Oblio anche senza nome e cognome. Il GDPR amplia le chiavi di ricerca e produce l'inversione dell'onere della prova

Nel diritto all'oblio interpretato alla luce del GDPR 2016/679, la chiave di ricerca si estende anche ai dati identificativi della persona oltre che al nome e cognome. In questa nuova ottica si registra altresì un'inversione dell'onere della prova indotta dal principio di accountability per cui è il motore di ricerca non il richiedente a dover dimostrare l'esistenza di motivi legittimi cogenti per trattare ulteriormente i dati personali dell'interessato.

Il caso. Nell'anno 2012, il protagonista del caso in esame viene investito da un'inchiesta giudiziaria che si conclude con una sentenza di assoluzione nel 2015. I giornali, all'epoca, trattano la vicenda legittimamente in quanto fatto di cronaca. Trascorso un certo lasso di tempo, tali notizie perdono il carattere dell'interesse pubblico e diventano superate rispetto all'attualità della vita dell'interessato. Così quest'ultimo ex art. 17 GDPR 2016/679 ne chiede la rimozione a Google che provvede per tutte le url salvo che per una. Tale link costituisce il risultato dell'indicizzazione secondo la parola-chiave Presidente della Cooperativa X mentre il diritto all'oblio viene concesso unicamente quando si usi come chiave di ricerca il Nome-Cognome dell'interessato secondo l'interpretazione della CGUE Costeja del 13.05.2014. Il Garante Privacy nel Provvedimento in parola compie un'interpretazione evolutiva alla luce del GDPR 2016/679 e ammette il diritto all'oblio anche per le url indicizzate secondo una chiave di ricerca costituita da dati che rendono identificabile una persona . Diritto all'oblio alla luce del GDPR 2016/679. Chiavi di ricerca estese anche ai dati identificativi. Il Garante Privacy interpreta la questione in esame alla luce del GDPR 2016/679. Innanzitutto si chiede se Presidente della Cooperativa X possa essere considerata un'informazione in grado di identificare l'interessato. L'art. 4 del GDPR inerente alle definizioni sostiene che s'intende per 1 dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile interessato” si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale C26, C27, C30 . Pertanto la chiave di ricerca Presidente della Cooperativa X può considerarsi un'informazione identificativa dell'interessato in quanto lo individua in base al criterio dell'identità culturale e sociale della persona de quo che è stata occupata per buona parte della vita nella indicata Cooperativa X costituendone addirittura il Presidente storico. È fuor di dubbio dunque che il dato Presidente della Cooperativa X costituisca un elemento che individua precisamente il soggetto e che pertanto possa rappresentare un'adeguata chiave di ricerca. Si noti altresì l'ulteriore profilo dell'applicazione da parte del Garante Privacy delle categorie del GDPR in merito al processo di individuazione dell'interessato. Il Considerando 26 citato dall'art. 4 del GDPR sostiene che 26 per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente . Il combinato disposto dell'art. 4 e del Considerando 26 obbligano il provider ad adottare tutti i mezzi ipotizzabili di individuazione dell'interessato. Pertanto se il mezzo di individuazione viene rappresentato dalla chiave di ricerca, questa deve abbracciare tutti i profili possibili di identificazione della persona e quindi anche un'informazione identificativa come Presidente della Cooperativa X . Ragionando secondo i criteri del GDPR, il Garante Privacy apre a uno scenario fortemente complesso sul tema chiavi di ricerca dove la prima questione del diritto all'oblio non sarà più il bilanciamento degli interessi ma piuttosto la capacità identificativa della chiave di ricerca. Il Garante Privacy inquadra la chiave di ricerca dell'indicizzazione nella nuova dimensione della Data Protection UE fondata sul principio dell'accountability. Nel nuovo regime della privacy by default e della privacy by design il gestore della piattaforma deve rendersi parte attiva nell'applicazione della disciplina e quindi deve tradurre tale ratio legis anche nella concezione delle chiavi di ricerca che non possono più limitarsi al solo nome e cognome ma devono comprendere tutti i dati che rendono identificabile una persona . Del resto già le Linee Guida sull'applicazione della CGUE Costeja del 13.05.2014 redatte dal Gruppo dei Garanti Privacy UE all'epoca WP Art 29 aveva segnato una simile apertura Linee guida sull'applicazione della sentenza CGUE Google Spain and Inc. V Agencia Espanola de Proteccion de Datos AEPD and Mario Costeja Gonzalez C-131/12, WP Art. 29 del 26 novembre 2014. PARTE II Elenco di criteri comuni per la gestione dei reclami da parte delle autorità europee per la protezione dei dati. 1 La sentenza su Google ha riconosciuto il particolare impatto che una ricerca su Internet, basata sul nome di una persona, può avere sul suo diritto al rispetto della vita privata. I DPA considereranno anche pseudonimi e soprannomi come termini di ricerca pertinenti quando l'individuo può stabilire che sono collegati alla sua vera identità. Guidelines on the implementation of the Court of Justice of the European Union judgement on Google Spain and Inc. V Agencia Espanola de Proteccion de Datos AEPD and Mario Costeja Gonzalez C-131/12, WP Art. 29 del 26.11.2014. PART II List of common criteria for the handling of complaints by European data protection authorities. 1 The Google judgment recognised the particular impact that an internet search, based on an individual’s name, can have on his or her right to respect for private life. DPAs will also consider pseudonyms and nicknames as relevant search terms when the individual can establish that they are linked to his/her real identity . Diritto all'oblio. Il GDPR 2016/679 produce un'inversione dell'onere della prova indotta dal principio di accountability . La lettura del caso de quo alla luce del GDPR induce il Garante Privacy a un'altra importante osservazione nel nuovo sistema privacy esiste un'inversione dell'onere della prova indotta dal principio dell'accountability. Il Garante sottolinea che l'art. 21 del Regolamento 679/2016 stabilisce che Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria . Questo significa che il Google della situazione non può negare l'accoglimento della richiesta di oblio se non riesce a provare che esistono motivi legittimi cogenti per procedere ulteriormente al trattamento dei dati. La portata rivoluzionaria delle nuove prospettive del GDPR 2016/679 produce un ribaltamento totale del modo di inquadrare le questioni privacy. Basti pensare che le Linee Guida del WP29 su CGUE Costeja avevano stabilito sulla medesima situazione una soluzione giuridica opposta 4 Quando una persona interessata si oppone a un risultato della ricerca in base alla sua inaccuratezza, i DPA possono trattare tale richiesta se il denunciante fornisce tutte le informazioni necessarie per stabilire che i dati sono evidentemente inaccurati Linee guida sull'applicazione della sentenza CGUE Google Spain and Inc. V Agencia Espanola de Proteccion de Datos AEPD and Mario Costeja Gonzalez C-131/12, WP Art. 29 del 26.11.2014. PARTE II Elenco di criteri comuni per la gestione dei reclami da parte delle autorità europee per la protezione dei dati .

GarantePrivacy_provvedimento_144_del_20_giugno_2019