Autore: wp_6910267

Con il provvedimento n. 163 del 12 settembre scorso, il Garante per la Protezione dei Dati Personali ha approvato definitivamente il secondo Codice di Condotta così come previsto dall’art. 40 del GDPR.

Questo Codice di Condotta riguarda i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti detti anche SIC mentre il primo, approvato lo scorso 12 giugno, riguardava i servizi di informazione commerciale sulle aziende.

Sono due documenti che incidono fortemente sulla qualità delle transazioni commerciali in Italia e sono tesi a sostenere i soggetti economici nello sforzo di limitare al massimo i tentativi di frode in commercio:

• il codice approvato a giugno disciplina il trattamento dei dati personali consentendo ad un soggetto privato (fornitore) di acquisire, su commissione di un altro soggetto privato (committente), informazioni commerciali (bilanci, rapporti contrattuali, situazioni patrimoniali, ecc.) di un ulteriore soggetto (soggetto censito/interessato) con il quale il committente ha interesse ad instaurare un rapporto economico;
• l’altro codice disciplina il trattamento dei dati nell’ambito di sistemi informativi che espongono gli elementi di affidabilità creditizia di ciascun soggetto che ha ottenuto dilazioni di pagamento ma che non hanno onorato alcuni pagamenti.

In entrambi i casi, il trattamento dei dati personali degli interessati può essere condotto senza il loro consenso visto che la base giuridica di liceità è il legittimo interesse (art. 6, par. 1, lett. f del GDPR). Questo, come abbiamo più volte ribadito, non esime chi tratta dati personali dal fornire la dovuta informativa agli interessati; entrambi i codici di condotta, infatti, hanno un apposito paragrafo dedicato a questo aspetto e, quello approvato il 12 settembre scorso, ha addirittura un allegato che riporta un fac‑simile di informativa.

In entrambi i casi, l’esito del trattamento può essere un punteggio sintetico: un punteggio, a questo punto, molto controllato.

In genere, i giornalisti tendono a semplificare ed i motori di ricerca tendono a comportarsi in modo neutro (si potrebbe anche dire stupidamente): fa parte del gioco.

Ieri sui media online è stata gridata la notizia secondo la quale la Corte di Giustizia dell’Unione Europea ha dato ragione a Google che si è rifiutata di accogliere la richiesta di alcuni soggetti di deindicizzare link a pagine web che riportavano notizie ormai appartenenti a vicende passate. Si tratta di richieste che invocano il cosiddetto diritto alla cancellazione o diritto all’oblìo che, sul web e sui motori di ricerca, naturalmente, assume una valenza fondamentale per tutelare i dati personali di chiunque.

Ebbene, non è così. La Grande Chambre della Corte di Giustizia ieri ha pubblicato due sentenze:

• una è quella commentata dai media con i titoli che, più o meno, dicevano che Google non ha l’obbligo di deindicizzare;
• l’altra, invece, non pubblicata dai media, ha approfondito princìpi molto importanti che, peraltro, sono presenti anche nella prima.

La prima delle due sentenze, in effetti, riconosce a Google la possibilità di evitare la deindicizzazione su versioni del motore di ricerca diversi da quelli in uso nello Stato in cui risiede chi ha richiesto il diritto all’oblìo. Per essere chiari, se l’interessato è italiano, Google ha l’obbligo di rimuovere tutti i link indicati dal motore di ricerca www.google.it ma non dal motore www.google.uz (Uzbekistan). Questo perché, dice la Corte, la sensibilità al peso che hanno i due diritti in gioco, diritto alla protezione dei dati personali e diritto alla libertà d’informazione, può variare da Paese a Paese.

Tuttavia, rispetto al bilanciamento tra i due diritti, la seconda sentenza offre una trattazione molto più completa della fattispecie. Il motore di ricerca deve sempre effettuare un bilanciamento per decidere se rimuovere o non rimuovere i link, soprattutto quando si tratta di particolari categorie di dati personali (salute, convinzioni religiose, ecc.) o di dati riguardanti condanne penali o reati. E deve farlo considerando tanti aspetti: ruolo della persona nella società, attualità della vicenda, impatto sulla sfera privata, coinvolgimento di altri soggetti e così via.

Infine, la sentenza ritenuta a favore di Google, chiude con il punto 72 che, in sostanza, dice che il diritto dell’UE non obbliga gli Stati a costringere i motori di ricerca a deindicizzare ma neppure lo vieta. Quindi, ciascuna autorità di controllo (per l’Italia il Garante per la Protezione dei Dati Personali) o la stessa autorità giudiziaria hanno la facoltà di emanare provvedimenti che obblighino Google e gli altri motori di ricerca a deindicizzare tutti i link in tutte le loro versioni.

Insomma, alle autorità e ai motori di ricerca viene chiesto uno sforzo di intelligenza: conviene ricordarlo sempre.