8.5. informazioni e servizi online
Sono pervenute al Garante numerose segnalazioni allo scopo di ottenere la cancellazione di dati e di immagini personali diffusi e in vario modo reperibili su internet (ad es., su E-mule, Youtube, forum, blog) e reputati lesivi della sfera personale dei segnalanti.
Nei casi in cui ricorrevano i presupposti, e il titolare del trattamento del sito internet segnalato risultava residente in Italia, il Garante è intervenuto chiedendo e ottenendo la cancellazione dei dati personali eccedenti.
In numerosi casi, invece, da verifiche effettuate dall'Ufficio, è risultato che il titolare del trattamento del sito internet interessato non risiedeva in Italia: pertanto, non è stato possibile applicare le tutele previste dal Codice (art. 5, comma 1).
In queste situazioni, al fine di fornire comunque una tutela all'interessato, è stata fornita agli interessati l'indicazione del soggetto titolare, estratto dai registri "Whois", a cui il segnalante potesse direttamente richiedere la rimozione immediata dei contenuti ritenuti illeciti in quanto diffamatori. Ciò, in ottemperanza a una prassi nota come "notice and take down", riconosciuta sia negli Usa sia in ambito comunitario (cfr. Direttiva n. 2000/31/CE, relativa a taluni aspetti giuridici dei servizi della società dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico, recepita in Italia con il d.lgs. n. 70/2003).
In misura superiore rispetto all'anno precedente, nel 2009 sono pervenute segnalazioni con le quali si è lamentato il trattamento illecito dei dati personali su Facebook.
Al riguardo si è ritenuto in via preliminare che, ove le immagini e le informazioni restino all'interno di un profilo o di un gruppo chiuso, il trattamento rientra tra quelli per fini esclusivamente personali, non destinati ad una comunicazione sistematica o alla diffusione, indicati all'art. 5, comma 3, del Codice, e perciò esclusi dall'applicazione della disciplina codicistica; qualora, invece, le informazioni siano visibili in rete in modo libero, e rinvenibili anche tramite i comuni motori di ricerca, poiché si tratta di diffusione, è da ritenersi applicabile integralmente il Codice.
In questo quadro l'Autorità, in un'ottica di collaborazione, in un caso ha contattato il titolare del trattamento (Facebook), chiedendo e ottenendo la rimozione dell'indirizzo dell'abitazione della protagonista di uno spot televisivo, indirizzo che era liberamente rinvenibile all'interno di un gruppo aperto.
Inoltre sono state ritenute fondate due segnalazioni con cui veniva lamentato che alcuni giornali ed emittenti televisive, a corredo della notizia del decesso di due persone, avevano pubblicato fotografie acquisite direttamente da Facebook, attribuendole erroneamente, per pura omonimia, ai deceduti. L'Autorità ha riscontrato in siffatte pubblicazioni una violazione delle disposizioni a tutela del diritto alla protezione dei dati personali e dell'identità personale, essendo state raccolte informazioni non adeguatamente verificate e diffusi dati personali errati (Provvedimenti 6 maggio 2009 [doc. web nn. 1615317 e 1615339]).
In seguito a queste due segnalazioni, il Garante ha inviato una lettera all'Ordine nazionale dei giornalisti e alla Federazione italiana editori giornali richiamando l'attenzione sui rischi dell'uso della rete internet come fonte di informazioni e di dati personali.
Nel quadro delle medesime problematiche è stata esaminata anche la segnalazione di un professore universitario che ha lamentato un trattamento illecito di dati personali in relazione alla diffusione, nel corso di alcune edizioni di un telegiornale, di una sua fotografia associata al nome di uno sconosciuto, proclamatosi su Facebook vincitore al concorso Superenalotto.
L'Ufficio, in considerazione del fatto che l'emittente televisiva ha assicurato di non diffondere in futuro la fotografia, non ha ritenuto di intervenire con un provvedimento inibitorio (Nota 24 settembre 2009).
Infine, in seguito alla creazione di un gruppo choc contro i bambini down apparso su Facebook in cui appariva anche la foto di un neonato con una scritta ingiuriosa sulla fronte il Garante è intervenuto con un comunicato stampa (22 febbraio 2010), invitando i mezzi di informazione che avevano ripreso la foto a non rendere in alcun modo riconoscibile il bambino oggetto dello sfregio.
Anche nel 2009 il Garante ha ricevuto diverse segnalazioni e ricorsi concernenti la libera disponibilità degli archivi storici online.
Il Garante ha al riguardo rilevato che la diffusione, sul sito internet di un quotidiano online, di un articolo contenente informazioni su fatti anche molto delicati e piuttosto risalenti nel tempo, parte integrante dell'archivio storico della testata, non integrava un illecito trattamento di dati personali.
L'articolo infatti era riferito a notizie relative a fatti veri e di interesse pubblico, sia con riferimento al tempo della pubblicazione, sia attualmente per ricerche relative alla vicenda in questione.
In altri casi invece il Garante, tenendo conto delle peculiarità del funzionamento della rete, che può comportare la diffusione di un gran numero di dati personali riferiti a un medesimo interessato e relativi a vicende anche risalenti, e in considerazione del tempo trascorso, ha ritenuto che una perenne associazione all'interessato della vicenda stessa può comportare un sacrificio sproporzionato dei suoi diritti.
L'Autorità in alcuni provvedimenti ha indicato pertanto, quale misura a tutela dei diritti dell'interessato, che la pagina web contenente i dati personali del ricorrente (qual è il suo nominativo) sia sottratta alla diretta individuabilità all'atto della ricerca sui comuni motori di ricerca, pur restando tale pagina inalterata nel contesto dell'archivio e consultabile telematicamente accedendo all'indirizzo web dell'editore (Provv. 25 giugno 2009 [doc. web. n. 1635966], Provv. 8 aprile 2009 [doc. web n. 1617673], Provv. 19 novembre 2009 [doc. web n. 1689109], Provv. 22 dicembre 2009 [doc. web n. 1695208]).
In altri casi, invece, il Garante ha ritenuto legittimo il trattamento di dati personali effettuato mediante la riproposizione online dell'articolo, in quanto riferito a fatti di persistente interesse pubblico, non ravvisando, pertanto, ragioni per sottrarre l'articolo stesso alla disponibilità dei motori di ricerca.
In particolare, il Garante (Provv. 22 maggio 2009 [doc. web n. 1635938]) ha dichiarato infondato il ricorso di un politico candidato alle elezioni europee, volto ad ottenere il blocco dei dati personali, pubblicati sul sito di un quotidiano online, e relativi alla sua passata attività politica a livello locale e nazionale. Il Garante, infatti, ha ricordato che "rispetto a persone note, i mezzi di informazione beneficiano (...) di margini più ampi nella pubblicazione di dati e notizie, in particolare nella misura in cui la loro conoscenza assuma un rilievo sul loro ruolo e sulla loro vita pubblica" (art. 6 del codice di deontologia).
Nel 2009 si è constatata una maggiore sensibilità degli utenti del web, nel vigilare e segnalare all'Autorità la non conformità di siti internet alla normativa in materia di protezione dei dati personali.
Sono infatti pervenute diverse segnalazioni relative sia alle informazioni rese agli interessati, sia alle modalità di acquisizione del consenso mediante l'utilizzo di form online. Spesso, infatti, le informative pubblicate sui siti sono risultate non sufficientemente chiare e in diversi casi si è riscontrato che la modulistica da compilare per il rilascio del consenso al trattamento dei propri dati è stata predisposta con formulazioni generiche tese a ricomprendere più finalità, tra loro diverse e spesso incompatibili.
L'Autorità ha quindi proceduto alla verifica della conformità dei trattamenti effettuati e talvolta, d'ufficio, delle modulistiche pubblicate sul web. Le risultanze di tali accertamenti hanno determinato, per l'anno di riferimento, l'emanazione di due provvedimenti contenenti divieto di ulteriore trattamento dei dati e prescrizioni dirette ai titolari del trattamento.
In particolare, a seguito di una segnalazione e al successivo accertamento ispettivo svolto dal Nucleo speciale funzione pubblica e privacy della Guardia di finanza in ordine al servizio di biglietteria messo a disposizione su un sito web, è risultato che veniva effettuata la raccolta, la conservazione e l'elaborazione dei dati personali dei clienti in relazione a diverse finalità e veniva richiesto un unico consenso indicato come obbligatorio ai fini della registrazione. Il medesimo consenso veniva inoltre richiesto anche con riguardo ai trattamenti effettuati per adempiere alle obbligazioni contrattuali.
Al riguardo con provvedimento del 5 marzo 2009 [doc. web n. 1615731], l'Autorità ha essenzialmente ribadito che il titolare del trattamento può prescindere dal consenso per i trattamenti effettuati per eseguire contratti di cui è parte l'interessato (art. 24, comma 1, lett. b ), del Codice); il consenso, invece, deve essere specificamente acquisito relativamente ai trattamenti per finalità di profilazione e marketing (art. 23, comma 3 del Codice).
Il Garante, nel suddetto provvedimento, in particolare ha prescritto l'adozione di alcune modifiche al modello per la manifestazione del consenso del trattamento dei dati, affinché quest'ultimo possa essere prestato dagli interessati distintamente per ciascuna diversa finalità perseguita.
Inoltre, si segnala che da accertamenti di carattere ispettivo, è risultato che una società fornitrice di energia raccoglieva, conservava e elaborava dati personali dei clienti in relazione a diverse finalità, tra le quali la realizzazione di attività di vendita o di collocamento di prodotti/servizi, l'analisi delle abitudini e scelte di consumo, nonché l'invio di materiale pubblicitario, anche da parte di terzi, richiedendo, però, un unico consenso.
Quindi con provvedimento del 16 dicembre 2009 [doc. web n. 1688999], accertati l'illiceità e il carattere sistematico del trattamento dei dati personali effettuato dalla società, i l Garante ha vietato l'ulteriore trattamento risultato illecito, e stabilito un termine per documentare l'avvenuta modifica del modello di raccolta del consenso.
