di Elena Bassoli
Corte di Giustizia Europea – Sentenza del 24 settembre 2019 – Causa C 507/17
Il gestore di un motore di ricerca, nel dare seguito a una richiesta di cancellazione, non è tenuto ad eseguire tale operazione su tutti i nomi di dominio del suo motore, talché i link controversi non appaiano più indipendentemente dal luogo dal quale viene effettuata la ricerca avviata sul nome del richiedente. Il gestore di un motore di ricerca è tenuto a sopprimere i link controversi che appaiono in esito a una ricerca effettuata, a partire dal nome del richiedente, da un luogo situato all’interno dell’Unione europea. In tale contesto, detto gestore è tenuto ad adottare tutte le misure a sua disposizione per garantire una cancellazione efficace e completa. Ciò include, in particolare, la tecnica detta del «blocco geografico» da un indirizzo IP che si ritiene localizzato in uno degli Stati membri assoggettato alla direttiva 95/46, e ciò indipendentemente dal nome di dominio utilizzato dall’utente di Internet che effettua la ricerca.
La sentenza emessa il 24 settembre 2019 dalla Corte di Giustizia europea nella Causa C 507/17 affronta gli obblighi territoriali del motore di ricerca in caso di richiesta di cancellazione di link da parte di soggetti interessati, affermando che il gestore del motore di ricerca non è tenuto ad eseguire tale operazione su tutti i nomi a dominio del suo motore urbi et orbi, talché i link controversi non appaiano più indipendentemente dal luogo dal quale viene effettuata la ricerca avviata sul nome del richiedente, bensì egli è tenuto a sopprimere i link controversi che appaiono in esito a una ricerca effettuata, a partire dal nome del richiedente, da un luogo situato all’interno dell’Unione europea.
In particolare la pronuncia parte da una puntuale disamina della disciplina applicabile, analizzando prima l’abrogata Dir. 95/46 sulla tutela dei dati personali in base al principio tempus regit actum, e poi il vigente Reg. EU/2016/679, non senza essersi soffermata sulla legge francese di tutela dei dati personali, Loi n. 17 del 1978.
La questione viene sollevata pregiudizialmente nell’ambito di una controversia che vede contrapposti la CNIL, l’Autorità di controllo per la tutela dei dati personali francese, e Google Inc (ora Google LLC) in ordine al diritto di una persona fisica di ottenere la soppressione di taluni link. La CNIL intimava a Google di procedere alla cancellazione richiesta su tutte le estensioni del nome di dominio del suo motore di ricerca, ma Google si rifiutava di dar seguito a detta diffida, limitandosi a sopprimere i link dai soli risultati visualizzati in esito a ricerche effettuate sulle declinazioni del suo motore il cui nome di dominio corrisponde a uno Stato membro.
La CNIL reputava insufficiente la proposta complementare di un cosiddetto «blocco geografico», formulata da Google dopo la scadenza del termine fissato nella diffida, consistente nel sopprimere la possibilità di accedere, da un indirizzo IP (Internet Protocol) che si considera localizzato nello Stato di residenza dell’interessato, ai risultati controversi in esito ad una ricerca effettuata a partire dal nome di quest’ultimo, e ciò indipendentemente dalla declinazione del motore di ricerca richiesta dall’utente di Internet.
Dopo aver preso atto del fatto che Google non si era conformata alla diffida entro il termine impartito, con deliberazione del 10 marzo 2016, la CNIL infliggeva a detta società una sanzione, resa pubblica, di € 100 000.
Con ricorso proposto dinanzi al Conseil d’État (Consiglio di Stato), Google chiedeva l’annullamento di detta deliberazione, e il Consiglio di Stato osservava che il motore di ricerca gestito da Google si declina in nomi di dominio diversi attraverso estensioni geografiche, al fine di adattare i risultati visualizzati alle specificità, in particolare linguistiche, dei diversi paesi in cui tale società svolge la propria attività.
Così, quando la ricerca è effettuata a partire da «google.com», Google procederebbe, in linea di principio, a un reindirizzamento automatico della suddetta ricerca verso il nome di dominio corrispondente allo Stato a partire dal quale si ritiene, in base all’identificazione dell’indirizzo IP dell’utente Internet, che sia stata effettuata la ricerca. Tuttavia, a prescindere dalla sua localizzazione, l’utente di Internet rimane libero di effettuare le proprie ricerche sugli altri nomi di dominio del motore di ricerca. Peraltro, anche se i risultati possono differire a seconda del nome a dominio a partire dal quale viene effettuata la ricerca sul motore in questione, sarebbe pacifico che i link visualizzati in risposta a una ricerca provengono da banche dati e da operazioni di indicizzazione comuni.
Sebbene alla data di presentazione della domanda di pronuncia pregiudiziale fosse vigente la direttiva 95/46, essa è stata abrogata con effetto dal 25 maggio 2018, data a partire dalla quale è applicabile il regolamento 2016/679.
La Corte quindi passa ad esaminare le questioni sollevate tanto alla luce di tale direttiva quanto del suddetto regolamento per garantire che le sue risposte siano, in ogni caso, utili al giudice del rinvio.
Nel corso del procedimento dinanzi alla Corte, Google ha dichiarato che, successivamente al rinvio pregiudiziale, ha introdotto una nuova presentazione delle versioni nazionali del suo motore di ricerca, nell’ambito della quale il nome di dominio introdotto dall’utente di Internet non determinerebbe più la versione nazionale del motore di ricerca a cui questi ha accesso. In tal modo, l’utente di Internet sarebbe oramai automaticamente diretto verso la versione nazionale del motore di ricerca Google che corrisponde al luogo a partire dal quale si presume questi stia effettuando la ricerca e i risultati della ricerca sarebbero visualizzati in funzione di tale luogo, il quale sarebbe determinato da Google grazie ad un processo di geolocalizzazione.
Dall’articolo 4, paragrafo 1, lettera a) della direttiva 95/46 e dall’articolo 3, paragrafo 1, del regolamento 2016/679, risulta che tanto la direttiva quanto il regolamento summenzionati consentono agli interessati di far valere il loro diritto alla deindicizzazione nei confronti del gestore di un motore di ricerca che ha uno o più stabilimenti nel territorio dell’Unione, nell’ambito delle attività dei quali effettua un trattamento di dati personali che riguardano tali interessati, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
A tal riguardo, la Corte ha affermato che un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una controllata destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro (sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 60).
Infatti, in circostanze del genere, le attività del gestore del motore di ricerca e quelle del suo stabilimento situato nell’Unione sono inscindibilmente connesse, dal momento che le attività relative agli spazi pubblicitari costituiscono il mezzo per rendere il motore di ricerca in questione economicamente redditizio e che tale motore è, al tempo stesso, lo strumento che consente lo svolgimento di dette attività, poiché la visualizzazione dell’elenco dei risultati è accompagnata, sulla stessa pagina, da quella di pubblicità correlate ai termini di ricerca (v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punti 56 e 57).
Pertanto, il fatto che il suddetto motore di ricerca sia gestito da un’impresa di uno Stato terzo non può avere come conseguenza che il trattamento di dati personali effettuato per le esigenze del funzionamento del motore di ricerca stesso, nel contesto dell’attività pubblicitaria e commerciale di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, venga sottratto agli obblighi e alle garanzie previsti dalla direttiva 95/46 e dal regolamento 2016/679 (v. in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 58).
Nel caso di specie, dalle informazioni fornite nella decisione di rinvio risulta, da un lato, che lo stabilimento di cui dispone Google nel territorio francese svolge attività, in particolare attività commerciali e pubblicitarie, che sono inscindibilmente connesse al trattamento di dati personali effettuato per le esigenze del funzionamento del motore di ricerca in questione e, dall’altro, che il suddetto motore di ricerca deve essere considerato – tenuto conto, in particolare, dell’esistenza di applicazioni-ponte (gateway) tra le sue diverse versioni nazionali – un soggetto che procede ad un unico trattamento di dati personali.
Il giudice del rinvio ritiene che, in tali circostanze, il suddetto trattamento sia effettuato nel contesto dello stabilimento di Google situato in territorio francese. Appare quindi che tale situazione rientri nell’ambito di applicazione territoriale della direttiva 95/46 e del regolamento 2016/679.
Al riguardo la sentenza tenta di sciogliere il nodo relativo alla determinazione della portata territoriale che occorre attribuire a una deindicizzazione in una siffatta situazione, posto che una deindicizzazione effettuata su tutte le versioni di un motore di ricerca risulterebbe senz’altro idonea a soddisfare pienamente tale obiettivo.
In un mondo globalizzato l’accesso da parte degli utenti di Internet, in particolare quelli localizzati al di fuori dell’Unione, all’indicizzazione di un link, che rinvia a informazioni concernenti una persona il cui centro di interessi si trova nell’Unione, può quindi produrre effetti immediati e sostanziali sulla persona in questione anche all’interno dell’Unione.
Tali considerazioni sono atte a giustificare l’esistenza di una competenza del legislatore dell’Unione a prevedere un obbligo, per il gestore di un motore di ricerca, di procedere, quando accoglie una richiesta di deindicizzazione formulata da una persona fisica, alla deindicizzazione su tutte le versioni del suo motore di ricerca.
Occorre, tuttavia, sottolineare che molti Stati terzi non riconoscono il diritto alla deindicizzazione o comunque adottano un approccio diverso per tale diritto e dal tenore letterale delle disposizioni dell’articolo 12, lettera b), e dell’articolo 14, primo comma, lettera a), della direttiva 95/46 o dell’articolo 17 del regolamento 2016/679 non risulta affatto che il legislatore dell’Unione abbia scelto di attribuire ai diritti sanciti da tali disposizioni una portata che vada oltre il territorio degli Stati membri e che abbia inteso imporre a un operatore che, come Google, rientra nell’ambito di applicazione della direttiva o del regolamento suddetti, un obbligo di deindicizzazione riguardante anche le versioni nazionali del suo motore di ricerca che non corrispondono agli Stati membri.
Inoltre, mentre il regolamento 2016/679 fornisce, agli articoli 56 e da 60 a 66, alle autorità di controllo degli Stati membri gli strumenti e i meccanismi che consentono loro, se del caso, di cooperare per raggiungere una decisione comune basata su un bilanciamento tra, da un lato, il diritto alla tutela della vita privata dell’interessato e la protezione dei dati personali che lo riguardano e, dall’altro, l’interesse del pubblico di diversi Stati membri ad avere accesso alle informazioni, si deve necessariamente rilevare che il diritto dell’Unione non prevede attualmente strumenti e meccanismi di cooperazione siffatti per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione.
Ne consegue che, allo stato attuale, non sussiste, per il gestore di un motore di ricerca che accoglie una richiesta di deindicizzazione presentata dall’interessato, eventualmente, a seguito di un’ingiunzione di un’autorità di controllo o di un’autorità giudiziaria di uno Stato membro, un obbligo, derivante dal diritto dell’Unione, di effettuare tale deindicizzazione su tutte le versioni del suo motore.
Alla luce di tutte le suesposte considerazioni, il gestore di un motore di ricerca non può essere tenuto, ai sensi dell’articolo 12, lettera b) e dell’articolo 14, primo comma, lettera a), della direttiva 95/46 e dell’articolo 17, paragrafo 1, del regolamento 2016/679, a procedere ad una deindicizzazione in tutte le versioni del suo motore.
Per quanto riguarda la questione se una deindicizzazione del genere debba essere effettuata nelle versioni del motore di ricerca corrispondenti agli Stati membri o nella sola versione di tale motore corrispondente allo Stato membro di residenza del beneficiario della deindicizzazione, dal fatto, in particolare, che il legislatore dell’Unione ha ormai scelto di fissare le norme sulla protezione dei dati mediante un regolamento, direttamente applicabile in tutti gli Stati membri, e ciò, come sottolineato dal considerando 10 del regolamento 2016/679, al fine di assicurare un livello coerente ed elevato di protezione in tutta l’Unione e di rimuovere gli ostacoli alla circolazione dei dati all’interno della stessa risulta che si ritiene che la deindicizzazione in questione sia da effettuare, in linea di principio, per tutti gli Stati membri.
Dagli articoli 56 e 60 del regolamento 2016/679 risulta, in particolare, che, per i trattamenti transfrontalieri, ai sensi dell’articolo 4, punto 23, del suddetto regolamento, e fatto salvo l’articolo 56, paragrafo 2, le varie autorità di controllo nazionali considerate devono cooperare, secondo la procedura prevista da tali disposizioni, al fine di raggiungere un consenso e una decisione unica che vincoli tutte queste autorità, il cui rispetto deve essere garantito dal responsabile del trattamento per quanto riguarda le attività di trattamento effettuate nell’ambito di tutti i suoi stabilimenti nell’Unione.
Inoltre, l’articolo 61, paragrafo 1, del regolamento 2016/679 obbliga le autorità di controllo a scambiarsi, in particolare, le informazioni utili e a prestarsi l’assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente in tutta l’Unione e l’articolo 63 di tale regolamento prevede a tal fine il meccanismo di coerenza, di cui agli articoli 64 e 65 del medesimo regolamento. Infine, la procedura d’urgenza di cui all’articolo 66 del regolamento 2016/679 consente – in circostanze eccezionali, qualora un’autorità di controllo interessata ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati – di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi.
Tale quadro normativo fornisce pertanto alle autorità di controllo nazionali gli strumenti e i meccanismi necessari per conciliare i diritti alla tutela della vita privata e alla protezione dei dati personali dell’interessato con l’interesse di tutto il pubblico degli Stati membri all’accesso alle informazioni in questione e, quindi per adottare, se del caso, una decisione di deindicizzazione che riguardi tutte le ricerche effettuate in base al nome di tale persona a partire dal territorio dell’Unione.
È compito, inoltre, del gestore del motore di ricerca adottare, se necessario, misure sufficientemente efficaci per garantire una tutela effettiva dei diritti fondamentali della persona interessata. Tali misure devono soddisfare tutte le esigenze giuridiche e avere l’effetto di impedire agli utenti di Internet negli Stati membri di avere accesso ai link in questione a partire da una ricerca effettuata sulla base del nome di tale persona o, perlomeno, di scoraggiare seriamente tali utenti (v., per analogia, sentenze del 27 marzo 2014, VUPC Telekabel Wien, C‑314/12, EU:C:2014:192, punto 62 e del 15 settembre 2016, Mc Fadden, C‑484/14, EU:C:2016:689, punto 96).
Spetterà poi al giudice del rinvio verificare se, alla luce anche delle recenti modifiche apportate al suo motore di ricerca, le misure adottate o proposte da Google soddisfino tali esigenze.
Occorre infine sottolineare che il diritto dell’Unione, pur se non impone, allo stato attuale, che la deindicizzazione accolta verta su tutte le versioni del motore di ricerca in questione, neppure lo vieta. Pertanto, un’autorità di controllo o un’autorità giudiziaria di uno Stato membro resta competente ad effettuare, conformemente agli standard nazionali di protezione dei diritti fondamentali (v., in tal senso, sentenze del 26 febbraio 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punto 29, e del 26 febbraio 2013, Melloni, C‑399/11, EU:C:2013:107, punto 60), un bilanciamento tra, da un lato, il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e, dall’altro, il diritto alla libertà d’informazione e, al termine di tale bilanciamento, richiedere, se del caso, al gestore di tale motore di ricerca di effettuare una deindicizzazione su tutte le versioni di suddetto motore.
Alla luce di tutto quel che precede, la Corte risponde alle questioni poste dichiarando che l’articolo 12, lettera b), e l’articolo 14, primo comma, lettera a), della direttiva 95/46 e l’articolo 17, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione in applicazione delle suddette disposizioni, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti.©
Altri articoli di Elena Bassoli
Divieto di utilizzo fino al 2024 di sistemi di videosorveglianza con riconoscimento facciale di Elena Bassoli Legge 3 dicembre 2021, n. 205 Conversione in legge, con modificazioni, del decreto-legge 8 ottobre 2021, n. 139, recante disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali. Il nuovo testo prevede la sospensione, fino all’entrata in …
La proposta di Regolamento europeo in materia di Intelligenza Artificiale (IA) di Elena Bassoli (N. II_MMXXI)
Commissione Europea - Comunicazione del 21 aprile 2021. Di fronte al rapido sviluppo tecnologico dell'IA e a un contesto politico globale in cui sempre più paesi stanno investendo massicciamente nell'IA, l'Unione Europea intende agire per sfruttare le numerose opportunità e affrontare le relative sfide. Per promuovere lo sviluppo e affrontare i rischi potenziali elevati che comporta per la sicurezza e per i diritti fondamentali, la Commissione Europea ha presentato sia una proposta per un quadro normativo sia un piano coordinato rivisto sull'IA.
Captatore informatico: è utilizzabile la registrazione avvenuta all’estero di Elena Bassoli (N. IV_MMXX)
Corte di Cassazione, Sezione II Penale, sentenza n. 29362 del 22 luglio 2020 e pubblicato il 22 ottobre 2020. La difesa eccepisce che le conversazioni ambientali acquisite sarebbero inutilizzabili in quanto la relativa captazione è stata resa possibile tramite rete wi-fi estera (sita in Canada), rilevando che atteso che le conversazioni in questione (estero su estero) non transitavano attraverso nodi telefonici italiani ma si svolgevano esclusivamente tramite ponte telefonico canadese, la mancanza di rogatoria aveva determinato l’inutilizzabilità dei risultati dell’attività d’indagine per violazione dell’art. 729 cod. proc. pen. I giudici della Corte hanno invece rilevato che la registrazione della conversazioni tramite wi-fi sito in Canada abbia costituito una fase intermedia di una più ampia attività di captazione iniziata nella sua fase iniziale e conclusiva sul territorio italiano.
Inapplicabilità del Privacy Shield nei trasferimenti dei dati verso gli USA di Elena Bassoli (N. III_MMXX)
Nella sentenza C-311/18 - Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems, la Corte di giustizia dell’Unione europea ha esaminato la validità della decisione n. 2010/87/CE della Commissione europea sulle CCS (“Clausole contrattuali tipo”) e ne ha ritenuto la validità. La validità di tale decisione discende dalla palmare constatazione che le clausole tipo di protezione dei dati non sono vincolanti per le autorità del Paese terzo verso il quale i dati possono essere trasferiti, avendo esse natura contrattuale. Tale validità, ha aggiunto la Corte, dipende dall’esistenza all’interno della decisione 2010/87/CE di meccanismi efficaci che consentano, in pratica, di garantire il rispetto di un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR all’interno dell’Unione europea, e che prevedano la sospensione o il divieto dei trasferimenti di dati personali ai sensi di tali clausole in caso di violazione delle clausole stesse o in caso risulti impossibile garantirne l’osservanza. A tale riguardo, la Corte rileva, in particolare, che la decisione 2010/87/CE impone al mittente e al destinatario dei dati l’obbligo di verificare, prima di qualsiasi trasferimento, alla luce delle circostanze del trasferimento stesso, se tale livello di protezione sia rispettato nel Paese terzo in questione (sulla sentenza in Commento si è espresso l’EDPB, adottate il 23 luglio 2020 e tradotte dal Garante per la protezione dei dati personali).
La lotteria degli scontrini (rinviata per il Covid-19) ed il parere del Garante privacy di Elena Bassoli (N. II_MMXX)
Tutti i cittadini maggiorenni e residenti in Italia potranno partecipare alla lotteria dei corrispettivi o degli scontrini, effettuando un acquisto di importo pari o superiore a 1 euro ed esibendo il loro codice lotteria. Per ottenere il codice lotteria occorre inserire il proprio codice fiscale nell’area pubblica del “portale lotteria”. Una volta generato, il codice potrà essere stampato su carta o salvato su dispositivo mobile (telefoni cellulari, smartphone, tablet, ecc.) e mostrato all’esercente. L’articolo 141 del Decreto Legge n. 34 del 19 maggio 2020 (Decreto rilancio) ha modificato la data di avvio della lotteria degli scontrini, spostandola al 1° gennaio 2021.
Garante privacy: sanzione milionaria a TIM per violazioni reiterate della disciplina sul trattamento dei dati dei clienti di Elena Bassoli (N. I_MMXX)
Il Garante privacy con provvedimento del 15 gennaio 2020 ha sanzionato TIM per oltre 27 milioni di euro per la rilevata illiceità del trattamento dei dati dei propri clienti sotto vari profili: per aver contattato clienti che avevano già espresso il “diniego” nonché quelli presenti in black list; per aver profilato numerazioni relative a soggetti “referenziati” in assenza di un idoneo consenso; per aver raccolto le informazioni mediante le applicazioni “My TIM”, “TIM Personal” e “TIM Smart Kid” in assenza di un idoneo consenso; per aver raccolto dati mediante i moduli di autocertificazione del possesso di linea prepagata in assenza di un idoneo consenso. Il trattamento dei dati personali effettuato da TIM risulta ancor più grave se si considera che la medesima Società è stata già destinataria anche in tempi recenti (2016 e 2017) di vari provvedimenti inibitori, prescrittivi e sanzionatori proprio con riguardo alla stessa tipologia di violazioni.
VERIFICA BIOMETRICA DELL’IDENTITÀ E VIDEOSORVEGLIANZA DEGLI ACCESSI PER COMBATTERE L’ASSENTEISMO di Elena Bassoli (N. III_MMXIX)
Legge 19 giugno 2019, n. 56. La Legge 19 giugno 2019, n. 56 recante "Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo", prevede l'istituzione del “Nucleo della concretezza”, norme di contrasto all’assenteismo con l’introduzione di sistemi di verifica biometrica dell’identità e di videosorveglianza per gli accessi, procedure per accelerare il ricambio generazionale delle Pubbliche Amministrazioni.
L’ACCESSO ABUSIVO A SISTEMA INFORMATICO E LA VIOLAZIONE DI DOMICILIO DIGITALE di Elena Bassoli (N. I_MMXIX)
Corte di Cassazione, Sezione V Penale, sentenza n.2905 del 2 ottobre 2018 e depositata il 22 gennaio 2019. Corte di Cassazione, Sezione V Penale, sentenza n.2942 dell'8 novembre 2018 e depositata il 22 gennaio 2019. Le due sentenze nn. 2905 e 2942 del gennaio 2019 della Suprema Corte di Cassazione ribadiscono che il reato di accesso abusivo a sistema informatico o telematico di cui all’art. 615-ter del codice penale si configura non solo quando il colpevole violi le misure di sicurezza poste a presidio del sistema informatico o telematico altrui, ma anche quando, pur inizialmente legittimato all’accesso da colui che aveva il diritto di ammetterlo o escluderlo, vi si mantenga per finalità differenti da quelle per le quali era stato inizialmente facoltizzato all’accesso.
LA TUTELA DELLA PRIVACY NON PUO’ ESCLUDERE L’ACCERTAMENTO SINTETICO PER LA DETERMINAZIONE DEL REDDITO DEL CONTRIBUENTE di Elena Bassoli (N. IV_MMXVIII)
Corte di Cassazione, Sezione I Civile, sentenza n. 17485 del 21 marzo 2018 e depositata il 4 luglio 2018. La tutela della privacy non può escludere l’applicazione del metodo dell’«accertamento sintetico», ovvero la determinazione del reddito del contribuente sulla base delle spese sostenute nell’anno fiscale, che trova il suo fondamento nell’art. 38, commi 4 e 5, del d.P.R. n. 600/1973, nel contesto della potestà impositiva dell’Amministrazione che si fonda sull’art. 53 Cost. e nell’attività di accertamento e di raccolta di dati attuata presso l’Anagrafe tributaria.
FRANCIA: WHATSAPP A RISCHIO MULTA PER LA CESSIONE DEI DATI A FACEBOOK di Elena Bassoli (N. I_MMXVIII)
Commission Nationale de l’Informatique et des Libertés (CNIL) - Decisione n. MED-2017-075 del 27.11.2017. Con la decisione n. MED-2017-075 del 27 novembre 2017, la Cnil, l’equivalente francese del nostro Garante della privacy, ha emanato un preavviso di sanzione amministrativa a Facebook per il servizio di messaggistica Whatsapp, dalla stessa gestito. Whatsapp è presente sul mercato della messaggistica mondiale dal 2009, e nel 2014 è stata acquistata da Facebook. Di tale accordo Whatsapp ha reso noti i contenuti all’utenza, aggiornando le condizioni d’uso e la privacy policy, solo nell’agosto del 2016. In applicazione della decisione n. 2016-295 C del 14 ottobre 2016 del Presidente della Commission Nationale de l’Informatique et des Libertés (CNIL), una sua delegazione ha effettuato tre controlli online, rispettivamente il 4 e il 9 novembre 2016 ed il 23 ottobre 2017 al fine di verificare l’osservanza della legge del 6 gennaio 1978 modificata relativa a dati, file e libertà. Un’udienza di WhatsApp si è svolta nei locali della CNIL il 14 giugno 2017.
IL BADGE DEVE ESSERE UTILIZZATO DAL DATORE DI LAVORO PER VERIFICARE LE PRESENZE E NON PER CONTROLLARE IL DIPENDENTE di Elena Bassoli (N. IV_MMXVII)
Corte di Cassazione, Sezione Lavoro, Sentenza n. 17531 del 22 marzo 2017 e depositata il 14 luglio 2017. La Corte ha rigettato il ricorso della Società che denunciava la violazione o la falsa applicazione dell’art. 4 L. n. 300/1970, lamentando che la sentenza impugnata ha ritenuto che il meccanismo del badge (a radio frequenza), che si limita a leggere le informazioni contenute nella tessera dei dipendenti, costituisse un illegittimo strumento di controllo a distanza dell’attività dei lavoratori.
NUOVE DISPOSIZIONI A TUTELA DEI MINORI PER LA PREVENZIONE ED IL CONTRASTO AL CYBERBULLISMO di Elena Bassoli (N. III_MMXVII)
Legge 29 maggio 2017, n. 71. Pubblicato in GU Serie Generale n.127 del 03-06-2017 la Legge 29 maggio 2017 n. 71 recante “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo” in vigore dal 18 giugno 2017. Il provvedimento intende contrastare il fenomeno in tutte le sue manifestazioni, con azioni a carattere preventivo e con una strategia di attenzione, tutela ed educazione nei confronti dei minori coinvolti, sia nella posizione di vittime sia in quella di responsabili di illeciti.
UK: approvato l’investigatory powers act di Elena Bassoli (N. II_MMXVII)
Investigatory Powers Act 2016. È entrato in vigore il 30 dicembre 2016, avente l’obiettivo di ampliare i poteri della British Intelligence Community a discapito della tutela dei dati personali dei cittadini. Nuovi poteri particolarmente invasivi simili ad un controllo di massa, in aperto contrasto con il nuovo Regolamento privacy europeo n. 679/2016.
AGENZIA DELLE ENTRATE: AL BITCOIN NON SI APPLICA L’IVA MA PRODUCE TASSAZIONE DIRETTA di Elena Bassoli (N. I_MMXVII)
Decreto Legislativo del 25 maggio 2016, n. 97 (GU Serie Generale n.132 del 8-6-2016). Il 23 giugno 2016 è entrato in vigore il Freedom Of Information Act che rende libero e gratuito l’accesso all’informazione pubblica e agli atti della P.A. Tutti i cittadini avranno la possibilità di richiedere documenti e atti della Pubblicazione Amministrazione. Fanno eccezione le documentazioni considerate sensibili, secondo uno specifico iter per il quale verrà comunque data risposta ai cittadini che ne faranno richiesta.
IL FREEDOM OF INFORMATION ACT (FOIA) di Elena Bassoli (N. IV_MMXVI)
Decreto Legislativo del 25 maggio 2016, n. 97 (GU Serie Generale n.132 del 8-6-2016) Il 23 giugno 2016 è entrato in vigore il Freedom Of Information Act che rende libero e gratuito l’accesso all’informazione pubblica e agli atti della P.A. Tutti i cittadini avranno la possibilità di richiedere documenti e atti della Pubblicazione Amministrazione. Fanno eccezione le documentazioni considerate sensibili, secondo uno specifico iter per il quale verrà comunque data risposta ai cittadini che ne faranno richiesta.
FACEBOOK DEVE BLOCCARE I PROFILI FAKE PER L’EVENTUALE INTERVENTO DELLA MAGISTRATURA di Elena Bassoli (N. III_MMXVI)
Garante della Privacy - Provvedimento dell’11 febbraio 2016. Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano anche quelli inseriti e condivisi da un falso account, il cosiddetto fake, e dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura. Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente.
IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI di Elena Bassoli (N. II_MMXVI)
Regolamento 2016/679 e Direttiva 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016. Dopo un iter durato quattro anni il 4 maggio 2016 sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del cd. “Pacchetto protezione dati”, vale a dire il Regolamento europeo in materia di protezione dei dati personali e la Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini, che costituiscono il corpus normativo che definisce il quadro comune europeo in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.
PER UNA TEORIA DELLA RESPONSABILITÀ ALGORITMICA GLOBALE di Elena Bassoli (N. IV_MMXV)
Il mondo è pieno di decisioni algoritmicamente guidate. Un’informazione errata o discriminatoria può rovinare irrimediabilmente le prospettive di lavoro o di credito di qualcuno. Gli algoritmi rimangono impenetrabili agli osservatori esterni perché protetti dal segreto industriale. Risulta quindi fondamentale che i cittadini possano conoscere e contribuire alla regolamentazione della pratiche commerciali dei giganti dell’informazione.
ACCESSO ABUSIVO A SISTEMA INFORMATICO: IL LOCUS COMMISSI DELICTI COINCIDE CON QUELLO DEL SOGGETTO CHE ACCEDE di Elena Bassoli (N. III_MMXV)
Corte di Cassazione, Sezioni Unite Penali, sentenza n. 17325 del 26 marzo 2015 e depositata il 24 aprile 2015. Con sentenza depositata il 24 aprile 2015, le Sezioni Unite Penali della Corte di Cassazione, risolvendo un conflitto di competenza, hanno affermato che “il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico di cui all’art. 615-ter cod. pen. coincide con quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”.
VALENZA GIURIDICA DEL TWEET DI UN MINISTRO di Elena Bassoli (n.II_MMXV)
Il Consiglio di Stato, con la sentenza n. 769/2015, si è pronunciato sulla natura dell’atto amministrativo emesso verso l’esterno nel caso in cui si utilizzi il servizio di Twitter, osservando che “gli atti dell’autorità politica debbono pur sempre concretarsi nella dovuta forma tipica dell’attività della pubblica amministrazione... “.
LE BEST PRACTICES SULL’ATTENDIBILITÀ DELLA PROVA DIGITALE ENTRANO ANCHE NEL GIUDIZIO CIVILE di Elena Bassoli (n.I_MMXV)
Tribunale Napoli, Ordinanza 29/04/2014. L’ordinanza analizza il valore probatorio dei file di log, con le relative operazioni di conservazione ed estrazione, sancendo, anche per il diritto civile e non solo per quello penale, il principio dell’inattendibilità probatoria delle semplici copie di prove digitali.
GLI STATI MEMBRI NON POSSONO OBBLIGARE LE SOCIETÀ STABILITE IN UN ALTRO STATO A CREARE SUL LORO TERRITORIO SUCCURSALI O FILIALI di Elena Bassoli (N.III_MMXIV)
Corte di giustizia dell’Unione europea, sentenza nella causa C-475/12 del 30 aprile 2014: gli Stati membri non possono imporre a tali fornitori la creazione di una succursale o di una filiale sul loro territorio, in quanto un siffatto obbligo sarebbe contrario alla libera prestazione dei servizi.
GOOGLE VIDEO NON HA L’OBBLIGO DI SORVEGLIANZA DEI DATI IMMESSI DA TERZI di Elena Bassoli (N. I_MMXIV)
Corte di Cassazione, Sezione III Penale, sentenza n. 5107 del 17 dicembre 2013 e depositata il 3 febbraio 2014. La Suprema Corte ha affermato che l’Internet Hosting Provider, per la mancanza di un obbligo generale di sorveglianza, non è responsabile della liceità del trattamento dei dati personali memorizzati a richiesta degli utenti su una piattaforma video accessibile sulla rete Internet.
GOOGLE HA UN RUOLO DI MERO INTERMEDIARIO NELLA PUBBLICAZIONE DI CONTENUTI RITENUTI DIFFAMATORI di Elena Bassoli ( n.IV_MMXIII )
Opinione of Advocate General- Case C 131/12 - Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD). Il 25 giugno 2013 l’avvocato generale della Corte di Giustizia dell’Unione Europea ha riconosciuto a Google un ruolo di semplice intermediario rispetto ai contenuti ritenuti diffamatori immessi da terzi.
PROPOSTA DI LEGGE DI RATIFICA ED ESECUZIONE DEL TRATTATO DI NEW YORK SUL COMMERCIO DELLE ARMI di Elena Bassoli ( n.III_MMXIII )
Camera dei Deputati, proposta di legge n. 1239 del 12 luglio 2013. Il 12 luglio 2013 il Consiglio dei Ministri ha approvato il disegno di legge di ratifica ed esecuzione del Trattato sul commercio delle armi “Arms Trade Treaty” (ATT), adottato nel marzo 2013 dall’Assemblea Generale delle Nazioni unite e firmato a New York il 2 aprile 2013. L’ATT risponde alla urgente necessità di colmare le lacune del commercio non regolamentato di armi convenzionali e di intensificare gli sforzi volti al consolidamento della pace e dell’assistenza umanitaria, perseguendo l’obiettivo di rendere il commercio, l’esportazione e il trasferimento delle predette armi più responsabili e trasparenti. L’Italia, pur disponendo in materia di una delle normative più avanzate a livello mondiale, ha svolto un ruolo importante in ogni fase del negoziato per raggiungere, sul piano legislativo, il migliore risultato possibile. Con riferimento alla compatibilità del Trattato con la normativa europea, l’Italia, come gli altri Paesi membri, ha firmato l’ATT previa autorizzazione del Consiglio europeo, il quale sta ora procedendo all’elaborazione della decisione che autorizzerà gli Stati al deposito dello strumento di ratifica presso il Segretariato generale delle Nazioni unite.
RIORDINO DELLA DISCIPLINA CIRCA GLI OBBLIGHI DI PUBBLICITÀ, TRASPARENZA E DIFFUSIONE DA PARTE DELLE PUBBLICHE AMMINISTRAZIONI di Elena Bassoli ( n.II_MMXIII )
Decreto legislativo 14 marzo 2013, n. 33. Con il decreto legislativo 14 marzo 2013, n. 33, entrato in vigore il 20 aprile 2013, in attuazione della delega conferita al Governo dall’art.1, comma 35, Legge 190/2012, il legislatore ha provveduto al riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.
Rapporto sulla trasparenza di Google: statistiche delle richieste di rimozione Url per violazione Copyright nel II semestre 2012 di Elena Bassoli (N. I_MMXIII)
Google riceve da titolari del copyright e organizzazioni di reporting che li rappresentano richieste di rimozione di risultati di ricerca che rimandano a materiali in presunta violazione dei copyright. In ogni richiesta sono riportati gli URL specifici da rimuovere.
