Il garante della privacy ordina la deindicizzazione dei risultati di Google

La vicenda di cui ci occupiamo prende le mosse dal ricorso presentato da un professore al Garante per la Protezione dei dati personali al fine di chiedere a Google la rimozione di ventisei indirizzi Internet (URL) dalla lista dei risultati del motore di ricerca ottenuti digitando il proprio nome e cognome.

Gli URL in questione rimandavano infatti a messaggi o brevi articoli anonimi ritenuti dall’interessato offensivi della propria dignità e reputazione, pubblicati su forum o siti amatoriali contenenti anche informazioni relative al suo presunto stato di salute ed a supposti gravi reati connessi alla sua attività, in realtà mai commessi e per i quali non era mai stato neppure indagato.

Il Garante, con provvedimento emesso in data 21.12.2017, accoglieva parzialmente la domanda ed ordinava a Google la deindicizzazione globale dei ventisei URL. La decisione teneva conto delle linee guida  del Working Party 29 emanate dopo il caso Google Spain (WP225) in relazione a campagne personali contro un determinato soggetto sottoforma di “rant” o commenti personali spiacevoli o inesatti in termini reali.

Il provvedimento veniva però impugnato da Google che contestava la decisione sostenendo l’incompetenza del Garante e rimetteva la domanda all’Autorità giudiziaria ordinaria.

Il Tribunale di Milano con sentenza n. 7846 del 05.09.2018 ha invece ribadito la competenza del Garante per la Protezione dei personali per quanto riguarda la valutazione della liceità del trattamento posto in essere con la diffusione dei dati relativi al ricorrente, dal quale“si potrebbe verificare sia una lesione del diritto al corretto trattamento dei dati personali sia una lesione del diritto dell’onore, alla reputazione, all’immagine”.

In pratica il giudizio da parte del Garante in relazione all’onore e alla reputazione rileva soltanto in quanto “conseguenza della lesione dell’identità personale realizzata con un illecito trattamento di dati personali”.

Il motore di ricerca, dunque, può essere chiamato a rispondere solo per la correttezza del trattamento effettuato tramite l’indicizzazione e non già anche per il carattere diffamatorio dei contenuti diffusi da terzi.

Il Tribunale ha ritenuto di ammettere la deindicizzazione a tutela del diritto di dis-associazione del proprio nome da un dato risultato della ricerca, in quanto “il ridimensionamento della propria visibilità telematica rappresenta un aspetto “funzionale” del diritto all’identità personale, diverso dal diritto ad essere dimenticato, che coinvolge e richiede una valutazione di contrapposti interessi: quello dell’individuo a non essere più trovato on-line e quello del motore di ricerca”.

La deindicizzazione viene quindi ammessa anche a tutela dell’esattezza dei dati trattati, anche qualora non rilevi il criterio temporale richiesto  quale elemento costitutivo del diritto all’oblio.

Il diritto all’oblio è disciplinato dall’art. 17 del Regolamento Europeo 2016/677 e fa parte dei diritti garantiti ed esercitabili da ogni interessato al trattamento. Di esso si occupa anche il considerando 66 che pur non essendo una disposizione di pari forza normativa di un articolo non è di minore  importanza.

La richiesta di deindicizzazione avanzata dal ricorrente,trova certo fondamento nel “diritto all’oblio” di origine giurisprudenziale – caso Google Spain(2014) –poi riconosciuto all’art. 11, 1 comma, della “Dichiarazione dei diritti  in Internet” ed oggi all’interno del Regolamento EU 2016/679, ma può essere esercitato indipendentemente dal sussistere del criterio temporale.

Infine, rimane ancora aperta la questione relativa alla deindicizzazione globale.

Il provvedimento sopracitato, infatti, rimarrà sospeso fino alla decisione della Corte di Giustizia, chiamata a pronunciarsi sull’opposizione presentata da Google avverso una decisione dell’Autorità di protezione dei dati francese (CNIL)per effetto del deferimento effettuato dal Consiglio di Stato francese.

Sarà molto interessante analizzare la decisione della Corte di Giustizia alla luce delle disposizioni del Regolamento Europeo che all’art 3 amplia i confini della tutela dei dati personali al di fuori del territorio italiano.