Consenso al trattamento e oscurità algoritmica

La Cassazione chiarisce il concetto di <consenso>  nella disciplina privacy, inr elazione al caso <Mevaluate> (Cass. 14381 del 25.05.2021 , rel. Terrusi).

Il punto di partenza è il provvedimento 24.11.2016 col quale il Garante (G.) dichiarava incompatibile col cod. privacy il sistema di rating reputazionale progettato da società del gruppo Mevaluate (v. provvedimento Piattaforma web per l´elaborazione di profili reputazionali – 24 novembre 2016 Registro dei provvedimenti n. 488 del 24 novembre 2016, [doc. web n. 5796783] ).

L’impugnazione in Tribunale di Mevaluate era stata accolta.

L’Avvocatura dello Stato però ricorre in Cassazione e con successo.

Non è chiarissimo il contesto fattuale (cioè il funzionamento del meccanismo di controllo reputazionale) ; qui però conta il passaggio teorico sul rapporto tra consenso e algoritmi, ove invece la SC è chiara:

<<Il problema, per la liceità del trattamento, era invece (ed è) costituito dalla validità – per l’appunto – del consenso che si assume prestato al momento dell’adesione. E non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considera>>, VII, p. 7/8,.

Motivazione esatta (anche se quasi scontata: è inconcepibile una diversa soluzione), anche se troppo sintetica: nemmeno cita le norme pertinenti. Il ricorrente citava anche l’art. 7 reg. UE 679/2016, oltre che l’ex art. 23 cod. priv. Però la fattispecie normativa esatta è la seconda, essendosi il primo applicato solo a partire dal 25 maggio 2018 (v. il suo art. 99).

Solo che, in un’ottica generale, questo è solo l’inizio del problema.   Sempre più numerosi infatti sono i trattamenti algoritmici (peggio: tramite machine learning), il cui assenso allora diventa giuridicamente nullo perchè l’assenziente nulla sa del modus operandi della logica algoritmica impiegata.

Sulla validità del “consenso” prestato nella protezione dei dati personali

La corte di giustizia (CG) chiarisce il concetto di <consenso>> ex GDPR art. 4 n° 11 e art. 6.1.a (e pure ex art. 7; nonchè per le corrispondnenti norne della dir. 95/46/CE, che nel caso poteva essere pure applicabile per una sfasatura temporale in fase esecutiva).  Qui ricorderò solo disposizioni del GDPR

Si tratta di CG 11.11.2020, C-61719, OrangeRomani vs  Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) .

Il trattamento consisteva nella raccolta e conservazione di documenti di identità , cheisti per la stipula e gestione dicotnratti di servizi telefonici  da parte di un gestore rumeno.

La Cg ricorda il cons. 32 GDPR sulla preselezione di caselle, pratica mon ammmissibile, e l’art. 7.2 sulla chaira distinguibilità quando il consenso abbia pure altri oggetti.

<<Informato>< poi significa <<in conformità all’articolo 10 di tale direttiva, letto alla luce del considerando 38 di quest’ultima, nonché all’articolo 13 di tale regolamento, letto alla luce del suo considerando 42, che il responsabile del trattamento fornisca alla persona interessata un’informazione alla luce di tutte le circostanze che corredano il trattamento dei dati, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, di modo che tale persona venga a conoscenza del tipo di dati che devono essere trattati, dell’identità del responsabile del trattamento, della durata, nonché delle modalità e delle finalità che esso persegue. Una siffatta informazione deve consentire a detta persona di individuare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa (v., per analogia, sentenza del 1° ottobre  2019, Planet49, C‑673/17, EU:C:2019:801, punto 74).>>, § 40.

Inoltre le clausole non devono  <<indurre la persona interessata in errore circa la possibilità di stipulare il contratto anche qualora essa rifiuti di acconsentire al trattamento dei suoi dati. In mancanza di informazioni di tal genere, non si può ritenere che il consenso di tale persona al trattamento dei suoi dati personali sia stato prestato liberamente né, peraltro, in modo informato>>, § 41.

L’onere della prova del valido consenso spetterebbe al titolare del trattamento, § 42: il giudizio si basa sul disposto dell’art. 7,.1 per cui <<Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali>>. Tale esito interpretativo non è scontato anche se probabilmente corretto: servirebbe riflfessine specifica

Spetta poi al giudice nazionale accertare se il consenso sia stato <specifico>, § 47, e se l’informtiva ex art. 13 sia stata completa, § 48 e infine se sia corretta nel senso di far capire che il contratto poteva essere stipulato anche senza fornire la carta di identità, § 49.

Infine , dice la CG, è dubbia che sia <libero> il cosenso, visto che <<nell’ipotesi di un suo rifiuto, l’Orange România, discostandosi dalla procedura normale che conduce alla conclusione del contratto, esigeva che il cliente interessato dichiarasse per iscritto di non acconsentire né alla raccolta né alla conservazione della copia del suo documento di identità. Infatti, come osservato dalla Commissione in udienza, un siffatto requisito supplementare è tale da incidere indebitamente sulla libera scelta di opporsi a tale raccolta e a tale conservazione, circostanza che spetta altresì al giudice del rinvio verificare. >>, § 50.

Le coordinate bancarie IBAN costituiscono “dato persponale”

Secondo Cass. 19.02.2021 n. 4475, rel. Campese, le coordinate IBAN costituiscono <dato personale> ai sensi della disciplina privacy.
Nel caso specifico, un’assicurazione, risarcito il danno da infiltrazione ad un condomino per conto di altri condomino e proprio assicurato, aveva poi girato <<una stampa del sistema informativo interno della medesima compagnia nonchè un atto di liquidazione ove erano riportate, tra l’altro, le loro coordinate IBAN;>> a quest’ultimo (dal cui immobile erano provenute le infiltrazioni).

Il condomino/assicurato poi produceva tale documento in assemblea condominiale.

Per la S.C. :

a) l’IBAN è dato personale (§ 2.4, sostanzialmente immotivato);

b) non rende lecito il trattamento (cioè l’aver girato tale documento al suo assicurato) il dovere contrattuale di renderlo edotto del pagamento eseguito e di dargli copia del relativo documento probatorio: poteva infatti oscurarne l’IBAN (§ 2.5.2 e § 2.5.2.1).

La sentenza non convince.

Circa 1) la lamentata pubblicità del dato, reso pubblico dalla produzione in assemblea, prevede appunto anche quest’ultimo elemento, che è però riconducibile solo al condomino/assicurato (non all’assicurazione). La SC non valorizza tale circostanza.

Inoltre andrebbe precisato che l’IBAN costituisce dato personale solo se abbinato ad un nome, non da solo (nel qual caso nessuna riconoscibilità è possibile).

Circa 2) , è dubbio che il documento con IBAN oscurato sia prova sufficiente per l’assicurato. Se il danneggiato contestasse di aver ricevuto il risarcimento, come protrebbe provarlo il condominuo responsabile/assicurato? Gli servirebbe la contabile bancaria di versamento (che contiene l’IBAN). Tra l’altro, nel caso non c’è nemmeno l’azione diretta verso la compagnia, come nella RC auto.

La SC dispone l’oscuramento della sentenza ex art. 52 cod. priv. (d’ufficio, pare, non  essendo specificata istanza di parte)

La fattispecie storica è anteriore al GDPR.

sentenza milanese sul diritto all’oblio verso Google

Trib. Milano 24.01.2020, sent. 4911/2019-RG 12255/2018 , decide una domanda di deindicizzazione verso Google.

Nel caso specifico l’istante, ottenuta una sentenza penale di diffamazione a carico di un terzo che l’aveva diffamato con post su internet, chiede a Google (G.) la deindicizzazione dal motore di ricerca di tali materiali.

La cronologia:

  • l’attore si accorge delle notizie lesive nel giugno 2011;
  • ottiene sentenza di condanna per diffamazione nel febbraio 2017;
  • fa istanza a G. di deindicizzazione nel maggioo 2016 e poi tramite legale nel febbraio 2017;
  • adisce il trib. MI nel febbraio 2018.

Adisce citando sia Google italy che Google LLC. Il primo però  è ritenuto privo di legittimazione passiva, <<poichè il titolare del trattamento dei dati personali di cui parte attrice si duole è unicamente Google LLC>>, p. 5

Il Trib elenca le norme regolanti il caso, p. 9-10, tra cui figura la dir. 2016/680 del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

Non figura direttamente il GDPR.

Il Trib. qualifica i motori di ricerca come banche dati di pagine reperite tramite i software c.d spiders, p. 13.

Non si applica la normativa sul safeharbour: <<Ritiene  il  Tribunale  che  la  presente  vicenda  non  possa  trovare  regolazione  dalla  normativa  contenuta nel  D.  Lgs.  n.70/03,  che  inerisce  esclusivamente  l’attività  di  memorizzazione  di  informazioni commerciali fornite daaltri. Oggetto del presente ricorso,  invero, non è l’attività di host  provider di  Google  in  relazione  alla formazione  dei  contenuti  delle  singole  pagine  web  sorgente,  ma la  condotta  posta  in  essere  dal motore di ricerca in qualità di titolare del trattamento dei dati sottesa all’evocazione attraverso la semplice digitazione del nome e cognome dell’interessatodi  tutti  i  siti  in  cui  viene  in  risalto  il  preteso  ruolo  criminale  del  ricorrente attraverso  un software messo  a  punto    da  Google  e  di  cui quest’ultima  si avvale per facilitare la ricerca degli utenti attraverso il suo motore di ricerca>> p. 14-15.

Il Trib. ribadisce che <<l’abbinamento dei siti al nome del ricorrente è frutto del sistema adottato da  Google  per  scandagliare  il  web,  copiare  e  immagazzinare  i  contenuti  pubblicati  dai  siti sorgente,  aggiornandoli,  organizzare  il  materiale  secondo  chiavi  di  lettura  in  modo  da  rendere fruibile “worldwide” in tempo reale i contenuti relativi ad un soggetto, ad una data vicenda o ad argomento assegnati dall’utente nella stringa di ricerca; condotta da  intendersi,  dunque,  comeprodotto di un’attività direttamente ed esclusivamente riconducibile, come tale,  alla resistente.  Ed è proprio questo il meccanismo di operatività del software messo a punto da Google che determina il   risultato   rappresentato   dai   possibili   percorsi   di   ricerca, rendendo   disponibili   informazioni aggregate  in  grado  di  fornire  agli  utenti  una  profilazione  dell’intera  storia  personale dell’interessato e  che appaiono all’utente che inizia la ricerca digitando le parole chiave anche  in relazione a settori potenzialmente differenti od estranei a quello oggetto della ricerca. Soprattutto, la capillarità della raccolta, la capacità di padroneggiare un numero potenzialmente illimitato  di  dati  e  notizie,  la  diffusività  della  propagazione  del  dato  e  delle  notizie  ad  esso correlate  costituiscono  il  valore  aggiunto,  autonomo  da  quello  offerto  dai  siti  sorgente,  operato dal motore generale di ricerca>> p. 16

D’altro  canto,  il T. sottolinea  che   la   rimozione   a   posteriori   mediante   de-indicizzazione dell’associazione dato personale/contenuti dei siti sorgente Google <<non impedisce la visualizzazione  di contenuti immessi  dagli utenti  e non costituisce  intromissione dell’hosting provider nei  contenuti immessi   nel   sito   dai   siti   sorgente   (i   cui   titolari   non   venivano   evocati   nel   presente   giudizio), considerazione che consente di superare l’eccezione mossa da parte convenuta circa l’impossibilità (giuridica, non certo tecnica) di accedere e cancellare il testo veicolato in rete dal soggetto titolare del singolo sito informatico.

Va  dunque  ribadito  che  la  deindicizzazione  non  comprime  in  alcun  modo  la  libertà    degli  utenti  di accedere alle ricerche offerte dal motore di ricerca Google-alla stessa maniera di quanto accade per gli altri motori di ricerca-attingendo la notizia dai singoli siti sorgente.

Infatti -come  si  è  descritto  in  precedenza-il  servizio  indicato  non  compie  alcun  intervento  diretto  sui contenuti  memorizzati  nel  web,  ma  svolge  su  di  essi  una  rilevazione  in  ambito  mondiale  non  solo meramente quantitativa e statistica (e dunque “esterna” rispetto al contenuto)  dei dati oggettivi, ma provvede  altresì  alla  estrapolazione  dei  dati  organizzandoli  in rankingsulla  base  diparametri  non divulgati (non comprimibili nella sola, notoria, frequenza,  c.d. popolarità, dei termini  usati dagli utenti nelle ricerche  e dei siti visitati), trasfusi nel  grande algoritmo segreto  che  regola il  funzionamento  del sistema>>, p.17.

Nel  web  i  dati  assai  sovente  risultino  <<inseriti  in  contenuti  non comprimibili  nella  mera  categoria  delle  aggregazioni  di  nudi  dati,  ma  siano  piuttosto  inclusi  in testi più ampi, ascrivibili all’area dell’esercizio della liberta di stampa o di espressione (come nel caso  di  specie),  di  talchè  la  cancellazione  della  pagina  web  dall’archivio  del  titolare  del trattamento  finirebbe  per  incidere  su  un’area  ben  più  ampia  del  singolo  dato  che  si  vuole trattare.  Occorre  poi  puntualizzare  che,  come  più  volte  ribadito,  la  deindicizzazione  non  incide  sui  contenuti; nondimeno, limitando l’accessibilità alla pagina web, attingibile solo attraverso l’attivazione diretta del singolo sito sorgente,  essa finisce per incidere sull’ampiezza e quindi sul concreto esercizio dei diritti di libertà ad esso connessi.  Non ci si può infatti nascondere che la mancata comparsa sulla pagina web del motore generalista della pagina  sorgente alla digitazione delle generalità dell’interessato sia in grado di incidere in maniera significativa  -in ipotesi anche potenzialmente assorbente-sulla capacità diffusiva della notizia da parte del sito sorgente.    Occorre dunque effettuare un attento bilanciamento dei contrapposti diritti>> p. 18

l  diritto  in  esame [identità personale e riservatezza] , dice il T.,  <<piuttosto  che  un  autonomo diritto  della personalità  costituisce  un  aspetto  del  diritto  all’identità  personale,  segnatamente  il  diritto  alla  dis-associazione  del  proprio  nome  da  un  dato  risultato  di  ricerca.  Il  c.d.  ridimensionamento  della  propria visibilità  telematica,  difatti,  rappresenta  un  aspetto  “funzionale”  del  diritto  all’identità  personale, diverso  dal  diritto  ad  essere  dimenticato,  che  coinvolge  e  richiede  una  valutazione  di  contrapposti interessi: quello dell’individuo a non essere (più) trovato on  linee  quello  del  motore  di  ricerca  (nel senso poco sopra specificato).

Orbene,  se  tutto  ciò  vale  per  il  caso  in  cui  un  dato  sia  vero,  ma  la  sua  conoscenza  abbia  perso  di interesse  per  la  collettività  per  la  risalenza  di  esso,  a  maggior  ragione    dovrà  porsi  nel  giudizio  di bilanciamento  una  valutazione  di supravalenza della falsità del dato in tutti i casi in cui l’interessato offra una  ragionevole (sensible) rappresentazione della  falsità allegata; bilanciamento sottratto, infine, alla  disponibilità  del  titolare  del  trattamento in tutti i casi in cui dall’interessato sia allegata prova dell’accertamento giudiziario della falsità del dato. Nelle pagine web ricorrono entrambe le fattispecie menzionate>>,  p. 21.

Poi passa ad applicare questi principi al caso de quo.

Ritiene che il trattamento di G. sia illecito a partire dalla diffida inotrata dall’ineressato, tra l’altro allegando la sentenza di condanna per diffamazione: <<la convenuta avrebbe, tuttavia, dovuto procedere a trattare lecitamente i dati del ricorrente, evitando che le ricerche effettuate dagli utenti partendo dalla stringa contenente le generalità di XX dessero luogo all’elencazione dei siti sorgente contenenti le notizie la cui diffamatorietà era stata giudizialmente accertata. IL  motore di ricerca avrebbe quindi dovuto procedere in allora alla deindicizzazione dei risultati>> p. 22

Anche sul danno, naturalmente la responsaiblità rigurda l’omissione solo a partire dalla diffida.

Nulla accerta come danno patriminiale.

Liquida però euro 25.000,00 per danno morale così argomentando: <<Deve valutarsi   il   disagio   subito   da   parte   ricorrente,   e   dalla   medesima allegato,   dovuto   alla preoccupazione  conseguente  al  protrarsi  della  permanenza  in  rete  dell’abbinamento  del  proprio nominativo  alle  URL  riportanti  le  notizie  diffamatorie  in  esito  al  rifiuto  opposto  da  Google  LLC. L’assenza di puntualizzazioni difensive in ordine ad un eventuale scarto qualitativo differenziante la sofferenza patita sin dall’origine della diffusione in rete dell’associazione diffamatoria dei propri dati da  quella  sopportata  in  progressione  in  esito  al  rifiuto  ricevuto,  impone  al  giudicante  di  attenersi,  nel computi di base, ad una liquidazione per equivalente attestata su valori contenuti. D’altro  canto,  non  può  il  Tribunale  non  tenere  conto  nella  liquidazione  del  danno  della  risposta derisoria opposta da Google LLC alle richieste di cancellazione dell’interessato; la società aveva infatti motivato il proprio rifiuto affermando che le notizie attingevano la vita professionale del richiedente e che oggetto di esse era un “reato”, con ciò incorrendo in una (voluta?) confusione tra autore e vittima del delitto di diffamazione, ovvero pretermettendo la sussistenza di un provvedimento della A.G. con la quale si affermava la falsità delle notizie attribuenti il coinvolgimento di XX  in gravi fatti di reato; si legge, infatti,  nella nota del 13.12.2017 inviata al difensore dalla odierna resistente che “In merito  alle  seguenti  URL” –e compariva l’elenco di cui al ricorso –“si  riferiscono  al  contenuto riguardante  la  vita  professionale  del  suo  cliente  di  sostanziale  interesse  pubblico…  potrebbero interessare  potenziali  e  attuali  consumatori,  utenti  o  fruitori  dei  servizi  del  suo  cliente… Pertanto la presenza di questo contenuto nei nostri risultati di ricerca … è giustificato dall’interesse pubblico ad averne accesso” (cfr doc. 6 ric.).>> p. 24-25

L’aggregazione di dati già resi pubblici costituisce nuovo trattamento e va acconsentito

Vendere informazioni aggregate, pur tratte da fonti in cui erano già state pubblicate (pubblici registri), costituisce trattamento diverso ed ulteriore, per cui va acconsentito. L’aggregazione infatti costituisce una diversa lesione della diritto alla protezione dati, poichè si amplia la sfera di possibile conoscenza delle informazioni stesse.

Così suppergiù Cass. 13.01.2021 n. 368, rel. Caradonna, su ricorso ex art. 152 cod. privacy del 2014 (quindi ante GDPR e ante d lgs. 101 del 2018), eccependo soprattutto la violazione della regola di pertinenza e di non eccedenza.

Precisamente osserva la SC: <<Questa Corte ha affermato che in tema di trattamento dei dati personali, il D.Lgs. n. 196 del 2003 (nella versione applicabile ratione temporis, anteriore alle modifiche apportate dal D.Lgs. 10 agosto 2018, n. 101) ha ad oggetto della tutela anche i dati già pubblici o pubblicati, poichè colui che compie operazioni di trattamento di tali informazioni, dal loro accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio può ricavare ulteriori informazioni e, quindi, un valore aggiunto informativo, non estraibile dai dati isolatamente considerati, potenzialmente lesivo della dignità dell’interessato (ai sensi dell’art. 3 Cost., comma 1 e dell’art. 2 Cost.), valore sommo a cui è ispirata la legislazione sul trattamento dei dati personali (Cass., 25 giugno 2004, n. 11864).

Affermazione ineccepibile.

Prosegue poi ricordando che <<nella gerarchia dei valori costituzionalmente tutelati la dignità dell’interessato è ritenuta preminente rispetto all’iniziativa economica privata che, secondo l’art. 41 Cost., non può svolgersi in modo da recare danno alla dignità umana (Cass., 8 agosto 2013, n. 18981)>>

Diritto al’immagine vs. diritto di cronaca

La S.C. con sentenza 19.02.2021 n. 4477, rel. Campese, esamina in modo convincente una fattispecie forse non rara sul tema: la partecipazione di un personaggio famoso ad un evento privato e la successiva diffusione sui giornali delle fotografie scattate nell’occasione.

Nel caso specifico un calciatore famoso aveva fatto visita in ospedale ad una bambina gravemente malata ma le fotografie (alla bambina, col viso coperto, e  ai genitori) scattate dal personale medico erano poi state diffuse su svariati quotidiani.

L’analitica sentenza soprattutto distingue  tra diritto di cronaca -cioè il diritto di dare notizia dell’evento- e diritto alla riproduzione delle immagini delle persone cooinvolte: esistente il primo, non è detto che necessariamente ricorra pure il secondo: <<tali presupposti, in presenza dei quali il bilanciamento tra l’interesse individuale alla tutela di diritti della personalità quali l’onore, la reputazione e la riservatezza, e quello, costituzionalmente protetto, alla libera manifestazione del pensiero deve risolversi in favore di quest’ultimo, avuto riguardo al prevalente diritto dell’opinione pubblica ad essere informata ed a formarsi un convincimento in ordine a vicende di rilevante interesse collettivo, possono risultare idonei a giustificare la propalazione di informazioni in contrasto con i predetti diritti, ma non sono sufficienti a legittimare, sic et simpliciter, anche la diffusione della immagine della persona interessata, la quale trova un’autonoma e più rigorosa regolamentazione nell’art. 10 A.B. e della L. n. 633 del 1941, art. 97, di cui si è ampiamente detto in precedenza …. . In quest’ottica, la mera circostanza che l’immagine pubblicata appartenga ad un soggetto cui è riferibile una vicenda rispetto alla quale sia configurabile un interesse alla conoscenza da parte del pubblico non può considerarsi sufficiente a legittimarne la riproduzione e la diffusione, occorrendo a tal fine un quid pluris, consistente nella necessità che tale divulgazione risulti essenziale per la completezza e la correttezza dell’informazione fornita>>, § 2.7.2 e 2.7.3.

La diffusione dell’immagine infatti ha maggiore potenzialità lesiva: <<questa Corte, del resto, ha già avuto modo di affermare che l’accertamento della legittimità della pubblicazione dell’immagine di una persona senza o contro il consenso dell’interessato è un’indagine che va condotta caso per caso, nel rispetto sia dei parametri del diritto di cronaca e dell’essenzialità della diffusione della notizia, sia dei parametri specifici fissati dall’art. 8 citato a presidio della tutela della dignità umana (oltre che, ovviamente, a quello di cui al precedente art. 7 quanto alla tutela dei minori). La più accentuata potenzialità lesiva e la maggiore diffusività dell’immagine comportano inoltre che la relativa valutazione debba essere compiuta con maggior rigore rispetto a quella concernente la semplice pubblicazione della notizia, occorrendo verificare se la pubblicazione delle immagini fosse essenziale ai fini dell’informazione e inoltre considerare se tali immagini, per le loro caratteristiche intrinseche, fossero da considerare lesive della dignità della persona, in considerazione della particolare potenzialità offensiva connessa all’enfatizzazione tipica dello stesso strumento visivo (ed all’idoneità dell’immagine, una volta pubblicata, ad essere riprodotta anche a distanza di tempo sui più svariati mezzi di comunicazione, scissa dall’articolo di cronaca che ne poteva giustificare in origine la pubblicazione e sottratta al controllo del soggetto ritratto), il cui uso nell’attività giornalistica è per questo circondato da particolari cautele (cfr. Cass. n. 12834 del 2014)>>, § 2.7.6.

Inoltre, nel caso specifico <<l’avvenuta pubblicazione di foto centrate (anche) su di una minore allettata, non importa se con il viso oscurato, tra apparecchi e cavi, con medici ed infermieri e con la diffusione delle generalità, è certamente lesiva di quel preminente interesse del minore (soprattutto se in relazione ai principi di cui si è già dato precedentemente conto al p. 2.5.2, da intendersi qui ribaditi) che, dalla menzionata Convenzione di New York in poi, è al centro del diritto a livello internazionale>>, § 2.9. Sembra cioè di capire che sia di per sè lesiva: affermazione , allora, importante.

Pure importante (anche a livello teorico scontato)  è il seguente passo: <<la circostanza che i dati personali siano stati resi noti direttamente dagli interessati in una pregressa occasione non ha valore di consenso tacito al trattamento anche in contesti diversi dalla loro originaria pubblicazione, poichè l’interessato può essere contrario a che l’informazione da lui già resa nota riceva una ulteriore e più ampia diffusione, dovendosi ritenere che la deroga prevista dal D.Lgs. 30 giugno 2006, n. 196, art. 137, u.c., concerna solo l’essenzialità del dato trattato e non anche l’interesse pubblico alla sua diffusione, di cui va apprezzata autonomamente l’idoneità, in ispecie rispetto al diritto del minore alla riservatezza ed alla non diffusione dei sui dati anagrafici e del suo domicilio (cfr. Cass. n. 27381 del 2013)>>, § 2.9.3 (la SC si riferisce all’eccezione dei convenuti per cui poteva desumersi un consenso dei genitori dal fatto che avevano dato notizia dell’evento su una pagina Facebook).

Infine va rimarcato l’interesse della pronuncia per l’esame dei profili specificamente giornalistici del diritto di cronaca  e dunque degli artt. 136 e 137 cod. privacy.

In conclusione, i corpi normativi invocati in causa sono stati (la SC non menziona il GDPR, probabilmente perchè i fatti erano anteriori alla sua entrata in vigore):

  1. codice civile (art. 10).
  2. legge d’ autore (artt. 96-97)
  3. cod. privacy  nel testo anteriore al D LGS 101/2018, ratione temporis (spt. artt 136-137)
  4. Conv. New York del 1989 sui diritti del fanciullo
  5. codice deontologico dei giornalisti (dotato di dignità giuridica almeno ex artt-. 137 e 139 cod. privacy)

Successione digitale: accesso dei genitori ai dati memorizzati da Apple sul cloud relativi al figlio premorto

Deceduto il figlio in incidente stradale e resosi inutilizzabile il suo iPhone, i genitori chiedono ad Apple Italia l’accesso ai dati memorizzati in cloud, facendo valere l’art. 2 terdecies cod. privacy. Secondo tale disposizioni, <<I diritti di cui agli articoli da 15 a  22  del  Regolamento riferiti ai  dati  personali  concernenti  persone  decedute  possono essere esercitati da chi ha un interesse proprio, o agisce  a  tutela dell’interessato, in  qualita’  di  suo  mandatario,  o  per  ragioni familiari meritevoli di protezione>> (c.1).

Come rileva l’ordinanza, non è chiaro se si tratti di pretesa iure proprio (come parrebbe) o iure hereditatis (trattandosi nel caso di successione separata).

I genitori avevano detto di volere l’accesso ai dati per ragioni generali di ricordo e per ragioni speciali consistenti nella intenzione di eventualmente raccogliere in una pubblicaizone le ricette create dal figlio, cuoco, annotate in cloud.

Apple oppone la necessità di rispettare la condizioni contrattiali regolanti la fattispecie: <<“un  ordine  del  tribunale  che  specifichi:  1)  Che  il defunto era il proprietario di tutti gli account associati all’ID Apple; 2) Che il richiedente è l’amministratore o il rappresentante legale del patrimonio del defunto; 3) Che, in qualità di amministratore o rappresentante legale, il richiedente agisce come “agente” del defunto e la sua   autorizzazione   costituisce   un   “consenso   legittimo”,   secondo   le   definizioni   date nell’Electronic  Communications  Privacy  Act;  4)  Che  il  tribunale  ordina  a  Apple  di  fornire assistenza nel recupero dei dati personali dagli account del defunto, che potrebbero contenere anche  informazioni  o  dati  personali  identificabili  di  terzi” >>.

Il giudice, condivisibilmente, ravvisa l’esistenza delle ragioni familiari meritevoli di protezione, e in via cautelare (art. 700 cpc)  condanna Apple a  <<fornire assistenza a XXXXXXXXX nel recupero dei dati dagli account del sig. XXXXXXXXX nella procedura denominata “trasferimento” volta a consentire ai ricorrenti l’acquisizione delle credenziali d’accesso all’ID Apple del predetto sig. XXXXXX>> (Trib. Milano sez. I civ., RG 2020/44578, 10.02.2021, giudice Martina Flamini).

Circa il periculum in mora, <<basti osservare che, come specificamente allegato da parte ricorrente (con riferimento a nozioni di comune esperienza), la Apple aveva fatto presente che i propri sistemi, dopo un periodo di inattività dell’account i-cloud sarebbero stati automaticamente “distrutti”. Il pericolo di un pregiudizio grave ed irreparabile all’esercizio dei diritti connessi ai dati personali del figlio defunto dei ricorrenti appare, pertanto, in re ipsa>>.

Il provvedimento è sostanzialmente condivisibile, anche se qualche perplessità suscita il modo sbrigativo con cui il giudce si è liberato dall’ostacolo delle clausole contrattuali .Sostanzialmente dice che si tratta o di dati già possesso di Apple (n. 1) o di elemeenti  (esistenti probabilmetne in USa ma) non esistnti da noi: <<orbene, con riferimento alle richieste della società titolare del trattamento si osserva che: solo la società resistente è a conoscenza delle informazioni relative al punto 1); nell’ordinamento italiano non esiste la figura dell’“amministratore o rappresentante legale del patrimonio del defunto” né, tantomeno, quello di “agente” del de cuius; la disciplina legislativa italiana non richiede, in alcun modo, né l’autorizzazione di un “agente” del defunto all’accesso né la presenza di un “consenso legittimo” secondo un atto normativo di un ordinamento giuridico diverso. In conclusione, appare del tutto illegittima la pretesa avanzata dalla società resistente di subordinare l’esercizio di un diritto, riconosciuto dall’ordinamento giuridico italiano, alla previsione di requisiti del tutto estranei alle norme di legge che disciplinano la fattispecie in esame>>.

Profilo che andrebbe però coordinato con l’art. 3/2 GDPR, che impone il rispetto del GDPR medesimo anche agli operatori extra _UE se effettuano il trattamento dati dentro la UE.

Il passaggio è un pò sbrigativo dato che potrebbe trattarsi di rapporto con elementi di estraneità, per cui si sarebbe dovuto ragionare in termine di diritto intenazionale privato (però la controparte è società di diritto italiano e non risultano in sentenza scelte di legge straniera; comunque potrebbe trattarsi di  <norma di applicazione necessaria>, prevalente sulla scelta di legge stranera); se non lo fosse, allora la cosa sarebbe più semplice, trattandosi di patto difforme dal cit. art. 2 terdecies, norma imperativa,  quindi probabilmente nullo perchè aggravante la fattispecie che genera il diritto di accesso ai dati del deceduto.

Nulla in proposito osserva il giudice.

(segnalazione delle sentenza da parte di Antonio Iacono nella mailing list NEXA)

V.ne ora il commento di Bassini-De Gregorio-Pollicino su Federnotizie.it.

Privacy, libertà di informazione e copyright nel caso Meghan Markle c. Daily Mail

Si pronuncia l’Alta Corte inglese sul caso Meghan Markle (MM) c. Daily Mail e Mail on Sunday (poi anche : l’Editore).

Precisamente si tratta di HIGH COURT OF JUSTICE CHANCERY DIVISION BUSINESS AND PROPERTY COURTS INTELLECTUAL PROPERTY LIST,  The Duchess of Sussex c. Associated Newspapers Limited, 11.02.2021, [2021] EWHC 273 (Ch) Case No: IL-2019-000110 .

Di fronte alla pubblicazione non autorizzata da parte del Mail della propria lettera al proprio genitore (i rapporti non erano facili) , MM cita l’editore per  violazione di privacy e di copyright., § 61

I fatti sono esposti ai §§ 1 ss.

PRIVACY

Le difese dell’Editore sono:
<<It maintains that the contents of the Letter were not private or confidential as alleged, and that the claimant had no reasonable expectation of privacy. Further or alternatively, any privacy interest she enjoyed was slight, and outweighed by the need to protect the rights of her father and the public at large. The defendant’s pleaded case is diffuse and hard to summarise. But prominent features are contentions that, even if the claimant might otherwise have had any privacy rights in respect of the Letter,

(1) such rights were (a) limited, given the legitimate public interest in the activities of the Royal family and the claimant’s status as a “high-ranking member” of that family, and (b) destroyed, weakened or compromised by (i) her knowledge of her father’s propensity to speak to the media about their relationship, (ii) the fact that publication of the existence and contents of the Letter was lawful in the US, (iii) her own conduct in causing, authorising, or intending publicity about the Letter and/or her relationship with her father more generally, and/or (iv) the publication of information about the Letter;

(2) the People Article gave a misleading account of the father-daughter relationship, the Letter and Mr Markle’s letter in response, such that (in all the circumstances) public disclosure of the contents of the Letter in the Mail Articles was justified to protect the rights and interests of Mr Markle and the public at large>> (§ 6).

Si noti sub 2) : il Mail pretende di fondare la liceità della pubblicazione di ampi brani (v. sotto) della lettera, per corregere l’errore in cui potrebbe cadere il pubblico in base a precedente pubblicazione (da parte di altro gionale: The People) di un articolo sul rapporto padre figlia, a suo dire distorcente la verità.

Ai §§ 28 ss i fondamenti del diritto alla privacy.

Al § 45 il testo integrale della lettera  e al § 46 di quello della replica (di tre righe) del padre a MM.

A § 47 ss trovi  la pubblicazione pretesamente distorcente del People.

Che esista un diritto alla privacy sulla lettera è esaminato a accertato ai §§ 64-95 <<Stage one: reasonable expectation of privacy>>).

Punto interessante è quello per chui è irrilevante l’inclinazione del padre (destinatario della missiva) a violare la privacy altrui: <<But even assuming the facts to be as pleaded, they are not capable of defeating the claimant’s case that, objectively speaking, she had a right to expect her father to keep the contents of the Letter private. A person’s rights against another are not defeated by the prospect that those rights may be ignored or violated. A high level of risk-taking might be capable of affecting the assessment of damages, but does not excuse an intrusion into privacy: see Mosley v News Group Newspapers Ltd [2008] EWHC 1777 (QB) [2008] EMLR 20 [225-226] (Eady J).>>, § 78.

Affermazione importante e condivisibile.

Al § 86 (e § 98) l’affermzione (scontata) per cui la pubblicizzazione di alcuni aspetti della propria vita non autorizza i terzi a pubblicizzarne altri: il controllo riamane in toto in capo all’interessato.

Lo stage 2 , § 96 ss, esamina il bilanciamento con la liberà di espressione, tra cui quella di correggere false impressioni nel pubblico (punto centrale: § 104).

La risposta è negativa nel caso de quo: la pretesa correzione tramite la pubblicazione di quasi metà lettera di un eventuale errore di minima entità  è sproporzionata (§ 120)

La conclusione è dunque questa:

<<The claimant [cioè MM] had a reasonable expectation that the contents of the Letter would remain private. The Mail Articles interfered with that reasonable expectation. The only tenable justification for any such interference was to correct some inaccuracies about the Letter contained in the People Article. On an objective review of the Articles in the light of the surrounding circumstances, the inescapable conclusion is that, save to the very limited extent I have identified, the disclosures made were not a necessary or proportionate means of serving that purpose. For the most part they did not serve that purpose at all. Taken as a whole the disclosures were manifestly excessive and hence unlawful. There is no prospect that a different judgment would be reached after a trial. The interference with freedom of expression which those conclusions represent is a necessary and proportionate means of pursuing the legitimate aim of protecting the claimant’s privacy.>>, § 128.

COPYRIGHT

Sul copyright la quesrtione più interssante è l’eccezione di carenza di legittimazione attiva, dato che la lettera sarebbe stata scritta non da MM (o da lei sola) ma da quattro membri dell’Ufficio segretariale di  Kensington Palace Communications Team, (the “Palace Four”), in realtà poi da uno solo d iquesti, Mr. Knauf.

Resta invece assodato che ricorra la originnalità, § 139-149, ove riepilogo delle principali teorie e dei principali precedenti anche europei (si noti che le allegazioni processuali distinguono tra la lettera realmente inviata e una sua previa Electronic Draft, che  è quella in realtà azionata in causa, § 136)..

Pure la violazione del copyright è accertata, vista la copiatura di 585 parole su 1250 ( § 150).

Sono respinti due motivi di legittimuità della pubblicazione (fair dealing in news reporting, data la concorenza all’eventuale sfruttamento del diritto di autore da parte di MM, e  un altro, § 152-158).

Infine la titolarità, § 159 ss

Che dei quattro ve ne sia uno che collaborò, Mr Knauf, pare probabile (§ 135-138), anche se non in solitaria ma semmai come coautore.

Ma su questo proseguirà il processo, § 169-170.

Commento sostanzialmente favorevole da parte dell’ex direttore del Guardian, Alan Rusbridger, in It will come as a surprise to some, but even Meghan has a right to her privacy del 14.02.2021.

La sospensione di Tik Tok da parte del Garante Privacy

Il Garante privacy (GP) sospende Tik Tok a seguito della nota e triste vicenda della minorenne palermitana.

Si tratta del provvedimento n. 20 reg. provv. del 22.01.2021 [doc. web n. 9524194].

Già erano state contestate nel recente passato violazioni della privacy: v.  provvedimento di dicembre 2020.

Nel provvedimento sospensivo del 22 gennaio le norme invoicate sono l’art. 66 (che però ha solo valenza di coordinamento con gli altri Stati), l’art. 58/2 lett. f (potere di emanare il rimedio) e l’art. 25/1 che impone al titolare del trattamento di adottare misure opportune per la protezione dei dati.

Il GP dunque sospende Tik Tok fino a che non predisponga metodi di verifica dell’età degli utenti (da vedere cosa esiste in proposito) e comunque al momento fino al 15 febbraio 2021.

Qui però il problema non è tanto il consapevole o meno consenso al trattamento dati da parte di un minore: v. art. 8 GDPR sul consenso degli infra sedicenni  e pure consid. 38, 58 e 75 GDPR.

E’ invece il tipo di comunicazioni che i minori ricevono e cui prendono parte, cioè la consapevolezza della rischiosità: è una questione di capacità di intedere il senso e gl effetti di certi comportamenti. Il problema sussisterebbe anche se la comunicazione sui social avvenisse in forma anonima.

 

Lo “scudo per la privacy” USA-UE è cassato dalla Corte di Giustizia

I media hanno dato (giustamente) ampio spazio alla decisione della Corte di Giustizia (CG) 16.07.2020, C-311/18, Schrems II, con cui è stata annullata la decisione <scudo per la privacy>  (SPP) 12.07.2016 2016/1250.

Era capitato che Maximillian Schrems aveva contestato presso il Garante Irlandese il trasferimento dei suoi dati in server statunitensi, da parte di Facebook, p. 52.

Dopo una prima vittoria in sede europea con sentenza CG 6.10.2015, C-362/14, Schrems era ricorso ancora contro la successiva decisione della Commissione, appunto la sopra citata SPP.

Nella nuova denuncia <il sig. Schrems ha fatto valere, in particolare, che il diritto statunitense impone a Facebook Inc. di mettere a disposizione delle autorità statunitensi, quali la National Security Agency (NSA) e le Federal Bureau of Investigation (FBI), i dati personali che le sono trasferiti. Egli ha sostenuto che, poiché tali dati sono utilizzati nell’ambito di diversi programmi di sorveglianza in modo incompatibile con gli articoli 7, 8, e 47 della Carta, la decisione CPT non può giustificare il trasferimento dei suddetti dati verso gli Stati Uniti. Il sig. Schrems ha pertanto chiesto al Commissario di vietare o di sospendere il trasferimento dei suoi dati personali verso Facebook Inc.>, p. 55.

Ricordo solo tre punti.

1° punto (quest. preg. 2°, 3°, 6°)

la CG continua nella sua intepretazione del rapporto tra ordinamento europeo e nazionali:

<100  Secondo costante giurisprudenza, inoltre, la validità delle disposizioni del diritto dell’Unione e, in mancanza di un espresso richiamo al diritto nazionale degli Stati membri, la loro interpretazione non possono essere valutate alla luce di tale diritto nazionale, neppure di rango costituzionale, in particolare dei diritti fondamentali quali formulati nella loro Costituzione nazionale (v., in tal senso, sentenze del 17 dicembre 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, punto 3; del 13 dicembre 1979, Hauer, 44/79, EU:C:1979:290, punto 14, nonché del 18 ottobre 2016, Nikiforidis, C‑135/15, EU:C:2016:774, punto 28 e giurisprudenza ivi citata.>

Per concludere sul quesito posto che <l’articolo 46, paragrafo 1, e l’articolo 46, paragrafo 2, lettera c), del RGPD devono essere interpretati nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti da tali disposizioni devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo sul fondamento di clausole tipo di protezione dei dati godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta. A tal fine, la valutazione del livello di protezione garantito nel contesto di un trasferimento siffatto deve, in particolare, prendere in considerazione tanto le clausole contrattuali convenute tra il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione e il destinatario del trasferimento stabilito nel paese terzo interessato quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese terzo ai dati personali così trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo, in particolare quelli enunciati all’articolo 45, paragrafo 2, di detto regolamento>, p. 105.

Che si debba porre attenzione alle norme del paese trasferitario, pare una ovvietà

2° punto (quest. preg. 8°):

e’ vero che la decisione di adeguatezza e conformità della Commissione è sì vincolante per gli Stati fino a che non venga annullata.

Tuttvia ciò non può impedire ai Garanti di eseguire un loro sindacato: <non può impedire alle persone i cui dati personali sono stati o potrebbero essere trasferiti verso un paese terzo di investire, in applicazione dell’articolo 77, paragrafo 1, del RGDP, l’autorità nazionale di controllo competente di un reclamo relativo alla protezione dei loro diritti e delle loro libertà con riguardo al trattamento di tali dati. Analogamente, una decisione di tal genere non può né annullare né ridurre i poteri espressamente riconosciuti alle autorità nazionali di controllo dall’articolo 8, paragrafo 3, della Carta nonché dall’articolo 51, paragrafo 1, e dall’articolo 57, paragrafo 1, lettera a), di detto regolamento>, p. 119.

Ne segue che,  <anche in presenza di una decisione di adeguatezza della Commissione, l’autorità nazionale di controllo competente, investita da una persona di un reclamo relativo alla protezione dei suoi diritti e delle sue libertà rispetto ad un trattamento di dati personali che la riguardano, deve poter esaminare, in piena indipendenza, se il trasferimento di tali dati rispetti i requisiti posti dal RGPD e, se del caso, proporre un ricorso dinanzi ai giudici nazionali affinché questi ultimi procedano, se condividono i dubbi di tale autorità quanto alla validità della decisione di adeguatezza, ad un rinvio pregiudiziale diretto all’esame della suddetta validità>, p. 120..

3° punto (quest. preg. 4° , 5°, 9° ), §§ 150 ss.

E’ il succo della sentenza.

Il giudice a quo dubita della compatibilità della SPP con alcuni articoli dell Carta dei diritti fondametali UE: cioè con gli articoli 7 (vita privata e familiare),  8 (personal data protection) e 47 (diritto a un ricorso effettivo e  imparziale).

I poteri inquisitori delle agenzia di sicurezza USA erano stati considerati dalla Commissione nella SPP (§§ 164-167). Tuttavia la CG deve riesaminarli autonomamente, § 178 ss

La CG ritiene che la conformità al livello minimo europeo manchi, sia in riferimento all’art. 702 del FISA-Foreign Intelligence Surveillance Act (su cui v. § 109), da un lato, sia in riferimento all’executive order 12333 e al PPD-28 (Presidential Policy directive 28, su cui v. § 45 e qui § 68 della sua precedente decisione), dall’altro: v. le conclusioni al § 180 e, rispettivamente, al § 184.

In conclusione, <l’articolo 1 della decisione «scudo per la privacy» è incompatibile con l’articolo 45, paragrafo 1, del RGPD, letto alla luce degli articoli 7, 8 e 47 della Carta, e che esso è per tale motivo invalido>, § 199.

Ne segue che, <poiché l’articolo 1 della decisione «scudo per la privacy» è inscindibile dagli articoli da 2 a 6, nonché dagli allegati della medesima, la sua invalidità ha l’effetto di inficiare la validità di tale decisione nel suo complesso.    Alla luce di tutte le considerazioni che precedono, si deve concludere che la decisione «scudo per la privacy» è invalida>, §§ 200-201.

Nè ci sono esigenze transitorie che impongano di <mantenere gli effetti di tale decisione al fine di evitare la creazione di una lacuna giuridica>. Infatti, <tenuto conto dell’articolo 49 del RGPD, l’annullamento di una decisione di adeguatezza come la decisione «scudo per la privacy» non è idoneo a creare una lacuna giuridica siffatta. Tale articolo stabilisce, infatti, in modo preciso, a quali condizioni possono aver luogo trasferimenti di dati personali verso paesi terzi in assenza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, di detto regolamento o di garanzie appropriate ai sensi dell’articolo 46 del medesimo regolamento>, § 202.

Pertanto i trasferimenti di dati negli Stati Uniti, operati da Facebook, Google, Instagram, Microsodft o da chiunque altro (anche tramite i servizi cloud), non rispettano il GDPR.

Con problemi non irrisori per chi in Italia offre servizi informatici che appunto presuppongano tali trasferimenti.

Commento ora in medialaws.eu da parte di A. Cristofano,  La Sentenza Schrems II e il judicial activism della Corte di Giustizia dell’Unione Europea. Verso un GDPR a vocazione universale?, 15.02.2021.