La Corte di Giustizia europea ha stabilito che i motori di ricerca dovranno rimuovere dai risultati delle ricerche i link a pagine web pubblicate da terzi e contenenti informazioni relative alla persona che ne richieda la rimozione esercitando il proprio diritto al c.d. oblio. Questo è l’aspetto della sentenza che è stato più pubblicizzato nei vari commenti, ma alcuni hanno anche stressato che la decisione potrebbe avere ripercussioni sulle tecnologie basate sui cosidetti Big Data ivi compresi i dispositivi dell’Internet of Things e sulle politiche di compliance delle principali web company americane e in generale non europee.
In breve, la sentenza della Corte ha stabilito che:
- l’indicizzazione di dati personali da parte di motori di ricerca rientra nella definizione di “trattamento dei dati personali” ai sensi della normativa privacy;
- Google è il “titolare del trattamento” di questi dati personali;
- la normativa privacy locale è applicabile nei confronti del gestore di un motore di ricerca che abbia una succursale o una branch in questo Stato destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro;
- Google è tenuta alla rimozione dei link alle pagine contenenti dati personali; e
- un bilanciamento tra i diritti dell’interessato alla rimozione dei link e il diritto del pubblico ad accedere alle informazioni dovrà essere eseguito.
La controversia nasce da un giornale spagnolo che pubblica la notizia della vendita all’asta di beni del signor Costeja González a seguito di un pignoramento. Questi articoli vengono poi digitalizzati, rimangono nell’archivio online del giornale spagnolo e vengono quindi indicizzati da Google. Il signor Gonzalez si accorge che, digitando il proprio nome tra i risultati della ricerca web, appaiono anche questi articoli e per tale motivo fa reclamo al garante privacy spagnolo per chiedere un ordine nei confronti dell’editore del giornale affinché elimini o modifichi quelle pagine e nei confronti di Google Spain affinché non le indicizzi più, così da non restituirle come esito di ricerche web. L’autorità Garante spagnola respinge la richiesta con riferimento all’editore del giornale e ordina a Google Spain di deindicizzare i contenuti in questione. Google Spain impugna la decisione davanti al giudice ordinario spagnolo che poi invoca la Corte di Giustizia europea.
La Corte di Giustizia europea, smentendo la posizione dell’Avvocato Generale, ha sostenuto che Google non è un mero responsabile del trattamento dei dati personali indicizzati tramite le proprie ricerche (e quindi non tratta i dati per conto di terzi), ma è titolare degli stessi e l’attività di raccolta, indicizzazione e organizzazione di pagine web contenenti dati personali è una forma di trattamento di dati personali. E questa è una novità di non poco rilievo che potrebbe avere risvolti non solo per Google, ma anche con riferimento a tutte le tecnologie che raccolgono i c.d. Big Data per fornire servizi di marketing o profilazione.
Infatti, qualora tale attività di indicizzazione di informazioni contenute in pagine web che potrebbero comprendere anche pagine su social media (ad esempio i commenti su Facebook a favore della mia squadra del cuore o che esprimono le mie convinzioni politiche), bisogna valutare se l’utilizzo di questi dati per finalità di marketing richieda il previo consenso degli individui a cui si riferiscono, il che evidentemente non sarebbe gestibile viste le enormi dimensioni di dati. Ma lo stesso vale con riferimento alle tecnologie indossabili e dell’Internet of Things dove il livello di servizi fornito dipende (e dipenderà sempre più) dalla quantità di informazioni raccolte da diverse fonti in merito all’individuo. Internet non deve essere il Far West, ma è da valutare se diventerà il terreno del proibizionismo con questa sentenza,
E un altro interessante punto della sentenza riguarda l’applicabilità della legge privacy spagnola a Google in quanto ha una succursale in Spagna che svolge attività di marketing per il motore di ricerca i cui risultati sono diretti agli utenti spagnoli, indipendentemente dal fatto che i server di Google siano situati negli Stati Uniti. Tale posizione estende il concetto di c.d. “stabilimento” della società non-europea nell’Unione europea ai fini dell’applicazione della normativa privacy e potrebbe avere conseguenze di non poco conto.
Allargando infatti questo principio alla maggior parte delle web company americane (o in generale non europee) che operano nell’Unione europea tramite una succursale locale situata nei principali Paesi europei coinvolta nello svolgimento di attività di marketing e che targetizzano gli utenti locali, il principio introdotto dalla Corte potrebbe obbligare tutte queste società a conformarsi immediatamente alla normativa privacy del Paese europeo in cui operano.
C’è da dire che questo cambiamento epocale avverrà in ogni caso con l’entrata in vigore del Regolamento comunitario in materia di privacy che introdurrà il principio secondo cui i soggetti non comunitari devono conformarsi con la legge privacy del destinatario del servizio. Tuttavia questa sentenza potrebbe costringere molte società ad accelerare i propri piani di compliance anche tenendo conto delle possibili sanzioni che con l’entrata in vigore del nuovo Regolamento arriveranno fino al 5% del fatturato mondiale.
Facebook Comments