Interessante studio del Parlamento Europeo sui prezzi personalizzati

Il microtargeting, permesso dai software guidanti le grandi piattaforme digitali, permette di fare offerte di beni o servizi personalizzate sul singolo cliente seppur sempre in qualche misure categorizzate (anche se categorie via via più ristrette, al punto che può riuscire difficile individuarne una, apputandosi titalmente sule idiosincresie di un singolo).

Il Parlamento Ue pubblica lo studio European Parliament, Directorate-General for Internal Policies of the Union, Rott, P., Strycharz, J., Alleweldt, F., Personalised pricing, Publications Office of the European Union, 2022, https://data.europa.eu/doi/10.2861/869778   (link diretto qui).

E’ di sicuro interesse, essendo  il tema assai nuovo e potendo scuotere le fondamenta economico-giuridiche dello scambio tra privati, cui eravamo abituati.

Son ravvisati tre livelli di personalizzazione: < Price personalisation can take different forms, namely first-degree personalisation (based on personal characteristics of individual consumers), second-degree price personalisation (based on the quantity of products, e.g. when several bottles are sold in one package) and third-degree personalisation (based on membership in a market segment or consumer group, e.g. student rebate), and can be presented as a different price or a personalised discount. First-degree price personalisation is the most problematic of the three forms. It bases on the consumers’ willingness to pay, that can be inferred from different types of personal data processed on individual or aggregated level. Subsequently, a price matched to the willingness to pay is offered either automatically through algorithmic processing or non-automatically through human intervention >

Non c’è bisogno di ricordare che è il first degree a presentare problemi.

Il dovere di informare sulla personalizzazione (novello art. 6.1.ebis dir. 2011/83; lo studio dice invece <art. 6.1.ea>, ma sul sito Eurlex la versione consolidata della dir. accoglie la prima) varrà ben poco, dato il mare informativo in cui qualòunque dato oggi è annegato.

Ragiona naturalmente anche sull’art. 22 GDPR , inerente alle decisioni individuali automatizzate.

Concluisioni:

<< This leads to the following conclusions. As price personalisation is expected to become more widespread in the near future and has already occasionally proven to occur, there is a need for regulating this phenomenon.
Given the general rejection by consumers of personalised pricing, regardless of potentially being offered lower or higher prices, and the likelihood of overall consumer detriment of such practices, one could consider prohibiting personalised prices in the form of first degree price discrimination that lead
to a higher than the regular price. At least, there are certain areas where personalised pricing should be prohibited, namely, universal service obligations in areas such as electricity, gas and telecommunications where everyone should have access to services of general interest at the same conditions.
Moreover, while anti-discrimination laws limit the way in which personalised pricing can be performed in that they prohibit the inclusion of certain criteria in the personalisation process (e.g. sex, race, colour, ethnic or social origin, etc.) certain ‘sensitive’ criteria are currently not covered. These could be prohibited to be used for the personalisation of prices, including health conditions, and vulnerabilities such as anxieties that should not be exploited.
Otherwise, information obligations regarding personalised pricing could be extended to all goods and services and to offline or hybrid situations, and information provided should be ‘meaningful’, a notion well-known from data protection law. Thus, traders would have to disclose how prices are personalised
and what criteria are used to do so. Moreover, traders should be required to place information on personalised pricing next to the price in such a way that it cannot be overlooked.

Enforcement should be facilitated through the reversal of the burden of proof once there is an indication of price personalisation. Competent authorities could be granted access to the algorithm
that is used.
>>

Importante intervento della Cassazione sulla deindicizzazione da diritto all’oblio da parte del motore di ricerca: può (e talora) deve essere mondiale, non solo europea

Cass. sez. 1° del 24.11.2022 n° 34.658, per l’ottima penna del rel. Scotti, affronta il tema in oggetto cassando un Trib. Milano del 2020.

Ve3dila ad es. in questo link offerto dal Sole 24 ore o da Eleonora Rosati nel suo post in IPKat.

Ripercorsa la tutela della privacy e del diritto all’oblio, ricorda i due precedenti europei che avevano l’uno accolto e l’altro osteggiato il delisting extraUE in caso di notizie già legittimamente pubblicate ma poi superate dal tempo: dopo l’iniziale caso Costeja del 2014 (C-131/12), sono intevente la sentenza nel caso CNIL 24.09.2019 , C-507/2017 e quella nel caso   Glawischnig-Piesczek c. Facebook 03.10.2019 , C-18/08.

La SC si adegua al decisum della prima , per cui, appurato che il delisting mondiale non è dal diritto UE nè obbligato nè vietato, la questione va sciolta in base ai diritti nazionali.

Ci son due affermazioni importanti.

1°  Il ns. diritto impone il delisting mondial. La tutela di un valore costituzionale, quale la riservatezza, deve fronteggiare anche le modalità “liquide e pervasive della circolazione dei dati sulla rete di internet!”, § 19.

E’ il punto centrale e condivisibile.

Il rischio di conflitti tra ordini in conflitto emanati da autorità di diversi paesi non osta a questa conclusione, aggiunge la SC.

Del resto -aggiungo io- i colossi tecnologici come sfruttano la diversità di regole giuridiche tra Stati  quando gli fa comdo (tassazione), l’accettino  anche quando non gli fa comodo (cuius commoda eius et incommoda) : filtreranno nel limite massimo imposto dallo Stato più garantista, visto che sfruttano a livello mondiale tutte le opportunità possibili.

Le difficoltà in fase esecutiva non son rilevanti .

2° Il secondo punto importante sta nel § 26. Il delisting mondiale può essere concesso perchè nel caso specifico il danneggiato operava per lavoro in giro per il mondo: e dunque poteva subire danno da altre parti del mondo, oltre all’Italia. Quindi può arguirsi che per la SC , se invece gli interessi di una persona son solo in italia, il delisting mondiale non è concedibile. Cioè -parrebbe- può esserlo solo se essa può provare danni dalla circolazione all’estero della notizia de qua: il che è difficile se i suoi interessi son appunto concentrati solo in Italia.

Principio di diritto al § 27 (purtroppo al mmento non copiaincollabile)

Risarcimento danno da violazione della data protection (art. 82 GDPR)

Rielvante questione portata alla Corte di Giustizia circa i presupposti per la risarcibiità del danno provocato da violazione della data protection (causa C-300/21).

Questioni pregiudiziali, § 14:

«1)      Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 dell’RGPD (…) occorra, oltre a una violazione delle disposizioni dell’RGPD, che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la violazione di disposizioni dell’RGPD per ottenere un risarcimento.

2)      Se esistano, per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza.

3)      Se sia compatibile con il diritto dell’Unione la tesi secondo cui il presupposto per il riconoscimento di un danno immateriale è la presenza di una conseguenza o di un effetto della violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa».

Sono  state depositate le conclusion 06.10.2022 dell’AG Sanchez-Bordona :

«L’articolo 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:

ai fini del riconoscimento di un risarcimento per danni subiti da una persona in conseguenza di una violazione del menzionato regolamento non è sufficiente, di per sé, la mera violazione della norma, se essa non è accompagnata dal relativo danno, materiale o immateriale [ovvio, dato il tenore della disposizione].

Il risarcimento del danno immateriale disciplinato dal regolamento 2016/679 non si estende alla mera irritazione che l’interessato possa provare a causa della violazione delle disposizioni del regolamento 2016/679 [ancora abbastanza ovvio, pur se un pò meno]. Spetta ai giudici nazionali stabilire quando, a motivo delle sue caratteristiche, la sensazione soggettiva di malessere possa essere considerata, in ciascun caso, un danno immateriale [punto importante, ma incerto: non ci sarà così una frantumazione nazionale della relativa regola, dubbio che si pone peraltro per quasi tutto il diritto armonizzato UE in relazione ai rimedi per la sua  violazione?]: ».


Dichiarazioni personali dei dirigenti pubblici e tutela della privacy ex art. 6.1.e ed ex art. 9.1 GDPR

Se ne occupa Corte di Giustizia 01.08.2022, C-184/20.

In Lituania i dirigenti di enti pubblici, o  pubblicamente finanziati, devono presentare all’assunzione una dichiarazione di interessi privati, con questo contenuto:

  L’articolo 6 della legge succitata, intitolato «Contenuto della dichiarazione», così recita:

«1.      Il dichiarante indica nella sua dichiarazione le seguenti informazioni relative a sé stesso, al proprio coniuge, convivente o partner:

1)      nome, cognome, numero identificativo personale, numero di previdenza sociale, datore/i di lavoro e mansioni;

2)      persona giuridica di cui il dichiarante o il coniuge, convivente o partner riveste la qualità di associato o di socio;

3)      attività indipendente, come definita nella legge della Repubblica di Lituania sull’imposta sui redditi;

4)      appartenenza a imprese, enti, associazioni o fondi e funzioni ivi esercitate, fatta eccezione per l’appartenenza a partiti politici e a sindacati;

5)      doni (diversi da quelli di parenti) ricevuti nel corso degli ultimi dodici mesi civili, se il loro valore supera EUR 150;

6)      informazioni sulle operazioni concluse nel corso degli ultimi dodici mesi civili e sulle altre operazioni in corso, se il valore dell’operazione è superiore a EUR 3 000;

7)      parenti o altre persone o dati noti al dichiarante idonei a far insorgere un conflitto d’interessi.

2.      Il dichiarante può omettere i dati relativi al coniuge, convivente o partner se vivono separati, non formano un nucleo familiare comune ed egli non dispone pertanto di tali dati» (§ 29)-

Dichiarazione che viene resa poi pubblica in rete (§ 30).

Il giudice a quo chiede se ciò contrasti con le disposizioni in oggetto.

Riposta della CG:

<< 1) L’articolo 7, lettera c), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 6, paragrafo 1, primo comma, lettera c), e paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letti alla luce degli articoli 7, 8 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, devono essere interpretati nel senso che ostano a una normativa nazionale che prevede la pubblicazione in rete della dichiarazione di interessi privati che qualsiasi direttore di un ente percettore di fondi pubblici è tenuto a presentare, in quanto, in particolare, tale pubblicazione riguardi dati nominativi, relativi al coniuge, convivente o partner nonché ai parenti o conoscenti del dichiarante che possono dar luogo a un conflitto di interessi, nonché qualsiasi operazione conclusa nel corso degli ultimi dodici mesi il cui valore ecceda EUR 3 000.

2)      L’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che la pubblicazione, sul sito Internet dell’autorità pubblica incaricata di raccogliere le dichiarazioni di interessi privati e di controllarne il contenuto, di dati personali idonei a divulgare indirettamente l’orientamento sessuale di una persona fisica costituisce un trattamento di categorie particolari di dati personali, ai sensi di tali disposizioni>>.

Copyright, fair use, diritto di parola e diritto vs. la piattaforma di conoscere il soggetto che diffonde anonimamente post satirici

Chi carica post vagamente satirici con fotografie ritraenti un private-equity billionaire in comapgian di ragazze, compie delle stesse un fair use, quindi non rientrante nel copyright sulle foto stesse.

Ne segue che il diritto di far cadere l’anonimato non gli spetta,   perchè <<has not made out a prima facie case of copyright infringement>>, secondo l’interprteazione del § 512.h DMCA “Subpoena To Identify Infringer”.

E’ del resto chiaro che i sei tweet satirici ACCOMPAFGNATORI DELLE FOto,  erano espressione del diritto di parola/critica: << The six tweets flagged by Bayside are best interpreted as vaguely satirical commentary criticizing the opulent lifestyle of wealthy investors generally (and Brian Sheth, specifically). For example, one tweet reads: “Good morning from Mrs. Brian Sheth #2. Life is good when you’re a 44-year old private equity billionaire.” The tweet accuses Brian Sheth of having a mistress and links his infidelity to the broader class of “private equity billionaires,” suggesting that wealth (or working in private equity) corrupts. Unmasking MoneyBags thus risks exposing him to “economic or official retaliation” by Sheth or his associates. McIntyre v. Ohio Elections Commission, 514 U.S. 334, 341–42 (1995). And MoneyBags’s interest in anonymity is heightened further by his other tweets, which discuss issues of political importance such as sexual harassment, tax enforcement, and corporate regulations>> (Brian Seth è il milionario e Bayside il soggetto reclamante diritto di autore sulle foto, forse ricollegabile allo stesso Seth).

Così il distretto nord della California 21 giugno 2022, Case 4:20-mc-80214-VC , IN RE DMCA § 512(H) SUBPOENA TO TWITTER, INC., di cui dà notizia www.eef.org in un’inteessante fattispecie all’intersezione tra copyright , privacy e diritto di parola.

Brevissime della Cassazione sulla responsabilità del motore di ricerca in caso di diritto all’oblio

Cass. 08.06.2022 n.18.430, rel. Nazzicone, decidendo sull’impugnazione proposta contro Tribunale Milano 24.01.2020 n. 4911/2020 – RG 12.255/2018, affronta un paio di questioni interessanti (la seconda , però, senza particolari approfondimenti):

1) il contenuto dell’inibitoria portante un ordine di deindicizzazione: se debba contenere l’elenco preciso delle URL da bloccare, magari in dispositivo, o se possa rimnviare alla motiviazine o addirittura ad atti processuali di parte;

2) la qualificazine giuridica del motore di ricerca ai sensi della triplice tassopnomia posta dal d. lgs. 70/2003, artt. 14-16.

Sul secondo punto la SC corregge la motivazione del Tribunale ex art. 384.4. cpc, nel senso di affermare la disciplina citata e confermare ai sensi di tale disciplina l’inibitoria (anzichè ai sensi del 2043 cc, come aveva fatto il Tribunale): <<Nella specie, rileva già la prima delle fattispecie di responsabilità [art. 16 lett. a], la quale collega il sorgere dell’obbligazione risarcitoria al fatto della conoscenza, da parte del prestatore del servizio, circa la illiceità dell’informazione, in particolare connotata dall’essere essa manifesta nelle azioni di risarcimento del danno: onde la comunicazione – dalla impugnata decisione reputata accertata in punto di fatto – della diffida a cessare l’attività illecita, eseguita dal P. nel (OMISSIS), in una con la sentenza penale de qua, era certamente idonea ad integrare la fattispecie sub a).
Ne deriva che, corretta la motivazione quanto all’inapplicabilità, erroneamente ritenuta, del regime della direttiva e del Decreto Legislativo nazionale, il motivo va sul punto disatteso, essendo il decisum conforme a diritto
>>

Sul primo punto, più interessante, la SC ammette la integrabilità della sentenza ai fini della sua esecuzione ma non solo :

<< 4.4. – Peraltro, a fronte dei limiti alla rilevanza dei vizi della motivazione, che il sistema positivo (cfr. art. 111 Cost., comma 7, artt. 132 e 360 c.p.c., art. 118 att. c.p.c.) considera solo laddove conducano alla motivazione assente o equiparata (apparente, insanabilmente contraddittoria), non può che aderirsi alla tesi acquisita della possibilità di una integrazione extratestuale della decisione giudiziale, ove condotta mediante gli elementi in essa comunque considerati e delibati, nonché reperibili agevolmente dalle parti del giudizio; pur consapevoli che de’tta facilità cognitiva è del tutto assente per coloro che al giudizio siano estranei (come pure alla Cassazione, che ha limitata conoscenza degli atti per i soli vizi processuali ed ex art. 369 c.p.c., comma 2, n. 4) e per i consociati in generale.      

E’ vero, dunque, che la tecnica redazionale della motivazione della sentenza impugnata è sul punto imprecisa, non corrispondendo alla migliore possibile ed ai precetti di massima chiarezza e completezza, che (insieme a quello della coerenza) debbono connotare la decisione giudiziale. Tuttavia, essa non si pone al di sotto del livello minimo costituzionale, ai sensi dell’art. 111 Cost. e art. 132 c.p.c.: con il conseguente rigetto del motivo.      

Va, infine, ricordato il principio, affermato da questa Corte, secondo cui la domanda di deindicizzazione, ai fini della sua determinatezza, deve contenere la precisa individuazione dei risultati che l’attore intende rimuovere e, quindi, normalmente, l’indicazione degli indirizzi telematici (o url) dei contenuti rilevanti: sebbene una puntuale rappresentazione delle singole informazioni associate alle parole chiave può rivelarsi, secondo le circostanze, idonea a dare comunque contezza della cosa oggetto della domanda (cfr. Cass. 21 luglio 2021, n. 20861). >>

L’affermazione lascia perplessi nel caso specifico, dato che nella sentenza impugnata non c’è alcun preciso elencc di URL ma solamente nelle note difensive dell’allora ricorrente, richiamate direttamente dal Tribunale in motivazione ma non (o meglio, forse, solo indirettamente) in dispositivo (che suonava così: < – accertato l’illecito trattamento dei dati personali di Pezzano Adriano dispone che Google LLC provveda alla deindicizzazione delle URL meglio elencate in motivazione rispetto alla ricerca con le chiavi contenenti il nominativo del ricorrente “Pezzano Adriano” ed alla cancellazione delle tracce digitali di tale ricerca; >)

LA SENTENZA DEL TRIBUNALE  –   Sarebbe interessante esaminare il dettagliato iter motivatorio del Tribunale. Qui ricordo solo il passaggio per cui Google non ricadrebbe nell’ambito del d. lgs. 70-2003:

<< Tanto puntualizzato, corre l’obbligo di affermare che non appaiono pertinenti le sentenze di merito e di legittimità allegate da parte resistente, afferendo fattispecie in cui l’estraneità di Google era determinata ai sensi della normativa sull’ e-commerce in relazione a fattispecie del tutto differenti, attenendo alla violazione del diritto d’autore, del diritto della concorrenza o a fattispecie relative a rapporti tra soggettititolari dei contenuti immessi ed il motore di ricerca.

Ritiene il Tribunale che la presente vicenda non possa trovare regolazione dalla normativa contenutanel D. Lgs. n.70/03, che inerisce esclusivamente l’attività di memorizzazione di informazionicommerciali fornite da altri.

Oggetto del presente ricorso, invero, non è l’attività di host provider di Google in relazione allaformazione dei contenuti delle singole pagine web sorgente, ma la condotta posta in essere dal motore di ricerca in qualità di titolare del trattamento dei dati sottesa all’evocazione attraverso la semplice digitazione del nome e cognome dell’interessato di tutti i siti in cui viene in risalto ilpreteso ruolo criminale del ricorrente attraverso un software messo a punto da Google e di cuiquest’ultima si avvale per facilitare la ricerca degli utenti attraverso il suo motore di ricerca.

Sintetizzando, si può rilevare come attraverso tale servizio, nel momento in cui l’utente inizia adigitare le prime lettere/parole nella stringa di ricerca, il completamento automatico della ricerca impostata dall’utente (e rappresentata dalla lista delle URL) viene compiuto dal software che in automatico raccoglie ed aggrega le informazioni già pubblicate da terzi sul web, applicando unalgoritmo matematico che visualizza parole già immesse più volte in un arco temporale determinato(appunto dal sistema software del motore generalista) da altri utenti nella stringa di ricerca di Google,rendendo la visualizzazione delle informazioni già presenti sul web secondo un ranking che è ilrisultato delle ricerche più frequenti e quindi più “popolari” effettuate in precedenza dagli utenti.

A ciò si aggiunga che oltre alle funzionalità di ricerca ed aggregazione descritte, solitamente si apre unmenù “a tendina” ove appare una lista di termini di ricerca suscettibili di completare la/le parole chiaveche in quel momento l’utente sta digitando, suggerimenti di ricerca connessi alle parole chiave digitatedall’utente, che gli consentono di leggere diverse proposte di ricerca fornite in automatico dal servizio. Simile argomento, pur non strettamente conferente al caso in esame, conferma vieppiù la natura dibanca dati della convenuta. Il servizio approntato dalla resistente offre dunque all’utente una modalità che consente disvolgere la ricerca dei dati in maniera più agevole e rapida e, soprattutto, ed è ciò chemaggiormente rileva, con accesso in tempo reale ad una massa potenzialmente sterminata di datipresenti in rete (con estensione mondiale), offerti in visione in maniera aggregata ed organizzatasecondo parametri scelti da Google e noti solo ad essa.

Se -come è pacifico- l’associazione tra il nome del ricorrente e i siti in cui lo stesso è definito mafioso è opera del software messo a punto appositamente e adottato da Google per ottimizzare l’accesso alla sua banca dati operando con le modalità ora descritte e volutamente individuate e prescelte per consentirnel’operatività allo scopo voluto (quello appunto di agevolare l’utilizzo del motore di ricerca Google), non può che conseguirne la diretta addebitabilità alla società, a titolo di responsabilità extracontrattuale,degli eventuali effetti negativi che l’applicazione di tale sistema per il trattamento dei datidell’interessato può determinare.

E’ dunque inconferente l’obiezione mossa dalla società che sostiene di non essere un content provider,di non avere alcun ruolo rispetto al trattamento dei dati presenti sulle pagine dei siti internet gestiti e proprietà di terzi: l’abbinamento soggetto-siti è frutto di una “scelta” del motore di ricerca o dei suoi gestori, peraltro ben più complessa della semplice rappresentazione di quello che soggetti terzi -gliutenti di internet che accedono al motore di ricerca- hanno ricercato con maggiore frequenza di recente.Occorre ribadire che l’abbinamento dei siti al nome del ricorrente è frutto del sistema adottato da Google per scandagliare il web, copiare e immagazzinare i contenuti pubblicati dai sitisorgente, aggiornandoli, organizzare il materiale secondo chiavi di lettura in modo da renderefruibile “worldwide” in tempo reale i contenuti relativi ad un soggetto, ad una data vicenda o adargomento assegnati dall’utente nella stringa di ricerca; condotta da intendersi, dunque, comeprodotto di un’attività direttamente ed esclusivamente riconducibile, come tale, alla resistente.

Ed è proprio questo il meccanismo di operatività del software messo a punto da Google che determinail risultato rappresentato dai possibili percorsi di ricerca, rendendo disponibili informazioniaggregate in grado di fornire agli utenti una profilazione dell’intera storia personaledell’interessato e che appaiono all’utente che inizia la ricerca digitando le parole chiave anche inrelazione a settori potenzialmente differenti od estranei a quello oggetto della ricerca.Soprattutto, la capillarità della raccolta, la capacità di padroneggiare un numero potenzialmenteillimitato di dati e notizie, la diffusività della propagazione del dato e delle notizie ad essocorrelate costituiscono il valore aggiunto, autonomo da quello offerto dai siti sorgente, operato dal motore generale di ricerca.

Priva di pregio appare l’allegazione offerta dalla convenuta fondata sull’impossibilità, in tesi, didefinire l’attività svolta quale trattamento dei dati per la “temporaneità” della loro presenza nella webfarm da essa gestita>>

Onere della prova nella richiesta (stragiudiziale) di deindicizzazione e necessità o meno di tener conto del contesto circa la riproduzione di fotografie miniaturizzate: due questioni importanti sul diritto all’oblio

Due questioni importanti sono affrontate dall’avvocato generale Pitruzzella nelle Conclusioni 07.04.2022, causa C-460/20:

1° se e quale prova debba dare al motore di ricerca chi domanda la deindicizzazione, basandosi sulla pretesa falsità delle notizie divulgate dal sito terzo di cui si chiede la deindizzazione stessa;

2° se il motore di ricerca debba tener conto o meno del contesto in cui sono pubblicate le fotografie, di cui si chiede la cessazione dell’abbinameno ad una ricerca per nome (e che son visualizzate nell’elenco risultati come miniature/thumbnails).

Importanti sia in teoria che in pratica, affrontate con buona analisi dall’AG.

Circa 1, la risposta è che l’istante deve dare un minimo di prova al motore di ricerca: <<44.      Un privato ha, in base al RGPD, il diritto di chiedere la deindicizzazione di una pagina web contenete dati che lo riguardano e che egli considera non veritieri. L’esercizio di tale diritto comporta tuttavia, a mio avviso, l’onere di indicare gli elementi su cui si basa la richiesta e di fornire un principio di prova della falsità dei contenuti di cui si richiede la deindicizzazione, ove ciò non risulti, in particolare in relazione alla natura delle informazioni di cui trattasi, manifestamente impossibile o eccessivamente difficile (41). L’imposizione di un tale onere appare coerente con la lettera e all’economia del RGPD, in cui i diversi diritti di rettifica, cancellazione, limitazione del trattamento e opposizione, riconosciuti all’interessato sono sottoposti a condizioni specifiche e spetta a chi intende avvalersene allegare l’esistenza delle relative condizioni.

45.      A fronte di una tale richiesta di deindicizzazione, il gestore del motore di ricerca, in virtù del ruolo che svolge nella diffusione dell’informazione e delle responsabilità che ne derivano, è tenuto a effettuare le verifiche dirette a confermare o meno la fondatezza della domanda e che rientrano nelle sue concrete possibilità. Tali verifiche potranno effettuarsi sui dati che ospita e che si riferiscono alla persona in questione e all’editore della pagina web ove è pubblicato il contenuto contestato, dati che il gestore del motore di ricerca può analizzare rapidamente ricorrendo agli strumenti tecnologici di cui dispone. Inoltre, purché possibile, il gestore del motore di ricerca dovrà attivare rapidamente un contraddittorio con l’editore web che ha diffuso inizialmente l’informazione, che sarà in tal modo messo nella condizione di esporre le ragioni a sostegno della veridicità dei dati personali trattati e della liceità del trattamento. Infine, il gestore del motore di ricerca dovrà decidere sull’accoglimento o meno della domanda di deindicizzazione, dando conto succintamente delle ragioni della decisione.

46.      Solo nel caso in cui permangano dubbi consistenti sulla veridicità o falsità delle informazioni in questione o qualora il peso delle informazioni false nel contesto della pubblicazione di si tratta è manifestamente poco rilevante e tali informazioni non hanno un carattere sensibile, il gestore del motore di ricerca potrà rigettare la domanda. La persona interessata potrà allora rivolgersi all’autorità giudiziaria, che ha il potere di fare le verifiche del caso, o all’autorità di controllo di cui all’articolo 51 del RGPD, nel quadro di un reclamo contro la decisione del gestore del motore di ricerca.

47.      Se il contenuto riguarda una persona che ha un ruolo pubblico, secondo l’accezione precedentemente indicata, poiché il diritto all’informazione ha, in linea di principio, un peso maggiore di quelli enunciati agli articoli 7 e 8 della Carta, la scelta di deindicizzare dovrà fondarsi su dei riscontri particolarmente pregnanti circa la falsità delle informazioni. In casi del genere, ove residui un ragionevole dubbio sulla veridicità o falsità dell’informazione, la deindicizzazione dovrà, a mio avviso, escludersi. In ogni caso, a maggior ragione quando il contenuto controverso riguarda una persona in virtù del ruolo che essa riveste nella vita pubblica, non potrà accordarsi la deindicizzazione ove si esprimano solo opinioni, sia pure fortemente critiche e anche dai toni molto vivaci e irriverenti, o si tratti di satira (42). La rettifica dei dati non veritieri riguarda, infatti, informazioni sui dati e non opinioni, che contribuiscono comunque allo sviluppo del dibattito pubblico in una società democratica, purché non scivolino nella diffamazione. È chiaro, invece, che, anche in caso di iniziale rigetto della domanda, il gestore del motore di ricerca sarà tenuto a procedere alla deindicizzazione ove la falsità dell’informazione sia ulteriormente accertata giudizialmente.

48.      Infine, qualora le circostanze del caso lo consiglino al fine di evitare un pregiudizio irreparabile per la persona interessata, il gestore del motore di ricerca potrà procedere ad una sospensione temporanea dell’indicizzazione (43), oppure all’indicazione, nei risultati della ricerca, che la veridicità di talune delle informazioni che figurano nel contenuto cui rinvia il link in questione è contestata (44), fermo restando, comunque, il diritto, in primis, dell’editore web di contestare una tale iniziativa dinanzi all’autorità giudiziaria>>.

Circa la questione 2, la risposta è negativa: non si tiene conto del contesto. In particolare: <<56.      Risulta, a mio avviso, da quanto precede che, nel quadro del bilanciamento tra diritti fondamentali confliggenti da condurre in base alle pertinenti disposizioni della direttiva 95/46 e del RGPD ai fini dell’esame di una domanda di rimozione di fotografie che raffigurano una persona fisica dai risultati di una ricerca per immagini effettuata a partire dal nome di tale persona, si deve tener conto unicamente del valore informativo delle fotografie in quanto tali, indipendentemente dal contenuto nel quale queste ultime sono inserite nella pagina web da cui sono tratte. Viceversa, nel caso in cui fosse contestata, nel quadro di una domanda di deindicizzazione del link che rinvia a una pagina web, la visualizzazione di fotografie nel contesto del contenuto di tale pagina, sarebbe il valore informativo che tali fotografie rivestono nell’ambito di tale contesto a dover essere preso in considerazione ai fini di tale bilanciamento>>.

Attività giurisdizionale e trattamento dati (art. 55 par. 3 GDPR) : arrivata la decisione della Corte di Giustizia

Viste le conclusioni dell’avvocato generale , arriva ora la setnenza della Corte di Giustizia sul se l’accesso dei giornalisti al fascicolo processuale sia escluso dalla data protecion cop,mune ex art. 55/3 GDPR.

Si tratt di Corte di Giustizia 24.03.2022, C‑245/20 .

E la decisione è nel senso già sugerito dal’lAG:

<<L’articolo 55, paragrafo 3, del regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che il fatto che un organo giurisdizionale metta temporaneamente a disposizione dei giornalisti documenti di un procedimento giurisdizionale, contenenti dati personali, al fine di consentire loro di riferire in modo più completo sullo svolgimento di tale procedimento rientra nell’esercizio, da parte di tale organo giurisdizionale, delle sue «funzioni giurisdizionali», ai sensi di tale disposizione.>>

La legittimazione ex art. 2 terdecies cod. priv. ad accedere all’account del familiare deceduto prevale su eventuali patti contrari

Trib. Roma, 8 sez. civ., ord. caut. 10.02.2022, rep. 2688/2022 , RG 63936/2021, rel. Luparelli, decide sulla domanda cautelare avanzata dalla moglie di un titolare di iPhone (XR 218 GB) di relativo account, tragicamente deceduto qualche mese prima.

La domadna mirava ad avere l’accesso all’account per recupare i materiali (spt. fotografici) ivi archiviati, quale testimoinianza e memoria del congiunto.

Quattro  i punti più significativi.

1) La cautela è concessa ex art  700 CPC , a protezione del diritto (nel merito) previsto dal cit. art. 2 terdecies cod. priv.

2) Il giudice ricorda che il cod. priv. noin chiarisce se tale disposizione presupponga nell’istante un diritto iure proprio (come parrebbe) oppure iure successionis. In ogni caso egli implicitametne accoglie la prima tesi, dato che accoglie la domadna cautelare, la quale a sua vola era basata sul diritto proprio di accesso e non per acquisto mortis causa.

3) la tutela della memoria del defunto costituisce <ragione familiare meritevole di protezione> ex art. 2 terdecies c. 1 c. priv. [difficilmente contestabile]

4) soprattutto, l’accettazione delle clausole gernali imposte da Apple, che dispongano l’estinzione di ogni diritto dell’utente in occasione del decesso (sic !!), non costitusicono quella <volontà> del titolare di vietare l’accesso a terzi, di cui ai commi 2 e 3 della citata disposizione. Quindi non sono di ostacolo all’accoglimento della domanda cautelare.

Non pertinente ci pare il riferimento del giudice romano all’art. 6.f reg. 696/2016 GDPR  sul legittimo interesse.

Interessante sarebbe approfondire la valutazione giuridica del patto in sè (quindi a prescidere dal cod. priv.) di estinzione di ogni diritto dell’utente in caso di suo decesso (che sembra fosse presente nella condizioni imposta da Apple): il che significa pattuire la non succedibilità mortis causa in tali diritti, e cioè l’apposizone di termine finale coincidente con la morte.

Il diritto all’oblio comporta la deindicizzazione completa cioè anche della copia cache?

Cass. 3952 del 08.02.2022, rel. Falabella, decide il punto in oggetto (v. il testo, purtroppo in formato pdf che parrebbe fotografico e non copiabile ).

A parte ragionamenti sulla giurisdizione, importanti per l’operatore, il cuore della sentenza (emssa a seguito di ricorso ex 152 c. priv.) sta nella distinzione tra deindicizzazione dai motori di ricerca stricto sensu e cancellazione pure della copia cache della pagine web richieste/proposte.

Dice (spt. § 3.7) che si tratta di due aspetti diversi per i quali operano due bilanciamenti diversi tra il diritto di informare e quello all’oblio, p. 23: distinzione assente , si badi, nell’art. 17 GDPR. Non avendo il Trib. a quo dimenticato tale distinzione, rinvia al medesimo in altra sezione.

Affermazione che tiene in tanto in quanto sia vero la cache è richiamata/proposta a seguito di interrogazioni con modalità diverse da quelle che che ottengono/generano le pagine originali: cosa che allo stato non parrebbe e comunque che andrebbe approfondita.

Altro punto interessante è la (innegabile) distinzione tra deindicizzazione e cancellazione della notizia anche dalla pagina web originale: solo che la permanenza su questa ultima, senza la prima (deindicizzazione), di fatto è vanificata,  dato che sarà reperibile solo da quei pochissimi che sanno ivi trovarsi la notizia.