IMPORTANTE PROVVEDIMENTO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
-
Oblio anche senza nome e cognome.
-
Il GDPR amplia le chiavi di ricerca e produce l’inversione dell’onere della prova
Il Garante Privacy, con la decisione del 20 giugno 2019, n. 144 (doc. web n. 9124401), ritorna sull’estensione del diritto all’oblio. Nel provvedimento viene, infatti, evidenziato che, alla luce del GDPR 2016/679, il diritto all’oblio può estendersi anche ai dati identificativi della persona diversi dal nome e cognome (si tratta di un caso dove la persona richiedeva tutela relativamente a notizie che apparivano non utilizzando come parola-chiave il proprio nome, ma la parola-chiave “Presidente della Cooperativa X”).
Inoltre, nella nuova ottica determinata dall’entrata in vigore del Reg. (UE) 2016/679, si registra un’inversione dell’onere della prova indotta dal principio di “accountability” per cui è il motore di ricerca (non il richiedente) a dover dimostrare l’esistenza di “motivi legittimi cogenti” per trattare ulteriormente i dati personali dell’interessato.
Vediamo il caso e i punti essenziali della decisione.
IL CASO:
Nell’anno 2012, il protagonista del caso in esame viene investito da un’inchiesta giudiziaria che si conclude con una sentenza di assoluzione nel 2015. I giornali, all’epoca, trattano la vicenda legittimamente in quanto fatto di cronaca. Trascorso un certo lasso di tempo, tali notizie perdono il carattere dell’interesse pubblico e diventano superate rispetto all’attualità della vita dell’interessato. Così, quest’ultimo, ai sensi dell’art. 17 GDPR 2016/679, ne chiede la rimozione a Google che provvede per tutte le url salvo che per una. Tale link costituisce il risultato dell’indicizzazione secondo la parola-chiave “Presidente della Cooperativa X”, mentre il diritto all’oblio viene concesso unicamente quando si usi come chiave di ricerca il “Nome-Cognome” dell’interessato secondo l’interpretazione della CGUE Costeja del 13.05.2014. Il Garante Privacy nel Provvedimento in parola compie una interpretazione evolutiva alla luce del suddetto Regolamento Europeo e ammette il diritto all’oblio anche per le url indicizzate secondo una chiave di ricerca costituita da “dati che rendono identificabile una persona”.
DIRITTO ALL’OBLIO ESTESO NON SOLO AL NOME E COGNOME MA ANCHE AGLI ALTRI DATI IDENTIFICATIVI DELLA PERSONA:
Il Garante Privacy interpreta la questione in esame alla luce del GDPR 2016/679. Innanzitutto si chiede se “Presidente della Cooperativa X” possa essere considerata un’informazione in grado di identificare l’interessato. L’art. 4 del GDPR inerente alle definizioni sostiene che “s’intende per 1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (C26, C27, C30)”. Pertanto, la chiave di ricerca “Presidente della Cooperativa X” può considerarsi un’informazione identificativa dell’interessato in quanto lo individua in base al criterio dell’identità culturale e sociale della persona de quo che è stata occupata per buona parte della vita nella indicata Cooperativa X costituendone addirittura il Presidente storico. È fuor di dubbio dunque che il dato “Presidente della Cooperativa X” costituisca un elemento che individua precisamente il soggetto e che pertanto possa rappresentare un’adeguata chiave di ricerca.
IL GDPR 2016/679 DETERMINA, IN RIFERIMENTO ALL’ESERCIZIO PRATICO DEL DIRITTO ALL’OBLIO, UN’INVERSIONE DELL’ONERE DELLA PROVA DETERMINATA DAL OPRINCIPIO DELL’ “ACCOUNTABILITY”:
Il Garante Privacy effettua un’altra importante osservazione: nel nuovo sistema privacy esiste un’inversione dell’onere della prova indotta dal principio dell’accountability.
Viene, infatti, sottolineato che l’art. 21 del Regolamento 679/2016 stabilisce che “… Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”.