Call Us +39 011 55.84.111

Allegra Bonomo

Allegra Bonomo

Esperta nel settore dell’Information and Communication Technology.

Website URL: http://www.replegal.it/it/cerca-i-professionisti/161-allegra-bonomo.html

Google non è editore di youtube, ma un mero fornitore di servizi tecnologici

Il Tribunale di Grande Istanza di Parigi ha stabilito che Google è un intermediario della comunicazione ovvero un mero fornitore di servizi tecnologici e non già un editore. Conseguentemente, Google non può essere chiamato a rispondere di eventuali violazioni dei diritti d’autore poste in essere dai propri utenti attraverso la pubblicazione di video sulla piattaforma di videosharing Youtube.

Tribunal De Grande Istance de Paris, 29 maggio 2012 S.A. Television Francaise 1 – TF1 ed d’autres c. YouTube LLc

Commento
Con la decisione del 29 maggio 2012, il Tribunale di Parigi ha rigettato la domanda risarcitoria proposta dalla rete televisiva francese Tf1 nei confronti di Google per violazione dei diritti d’autore su propri programmi diffusi tramite la piattaforma di videosharing Youtube, ed ha affermato che Google deve essere considerata un mero fornitore di servizi tecnologici e non può pertanto essere chiamata a rispondere di eventuali illeciti posti in essere dai propri utenti.
Il Tribunale è giunto alla suddetta conclusione a seguito di un esame dettagliato dei servizi offerti dalla piattaforma Youtube agli utenti, agli inserzionisti e ai titolari di diritti ed ha stabilito che essi non possono essere considerati elementi idonei ad escludere il ruolo di mero hosting provider di Google a favore di quello di editore e che, pertanto, a Google dovessero applicarsi le limitazioni di responsabilità previste dalla Direttiva 2001/31/CE sul commercio elettronico, così come implementate dalla legge nazionale. In particolare, il Tribunale di Parigi ha ritenuto irrilevanti: (i) la circostanza che Google nelle condizioni generali del servizio accettate dagli utenti, si riserva il diritto di utilizzare i contenuti dei utenti stessi, in assenza della prova di un effettivo esercizio di tale diritto al fine di conferire alla piattaforma una specifica linea editoriale; (ii) la raccolta di pubblicità connessa ai contenuti degli utenti; (iii) la previsione di un sistema di ricerca di contenuti protetti (c.d. Content id) utilizzabile dai titolari dei diritti.
Si tratta di una sentenza che si pone in netto contrasto con quelle dei Giudici nazionali; questi, infatti, sulla base degli stessi elementi sopra indicati che il Tribunale di Parigi ha ritenuto non avessero alcuna rilevanza sulla qualificazione di  Google come mero “hosting provider”, hanno invece elaborato  una nuova figura di Intermediario della Rete, definita “ hosting attivo” ritenuto “ non completamente passivo e neutro rispetto ai contenuti immessi dagli utenti” al quale non è applicabile la disciplina del D.Lgs. 70/2003.
(A.B.)

Garante della Privacy: diritto all’oblio, di cronaca e snippet

Il Garante della Privacy, interpellato in più occasioni da alcuni utenti che non avevano ottenuto dal motore di ricerca interessato la deindicizzazione di pagine presenti sul web che li riguardavano, ha negato, nella maggior parte dei casi, la sussistenza dei presupposti per l’esercizio del diritto all’oblio così come riconosciuti dalla Sentenza della Corte di Giustizia Europea del 13 maggio 2014 resa nella causa C 131/12. 

L’Autorità, infatti, ha ribadito che non ogni notizia contenente dati personali deve essere resa irraggiungibile tramite i motori di ricerca, ma solo quella contenente dati risalenti nel tempo, privi di interesse alla conoscenza, non pertinenti o eventualmente non aggiornati, poiché solo in questi casi una persona ha diritto ad essere “dimenticato”. Le notizie contenenti dati personali se sono recenti e inerenti a fatti rilevanti e di interesse pubblico non devono essere rese inaccessibili, in quanto il diritto dell’interessato all’oblio deve essere bilanciato con il diritto della collettività ad essere informato, con il diritto di cronaca.
Nelle decisioni esaminate l’elemento temporale dell’argomento riferito ad una persona erge a criterio primario nell’accoglimento o meno della richiesta di deindicizzazione: ciò che è recente è difficilmente suscettibile di essere “dimenticato”, se a ciò si aggiunge l’interesse pubblico a conoscere la notizia, sul diritto all’oblio prevale il diritto di cronaca.
Il Garante ha altresì precisato che l’eventuale insussistenza dei presupposti per esercitare il diritto all’oblio, non impedisce all’utente che ritenga false o diffamatorie le affermazioni ad esso riferite e diffuse sul web, di rivolgersi all’editore per ottenere l’aggiornamento, la rettificazione e l’integrazione dei dati contenuti nell’articolo che lo riguardano.
Il Garante, infine, per la prima volta affronta la questione degli abstract visualizzati sotto il titolo di una pagina nei risultati di ricerca (i c.d. snippet) e, implicitamente, accoglie le argomentazioni del ricorrente secondo cui “sebbene Google ritenga irrilevante il contenuto degli snippet prodotto dal proprio motore di ricerca, tuttavia, l’estrapolazione dei dati degli interessati, attraverso gli algoritmi sviluppati dal motore di ricerca, poi visualizzati tramite i motore di ricerca medesimo, anche se riportanti dati personali incompleti, costituiscono a tutti gli effetti trattamenti di dati personali e come tali non possono non essere pertinenti, corretti e non fuorvianti”.
Il Garante, preso atto del fatto che il titolare del trattamento ha “fornito un adeguato riscontro all’istanza del ricorrente nel corso del procedimento”, dichiara di non dover procedere sul punto, ma di fatto equipara, ai fini della disciplina del trattamento dei dati personali, gli snippet elaborati automaticamente dal motore di ricerca ai risultati visualizzati dal motore stesso, così, a mio avviso, ampliando la nozione di “titolare” del trattamento.

Fax promozionali e dati personali da elenchi telefonici

La Suprema Corte di Cassazione interviene ancora una volta sulla questione inerente l’utilizzo di dati personali estratti da “pubblici registri” per l’invio di comunicazioni promozionali, per confermarne l'illiceità in assenza di un consenso espresso ed informato dei soggetti interessati, e per affrontare alcuni interessanti aspetti della normativa in materia di diritto alla riservatezza. 


I fatti che precedono il ricorso ai giudici di legittimità risalgono al 2012, quando l’Autorità condanna una società per avere inviato fax promozionali a nominativi presenti negli elenchi telefonici, in assenza di un consenso specifico, espresso ed informato dei soggetti interessati. La società mittente ritiene integralmente erronea la sanzione irrogata dal Garante e ricorre al Tribunale di Parma che, tuttavia, con sentenza dell’aprile 2013 conferma integralmente il provvedimento sanzionatorio dell’Autorità. La società ricorre allora in Cassazione con ben dodici motivi di impugnazione – tutti rigettati dalla Corte - , contestando, in primis, che nel caso di specie si verteva in tema di trattamento dei dati personali e, in secondo luogo che si trattava di messaggi promozionali.

Secondo la ricorrente, infatti, la mera raccolta di un numero di telefono dall’elenco telefonico “pagine Gialle” non costituisce un’ operazione di trattamento di dati personali e che, in ogni caso, la banca dati da cui erano stati estratti i dati era stata costituita prima del 10 agosto 2005, e, pertanto, tali dati - per espressa previsione normativa (art. 44 del d.l. n. 207 del 2008) – potevano essere  lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009. La ricorrente contesta altresì la ricorrenza della natura promozionale delle comunicazioni effettuate.

Sotto il primo dei citati profili, la Cassazione rileva che l’attività effettuata dalla ricorrente rientra indubbiamente nella nozione di “trattamento” cosi come definita dall’art. 4 del Codice privacy, contemplando essa anche l'estrazione di dati, come pure la presa di cognizione ed il successivo utilizzo, come nell'ipotesi in esame, per fini commerciali di un numero di fax risultante dall'elenco delle Pagine gialle. Gli Ermellini ribadiscono altresì il principio che la presenza di un nominativo all’interno di un elenco telefonico è rappresentativa della sola volontà di quest’ultimo di essere rintracciato per “comunicazioni interpersonali” non anche di un consenso implicito del dato per ulteriori finalità; al contrario, ribadisce la Corte, ogni diverso utilizzo, quale appunto l’invio di fax promozionali, deve essere preceduto da un consenso specifico ed espresso dell’interessato, a nulla rilevando la mancata iscrizione del relativo nominativo nel registro delle opposizioni.

La Cassazione rileva, altresì, che nella fattispecie in esame era del tutto irrilevante, ai fini di escludere l'illiceità della condotta sanzionata, richiamare la normativa che ha stabilito che i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino a sei mesi dopo la data di entrata in vigore della legge di conversione del predetto decreto. E ciò in quanto: (i) la deroga vale solo per i titolari del trattamento che abbiano costituito banche dati prima del 1° agosto 2005, prova non fornita dalla società mittente nel caso di specie; (ii) la normativa in ogni caso non deroga a quanto disposto dall'articolo 130 del Codice della privacy in tema di comunicazioni indesiderate, e cioè che “l'uso di sistemi automatizzati di chiamata senza intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato” tale essendo la comunicazione promozionale a mezzo fax.

Al riguardo, infatti, la Corte chiarisce che la locuzione “senza intervento di un operatore” deve essere interpretata nel senso che detto intervento “si riferisce alla ricezione contestuale, da parte dell'interessato, di messaggi promozionali da parte di persona fisica nel corso di una chiamata telefonica; pertanto, l'invio del fax va assimilato ad una chiamata telefonica automatica senza intervento di un operatore, a causa delle caratteristiche intrinseche del mezzo di comunicazione e dell'assenza di contatto diretto fra operatore e destinatario del messaggio, non essendo questa assimilazione impedita dalla circostanza che una persona fisica abbia provveduto all'azione materiale dell'invio del fax”.

Quanto alla natura “promozionale” del messaggio, la Corte afferma che non è dubitabile trattandosi, nella fattispecie, di comunicazioni finalizzate alla commercializzazione di corsi formativi.

Ulteriore motivo di doglianza della ricorrente verte sull’errore in cui sarebbe incorso il Garante nella quantificazione della sanzione amministrativa poiché dei tre fax promozionali uno era stato inviato prima dell'entrata in vigore dell'art. 162, comma 2-bis, introdotto dal D.L. n. 207 del 2008. La Cassazione rigetta anche tale censura per due ragioni: (i) in quanto la doglianza era riferita complessivamente ai tre fax inviati e non specificatamente a ciascuno di essi; (ii) e in quanto l’illecito trattamento dei dati personali si era comunque verificato con l’invio di due fax successivamente al 2008

Interessante, infine, per gli spunti di riflessione che esso offre, è il motivo di impugnazione vertente sull’ “errore scusabile determinato dall'altrui inganno” in cui sarebbe incorsa la ricorrente e tale da ingenerare l’incolpevole opinione di agire legittimamente. La Corte ha ritenuto inammissibile tale motivo di censura, “non essendo indicate le risultanze processuali – che il Tribunale non avrebbe valutato – dalle quali emergerebbero gli elementi positivi, estranei all’autore, idonei ad ingenerare in quest’ultimo l’incolpevole opinione di liceità del proprio agire”. Dalla lettura della motivazione della sentenza, dunque, non è possibile individuare le supposte ragioni di errore incolpevole della società, ma riteniamo che sarebbe stato interessante un esame della questione al fine di verificare se tale vizio poteva essere eccepito da un acquirente/licenziatario di una banca dati in presenza di una clausola di garanzia a suo favore rilasciata dal venditore/licenziante di avere correttamente adempiuto a tutti gli adempimenti privacy.

Come noto, infatti, in relazione alle operazioni di acquisto/licenza di banche dati nelle quali il venditore/licenziante garantisce all’acquirente/licenziatario l’utilizzo dei dati personali, il Garante ha sempre affermato il principio che è onere dell’acquirente/licenziatario verificare e accertare l’effettivo adempimento ai preventivi adempimenti privacy anche mediante la richiesta di esibizione della documentazione attestante l’effettivo rilascio dell’informativa e l’effettiva acquisizione del consenso. Argomentazione che, a parere di scrive, amplia ingiustificatamente la responsabilità dell’acquirente/licenziatario per un’omessa azione di controllo, nonostante l’inadempimento del venditore/licenziante all’obbligo di garanzia contrattualmente assunto.

Cass. Civ., Sez. II, 24 giugno 2014, n. 14326

Violazione della privacy e riconoscimento del danno non patrimoniale

La sentenza della Suprema Corte, III sez. civile, n. 16133/2014 affronta il delicato argomento del risarcimento del danno non patrimoniale conseguente alla lesione del diritto alla riservatezza, affermando che il danno non patrimoniale risarcibile ai sensi dell’art. 15 del Codice per la protezione dei dati personali, non si sottrae alla verifica della “gravità della lesione” - relativo al diritto fondamentale alla protezione dei dati personali legato ai diritti e alle libertà fondamentali indicate all’art. 2 del Codice - e di “serietà del danno” – quale perdita di natura personale effettivamente sofferta dall’interessato.

Come è noto, l’art. 15 del Codice disciplina il tema della responsabilità civile per i danni procurati dal trattamento di dati personali e nello specifico sancisce, al primo comma, che “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile” e al secondo che “Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11”.

Il dettato normativo dunque prevede, in tema di violazione della privacy di un individuo, un allargamento rilevante dello spettro di ipotesi nelle quali il danno è risarcibile ossia, non solo nel caso sia stato commesso un illecito penale, ma in tutti i casi di violazione dei principi stabiliti dall’art. 11 del Codice (del principio di liceità e correttezza del trattamento; quello di finalità; il principio di qualità ed esattezza dei dati trattati; quello della pertinenza dei dati rispetto al trattamento; della giusta durata del periodo di conservazione dei dati).

La Suprema Corte, tuttavia, è intervenuta per circoscrivere e limitare in un certo senso, la risarcibilità del danno non patrimoniale nel sistema della responsabilità civile derivante da violazione della privacy.

Nel caso di specie, in particolare, tre studenti universitari, erano ricorsi al Tribunale di Roma lamentando l’illecito trattamento ad opera dell’Università, in quanto la stessa aveva reso visibile e conoscibile da chiunque digitasse sul motore di ricerca Google i loro nomi e cognomi, un file Excel contenente informazioni ad essi riferibili.

Il Tribunale di Roma accertava l’illiceità del trattamento disponendo la cancellazione dal web dei dati personali dei ricorrenti e, quanto al risarcimento del danno, escludeva che gli studenti avessero subito un danno patrimoniale, ma quanto a quello non patrimoniale stabiliva che “pur essendo stato dedotto il patema d’animo sofferto per rischio di possibili furti della propria identità, con la necessità di continui controlli, riteneva non dimostrata tale ultima circostanza, riscontrando, però, a fondamento del liquidato pregiudizio, un disagio conseguente alla propria indiscriminata esposizione personale anche di carattere economico”.

L’Università impugnava innanzi alla Corte di Cassazione la sentenza del Tribunale di Roma sulla base di tre motivi; in particolare, ai fini che qui interessano, la ricorrente lamentava l’errore del Tribunale per avere radicalmente omesso “di accertare nel caso di specie la serietà del danno ipoteticamente risarcibile e la gravità della lesione dei diritti fondamentali della persona”.

La accoglieva il suddetto motivo di censura rilevando come il Tribunale di Roma aveva effettivamente omesso di verificare in concreto la gravità della lesione (danno che superi la soglia minima di tollerabilità imposta dai doveri di solidarietà sociale) e la serietà del danno (non consista in un mero disagio o fastidio) lamentato dagli studenti, statuendo che neppure in tema di risarcimento del danno non patrimoniale per violazione della privacy può da essi prescindersi. 

Nella motivazione della sentenza, infatti, la Suprema Corte sottolinea che nel sistema del d.lgs. n. 196 del 2003, il diritto fondamentale alla protezione dei dati personali non vive isolatamente, ma simbioticamente con gli altri ed implicati diritti fondamentali ed inviolabili della persona umana, operando strumentalmente per la sua integrale tutela e che, pertanto, la mera violazione delle prescrizioni poste dall’art. 11 del Codice non determina di per sé una lesione ingiustificata del diritto fondamentale alla protezione dei dati personali, ma la determina soltanto quella violazione “che ne offenda in modo sensibile (e cioè oltre la soglia di tollerabilità) la sua portata effettiva, calata in un contesto in cui si combinano strettamente i diritti e le libertà fondamentali e della dignità della persona e in particolare della riservatezza, dell’identità personale o morale del soggetto, perché il risultato sia quello di una tutela piena della persona umana a fronte di un vulnus concreto ed effettivo, che, come tale, necessita di essere ristorato”.

Sulla base di ciò, i giudici della Suprema Corte hanno enunciato il seguente principio di diritto cui dovrà uniformarsi il Tribunale di Roma nel deliberare nuovamente la questione: “il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (c.d. codice della privacy) non si sottrae alla verifica di “gravità della lesione” (concernente il diritto fondamentale alla protezione dei dati personali, quale intimamente legato ai diritti ed alle libertà indicate dall’art. 2 del codice, convergenti tutti funzionalmente alla tutela piena della persona umana e della sua dignità) e di “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), che, in linea generale, si richiede in applicazione dell’art. 2059 cod. civ. nelle ipotesi di pregiudizio inferto ai diritti inviolabili previsti in Costituzione. Ciò in quanto, anche nella fattispecie di danno non patrimoniale di cui al citato art. 15, opera il bilanciamento (siccome pienamente consentito all’interprete dal modo in cui si è realizzata nello specifico l’interpositio legislatoris) del diritto tutelato da detta disposizione con il principio di solidarietà – di cui il principio di tolleranza è intrinseco precipitato -, il quale, nella sua immanente configurazione, costituisce il punto di mediazione che permette all’ordinamento di salvaguardare il diritto del singolo nell’ambito di una concreta comunità di persone che deve affrontare i costi di una esistenza collettiva. L’accertamento di fatto rimesso, a tal fine, al giudice del merito, in forza di previe allegazioni e di coerenti istanze istruttorie di parte, dovrà essere ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale, dovendo l’indagine, illuminata dal bilanciamento anzidetto, proiettarsi sugli aspetti contingenti dell’offesa e sulla singolarità delle perdite personali verificatesi. Un siffatto accertamento – che, ove l’offesa non superi la soglia di minima tollerabilità o il danno sia futile, può condurre anche ad escludere la possibilità di somministrare il risarcimento del danno – è come tale sottratto al sindacato di legittimità se congruamente motivato”.   

 

Eliminazione dell’obbligo di redigere il documento programmatico della sicurezza

Il D.L. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e sviluppo” - attualmente all'esame del Parlamento per la conversione in legge -, ha, tra l'altro, modificato alcune disposizione del Codice in materia di protezione di dati personali, sopprimendo in particolare dagli adempimenti in materia di misure minime di sicurezza la redazione del Documento Programmatico per la Sicurezza (cioè quel testo che andava aggiornato entro il 31 marzo di ogni anno, la cui mancanza era sanzionata anche penalmente e conteneva tutte le informazioni rilevanti sul “sistema privacy” dell’azienda).

Decreto Legge 9 febbraio 2012, art. 45.pdf

 

Commento

L’eliminazione dell’obbligo di redigere il DPS è stata accolta con grande favore dalle imprese che hanno considerato la predisposizione del documento come un inutile formalismo. La modifica apportata dal D.L. 5/2012, tuttavia, non deve essere interpretata come una maggiore libertà del titolare del trattamento nella predisposizione e nel controllo delle misure di sicurezza; anzi, a nostro avviso, l’assenza di un momento in cui l’impresa era costretta ad analizzare il complesso delle attività di trattamento di dati personali, la tipologia dei dati trattati e la quantità dei soggetti coinvolti, potrebbe esporre il titolare ad una maggiore responsabilità in quanto dovrà dimostrare di essere stato diligente. Ciò che, infatti, deve essere sempre considerato rilevante da parte del titolare è il rispetto sostanziale e non formalistico della normativa. (A.B.)

 

Commento
L’eliminazione dell’obbligo di redigere il DPS è stata accolta con grande favore dalle imprese che hanno considerato la predisposizione del documento come un inutile formalismo. La modifica apportata dal D.L. 5/2012, tuttavia, non deve essere interpretata come una maggiore libertà del titolare del trattamento nella predisposizione e nel controllo delle misure di sicurezza; anzi, a nostro avviso, l’assenza di un momento in cui l’impresa era costretta ad analizzare il complesso delle attività di trattamento di dati personali, la tipologia dei dati trattati e la quantità dei soggetti coinvolti, potrebbe esporre il titolare ad una maggiore responsabilità in quanto dovrà dimostrare di essere stato diligente. Ciò che, infatti, deve essere sempre considerato rilevante da parte del titolare è il rispetto sostanziale e non formalistico della normativa. (A.B.)

 

Rispetto del diritto all’oblio e obbligo di aggiornamento delle testate

Il diritto fondamentale alla riservatezza trova un limite nell’interesse pubblico sotteso al diritto all’informazione, ma al soggetto cui i dati appartengono è correlativamente attribuito il diritto all’oblio, e cioè il diritto a che non vengano ulteriormente divulgate notizie che lo riguardano e che, per il trascorrere del tempo, risultino ormai dimenticate o ignote alla generalità dei consociati. 

Se, in ogni caso, l’interesse pubblico alla persistente conoscenza di un fatto avvenuto in epoca anteriore trova giustificazione nell’attività svolta dal soggetto titolare dei dati, e tale vicenda ha registrato una successiva evoluzione, non si può prescindere dall’informazione circa tale ultima evoluzione, dal momento che, altrimenti la notizia, originariamente completa e vera, diventa non aggiornata, risultando parziale e non esatta, e pertanto sostanzialmente non vera. Se vera, esatta ed aggiornata essa era al momento del relativo trattamento quale notizia di cronaca, e come tale ha costituito oggetto di trattamento, il suo successivo spostamento in altro archivio di diverso scopo (nel caso, archivio storico) con memorizzazione anche nella rete internet deve essere allora realizzato con modalità tali da consentire alla medesima di continuare a mantenere i suindicati caratteri di verità ed esattezza, e conseguentemente di liceità e correttezza, mediante il relativo aggiornamento e contestualizzazione.
Solo in tal modo essa risulta infatti non violativa sia del diritto all'identità personale o morale del titolare, nella sua proiezione sociale, del dato oggetto di informazione e di trattamento, sia dello stesso diritto del cittadino utente a ricevere una completa e corretta informazione.
Cass. Civ. Sez. III, 5 aprile 2012, n. 5525 pdf

Commento
Con la sentenza n. 5525/2012 la Corte di Cassazione ha affrontato il tema della pubblicazione in un archivio di una testata online di una notizia di cronaca riportante la condanna per corruzione di un politico, il quale era stato poi prosciolto e del diritto all’oblio di quest’ultimo. La Suprema Corte ha accolto il ricorso del politico, confermando la sussistenza del diritto all’oblio e stabilendo che se una notizia di cronaca è collocata nell’archivio storico di una testata online e resa disponibile tramite l’intervento dei motori di ricerca, il titolare dell’organo di informazione deve provvedere a curare anche la messa a disposizione della contestualizzazione e aggiornamento della notizia stessa.
La Corte ribadisce il principio generale secondo cui "se l’interesse pubblico sotteso al diritto all’informazione (art. 21 Cost.) costituisce un limite al diritto fondamentale alla riservatezza, al soggetto cui i dati appartengono è correlativamente attribuito il diritto all’oblio e cioè a che non vengano ulteriormente divulgate notizie che per il trascorrere del tempo risultano ormai dimenticate o ignote alla generalità dei consociati", ma prosegue la propria analisi in relazione a quelle notizie che, in quanto riportanti un fatto di cronaca, assumono rilevanza anche quale fatto storico, e riconosce che in tali casi può essere giustificata la permanenza nella memoria di Internet.
Secondo la Corte, tuttavia, in ossequio al principio generale stabilito dall’articolo 11 del Codice Privacy secondo cui i dati personali trattati devono essere esatti ed aggiornati, affinché la conservazione sia lecita, essa deve essere effettuata con modalità tali da garantire “il diritto della persona alla propria identità personale e morale,  a non vedere cioè travisato o alterato all’esterno il proprio patrimonio intellettuale, politico, sessuale, religioso, ideologico, professionale” ed a tal fine, precisa la Corte, il titolare del sito deve collegare la notizia ad altre informazioni successivamente pubblicate concernenti l’evoluzione della vicenda che possano completare o mutare il quadro evincentesi dalla notizia originaria, predisponendo un “sistema idoneo a segnalare (nel corpo o a margine) la sussistenza nel caso di un seguito e di uno sviluppo della notizia.” (A.B.)

Acquisto banche dati: ne risponde anche l’acquirente

Una società, operante attività di marketing, non è esente da responsabilità con riferimento al trattamento dei dati contenuti in una lista anagrafica generata da una diversa società, nel caso in cui tali dati siano stati acquisiti senza un valido consenso informato dell’interessato. L’acquirente, anche se non raccoglie i dati personali e non effettua materialmente invio di comunicazioni promozionali, deve considerarsi titolare del trattamento.

http://www.garanteprivacy.it/garante/doc.jsp?ID=1885765

Commento
Con provvedimento del 5 aprile 2012, il Garante per la protezione dei dati personali si è pronunciato sul trattamento dei dati personali tratti da un questionario compilato on-line, su segnalazione di un utente, che aveva denunciato la ricezione di numerose chiamate (indesiderate) a carattere promozionale da parte di una importante società che opera nel settore dell’energia, nonostante l’intestatario avesse iscritto il numero nel Registro pubblico delle opposizioni.
Nel corso del procedimento, è emerso che la società che aveva effettuato la chiamata promozionale non aveva estratto i dati dagli elenchi telefonici, ma li aveva acquisiti da una nota azienda “che si occupa di generazione di anagrafiche con consenso per il marketing diretto”. Durante l’istruttoria il Garante ha accertato che la società cedente i dati non aveva acquisito un valido consenso informato dall’interessato e ha ordinato il blocco dei dati trattati in violazione di legge.
Il Garante, inoltre, ha analizzato la posizione della società acquirente e ne ha affermato la responsabilità nonostante quest’ultima, per espresso accordo con la società cedente, non aveva alcun accesso ai dati personali degli utenti ma si limitava “a dettare i criteri di individuazione dei nominativi da contattare senza alcuna ingerenza nel trattamento dei relativi dati”.  Nonostante tale circostanza, infatti, l’Autorità ha ritenuto che la società acquirente “deve essere considerata titolare del trattamento delle informazioni personali dei destinatari delle iniziative commerciali adottate in suo nome e per suo conto. A questa società competono, infatti, le decisioni di cui all’art. 4, comma 1, lett. F) del Codice”. D'altro canto diversamente argomentando, continua il Garante, “anche avuto riguardo ad un punto di vista squisitamente contrattuale, ci si troverebbe di fronte ad una pattuizione - il richiamato accordo … - nella quale il sinallagma proprio del negozio giuridico posto in essere (e cioè la fornitura, verso corrispettivo, delle liste di dati personali di interessati che hanno acconsentito alla ricezione di iniziative di carattere commerciale) risulterebbe di fatto alterato, dal momento che quei dati sarebbero destinati, nella formale volontà dei contraenti, a permanere nella sfera giuridica del soggetto fornitore. Questi, infatti, si limiterebbe a riversarli ai propri responsabili, senza possibilità alcuna per l'acquirente di poterne disporre, nonostante il pagamento del relativo prezzo; con l'innegabile vantaggio di tenere indenne la società acquirente  da oneri, obblighi e responsabilità connessi all'esercizio della titolarità.”
In conclusione, secondo il Garante, l'oggetto stesso del contratto risulterebbe illecito poiché si realizzerebbe in tal modo un indiretto risultato elusivo delle norme imperative del Codice che disciplinano, appunto, obblighi, oneri e responsabilità del titolare del trattamento di quelle informazioni.
(A.B.)

Riservatezza e limite temporale del diritto di cronaca online

La vicenda riguarda un articolo relativo ad una vicenda giudiziaria di natura penale non ancora conclusa avvenuta nel 2008 che vedeva coinvolto un ristoratore ed il suo ristorante, del quale il ristoratore chiedeva la rimozione dal sito web di una testata giornalistica. Il soggetto interessato lamentava il pregiudizio alla reputazione personale e professionale con conseguente danno all’immagine del locale derivante dal permanere dell’articolo nelle pagine web. 

La sentenza può considerarsi “innovativa” in quanto con essa il Giudice ha riconosciuto una prevalenza del diritto alla riservatezza sul diritto di cronaca sulla base delle disposizioni del Codice privacy, e ritenendo che la notizia essendo decorso un certo lasso di tempo, avesse ormai soddisfatto “gli interessi pubblici sottesi al diritto di cronaca giornalistica”.

Tribunale di Chieti, sez. Ortona, 16 gennaio 2013. pdf

Commento
Secondo il Tribunale di Chieti, una notizia di cronaca contenuta negli archivi di siti internet svolgenti attività giornalistiche va cancellata dopo il venir meno dell’attualità della notizia stessa e ciò indipendentemente dal fatto che la notizia sia vera o falsa.
La giurisprudenza che ha affrontato il tema della conservazione negli archivi on line di articoli giornalistici si è generalmente orientata sul concetto della necessità di aggiornare le notizie contenute negli archivi storici di una testata on line in presenza di fatti nuovi e sopravvenuti che incidono significativamente sull’immagine precedentemente data della persona interessata. Il Tribunale di Chieti, invece, in presenza di una notizia di cronaca giudiziaria del tutto attuale, veritiera e corretta ha ritenuto che essa dovesse comunque essere cancellata in quanto “la mancata rimozione dell’articolo da parte della testata viola il principio di necessità sancito dall’art. 11 del Codice, secondo cui il trattamento dei dati personali può avvenire per un periodo di tempo non superiore a quello necessario agli scopi per cui i dati sono stati raccolti e trattati, e conseguentemente il disposto dell’art. 25, che vieta la diffusione dei dati oltre il periodo stabilito dall’art. 11. Il Tribunale, inoltre, rinvia al diritto dell’interessato di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati in violazione di legge (art. 7 del Codice).”

A nostro parere si tratta di una sentenza criticabile in quanto troppo semplicisticamente sancisce una prevalenza assoluta del diritto alla riservatezza rispetto al diritto di cronaca o meglio afferma che decorso un certo tempo i presupposti legittimanti il diritto di cronaca decadano con piena prevalenza delle disposizioni del Codice.

Privacy e quotidiani: interdizione di indicizzazione di notizie non attuali e aggiornamento

Una società editrice di un noto quotidiano on line, non può esimersi dall’aggiornare i dati personali contenuti nell’archivio storico della propria testata, assumendo che il trattamento è lecito attualmente in quanto effettuato non per finalità giornalistiche ma a fini documentaristici nell’ambito di un archivio. Il diritto all’identità personale deve sempre essere salvaguardato ed esso comprende il diritto a vedere aggiornato il proprio profilo ogniqualvolta si verifichino eventi o circostanze che incidono significativamente sull’immagine dell’interessato.


http://www.garanteprivacy.it/garante/doc.jsp?ID=2286820

Commento
Con provvedimento del 31 gennaio 2013, il Garante per la protezione dei dati personali si è pronunciato sul trattamento dei dati personali contenuti in una notizia di cronaca conservata nell’archivio storico di un quotidiano on line e accessibile tramite i più comuni motori di ricerca.
La fattispecie oggetto di procedimento innanzi all’autorità della privacy riguardava la pubblicazione nell’archivio storico on line di un quotidiano di una notizia contenenti dati personali riguardanti il ricorrente riferiti ad una vicenda giudiziaria dalla quale lo stesso era poi risultato del tutto estraneo. Si tratta quindi di un caso del tutto sovrapponibile a quello deciso nell’aprile del 2012  dalla Suprema Corte di Cassazione con la sentenza n. 5525, commentata in nostro precedente numero.
Il Garante per la protezione dei dati personali, quindi, richiamando espressamente la succitata sentenza ha ribadito il principio che “come indispensabile corollario della riconosciuta liceità della conservazione degli articoli di cronaca a suo tempo pubblicati nella sezione del sito interne dell’editore resistente denominato archivio storico, va garantito il diritto (pienamente compreso tra le posizioni giuridiche azionabili ai sensi dell’art. 7 del Codice) dell’interessato ad ottenere l’aggiornamento/integrazione dei dati personali che lo riguardano quando eventi e successivi sviluppi abbiano modificato le situazioni oggetto di cronaca giornalistica (seppure a suo tempo corretta) incidendo significativamente sul profilo e l’immagine dell’interessato che da tali rappresentazioni può emergere”.
Appare pertanto consolidato il presupposto dell’obbligo dell’editore on line di aggiornare la notizia: la successiva notizia che travolge sostanzialmente l’immagine che di una determinata persona era stata fornita in passato.
Il contributo del Garante, a differenza di quello del tribunale di Chieti, si muove sulla scia del recente orientamento giurisprudenziale formatosi interno a notizie di cronaca divenute “obsolete” a seguito di fatti sopravvenuti concernenti una persona che hanno l’effetto di fornire un nuovo profilo della stessa e che devono essere tenuti in considerazione in virtù del diritto sancito dall’articolo 7 del Codice all’”aggiornamento, alla rettificazione ovvero, quando vi ha interesse, l’integrazione” al quale corrisponde l’obbligo del titolare che i dati personali oggetto di trattamento siano “esatti e, se necessario, aggiornati” (art. 11 del Codice).

DPA: pc del lavoratore controllabile solo con consenso informato

Il Garante pe la protezione dei dati personali ha vietato ad una società di trattare ulteriormente i dati ricavati durante un’operazione di back up sul pc aziendale di un proprio dipendente a seguito del quale la società aveva proceduto alla contestazione disciplinare ed al licenziamento senza preavviso. 


http://www.garanteprivacy.it/garante/doc.jsp?ID=2149222

Commento
Si tratta di un provvedimento assolutamente in linea con quanto prescritto dall’Autorità ai datori di lavoro nel 2007 al fine di non incorrere in violazioni della normativa sul trattamento dei dati personali in occasione di controlli della posta elettronica e del pc aziendale. Il divieto è stato disposto una volta accertato che la società datrice di lavoro non aveva previamente e specificatamente informato il dipendente delle modalità di utilizzo del pc aziendale ed in particolare in quanto “la società, pur avendo fatto riferimento alla necessità di effettuare – almeno settimanalmente – il salvataggio dei dati su copie di sicurezza con conseguente verifica del buon fine dell’operazione, non ha fornito un’idonea informativa in ordine al trattamento dei dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui p.c. concessi in uso ai dipendenti”.
Dai riscontri dell’Autorità è infatti emerso che una serie di documenti, sulla base dei quali il datore di lavoro aveva fondato la sua decisione, erano contenuti in una cartella personale del pc portatile assegnato al lavoratore. La società vi aveva avuto accesso quando il dipendente aveva riportato il computer in sede per la periodica operazione di salvataggio dei dati (back up) aziendali. Contrariamente a quando affermato dall’impresa, non risulta però che l’uomo fosse stato informato sui limiti di utilizzo del bene aziendale, né sulla possibilità che potessero essere avviate così penetranti operazioni di analisi e verifica sulle informazioni contenute nel pc stesso.
Il comportamento del datore di lavoro in questo caso, quindi, è stato dichiarato ingiusto e lesivo della privacy del dipendente, il quale non era stato avvisato del controllo in corso né tantomeno della possibilità che l'azienda effettuasse operazioni di verifica nel corso delle operazioni di backup periodico.
Il Garante pertanto ribadisce che il controllo dei pc dei dipendenti è un'azione consentita ai datori di lavoro ma con strette riserve. Non è possibile, infatti, verificare il contenuto del computer di un dipendente senza prima averlo informato e nel pieno rispetto della libertà e della dignità dei lavoratori.
Spetta ovviamente all'autorità giudiziaria valutare la possibilità di utilizzare i documenti acquisiti dall'azienda nel procedimento civile.

agostini
Partner
Milan
bonomo
Partner
Rome
decarlo
Partner
Milan
depalma2
Partner
Rome
egitto3
Partner
Turin
lodigiani2
Partner
Rome
morretta
Partner
Milan
perugini2
Partner
Rome
togliatto
Partner
Turin
perin
Of Counsel
Milan
berardi
Associate
Turin
brandoli
Associate
Milan
cataldi2
Associate
Rome
ceretto
Associate
Turin
giovine
Associate
Turin
iglio
Associate
Milan
maggia
Associate
Turin
mosca
Associate
Milan
pataracchia
Associate
Milan
polizzi
Associate
Milan
salluce
Associate
Milan

Turin
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milan
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Rome
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy