wp 148 – provider dei motori di ricerca
Transcript
wp 148 – provider dei motori di ricerca
WP 148 – PROVIDER DEI MOTORI DI RICERCA Con il parere 1/2008 (WP 148), sono stati fissati alcuni principi e delineate le principali responsabilità che assumono i Provider dei motori di ricerca sul web. Ciò, in quanto la capacità dei motori di ricerca di aggregare i dati può incidere profondamente sulla vita privata e sociale delle persone, consentendo altresì una rischiosa profilazione delle stesse. Innanzitutto, si chiarisce come per "motore di ricerca" debba intendersi un servizio che consente all'utente di reperire informazioni sul web, cioè uno strumento di localizzazione delle informazioni. Tali motori elaborano dati di vario genere: in primis i cd. "log file" (relativi al contenuto delle query di ricerca, data ed ora, indirizzo IP, ecc...), ma non solo. I provider, infatti, possono collegare le diverse sessioni di ricerca facenti capo allo stesso indirizzo IP correlando tra loro le diverse ricerche sul web da parte dello stesso IP. Tramite i cookie (forniti dal provider e conservati dal computer dell'utente), che contengono informazioni sul sistema operativo e sul browser dell'utente, è possibile poi identificare lo specifico utente di un computer condiviso da più soggetti con account specifici; mediante l'utilizzo dei suddetti cookie i motori di ricerca migliorano i propri servizi, memorizzando le preferenze dell'utente e ricostruendone le abitudini. In questa sintesi ci si limiterà ad un'analisi del documento esclusivamente relativa alle definizioni ed ai principi operativi, rinviando alla lettura del documento stesso circa gli specifici adempimenti a carico dei provider. * * * DATI PERSONALI: con riferimento a quanto espresso con parere WP 136 (sul concetto di dato personale), può senz'altro ritenersi dato personale la cronologia di ricerca di un utente se la persona cui si riferisce è identificabile. I dati attinenti all'indirizzo IP, mediante i quali l'utente può essere identificato, sono in possesso dei fornitori di accesso ad internet; di conseguenza, anche gli indirizzi IP sono dati personali. Stesso dicasi per i cookie che contengano un unico identificatore utente: in tal caso l'ID è un dato personale. RESPONSABILE DEL TRATTAMENTO: (sul punto vedasi anche il parere WP 169). Un provider che elabora i dati dell'utente (come registri contenenti cronologie di ricerca), tra cui indirizzi IP, o cookie con unico identificatore, è da considerarsi Responsabile del trattamento. Nei limiti in cui il provider agisca solo quale intermediario, il Responsabile del trattamento non è il provider, bensì il Fornitore di informazioni (i titolari dei siti web, infatti, possono decidere se escludere il proprio sito dall'indicizzazione dei motori di ricerca e dalla memoria cache - attraverso cui i motori ripubblicano i dati - tramite appositi file); quindi, solitamente l'unica facoltà del motore di ricerca è quella di cancellare i dati dal server. Per tale attività di cancellazione dei dati (dall'indice e dai risultati delle ricerche) i motori di ricerca stessi potrebbero essere considerati Responsabili1. Qualora, invece, il provider si spinga oltre, eseguendo trattamenti ulteriori connessi alle caratteristiche, o ai tipi di dati personali, o delle informazioni trattate (ad es. vendendo pubblicità indotta da dati personali), utilizzando strumenti di ricerca e indicizzazione che permettano di risalire all'utente, o memorizzando sui loro server parti del contenuto del web, ovvero ancora conservando il contenuto in una memoria cache oltre il tempo strettamente necessario per risolvere un problema di inaccessibilità temporanea al sito web, 1 Peraltro, partendo dal presupposto che “l’operazione consistente nel far comparire su una pagine internet dati personali va considerata trattamento”, la Corte di Giustizia ben raramente ha effettuato la distinzione in esame, attribuendo direttamente la qualifica di Responsabile al provider, in quanto la sua attività si aggiungerebbe a quella dell’editore del sito web: il provider, infatti, svolgerebbe un ruolo decisivo nella diffusione dei dati, rendendo accessibile i dati suddetti a qualsiasi utente che effettui una ricerca a partire dal semplice nome della persona interessata. dovranno essere considerati quali Responsabili. Quoando il provider, infine, offra all'utente la possibilità di personalizzare il servizio mediante un account personale, la correlazione tra servizi (ad esempio posta elettronica, chat, blog, ecc...) e/o piattaforme diversi, comunque venga realizzata (con cookie, o altro mezzo), può ritenersi legittima solo se effettuata sulla base di una registrazione volontaria (e non automatica) dell'utente, che rilasci il proprio consenso al trattamento dei dati previa adeguata informativa. (Non si è ritenuto Responsabile il provider di una rete di comunicazione - anche detto Internet Service Provider che si limita a fornire all'utente l'accesso ad una rete di comunicazione (hosting), senza procedere ad alcuna trasmissione di dati, né selezionando i destinatari, né modificando le informazioni contenute nei messaggi. Se però, oltre a fornire una piattaforma per il sito web degli utenti, tratta (per scopi propri) i dati presenti nei siti stessi assume la natura di Responsabile.) APPLICABILITA' DELLA DIRETTIVA COMUNITARIA: (sul punto v, anche doc. WP 56). Qualora il provider sia Responsabile del trattamento, ma non sia stabilito nella U.E., la normativa comunitaria si applicherà laddove il provider stesso: - abbia uno stabilimento nello Stato membro (non importa se trattasi di un ufficio, o una filiale, o un'agenzia) e il trattamento sia effettuato nel contesto delle attività dello stabilimento stesso2 (cioè assume un ruolo rilevante nel trattamento stesso, ad esempio perché si conforma alle decisioni giudiziarie dello stato membro, oppure viene costituito per la vendita di pubblicità mirata alla comunità locale, ovvero ancora è responsabile delle relazioni con gli utenti, ecc...) - faccia ricorso a strumenti situati nello stato membro; sul punto, nel rimandare a quanto già espresso nella relazione sul doc. WP 56, si ricorda come i computer, i terminali ed i 2 V. anche sentenza della Corte Giustizia dd. 13.05.2014 con cui si è precisato che il trattamento si intende effettuato “nel contesto” quando, alternativamente, (a) il gestore apre in uno stato membro una filiale o succursale mediante la quale svolge un’effettiva attività di promozione (che remunera il servizio gestito oltre confine), (b) ovvero la società controllante nomina la filiale stessa rappresentante per i contratti con i clienti locali, (c) ovvero ancora laddove la filiale trasmetta alla società madre i reclami ricevuti. server, così come l'uso di cookie o altri software analoghi, costituiscano uno "strumento".