diritto alla riservatezza (privacy) + oblio – Pagina 6

Sulla validità del “consenso” prestato nella protezione dei dati personali

La corte di giustizia (CG) chiarisce il concetto di <consenso>> ex GDPR art. 4 n° 11 e art. 6.1.a (e pure ex art. 7; nonchè per le corrispondnenti norne della dir. 95/46/CE, che nel caso poteva essere pure applicabile per una sfasatura temporale in fase esecutiva). Qui ricorderò solo disposizioni del GDPR

Si tratta di CG 11.11.2020, C-61719, OrangeRomani vs Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) .

Il trattamento consisteva nella raccolta e conservazione di documenti di identità , cheisti per la stipula e gestione dicotnratti di servizi telefonici da parte di un gestore rumeno.

La Cg ricorda il cons. 32 GDPR sulla preselezione di caselle, pratica mon ammmissibile, e l’art. 7.2 sulla chaira distinguibilità quando il consenso abbia pure altri oggetti.

<<Informato>< poi significa <<in conformità all’articolo 10 di tale direttiva, letto alla luce del considerando 38 di quest’ultima, nonché all’articolo 13 di tale regolamento, letto alla luce del suo considerando 42, che il responsabile del trattamento fornisca alla persona interessata un’informazione alla luce di tutte le circostanze che corredano il trattamento dei dati, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, di modo che tale persona venga a conoscenza del tipo di dati che devono essere trattati, dell’identità del responsabile del trattamento, della durata, nonché delle modalità e delle finalità che esso persegue. Una siffatta informazione deve consentire a detta persona di individuare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa (v., per analogia, sentenza del 1° ottobre 2019, Planet49, C‑673/17, EU:C:2019:801, punto 74).>>, § 40.

Inoltre le clausole non devono <<indurre la persona interessata in errore circa la possibilità di stipulare il contratto anche qualora essa rifiuti di acconsentire al trattamento dei suoi dati. In mancanza di informazioni di tal genere, non si può ritenere che il consenso di tale persona al trattamento dei suoi dati personali sia stato prestato liberamente né, peraltro, in modo informato>>, § 41.

L’onere della prova del valido consenso spetterebbe al titolare del trattamento, § 42: il giudizio si basa sul disposto dell’art. 7,.1 per cui <<Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali>>. Tale esito interpretativo non è scontato anche se probabilmente corretto: servirebbe riflfessine specifica

Spetta poi al giudice nazionale accertare se il consenso sia stato <specifico>, § 47, e se l’informtiva ex art. 13 sia stata completa, § 48 e infine se sia corretta nel senso di far capire che il contratto poteva essere stipulato anche senza fornire la carta di identità, § 49.

Infine , dice la CG, è dubbia che sia <libero> il cosenso, visto che <<nell’ipotesi di un suo rifiuto, l’Orange România, discostandosi dalla procedura normale che conduce alla conclusione del contratto, esigeva che il cliente interessato dichiarasse per iscritto di non acconsentire né alla raccolta né alla conservazione della copia del suo documento di identità. Infatti, come osservato dalla Commissione in udienza, un siffatto requisito supplementare è tale da incidere indebitamente sulla libera scelta di opporsi a tale raccolta e a tale conservazione, circostanza che spetta altresì al giudice del rinvio verificare. >>, § 50.

Le coordinate bancarie IBAN costituiscono “dato persponale”

Secondo Cass. 19.02.2021 n. 4475, rel. Campese, le coordinate IBAN costituiscono <dato personale> ai sensi della disciplina privacy.
Nel caso specifico, un’assicurazione, risarcito il danno da infiltrazione ad un condomino per conto di altri condomino e proprio assicurato, aveva poi girato <<una stampa del sistema informativo interno della medesima compagnia nonchè un atto di liquidazione ove erano riportate, tra l’altro, le loro coordinate IBAN;>> a quest’ultimo (dal cui immobile erano provenute le infiltrazioni).

Il condomino/assicurato poi produceva tale documento in assemblea condominiale.

Per la S.C. :

a) l’IBAN è dato personale (§ 2.4, sostanzialmente immotivato);

b) non rende lecito il trattamento (cioè l’aver girato tale documento al suo assicurato) il dovere contrattuale di renderlo edotto del pagamento eseguito e di dargli copia del relativo documento probatorio: poteva infatti oscurarne l’IBAN (§ 2.5.2 e § 2.5.2.1).

La sentenza non convince.

Circa 1) la lamentata pubblicità del dato, reso pubblico dalla produzione in assemblea, prevede appunto anche quest’ultimo elemento, che è però riconducibile solo al condomino/assicurato (non all’assicurazione). La SC non valorizza tale circostanza.

Inoltre andrebbe precisato che l’IBAN costituisce dato personale solo se abbinato ad un nome, non da solo (nel qual caso nessuna riconoscibilità è possibile).

Circa 2) , è dubbio che il documento con IBAN oscurato sia prova sufficiente per l’assicurato. Se il danneggiato contestasse di aver ricevuto il risarcimento, come protrebbe provarlo il condominuo responsabile/assicurato? Gli servirebbe la contabile bancaria di versamento (che contiene l’IBAN). Tra l’altro, nel caso non c’è nemmeno l’azione diretta verso la compagnia, come nella RC auto.

La SC dispone l’oscuramento della sentenza ex art. 52 cod. priv. (d’ufficio, pare, non essendo specificata istanza di parte)

La fattispecie storica è anteriore al GDPR.

sentenza milanese sul diritto all’oblio verso Google

Trib. Milano 24.01.2020, sent. 4911/2019-RG 12255/2018 , decide una domanda di deindicizzazione verso Google.

Nel caso specifico l’istante, ottenuta una sentenza penale di diffamazione a carico di un terzo che l’aveva diffamato con post su internet, chiede a Google (G.) la deindicizzazione dal motore di ricerca di tali materiali.

La cronologia:

l’attore si accorge delle notizie lesive nel giugno 2011;
ottiene sentenza di condanna per diffamazione nel febbraio 2017;
fa istanza a G. di deindicizzazione nel maggioo 2016 e poi tramite legale nel febbraio 2017;
adisce il trib. MI nel febbraio 2018.

Adisce citando sia Google italy che Google LLC. Il primo però è ritenuto privo di legittimazione passiva, <<poichè il titolare del trattamento dei dati personali di cui parte attrice si duole è unicamente Google LLC>>, p. 5

Il Trib elenca le norme regolanti il caso, p. 9-10, tra cui figura la dir. 2016/680 del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

Non figura direttamente il GDPR.

Il Trib. qualifica i motori di ricerca come banche dati di pagine reperite tramite i software c.d spiders, p. 13.

Non si applica la normativa sul safeharbour: <<Ritiene il Tribunale che la presente vicenda non possa trovare regolazione dalla normativa contenuta nel D. Lgs. n.70/03, che inerisce esclusivamente l’attività di memorizzazione di informazioni commerciali fornite daaltri. Oggetto del presente ricorso, invero, non è l’attività di host provider di Google in relazione alla formazione dei contenuti delle singole pagine web sorgente, ma la condotta posta in essere dal motore di ricerca in qualità di titolare del trattamento dei dati sottesa all’evocazione attraverso la semplice digitazione del nome e cognome dell’interessatodi tutti i siti in cui viene in risalto il preteso ruolo criminale del ricorrente attraverso un software messo a punto da Google e di cui quest’ultima si avvale per facilitare la ricerca degli utenti attraverso il suo motore di ricerca>> p. 14-15.

Il Trib. ribadisce che <<l’abbinamento dei siti al nome del ricorrente è frutto del sistema adottato da Google per scandagliare il web, copiare e immagazzinare i contenuti pubblicati dai siti sorgente, aggiornandoli, organizzare il materiale secondo chiavi di lettura in modo da rendere fruibile “worldwide” in tempo reale i contenuti relativi ad un soggetto, ad una data vicenda o ad argomento assegnati dall’utente nella stringa di ricerca; condotta da intendersi, dunque, comeprodotto di un’attività direttamente ed esclusivamente riconducibile, come tale, alla resistente. Ed è proprio questo il meccanismo di operatività del software messo a punto da Google che determina il risultato rappresentato dai possibili percorsi di ricerca, rendendo disponibili informazioni aggregate in grado di fornire agli utenti una profilazione dell’intera storia personale dell’interessato e che appaiono all’utente che inizia la ricerca digitando le parole chiave anche in relazione a settori potenzialmente differenti od estranei a quello oggetto della ricerca. Soprattutto, la capillarità della raccolta, la capacità di padroneggiare un numero potenzialmente illimitato di dati e notizie, la diffusività della propagazione del dato e delle notizie ad esso correlate costituiscono il valore aggiunto, autonomo da quello offerto dai siti sorgente, operato dal motore generale di ricerca>> p. 16

D’altro canto, il T. sottolinea che la rimozione a posteriori mediante de-indicizzazione dell’associazione dato personale/contenuti dei siti sorgente Google <<non impedisce la visualizzazione di contenuti immessi dagli utenti e non costituisce intromissione dell’hosting provider nei contenuti immessi nel sito dai siti sorgente (i cui titolari non venivano evocati nel presente giudizio), considerazione che consente di superare l’eccezione mossa da parte convenuta circa l’impossibilità (giuridica, non certo tecnica) di accedere e cancellare il testo veicolato in rete dal soggetto titolare del singolo sito informatico.

Va dunque ribadito che la deindicizzazione non comprime in alcun modo la libertà degli utenti di accedere alle ricerche offerte dal motore di ricerca Google-alla stessa maniera di quanto accade per gli altri motori di ricerca-attingendo la notizia dai singoli siti sorgente.

Infatti -come si è descritto in precedenza-il servizio indicato non compie alcun intervento diretto sui contenuti memorizzati nel web, ma svolge su di essi una rilevazione in ambito mondiale non solo meramente quantitativa e statistica (e dunque “esterna” rispetto al contenuto) dei dati oggettivi, ma provvede altresì alla estrapolazione dei dati organizzandoli in rankingsulla base diparametri non divulgati (non comprimibili nella sola, notoria, frequenza, c.d. popolarità, dei termini usati dagli utenti nelle ricerche e dei siti visitati), trasfusi nel grande algoritmo segreto che regola il funzionamento del sistema>>, p.17.

Nel web i dati assai sovente risultino <<inseriti in contenuti non comprimibili nella mera categoria delle aggregazioni di nudi dati, ma siano piuttosto inclusi in testi più ampi, ascrivibili all’area dell’esercizio della liberta di stampa o di espressione (come nel caso di specie), di talchè la cancellazione della pagina web dall’archivio del titolare del trattamento finirebbe per incidere su un’area ben più ampia del singolo dato che si vuole trattare. Occorre poi puntualizzare che, come più volte ribadito, la deindicizzazione non incide sui contenuti; nondimeno, limitando l’accessibilità alla pagina web, attingibile solo attraverso l’attivazione diretta del singolo sito sorgente, essa finisce per incidere sull’ampiezza e quindi sul concreto esercizio dei diritti di libertà ad esso connessi. Non ci si può infatti nascondere che la mancata comparsa sulla pagina web del motore generalista della pagina sorgente alla digitazione delle generalità dell’interessato sia in grado di incidere in maniera significativa -in ipotesi anche potenzialmente assorbente-sulla capacità diffusiva della notizia da parte del sito sorgente. Occorre dunque effettuare un attento bilanciamento dei contrapposti diritti>> p. 18

l diritto in esame [identità personale e riservatezza] , dice il T., <<piuttosto che un autonomo diritto della personalità costituisce un aspetto del diritto all’identità personale, segnatamente il diritto alla dis-associazione del proprio nome da un dato risultato di ricerca. Il c.d. ridimensionamento della propria visibilità telematica, difatti, rappresenta un aspetto “funzionale” del diritto all’identità personale, diverso dal diritto ad essere dimenticato, che coinvolge e richiede una valutazione di contrapposti interessi: quello dell’individuo a non essere (più) trovato on linee quello del motore di ricerca (nel senso poco sopra specificato).

Orbene, se tutto ciò vale per il caso in cui un dato sia vero, ma la sua conoscenza abbia perso di interesse per la collettività per la risalenza di esso, a maggior ragione dovrà porsi nel giudizio di bilanciamento una valutazione di supravalenza della falsità del dato in tutti i casi in cui l’interessato offra una ragionevole (sensible) rappresentazione della falsità allegata; bilanciamento sottratto, infine, alla disponibilità del titolare del trattamento in tutti i casi in cui dall’interessato sia allegata prova dell’accertamento giudiziario della falsità del dato. Nelle pagine web ricorrono entrambe le fattispecie menzionate>>, p. 21.

Poi passa ad applicare questi principi al caso de quo.

Ritiene che il trattamento di G. sia illecito a partire dalla diffida inotrata dall’ineressato, tra l’altro allegando la sentenza di condanna per diffamazione: <<la convenuta avrebbe, tuttavia, dovuto procedere a trattare lecitamente i dati del ricorrente, evitando che le ricerche effettuate dagli utenti partendo dalla stringa contenente le generalità di XX dessero luogo all’elencazione dei siti sorgente contenenti le notizie la cui diffamatorietà era stata giudizialmente accertata. IL motore di ricerca avrebbe quindi dovuto procedere in allora alla deindicizzazione dei risultati>> p. 22

Anche sul danno, naturalmente la responsaiblità rigurda l’omissione solo a partire dalla diffida.

Nulla accerta come danno patriminiale.

Liquida però euro 25.000,00 per danno morale così argomentando: <<Deve valutarsi il disagio subito da parte ricorrente, e dalla medesima allegato, dovuto alla preoccupazione conseguente al protrarsi della permanenza in rete dell’abbinamento del proprio nominativo alle URL riportanti le notizie diffamatorie in esito al rifiuto opposto da Google LLC. L’assenza di puntualizzazioni difensive in ordine ad un eventuale scarto qualitativo differenziante la sofferenza patita sin dall’origine della diffusione in rete dell’associazione diffamatoria dei propri dati da quella sopportata in progressione in esito al rifiuto ricevuto, impone al giudicante di attenersi, nel computi di base, ad una liquidazione per equivalente attestata su valori contenuti. D’altro canto, non può il Tribunale non tenere conto nella liquidazione del danno della risposta derisoria opposta da Google LLC alle richieste di cancellazione dell’interessato; la società aveva infatti motivato il proprio rifiuto affermando che le notizie attingevano la vita professionale del richiedente e che oggetto di esse era un “reato”, con ciò incorrendo in una (voluta?) confusione tra autore e vittima del delitto di diffamazione, ovvero pretermettendo la sussistenza di un provvedimento della A.G. con la quale si affermava la falsità delle notizie attribuenti il coinvolgimento di XX in gravi fatti di reato; si legge, infatti, nella nota del 13.12.2017 inviata al difensore dalla odierna resistente che “In merito alle seguenti URL” –e compariva l’elenco di cui al ricorso –“si riferiscono al contenuto riguardante la vita professionale del suo cliente di sostanziale interesse pubblico… potrebbero interessare potenziali e attuali consumatori, utenti o fruitori dei servizi del suo cliente… Pertanto la presenza di questo contenuto nei nostri risultati di ricerca … è giustificato dall’interesse pubblico ad averne accesso” (cfr doc. 6 ric.).>> p. 24-25

L’aggregazione di dati già resi pubblici costituisce nuovo trattamento e va acconsentito

Vendere informazioni aggregate, pur tratte da fonti in cui erano già state pubblicate (pubblici registri), costituisce trattamento diverso ed ulteriore, per cui va acconsentito. L’aggregazione infatti costituisce una diversa lesione della diritto alla protezione dati, poichè si amplia la sfera di possibile conoscenza delle informazioni stesse.

Così suppergiù Cass. 13.01.2021 n. 368, rel. Caradonna, su ricorso ex art. 152 cod. privacy del 2014 (quindi ante GDPR e ante d lgs. 101 del 2018), eccependo soprattutto la violazione della regola di pertinenza e di non eccedenza.

Precisamente osserva la SC: <<Questa Corte ha affermato che in tema di trattamento dei dati personali, il D.Lgs. n. 196 del 2003 (nella versione applicabile ratione temporis, anteriore alle modifiche apportate dal D.Lgs. 10 agosto 2018, n. 101) ha ad oggetto della tutela anche i dati già pubblici o pubblicati, poichè colui che compie operazioni di trattamento di tali informazioni, dal loro accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio può ricavare ulteriori informazioni e, quindi, un valore aggiunto informativo, non estraibile dai dati isolatamente considerati, potenzialmente lesivo della dignità dell’interessato (ai sensi dell’art. 3 Cost., comma 1 e dell’art. 2 Cost.), valore sommo a cui è ispirata la legislazione sul trattamento dei dati personali (Cass., 25 giugno 2004, n. 11864).

Affermazione ineccepibile.

Prosegue poi ricordando che <<nella gerarchia dei valori costituzionalmente tutelati la dignità dell’interessato è ritenuta preminente rispetto all’iniziativa economica privata che, secondo l’art. 41 Cost., non può svolgersi in modo da recare danno alla dignità umana (Cass., 8 agosto 2013, n. 18981)>>

Diritto al’immagine vs. diritto di cronaca

La S.C. con sentenza 19.02.2021 n. 4477, rel. Campese, esamina in modo convincente una fattispecie forse non rara sul tema: la partecipazione di un personaggio famoso ad un evento privato e la successiva diffusione sui giornali delle fotografie scattate nell’occasione.

Nel caso specifico un calciatore famoso aveva fatto visita in ospedale ad una bambina gravemente malata ma le fotografie (alla bambina, col viso coperto, e ai genitori) scattate dal personale medico erano poi state diffuse su svariati quotidiani.

L’analitica sentenza soprattutto distingue tra diritto di cronaca -cioè il diritto di dare notizia dell’evento- e diritto alla riproduzione delle immagini delle persone cooinvolte: esistente il primo, non è detto che necessariamente ricorra pure il secondo: <<tali presupposti, in presenza dei quali il bilanciamento tra l’interesse individuale alla tutela di diritti della personalità quali l’onore, la reputazione e la riservatezza, e quello, costituzionalmente protetto, alla libera manifestazione del pensiero deve risolversi in favore di quest’ultimo, avuto riguardo al prevalente diritto dell’opinione pubblica ad essere informata ed a formarsi un convincimento in ordine a vicende di rilevante interesse collettivo, possono risultare idonei a giustificare la propalazione di informazioni in contrasto con i predetti diritti, ma non sono sufficienti a legittimare, sic et simpliciter, anche la diffusione della immagine della persona interessata, la quale trova un’autonoma e più rigorosa regolamentazione nell’art. 10 A.B. e della L. n. 633 del 1941, art. 97, di cui si è ampiamente detto in precedenza …. . In quest’ottica, la mera circostanza che l’immagine pubblicata appartenga ad un soggetto cui è riferibile una vicenda rispetto alla quale sia configurabile un interesse alla conoscenza da parte del pubblico non può considerarsi sufficiente a legittimarne la riproduzione e la diffusione, occorrendo a tal fine un quid pluris, consistente nella necessità che tale divulgazione risulti essenziale per la completezza e la correttezza dell’informazione fornita>>, § 2.7.2 e 2.7.3.

La diffusione dell’immagine infatti ha maggiore potenzialità lesiva: <<questa Corte, del resto, ha già avuto modo di affermare che l’accertamento della legittimità della pubblicazione dell’immagine di una persona senza o contro il consenso dell’interessato è un’indagine che va condotta caso per caso, nel rispetto sia dei parametri del diritto di cronaca e dell’essenzialità della diffusione della notizia, sia dei parametri specifici fissati dall’art. 8 citato a presidio della tutela della dignità umana (oltre che, ovviamente, a quello di cui al precedente art. 7 quanto alla tutela dei minori). La più accentuata potenzialità lesiva e la maggiore diffusività dell’immagine comportano inoltre che la relativa valutazione debba essere compiuta con maggior rigore rispetto a quella concernente la semplice pubblicazione della notizia, occorrendo verificare se la pubblicazione delle immagini fosse essenziale ai fini dell’informazione e inoltre considerare se tali immagini, per le loro caratteristiche intrinseche, fossero da considerare lesive della dignità della persona, in considerazione della particolare potenzialità offensiva connessa all’enfatizzazione tipica dello stesso strumento visivo (ed all’idoneità dell’immagine, una volta pubblicata, ad essere riprodotta anche a distanza di tempo sui più svariati mezzi di comunicazione, scissa dall’articolo di cronaca che ne poteva giustificare in origine la pubblicazione e sottratta al controllo del soggetto ritratto), il cui uso nell’attività giornalistica è per questo circondato da particolari cautele (cfr. Cass. n. 12834 del 2014)>>, § 2.7.6.

Inoltre, nel caso specifico <<l’avvenuta pubblicazione di foto centrate (anche) su di una minore allettata, non importa se con il viso oscurato, tra apparecchi e cavi, con medici ed infermieri e con la diffusione delle generalità, è certamente lesiva di quel preminente interesse del minore (soprattutto se in relazione ai principi di cui si è già dato precedentemente conto al p. 2.5.2, da intendersi qui ribaditi) che, dalla menzionata Convenzione di New York in poi, è al centro del diritto a livello internazionale>>, § 2.9. Sembra cioè di capire che sia di per sè lesiva: affermazione , allora, importante.

Pure importante (anche a livello teorico scontato) è il seguente passo: <<la circostanza che i dati personali siano stati resi noti direttamente dagli interessati in una pregressa occasione non ha valore di consenso tacito al trattamento anche in contesti diversi dalla loro originaria pubblicazione, poichè l’interessato può essere contrario a che l’informazione da lui già resa nota riceva una ulteriore e più ampia diffusione, dovendosi ritenere che la deroga prevista dal D.Lgs. 30 giugno 2006, n. 196, art. 137, u.c., concerna solo l’essenzialità del dato trattato e non anche l’interesse pubblico alla sua diffusione, di cui va apprezzata autonomamente l’idoneità, in ispecie rispetto al diritto del minore alla riservatezza ed alla non diffusione dei sui dati anagrafici e del suo domicilio (cfr. Cass. n. 27381 del 2013)>>, § 2.9.3 (la SC si riferisce all’eccezione dei convenuti per cui poteva desumersi un consenso dei genitori dal fatto che avevano dato notizia dell’evento su una pagina Facebook).

Infine va rimarcato l’interesse della pronuncia per l’esame dei profili specificamente giornalistici del diritto di cronaca e dunque degli artt. 136 e 137 cod. privacy.

In conclusione, i corpi normativi invocati in causa sono stati (la SC non menziona il GDPR, probabilmente perchè i fatti erano anteriori alla sua entrata in vigore):

codice civile (art. 10).
legge d’ autore (artt. 96-97)
cod. privacy nel testo anteriore al D LGS 101/2018, ratione temporis (spt. artt 136-137)
Conv. New York del 1989 sui diritti del fanciullo
codice deontologico dei giornalisti (dotato di dignità giuridica almeno ex artt-. 137 e 139 cod. privacy)

Successione digitale: accesso dei genitori ai dati memorizzati da Apple sul cloud relativi al figlio premorto

Deceduto il figlio in incidente stradale e resosi inutilizzabile il suo iPhone, i genitori chiedono ad Apple Italia l’accesso ai dati memorizzati in cloud, facendo valere l’art. 2 terdecies cod. privacy. Secondo tale disposizioni, <<I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualita’ di suo mandatario, o per ragioni familiari meritevoli di protezione>> (c.1).

Come rileva l’ordinanza, non è chiaro se si tratti di pretesa iure proprio (come parrebbe) o iure hereditatis (trattandosi nel caso di successione separata).

I genitori avevano detto di volere l’accesso ai dati per ragioni generali di ricordo e per ragioni speciali consistenti nella intenzione di eventualmente raccogliere in una pubblicaizone le ricette create dal figlio, cuoco, annotate in cloud.

Apple oppone la necessità di rispettare la condizioni contrattiali regolanti la fattispecie: <<“un ordine del tribunale che specifichi: 1) Che il defunto era il proprietario di tutti gli account associati all’ID Apple; 2) Che il richiedente è l’amministratore o il rappresentante legale del patrimonio del defunto; 3) Che, in qualità di amministratore o rappresentante legale, il richiedente agisce come “agente” del defunto e la sua autorizzazione costituisce un “consenso legittimo”, secondo le definizioni date nell’Electronic Communications Privacy Act; 4) Che il tribunale ordina a Apple di fornire assistenza nel recupero dei dati personali dagli account del defunto, che potrebbero contenere anche informazioni o dati personali identificabili di terzi” >>.

Il giudice, condivisibilmente, ravvisa l’esistenza delle ragioni familiari meritevoli di protezione, e in via cautelare (art. 700 cpc) condanna Apple a <<fornire assistenza a XXXXXXXXX nel recupero dei dati dagli account del sig. XXXXXXXXX nella procedura denominata “trasferimento” volta a consentire ai ricorrenti l’acquisizione delle credenziali d’accesso all’ID Apple del predetto sig. XXXXXX>> (Trib. Milano sez. I civ., RG 2020/44578, 10.02.2021, giudice Martina Flamini).

Circa il periculum in mora, <<basti osservare che, come specificamente allegato da parte ricorrente (con riferimento a nozioni di comune esperienza), la Apple aveva fatto presente che i propri sistemi, dopo un periodo di inattività dell’account i-cloud sarebbero stati automaticamente “distrutti”. Il pericolo di un pregiudizio grave ed irreparabile all’esercizio dei diritti connessi ai dati personali del figlio defunto dei ricorrenti appare, pertanto, in re ipsa>>.

Il provvedimento è sostanzialmente condivisibile, anche se qualche perplessità suscita il modo sbrigativo con cui il giudce si è liberato dall’ostacolo delle clausole contrattuali .Sostanzialmente dice che si tratta o di dati già possesso di Apple (n. 1) o di elemeenti (esistenti probabilmetne in USa ma) non esistnti da noi: <<orbene, con riferimento alle richieste della società titolare del trattamento si osserva che: solo la società resistente è a conoscenza delle informazioni relative al punto 1); nell’ordinamento italiano non esiste la figura dell’“amministratore o rappresentante legale del patrimonio del defunto” né, tantomeno, quello di “agente” del de cuius; la disciplina legislativa italiana non richiede, in alcun modo, né l’autorizzazione di un “agente” del defunto all’accesso né la presenza di un “consenso legittimo” secondo un atto normativo di un ordinamento giuridico diverso. In conclusione, appare del tutto illegittima la pretesa avanzata dalla società resistente di subordinare l’esercizio di un diritto, riconosciuto dall’ordinamento giuridico italiano, alla previsione di requisiti del tutto estranei alle norme di legge che disciplinano la fattispecie in esame>>.

Profilo che andrebbe però coordinato con l’art. 3/2 GDPR, che impone il rispetto del GDPR medesimo anche agli operatori extra _UE se effettuano il trattamento dati dentro la UE.

Il passaggio è un pò sbrigativo dato che potrebbe trattarsi di rapporto con elementi di estraneità, per cui si sarebbe dovuto ragionare in termine di diritto intenazionale privato (però la controparte è società di diritto italiano e non risultano in sentenza scelte di legge straniera; comunque potrebbe trattarsi di <norma di applicazione necessaria>, prevalente sulla scelta di legge stranera); se non lo fosse, allora la cosa sarebbe più semplice, trattandosi di patto difforme dal cit. art. 2 terdecies, norma imperativa, quindi probabilmente nullo perchè aggravante la fattispecie che genera il diritto di accesso ai dati del deceduto.

Nulla in proposito osserva il giudice.

(segnalazione delle sentenza da parte di Antonio Iacono nella mailing list NEXA)

V.ne ora il commento di Bassini-De Gregorio-Pollicino su Federnotizie.it.

Privacy, libertà di informazione e copyright nel caso Meghan Markle c. Daily Mail

Si pronuncia l’Alta Corte inglese sul caso Meghan Markle (MM) c. Daily Mail e Mail on Sunday (poi anche : l’Editore).

Precisamente si tratta di HIGH COURT OF JUSTICE CHANCERY DIVISION BUSINESS AND PROPERTY COURTS INTELLECTUAL PROPERTY LIST, The Duchess of Sussex c. Associated Newspapers Limited, 11.02.2021, [2021] EWHC 273 (Ch) Case No: IL-2019-000110 .

Di fronte alla pubblicazione non autorizzata da parte del Mail della propria lettera al proprio genitore (i rapporti non erano facili) , MM cita l’editore per violazione di privacy e di copyright., § 61

I fatti sono esposti ai §§ 1 ss.

PRIVACY

Le difese dell’Editore sono:
<<It maintains that the contents of the Letter were not private or confidential as alleged, and that the claimant had no reasonable expectation of privacy. Further or alternatively, any privacy interest she enjoyed was slight, and outweighed by the need to protect the rights of her father and the public at large. The defendant’s pleaded case is diffuse and hard to summarise. But prominent features are contentions that, even if the claimant might otherwise have had any privacy rights in respect of the Letter,

(1) such rights were (a) limited, given the legitimate public interest in the activities of the Royal family and the claimant’s status as a “high-ranking member” of that family, and (b) destroyed, weakened or compromised by (i) her knowledge of her father’s propensity to speak to the media about their relationship, (ii) the fact that publication of the existence and contents of the Letter was lawful in the US, (iii) her own conduct in causing, authorising, or intending publicity about the Letter and/or her relationship with her father more generally, and/or (iv) the publication of information about the Letter;

(2) the People Article gave a misleading account of the father-daughter relationship, the Letter and Mr Markle’s letter in response, such that (in all the circumstances) public disclosure of the contents of the Letter in the Mail Articles was justified to protect the rights and interests of Mr Markle and the public at large>> (§ 6).

Si noti sub 2) : il Mail pretende di fondare la liceità della pubblicazione di ampi brani (v. sotto) della lettera, per corregere l’errore in cui potrebbe cadere il pubblico in base a precedente pubblicazione (da parte di altro gionale: The People) di un articolo sul rapporto padre figlia, a suo dire distorcente la verità.

Ai §§ 28 ss i fondamenti del diritto alla privacy.

Al § 45 il testo integrale della lettera e al § 46 di quello della replica (di tre righe) del padre a MM.

A § 47 ss trovi la pubblicazione pretesamente distorcente del People.

Che esista un diritto alla privacy sulla lettera è esaminato a accertato ai §§ 64-95 <<Stage one: reasonable expectation of privacy>>).

Punto interessante è quello per chui è irrilevante l’inclinazione del padre (destinatario della missiva) a violare la privacy altrui: <<But even assuming the facts to be as pleaded, they are not capable of defeating the claimant’s case that, objectively speaking, she had a right to expect her father to keep the contents of the Letter private. A person’s rights against another are not defeated by the prospect that those rights may be ignored or violated. A high level of risk-taking might be capable of affecting the assessment of damages, but does not excuse an intrusion into privacy: see Mosley v News Group Newspapers Ltd [2008] EWHC 1777 (QB) [2008] EMLR 20 [225-226] (Eady J).>>, § 78.

Affermazione importante e condivisibile.

Al § 86 (e § 98) l’affermzione (scontata) per cui la pubblicizzazione di alcuni aspetti della propria vita non autorizza i terzi a pubblicizzarne altri: il controllo riamane in toto in capo all’interessato.

Lo stage 2 , § 96 ss, esamina il bilanciamento con la liberà di espressione, tra cui quella di correggere false impressioni nel pubblico (punto centrale: § 104).

La risposta è negativa nel caso de quo: la pretesa correzione tramite la pubblicazione di quasi metà lettera di un eventuale errore di minima entità è sproporzionata (§ 120)

La conclusione è dunque questa:

<<The claimant [cioè MM] had a reasonable expectation that the contents of the Letter would remain private. The Mail Articles interfered with that reasonable expectation. The only tenable justification for any such interference was to correct some inaccuracies about the Letter contained in the People Article. On an objective review of the Articles in the light of the surrounding circumstances, the inescapable conclusion is that, save to the very limited extent I have identified, the disclosures made were not a necessary or proportionate means of serving that purpose. For the most part they did not serve that purpose at all. Taken as a whole the disclosures were manifestly excessive and hence unlawful. There is no prospect that a different judgment would be reached after a trial. The interference with freedom of expression which those conclusions represent is a necessary and proportionate means of pursuing the legitimate aim of protecting the claimant’s privacy.>>, § 128.

Sul copyright la quesrtione più interssante è l’eccezione di carenza di legittimazione attiva, dato che la lettera sarebbe stata scritta non da MM (o da lei sola) ma da quattro membri dell’Ufficio segretariale di Kensington Palace Communications Team, (the “Palace Four”), in realtà poi da uno solo d iquesti, Mr. Knauf.

Resta invece assodato che ricorra la originnalità, § 139-149, ove riepilogo delle principali teorie e dei principali precedenti anche europei (si noti che le allegazioni processuali distinguono tra la lettera realmente inviata e una sua previa Electronic Draft, che è quella in realtà azionata in causa, § 136)..

Pure la violazione del copyright è accertata, vista la copiatura di 585 parole su 1250 ( § 150).

Sono respinti due motivi di legittimuità della pubblicazione (fair dealing in news reporting, data la concorenza all’eventuale sfruttamento del diritto di autore da parte di MM, e un altro, § 152-158).

Infine la titolarità, § 159 ss

Che dei quattro ve ne sia uno che collaborò, Mr Knauf, pare probabile (§ 135-138), anche se non in solitaria ma semmai come coautore.

Ma su questo proseguirà il processo, § 169-170.

Commento sostanzialmente favorevole da parte dell’ex direttore del Guardian, Alan Rusbridger, in It will come as a surprise to some, but even Meghan has a right to her privacy del 14.02.2021.

Lo “scudo per la privacy” USA-UE è cassato dalla Corte di Giustizia

I media hanno dato (giustamente) ampio spazio alla decisione della Corte di Giustizia (CG) 16.07.2020, C-311/18, Schrems II, con cui è stata annullata la decisione <scudo per la privacy> (SPP) 12.07.2016 2016/1250.

Era capitato che Maximillian Schrems aveva contestato presso il Garante Irlandese il trasferimento dei suoi dati in server statunitensi, da parte di Facebook, p. 52.

Dopo una prima vittoria in sede europea con sentenza CG 6.10.2015, C-362/14, Schrems era ricorso ancora contro la successiva decisione della Commissione, appunto la sopra citata SPP.

Nella nuova denuncia <il sig. Schrems ha fatto valere, in particolare, che il diritto statunitense impone a Facebook Inc. di mettere a disposizione delle autorità statunitensi, quali la National Security Agency (NSA) e le Federal Bureau of Investigation (FBI), i dati personali che le sono trasferiti. Egli ha sostenuto che, poiché tali dati sono utilizzati nell’ambito di diversi programmi di sorveglianza in modo incompatibile con gli articoli 7, 8, e 47 della Carta, la decisione CPT non può giustificare il trasferimento dei suddetti dati verso gli Stati Uniti. Il sig. Schrems ha pertanto chiesto al Commissario di vietare o di sospendere il trasferimento dei suoi dati personali verso Facebook Inc.>, p. 55.

Ricordo solo tre punti.

1° punto (quest. preg. 2°, 3°, 6°)

la CG continua nella sua intepretazione del rapporto tra ordinamento europeo e nazionali:

<100 Secondo costante giurisprudenza, inoltre, la validità delle disposizioni del diritto dell’Unione e, in mancanza di un espresso richiamo al diritto nazionale degli Stati membri, la loro interpretazione non possono essere valutate alla luce di tale diritto nazionale, neppure di rango costituzionale, in particolare dei diritti fondamentali quali formulati nella loro Costituzione nazionale (v., in tal senso, sentenze del 17 dicembre 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, punto 3; del 13 dicembre 1979, Hauer, 44/79, EU:C:1979:290, punto 14, nonché del 18 ottobre 2016, Nikiforidis, C‑135/15, EU:C:2016:774, punto 28 e giurisprudenza ivi citata.>

Per concludere sul quesito posto che <l’articolo 46, paragrafo 1, e l’articolo 46, paragrafo 2, lettera c), del RGPD devono essere interpretati nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti da tali disposizioni devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo sul fondamento di clausole tipo di protezione dei dati godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta. A tal fine, la valutazione del livello di protezione garantito nel contesto di un trasferimento siffatto deve, in particolare, prendere in considerazione tanto le clausole contrattuali convenute tra il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione e il destinatario del trasferimento stabilito nel paese terzo interessato quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese terzo ai dati personali così trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo, in particolare quelli enunciati all’articolo 45, paragrafo 2, di detto regolamento>, p. 105.

Che si debba porre attenzione alle norme del paese trasferitario, pare una ovvietà

2° punto (quest. preg. 8°):

e’ vero che la decisione di adeguatezza e conformità della Commissione è sì vincolante per gli Stati fino a che non venga annullata.

Tuttvia ciò non può impedire ai Garanti di eseguire un loro sindacato: <non può impedire alle persone i cui dati personali sono stati o potrebbero essere trasferiti verso un paese terzo di investire, in applicazione dell’articolo 77, paragrafo 1, del RGDP, l’autorità nazionale di controllo competente di un reclamo relativo alla protezione dei loro diritti e delle loro libertà con riguardo al trattamento di tali dati. Analogamente, una decisione di tal genere non può né annullare né ridurre i poteri espressamente riconosciuti alle autorità nazionali di controllo dall’articolo 8, paragrafo 3, della Carta nonché dall’articolo 51, paragrafo 1, e dall’articolo 57, paragrafo 1, lettera a), di detto regolamento>, p. 119.

Ne segue che, <anche in presenza di una decisione di adeguatezza della Commissione, l’autorità nazionale di controllo competente, investita da una persona di un reclamo relativo alla protezione dei suoi diritti e delle sue libertà rispetto ad un trattamento di dati personali che la riguardano, deve poter esaminare, in piena indipendenza, se il trasferimento di tali dati rispetti i requisiti posti dal RGPD e, se del caso, proporre un ricorso dinanzi ai giudici nazionali affinché questi ultimi procedano, se condividono i dubbi di tale autorità quanto alla validità della decisione di adeguatezza, ad un rinvio pregiudiziale diretto all’esame della suddetta validità>, p. 120..

3° punto (quest. preg. 4° , 5°, 9° ), §§ 150 ss.

E’ il succo della sentenza.

Il giudice a quo dubita della compatibilità della SPP con alcuni articoli dell Carta dei diritti fondametali UE: cioè con gli articoli 7 (vita privata e familiare), 8 (personal data protection) e 47 (diritto a un ricorso effettivo e imparziale).

I poteri inquisitori delle agenzia di sicurezza USA erano stati considerati dalla Commissione nella SPP (§§ 164-167). Tuttavia la CG deve riesaminarli autonomamente, § 178 ss

La CG ritiene che la conformità al livello minimo europeo manchi, sia in riferimento all’art. 702 del FISA-Foreign Intelligence Surveillance Act (su cui v. § 109), da un lato, sia in riferimento all’executive order 12333 e al PPD-28 (Presidential Policy directive 28, su cui v. § 45 e qui § 68 della sua precedente decisione), dall’altro: v. le conclusioni al § 180 e, rispettivamente, al § 184.

In conclusione, <l’articolo 1 della decisione «scudo per la privacy» è incompatibile con l’articolo 45, paragrafo 1, del RGPD, letto alla luce degli articoli 7, 8 e 47 della Carta, e che esso è per tale motivo invalido>, § 199.

Ne segue che, <poiché l’articolo 1 della decisione «scudo per la privacy» è inscindibile dagli articoli da 2 a 6, nonché dagli allegati della medesima, la sua invalidità ha l’effetto di inficiare la validità di tale decisione nel suo complesso. Alla luce di tutte le considerazioni che precedono, si deve concludere che la decisione «scudo per la privacy» è invalida>, §§ 200-201.

Nè ci sono esigenze transitorie che impongano di <mantenere gli effetti di tale decisione al fine di evitare la creazione di una lacuna giuridica>. Infatti, <tenuto conto dell’articolo 49 del RGPD, l’annullamento di una decisione di adeguatezza come la decisione «scudo per la privacy» non è idoneo a creare una lacuna giuridica siffatta. Tale articolo stabilisce, infatti, in modo preciso, a quali condizioni possono aver luogo trasferimenti di dati personali verso paesi terzi in assenza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, di detto regolamento o di garanzie appropriate ai sensi dell’articolo 46 del medesimo regolamento>, § 202.

Pertanto i trasferimenti di dati negli Stati Uniti, operati da Facebook, Google, Instagram, Microsodft o da chiunque altro (anche tramite i servizi cloud), non rispettano il GDPR.

Con problemi non irrisori per chi in Italia offre servizi informatici che appunto presuppongano tali trasferimenti.

Commento ora in medialaws.eu da parte di A. Cristofano, La Sentenza Schrems II e il judicial activism della Corte di Giustizia dell’Unione Europea. Verso un GDPR a vocazione universale?, 15.02.2021.

Diritto alla riservatezza (anzi, all’identità personale) e archivio storico on line di notizie giornalistiche: Cass. 7599/2020

Con la sentenza 27 marzo 2020 n. 7559 la Cassazione, sez. I, relatore Campese, interviene sulla seguente fattispecie.

Il figlio di un noto imprenditore del settore tipografico (la SC ha ordinato l’anonimizzazione ex art. 52: v. dispositivo) aveva chiesto la rimozione e in subordine l’anonimizzazione di due articoli comparsi a suo tempo sull’edizione cartacea di un quotidiano e ora presenti nell’archivio storico nel sito internet del giornale. In ulteriore subordine aveva chiesto che venisse ordinato l’aggiornamento delle notizie, § 2.

Questi articoli riguardavano le vicende giudiziarie del padre, riportandone il rinvio a giudizio e la condanna: secondo l’attore, non riportavano l’evoluzione della vicenda, dato che il padre era poi stato prosciolto (in realtà sentenza di non luogo a procedere, precisa la SC sub § 5.10.3, in fine)

L’attore agiva in sede amministrativa presso l’Autorità Garante per la privacy ex art. 145 ss del testo allora vigente, ma senza successo.

Convenuti in causa erano e sono RCS Mediagroup spa (l’editore) e il Garante per la privacy.

Nel successivo processo presso il Tribunale di Milano veniva dato atto che uno dei due articoli non risultava più indicizzato dai motori di ricerca ed era accessibile solo ai titolari di specifico diritto di accesso su quella banca dati. Il tribunale, alla luce di ciò e del fatto che l’altro articolo era stato aggiornato, respinse tutte le domande del originario attore.

Il quale però non si ritenne soddisfatto e, secondo la precedente versione dell’articolo 145 c. 13 d. lgs. 196 del 2003, ricorse in Cassazione

Quest’ultima con la sentenza qui esaminata ripercorre analiticamente la giurisprudenza in materia, ricordando che non si tratta tanto di diritto alla riservatezza quanto di tutela dell’identità personale (ad es § 5.4.1).

la SC trova un precedente molto vicino al caso sub iudice nella vertenza decisa da Cass. 5525 del 2012, paragrafo 5.8.2.

In quel caso si decise se esisteva un diritto soggettivo del singolo a che le informazioni, che lo riguardano, presenti on-line, fossero sempre e comunque costantemente aggiornate. La Corte in quel caso riconobbe che quel diritto esisteva.

Rimaneva tuttavia non chiaro come avrebbe dovuto essere messo in pratica questo dovere per gli archivi on-line, data la grande mole di notizie che devono gestire. In particolare, secondo la Cassazione qui in esame, quella decisione del 2012 non postulava <<un obbligo di aggiornamento operante solo (-come sembrerebbe più logico, e coerente con i principi emersi in ordine alla (ir)responsabilità del provider sino all’attivazione di una procedura di notice and take-down) a seguito della formale relativa richiesta dell’interessato; i giudici mirarono, piuttosto, ad affermare l’operatività di un tale obbligo a prescindere da qualsiasi iniziativa di chicchessia>>, § 5.9.1 [parentesi rosse aggiunte per chiarezza].

L’affermazione è importante: la SC sta dicendo che per l’aggiornamento delle informazioni inserite in un archivio pubblico (a maggior ragione se accessibile con restrizioni) tocca all’ineressato chiederlo: altrimenti il titolare del trattamento (l’editore) non ha obbligo di provvedervi. Suggerendo quindi una procedura analoga al c.d. notice and take down del Copyright Act USA ( § 512 del 17 US Code Limitations on liability relating to material online, lett. c), introdotto dal c.d. Digital Millenium Copyright Act).

La Suprema Corte, tornando alla vertenza sub iudice, ritiene la sentenza del tribunale non censurabile. Sintetizza così i passaggi più importanti:

<<procedendo al bilanciamento tra i diritti del singolo e quelli della collettività, e ritenendo (cfr. amplius, pag. 12-15 della decisione impugnata) che: i) una soluzione di ragionevole compromesso può essere, allo stato, quella adottata con i provvedimenti che impongono la deindicizzazione degli articoli sui motori di ricerca generali, la cui conseguenza immediata è che l’articolo e la notizia controversa sono resi disponibili solo dall’attivazione dello specifico motore di ricerca all’interno di un quotidiano. Tale semplice limitazione consente all’interessato di vedere estromesso dal dato che lo riguarda azioni di ricerca mosse da ragioni casuali o, peggio, futili; ii) tanto trova applicazione nell’ipotesi in cui il dato personale di cui si discute mantenga un apprezzabile interesse pubblico alla sua conoscenza, da valutarsi e da ritenersi sussistente in funzione non solo della perdurante attualità del dato di cronaca, ma anche in presenza del solo assolvimento del valore documentaristico conservativo proprio dell’archivio, sia pure integrato dagli aggiornamenti prescritti dalle Autorità intervenute in tema; iii) nel bilanciamento degli interessi contrapposti diritto al controllo del dato, diritto all’oblio del titolare dei dati personali e diritto dei cittadini ad essere informati – prevale, ex art. 21 Cost., il diritto della collettività ad essere informata con il conseguente diritto dei mezzi di comunicazione di informare in tutti i casi in cui il dato sia trattato correttamente e permanga nel tempo l’interesse alla sua conoscenza secondo i profili indicati; iv) non parrebbe corretto individuare il sorgere del diritto all’oblio quale conseguenza automatica del trapasso del soggetto interessato; v) analogamente, il venir meno dell’interesse collettivo alla conoscenza di determinati dati personali non coincide, in via automatica, con il passaggio a miglior vita del titolare. Allo stesso modo, il mero trascorrere del tempo non comporta, ex se, il venir meno dell’interesse alla conoscenza del dato di cronaca, criterio che, se opzionato, comporterebbe la non pertinenza di scopo di ogni archivio di stampa, cartaceo o informatico che sia>>, paragrafo 5.10.1.

Si tratta dei passaggi più importanti della sentenza del 2012, fatti propri da quella qui esaminata. Segnalo l’importanza di quello in rosso, sulla prevalenza del diritto all’informazione.

In altre parole sussiste ex art. 21 Cost., un generale <<diritto alla conoscenza di tutto quanto in origine lecitamente veicolato al pubblico, con conseguente liceità del fine del trattamento dei dati personali contenuti in archivio; tale diritto incontra un limite, in applicazione del D.Lgs. n. 196 del 2003, art. 11 nelle fattispecie in cui la permanenza del dato nell’archivio informatico, per la sua potenziale accessibilità, non paragonabile a quella di una emeroteca, comporti un tale vulnus alla riservatezza dell’interessato (con conseguente immediata ripercussione sulla propria reputazione) da minarne in misura apprezzabile l’esplicazione dei diritti fondamentali della persona in ambito relazionale.>>, § 5.10.1, in fine.

Ecco, quindi, prosegue la SC riportando passi del precedente del 2012, che <<”nel bilanciamento dei contrapposti interessi sussiste e permane l’interesse della collettività, ed in particolare del mondo economico, di “fare memoria” di vicende rilevanti per un soggetto che si presenta come primario centro di imputazione di interessi economici rilevanti per la collettività”, dovendosi, inoltre, “ricordare che, tra tutti i dati personali, quelli interessanti l’attività economica esercitata offrono la maggior resilienza all’azione di compressione esercitabile a tutela della riservatezza dei soggetti cui i dati pertengono. Non può, quindi, seriamente contestarsi il potenziale interesse pubblico a conoscere la storia di un primario attore nell’ambito economico nazionale, ivi incluse le lotte scatenatesi per il controllo azionario del gruppo societario in questione” (cfr. pag. 14 della menzionata sentenza)>>, § 5.10.3.

Qui va segnalato l’accento posto sulla minor comprimibilità dell’informazione relativa alle attività economiche: affermazione non da poco.

In definitiva, quindi, l’avere la società editrice <<provveduto alla deindicizzazione ed allo spontaneo aggiornamento dell’articolo “(OMISSIS)” dell'(OMISSIS) – unico su cui ancora esisteva controversia – è stato ritenuto dal giudice a quo come soluzione idonea a bilanciare i contrapposti interessi in gioco, conservandosi il dato pubblicato, ma rendendolo accessibile non più tramite gli usuali motori di ricerca, bensì, esclusivamente, dall’archivio storico de (OMISSIS), ed al contempo garantendo la totale sovrapponibilità, altrimenti irrimediabilmente compromessa, fra l’archivio cartaceo e quello informatico del medesimo quotidiano, nonchè il diritto della collettività a poter ricostruire le vicende che avevano riguardato il controllo dell’impresa P..>>, § 5.10.4. Motivazione che viene condivisa dalla SC, § 5.11.

La SC infine ricorda al § 5.11.1 che la fattispecie trova oggi qualche regola nel GDPR: – art. 9.2.j e art. 17.3.d sulla disciplina del trattamento necessario per <<fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici>>; – art. 89 sul medesimo tipo di trattamento, soprautttutto ricordando l’obbligo di c.d. minimizzazione (cioè ex art. 5.1.c del reg.); – titolo VII del Regolamento, dedicato <<appositamente al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici con la finalità di garantire la conservazione di quei dati che siano decisivi per la “memoria” della società>>: qui probabilmente la SC voleva riferirsi al titolo VII della parte II del cod. privacy d. lgs. 196 del 2003, art. 97 ss.

Secondo la SC dunque la necessità di trovare un punto di equilibrio tra gli interessi contrapposti (quelli del titolare del sito contenente l’archivio e quelli del titolare del dato, non più accessibile dai motori di ricerca generali) <<è stata ritenuta adeguatamente soddisfatta dalla deindicizzazione, unita allo spontaneo aggiornamento dei dati da parte del titolare del sito, considerata dal tribunale milanese come misura di protezione del singolo ponderata ed efficace, mentre l’intervento di rimozione sull’archivio storico informatico si sarebbe rilevata eccessiva e penalizzante così da danneggiare il punto di equilibrio degli interessi predetti. Può, dunque, concludersi nel senso che, il giudice di merito, nel considerare la permanenza dell’interesse alla conservazione del dato in ragione della rilevanza storico-sociale delle notizie di stampa, non ha violato le norme di legge (D.Lgs. n. 196 del 2003, artt. 2,4,7,11,23,101 e 102; art. 6 della Direttiva Comunitaria n. 95/46; art. 2 Cost.) anche in ragione delle cautele concretamente adottate e volte alla deindicizzazione della notizia dai siti generalisti, dovendosi solo aggiungere che il generico rinvio al link (OMISSIS), inserito nello spazio deindicizzato, non è tale da porsi in violazione delle norme di legge in materia, nè costituisce un argomento su cui censurare la decisione impugnata. Il bilanciamento degli interessi contrapposti, anche sotto questo ultimo aspetto, nel dare prevalenza alla storicità della notizia, ha consentito di inquadrare l’attività di mero richiamo dal sito deindicizzato, per il tramite di un link, nell’ambito di una attività lecita giuridicamente>>, § 5.11.3