Articoli

Garante Privacy: sì al diritto all’oblio anche se l’interessato non è identificato, ma solo identificabile

Avv. Vincenzo Colarocco

Con provvedimento n. 144 del 20 giugno 2019, il Garante per la protezione dei dati personali (in seguito “Il Garante” o “l’Autorità”) ha fissato un importante principio decidendo sul reclamo di un professionista che aveva, invano, richiesto a Google la deindicizzazione di un Url che risultava reperibile online digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa.

Ebbene, il Garante ha chiarito che, il diritto all’oblio può essere invocato, in casi particolari, anche partendo da dati presenti sul web che non siano il nome e il cognome dell’interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta.

Nella vicenda de quo, Google aveva opposto rifiuto alla richiesta formulata dall’interessato ex art. 17 del Regolamento UE 2016/679 (in seguito “Regolamento”) di rimuovere l’Url contestato, sostenendo che fosse inammissibile una richiesta di deindicizzazione per chiavi di ricerca che non includono il nome e il cognome di una persona fisica, sulla base di quelli che riteneva essere i principi fissati dalla Corte di Giustizia dell’Ue nella Sentenza “Google Spain” (causa C-131/12). Precisamente, l’Url oggetto di contestazione faceva riferimento ad una notizia non più attuale e non aggiornata, relativa ad un rinvio a giudizio avvenuto dieci anni prima, riguardo al quale era poi però intervenuta una sentenza definitiva di assoluzione. La permanenza in rete di tale notizia rappresentava, ad avviso dell’interessato, un gravissimo e irreparabile pregiudizio alla propria reputazione.
Diversamente da Google, l’Autorità, in tale specifica circostanza, ha ritenuto fondata la richiesta del professionista.

Invero, nel caso di specie, il Garante ha rilevato che sulla base della definizione di dato personale e, quindi, di “qualsiasi informazione riguardante una persona fisica indentificata o identificabile”, cristallizzata all’art. 4 del Regolamento, l’Url che riportava la qualifica di Presidente di quella determinata cooperativa, si riferiva in maniera inequivocabile alla persona del reclamante – visto che quest’ultimo rivestiva quella carica da moltissimi anni, tanto da essere ormai, specie nell’ambito della realtà di riferimento, univocamente messo in correlazione con essa.

Per altro verso, l’articolo contestato risultava risalente nel tempo e riguardava un procedimento penale che era stato poi definito con una sentenza di assoluzione.

Conseguentemente ed in conclusione, il Garante ha sottolineato che il pregiudizio subito dall’interessato a causa della reperibilità sul web dell’Url in questione, non poteva che ritenersi bilanciato da un interesse della collettività a conoscere informazioni che risultavano inesatte e non aggiornate alla luce degli sviluppi procedimentali avuti poi dalla vicenda.

Il Garante ha dunque ingiunto a Google di rimuovere l’Url e di comunicare entro trenta giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.

Data Breach: colpiti Google, il Bundestag e Town of salem

Avv. Vincenzo Colarocco

L’anno nuovo è appena cominciato ma continuano a segnalarsi continue violazioni sui dati personali. Questo primo scorcio di 2019 appare sin da subito funestato dal fenomeno “data breach” che, in maniera così rilevante, aveva segnato l’intero anno appena trascorso (per un approfondimento sui data breach più significativi del 2018 si può consultare questo interessante contributo del “Sole 24 Ore”). Tra il 2 ed il 3 gennaio, infatti, si sono verificati una serie di attacchi hacker mirati a colpire titolari dei dati estremamente eterogenei tra loro, con conseguenze assai rilevanti per gli interessati colpiti.

La prima violazione in esame ha coinvolto oltre 7 milioni di utenti del gioco online Town of salem. A divulgare la notizia del breach è stato DeHashed, motore di ricerca di violazioni di dati e deputato al monitoraggio degli attacchi compiuti verso database e perdite di dati conseguenti ad attacchi hacker sul web. L’informazione è stata confermata dalla Blank Media Games (“BMG”), azienda sviluppatrice del videogioco, la quale conferma che, come risultato dalle prime analisi, i dati trafugati includerebbero nomi utente, e-mail, password, indirizzi IP, attività di gioco svolte, messaggi postati nel forum del sito e informazioni relative ai pagamenti. Assieme al rischio cui sono inevitabilmente esposte le informazioni sui pagamenti degli utenti (non è da escludersi, in particolare, la possibilità che tali dati possano essere utilizzati dai cybercriminali per compiere truffe online), un’altra delicata criticità riguarda la giovane età degli utenti coinvolti (tenuto conto del fatto che nella propria policy la stessa BMG afferma che il sito e il gioco non sono rivolti ai bambini inferiori a 13 anni di età”). A sfavore delle rassicurazioni fornite dagli sviluppatori del gioco, si denota inoltre un livello di sicurezza non adeguato per trattare i dati di milioni di utenti stante l’utilizzo del prefisso “http”, indicante il vecchio protocollo di connessione, oramai considerato non più sicuro per la trasmissione dei dati personali.

Un altro attacco è stato subìto, invece, da Google e, più precisamente, dai prodotti dell’azienda muniti di tecnologia Chromecast incorporata. Due pirati informatici hanno preso il controllo dei dispositivi connessi, con l’intento di far girare il video del noto youtuber “PewDiePie”. L’azione in questione, denominata dai propri autori “CastHack”, ha avuto l’obiettivo di mostrare la vulnerabilità della smart home. Gli stessi hacker coinvolti hanno spiegato che, una volta individuati i dispositivi da “attaccare”, questi hanno cambiato il nome wifi del device e ne hanno assunto il controllo dando l’input di trasmettere il video in questione sulle smart Tv degli utenti connessi. Gli hacker che hanno rivendicato il descritto attacco hanno comunque assicurato che non utilizzeranno le informazioni di cui sono entrati in possesso.

L’ultima violazione dei dati personali in esame, probabilmente la più rilevante, ha colpito centinaia di politici tedeschi, tra cui la Cancelliera Angela Merkel, attraverso la sottrazione – e successiva ripubblicazione tramite un account Twitter – di mail, chat, dati personali, numeri di telefono, indirizzi e documenti privati degli utenti coinvolti. Oltre a colpire esponenti di quasi tutti i partiti rappresentati al Bundestag, il medesimo attacco ha coinvolto anche personaggi dello spettacolo, musicisti e giornalisti. Non è comunque ancora stato chiarito se queste mail contengano informazioni sensibili né ci sono conferme sulla veridicità dei dati pubblicati. Anche con riguardo ai responsabili si brancola nel buio.

Per quanto un’armonizzazione a livello intercontinentale sia ancora lontana, si auspica che episodi del genere divengano presto solo un ricordo e che vengano fronteggiati  adeguatamente mediante idonee misure di sicurezza al fine di garantire un’appropriata protezione inerente il trattamento dei dati sul web.

iWatch e Apple Watch, guerra di esclusive

L’uso del marchio “iWatch” (da parte di Apple) come keyword nel servizio AdWord di Google, pur essendo un marchio registrato da altra società (la software house irlandese Probendi che tratta sistemi di sicurezza) è stato ritenuto lecito da una recente ordinanza del Tribunale di Milano (datata 14.12.2015). Ancorché “Watch” non sia un prodotto Apple (ed infatti l’orologio della “mela” si chiama “Apple Watch”), secondo il Tribunale di Milano l’uso di un segno identico ad un marchio altrui, nell’ambito di un servizio di posizionamento come AdWords, non è idoneo a compromettere la funzione di pubblicità del marchio poiché, nel caso di specie, la funzione pubblicitaria del marchio di Probendi non verrebbe pregiudicata in relazione ai prodotti da essa commercializzati.