte sottolinea che nel sistema del d.lgs. n. 196 del 2003, il diritto fondamentale alla protezione dei dati personali non vive isolatamente, ma simbioticamente con gli altri ed implicati diritti fondamentali ed inviolabili della persona umana, operando strumentalmente per la sua integrale tutela e che, pertanto, la mera violazione delle prescrizioni poste dall’art. 11 del Codice non determina di per sé una lesione ingiustificata del diritto fondamentale alla protezione dei dati personali, ma la determina soltanto quella violazione “che ne offenda in modo sensibile (e cioè oltre la soglia di tollerabilità) la sua portata effettiva, calata in un contesto in cui si combinano strettamente i diritti e le libertà fondamentali e della dignità della persona e in particolare della riservatezza, dell’identità personale o morale del soggetto, perché il risultato sia quello di una tutela piena della persona umana a fronte di un vulnus concreto ed effettivo, che, come tale, necessita di essere ristorato”.

Sulla base di ciò, i giudici della Suprema Corte hanno enunciato il seguente principio di diritto cui dovrà uniformarsi il Tribunale di Roma nel deliberare nuovamente la questione: “il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (c.d. codice della privacy) non si sottrae alla verifica di “gravità della lesione” (concernente il diritto fondamentale alla protezione dei dati personali, quale intimamente legato ai diritti ed alle libertà indicate dall’art. 2 del codice, convergenti tutti funzionalmente alla tutela piena della persona umana e della sua dignità) e di “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), che, in linea generale, si richiede in applicazione dell’art. 2059 cod. civ. nelle ipotesi di pregiudizio inferto ai diritti inviolabili previsti in Costituzione. Ciò in quanto, anche nella fattispecie di danno non patrimoniale di cui al citato art. 15, opera il bilanciamento (siccome pienamente consentito all’interprete dal modo in cui si è realizzata nello specifico l’interpositio legislatoris) del diritto tutelato da detta disposizione con il principio di solidarietà – di cui il principio di tolleranza è intrinseco precipitato -, il quale, nella sua immanente configurazione, costituisce il punto di mediazione che permette all’ordinamento di salvaguardare il diritto del singolo nell’ambito di una concreta comunità di persone che deve affrontare i costi di una esistenza collettiva. L’accertamento di fatto rimesso, a tal fine, al giudice del merito, in forza di previe allegazioni e di coerenti istanze istruttorie di parte, dovrà essere ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale, dovendo l’indagine, illuminata dal bilanciamento anzidetto, proiettarsi sugli aspetti contingenti dell’offesa e sulla singolarità delle perdite personali verificatesi. Un siffatto accertamento – che, ove l’offesa non superi la soglia di minima tollerabilità o il danno sia futile, può condurre anche ad escludere la possibilità di somministrare il risarcimento del danno – è come tale sottratto al sindacato di legittimità se congruamente motivato”.   

 

Leggi tutto...

Eliminazione dell’obbligo di redigere il documento programmatico della sicurezza

autore:

Allegra Bonomo

Il D.L. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e sviluppo” - attualmente all'esame del Parlamento per la conversione in legge -, ha, tra l'altro, modificato alcune disposizione del Codice in materia di protezione di dati personali, sopprimendo in particolare dagli adempimenti in materia di misure minime di sicurezza la redazione del Documento Programmatico per la Sicurezza (cioè quel testo che andava aggiornato entro il 31 marzo di ogni anno, la cui mancanza era sanzionata anche penalmente e conteneva tutte le informazioni rilevanti sul “sistema privacy” dell’azienda).
Decreto Legge 9 febbraio 2012, art. 45.pdf

 

Commento

L’eliminazione dell’obbligo di redigere il DPS è stata accolta con grande favore dalle imprese che hanno considerato la predisposizione del documento come un inutile formalismo. La modifica apportata dal D.L. 5/2012, tuttavia, non deve essere interpretata come una maggiore libertà del titolare del trattamento nella predisposizione e nel controllo delle misure di sicurezza; anzi, a nostro avviso, l’assenza di un momento in cui l’impresa era costretta ad analizzare il complesso delle attività di trattamento di dati personali, la tipologia dei dati trattati e la quantità dei soggetti coinvolti, potrebbe esporre il titolare ad una maggiore responsabilità in quanto dovrà dimostrare di essere stato diligente. Ciò che, infatti, deve essere sempre considerato rilevante da parte del titolare è il rispetto sostanziale e non formalistico della normativa. (A.B.)

 

Commento
L’eliminazione dell’obbligo di redigere il DPS è stata accolta con grande favore dalle imprese che hanno considerato la predisposizione del documento come un inutile formalismo. La modifica apportata dal D.L. 5/2012, tuttavia, non deve essere interpretata come una maggiore libertà del titolare del trattamento nella predisposizione e nel controllo delle misure di sicurezza; anzi, a nostro avviso, l’assenza di un momento in cui l’impresa era costretta ad analizzare il complesso delle attività di trattamento di dati personali, la tipologia dei dati trattati e la quantità dei soggetti coinvolti, potrebbe esporre il titolare ad una maggiore responsabilità in quanto dovrà dimostrare di essere stato diligente. Ciò che, infatti, deve essere sempre considerato rilevante da parte del titolare è il rispetto sostanziale e non formalistico della normativa. (A.B.)

 

Leggi tutto...
Sottoscrivi questo feed RSS