Articoli

Diritto all’oblio: a che punto siamo?

Avv. Vincenzo Colarocco

L’Autorità Garante Italiana, con provvedimento del 24 luglio 2019 n. 153, afferma il principio secondo il quale il diritto all’oblio va riconosciuto anche a chi è stato riabilitato dopo una condanna.

Nel caso oggetto della pronuncia, l’interessato, dopo aver tentato di far deindicizzare le pagine direttamente a Google, si era rivolto all’Autorità lamentando il pregiudizio derivante alla propria reputazione personale e professionale dalla permanenza in rete di informazioni obsolete e non aggiornate. Per questo motivo aveva chiesto al Garante di ordinare a Google la rimozione dai risultati di ricerca di due Url, reperibili digitando il proprio nominativo, che contenevano informazioni su una vicenda giudiziaria che lo aveva visto coinvolto nel 2007 e sulla sentenza di condanna pronunciata nei suoi confronti nel 2010. Nelle pagine web però non vi era alcuna traccia della successiva riabilitazione che l’uomo aveva chiesto e ottenuto nel 2013. L’Autorità, nel giudicare fondato il reclamo, ha ordinato la deindicizzazione, sulla base della considerazione che l’ulteriore trattamento dei dati realizzato attraverso la persistente reperibilità in rete degli Url contestati, nonostante la riabilitazione e il tempo trascorso dal verificarsi dei fatti, determinasse un impatto sproporzionato sui diritti dell’interessato, peraltro non bilanciato da un attuale interesse del pubblico a conoscere la vicenda.

Vero è che l’attività di informazione presenta in molti casi profili di conflitto con il diritto alla riservatezza dei soggetti cui le notizie diffuse si riferiscono, da cui la necessità di individuare il giusto equilibrio tra i contrapposti interessi di rango costituzionale. Il diffondersi della memoria digitale e la capacità dei motori di ricerca di mettere in correlazione una molteplicità di informazioni che attengono a una medesima persona, la permanenza delle notizie diffuse tramite internet e la facilità di fruibilità da parte degli utenti del materiale divulgato, pongono sempre in nuovi termini la problematica della tutela dei dati sensibili. In questo contesto, assume rilevanza il diritto all’oblio, considerato quale peculiare espressione del diritto alla riservatezza e del legittimo interesse di ciascuno a non rimanere indeterminatamente esposto ad una rappresentazione non più attuale della propria persona derivante dalla reiterata pubblicazione di una notizia, con pregiudizio alla propria reputazione e riservatezza. A ben guardare, tali circostanze assumono un rilievo di particolare importanza se si ha a riguardo la permanenza in rete di notizie di cronaca giudiziaria, non aggiornate, potendo rappresentare altresì un ostacolo al reinserimento sociale della persona.

Ed infatti, nel caso di specie, la persistenza in rete di tali informazioni giudiziarie non aggiornate non è in linea con i principi alla base dell’istituto della riabilitazione, il quale, pur non estinguendo il reato, comporta il venir meno delle pene accessorie e di ogni altro effetto penale della condanna come misura premiale finalizzata al reinserimento sociale della persona.

Youtube ha violato la privacy dei minori: si va al patteggiamento

Avv. Vincenzo Colarocco

Già dallo scorso anno, alcune associazioni americane a tutela della privacy avevano accusato Google per avere trattato illecitamente i dati degli utenti della piattaforma Youtube. Non una categoria di interessati qualunque quella che sarebbe stata danneggiata dal colosso della Silicon Valley: si sarebbe trattato, infatti, degli utenti minorenni fruitori dei video e degli altri contenuti messi a disposizione dal provider. Ebbene è di questi giorni la notizia che le accuse perpetrate non sarebbero state infondate: Google ha infatti dato avvio al patteggiamento con la Federal Trade Commission, autorità che avrebbe effettivamente accertato l’intervenuta violazione della normativa sulla privacy dei bambini, il Children’s Online Privacy Protection Act. Google ha davvero raccolto i dati ed altre informazioni personali di minori sotto i 13 anni senza il consenso dei genitori. La cifra per il patteggiamento va dai 150 ai 200 milioni di dollari e se l’accordo sarà approvato si tratterà della maggiore sanzione erogata dall’authority in procedimenti riguardanti i bambini. Se, da un lato, la sanzione mostra come le autorità americane stiano intensificando gli sforzi per mettere fine alle violazioni della privacy da parte delle aziende della Silicon Valley (si pensi a Facebook), dall’altro, le indiscrezioni sul patteggiamento hanno lasciato insoddisfatte le associazioni che hanno denunciato YouTube, convinte che la cifra non sia adeguata e non possa funzionare da deterrente per il futuro, che piuttosto suggerirebbero una multa di almeno mezzo miliardo di dollari. Il patteggiamento – che potrebbe dare avvio ad una serie di altri casi analoghi di patteggiamento per siti o app in violazione – dovrebbe essere annunciato con la fine del mese di settembre 2019.

Garante Privacy: sì al diritto all’oblio anche se l’interessato non è identificato, ma solo identificabile

Avv. Vincenzo Colarocco

Con provvedimento n. 144 del 20 giugno 2019, il Garante per la protezione dei dati personali (in seguito “Il Garante” o “l’Autorità”) ha fissato un importante principio decidendo sul reclamo di un professionista che aveva, invano, richiesto a Google la deindicizzazione di un Url che risultava reperibile online digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa.

Ebbene, il Garante ha chiarito che, il diritto all’oblio può essere invocato, in casi particolari, anche partendo da dati presenti sul web che non siano il nome e il cognome dell’interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta.

Nella vicenda de quo, Google aveva opposto rifiuto alla richiesta formulata dall’interessato ex art. 17 del Regolamento UE 2016/679 (in seguito “Regolamento”) di rimuovere l’Url contestato, sostenendo che fosse inammissibile una richiesta di deindicizzazione per chiavi di ricerca che non includono il nome e il cognome di una persona fisica, sulla base di quelli che riteneva essere i principi fissati dalla Corte di Giustizia dell’Ue nella Sentenza “Google Spain” (causa C-131/12). Precisamente, l’Url oggetto di contestazione faceva riferimento ad una notizia non più attuale e non aggiornata, relativa ad un rinvio a giudizio avvenuto dieci anni prima, riguardo al quale era poi però intervenuta una sentenza definitiva di assoluzione. La permanenza in rete di tale notizia rappresentava, ad avviso dell’interessato, un gravissimo e irreparabile pregiudizio alla propria reputazione.
Diversamente da Google, l’Autorità, in tale specifica circostanza, ha ritenuto fondata la richiesta del professionista.

Invero, nel caso di specie, il Garante ha rilevato che sulla base della definizione di dato personale e, quindi, di “qualsiasi informazione riguardante una persona fisica indentificata o identificabile”, cristallizzata all’art. 4 del Regolamento, l’Url che riportava la qualifica di Presidente di quella determinata cooperativa, si riferiva in maniera inequivocabile alla persona del reclamante – visto che quest’ultimo rivestiva quella carica da moltissimi anni, tanto da essere ormai, specie nell’ambito della realtà di riferimento, univocamente messo in correlazione con essa.

Per altro verso, l’articolo contestato risultava risalente nel tempo e riguardava un procedimento penale che era stato poi definito con una sentenza di assoluzione.

Conseguentemente ed in conclusione, il Garante ha sottolineato che il pregiudizio subito dall’interessato a causa della reperibilità sul web dell’Url in questione, non poteva che ritenersi bilanciato da un interesse della collettività a conoscere informazioni che risultavano inesatte e non aggiornate alla luce degli sviluppi procedimentali avuti poi dalla vicenda.

Il Garante ha dunque ingiunto a Google di rimuovere l’Url e di comunicare entro trenta giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.

Data Breach: colpiti Google, il Bundestag e Town of salem

Avv. Vincenzo Colarocco

L’anno nuovo è appena cominciato ma continuano a segnalarsi continue violazioni sui dati personali. Questo primo scorcio di 2019 appare sin da subito funestato dal fenomeno “data breach” che, in maniera così rilevante, aveva segnato l’intero anno appena trascorso (per un approfondimento sui data breach più significativi del 2018 si può consultare questo interessante contributo del “Sole 24 Ore”). Tra il 2 ed il 3 gennaio, infatti, si sono verificati una serie di attacchi hacker mirati a colpire titolari dei dati estremamente eterogenei tra loro, con conseguenze assai rilevanti per gli interessati colpiti.

La prima violazione in esame ha coinvolto oltre 7 milioni di utenti del gioco online Town of salem. A divulgare la notizia del breach è stato DeHashed, motore di ricerca di violazioni di dati e deputato al monitoraggio degli attacchi compiuti verso database e perdite di dati conseguenti ad attacchi hacker sul web. L’informazione è stata confermata dalla Blank Media Games (“BMG”), azienda sviluppatrice del videogioco, la quale conferma che, come risultato dalle prime analisi, i dati trafugati includerebbero nomi utente, e-mail, password, indirizzi IP, attività di gioco svolte, messaggi postati nel forum del sito e informazioni relative ai pagamenti. Assieme al rischio cui sono inevitabilmente esposte le informazioni sui pagamenti degli utenti (non è da escludersi, in particolare, la possibilità che tali dati possano essere utilizzati dai cybercriminali per compiere truffe online), un’altra delicata criticità riguarda la giovane età degli utenti coinvolti (tenuto conto del fatto che nella propria policy la stessa BMG afferma che il sito e il gioco non sono rivolti ai bambini inferiori a 13 anni di età”). A sfavore delle rassicurazioni fornite dagli sviluppatori del gioco, si denota inoltre un livello di sicurezza non adeguato per trattare i dati di milioni di utenti stante l’utilizzo del prefisso “http”, indicante il vecchio protocollo di connessione, oramai considerato non più sicuro per la trasmissione dei dati personali.

Un altro attacco è stato subìto, invece, da Google e, più precisamente, dai prodotti dell’azienda muniti di tecnologia Chromecast incorporata. Due pirati informatici hanno preso il controllo dei dispositivi connessi, con l’intento di far girare il video del noto youtuber “PewDiePie”. L’azione in questione, denominata dai propri autori “CastHack”, ha avuto l’obiettivo di mostrare la vulnerabilità della smart home. Gli stessi hacker coinvolti hanno spiegato che, una volta individuati i dispositivi da “attaccare”, questi hanno cambiato il nome wifi del device e ne hanno assunto il controllo dando l’input di trasmettere il video in questione sulle smart Tv degli utenti connessi. Gli hacker che hanno rivendicato il descritto attacco hanno comunque assicurato che non utilizzeranno le informazioni di cui sono entrati in possesso.

L’ultima violazione dei dati personali in esame, probabilmente la più rilevante, ha colpito centinaia di politici tedeschi, tra cui la Cancelliera Angela Merkel, attraverso la sottrazione – e successiva ripubblicazione tramite un account Twitter – di mail, chat, dati personali, numeri di telefono, indirizzi e documenti privati degli utenti coinvolti. Oltre a colpire esponenti di quasi tutti i partiti rappresentati al Bundestag, il medesimo attacco ha coinvolto anche personaggi dello spettacolo, musicisti e giornalisti. Non è comunque ancora stato chiarito se queste mail contengano informazioni sensibili né ci sono conferme sulla veridicità dei dati pubblicati. Anche con riguardo ai responsabili si brancola nel buio.

Per quanto un’armonizzazione a livello intercontinentale sia ancora lontana, si auspica che episodi del genere divengano presto solo un ricordo e che vengano fronteggiati  adeguatamente mediante idonee misure di sicurezza al fine di garantire un’appropriata protezione inerente il trattamento dei dati sul web.

iWatch e Apple Watch, guerra di esclusive

L’uso del marchio “iWatch” (da parte di Apple) come keyword nel servizio AdWord di Google, pur essendo un marchio registrato da altra società (la software house irlandese Probendi che tratta sistemi di sicurezza) è stato ritenuto lecito da una recente ordinanza del Tribunale di Milano (datata 14.12.2015). Ancorché “Watch” non sia un prodotto Apple (ed infatti l’orologio della “mela” si chiama “Apple Watch”), secondo il Tribunale di Milano l’uso di un segno identico ad un marchio altrui, nell’ambito di un servizio di posizionamento come AdWords, non è idoneo a compromettere la funzione di pubblicità del marchio poiché, nel caso di specie, la funzione pubblicitaria del marchio di Probendi non verrebbe pregiudicata in relazione ai prodotti da essa commercializzati.