wp 148 – provider dei motori di ricerca

WP 148 – PROVIDER DEI MOTORI DI RICERCA
Con il parere 1/2008 (WP 148), sono stati fissati alcuni principi e delineate le principali
responsabilità che assumono i Provider dei motori di ricerca sul web.
Ciò, in quanto la capacità dei motori di ricerca di aggregare i dati può incidere profondamente
sulla vita privata e sociale delle persone, consentendo altresì una rischiosa profilazione delle
stesse.
Innanzitutto, si chiarisce come per "motore di ricerca" debba intendersi un servizio che
consente all'utente di reperire informazioni sul web, cioè uno strumento di localizzazione delle
informazioni. Tali motori elaborano dati di vario genere: in primis i cd. "log file" (relativi al
contenuto delle query di ricerca, data ed ora, indirizzo IP, ecc...), ma non solo. I provider,
infatti, possono collegare le diverse sessioni di ricerca facenti capo allo stesso indirizzo IP
correlando tra loro le diverse ricerche sul web da parte dello stesso IP. Tramite i cookie
(forniti dal provider e conservati dal computer dell'utente), che contengono informazioni sul
sistema operativo e sul browser dell'utente, è possibile poi identificare lo specifico utente di
un computer condiviso da più soggetti con account specifici; mediante l'utilizzo dei suddetti
cookie i motori di ricerca migliorano i propri servizi, memorizzando le preferenze dell'utente e
ricostruendone le abitudini.
In questa sintesi ci si limiterà ad un'analisi del documento esclusivamente relativa alle
definizioni ed ai principi operativi, rinviando alla lettura del documento stesso circa gli specifici
adempimenti a carico dei provider.
*
*
*
DATI PERSONALI: con riferimento a quanto espresso con parere WP 136 (sul concetto di
dato personale), può senz'altro ritenersi dato personale la cronologia di ricerca di un
utente se la persona cui si riferisce è identificabile. I dati attinenti all'indirizzo IP, mediante
i quali l'utente può essere identificato, sono in possesso dei fornitori di accesso ad internet; di
conseguenza, anche gli indirizzi IP sono dati personali. Stesso dicasi per i cookie che
contengano un unico identificatore utente: in tal caso l'ID è un dato personale.
RESPONSABILE DEL TRATTAMENTO: (sul punto vedasi anche il parere WP 169). Un
provider che elabora i dati dell'utente (come registri contenenti cronologie di ricerca), tra
cui indirizzi IP, o cookie con unico identificatore, è da considerarsi Responsabile del
trattamento.
Nei limiti in cui il provider agisca solo quale intermediario, il Responsabile del
trattamento non è il provider, bensì il Fornitore di informazioni (i titolari dei siti web, infatti,
possono decidere se escludere il proprio sito dall'indicizzazione dei motori di ricerca e dalla
memoria cache - attraverso cui i motori ripubblicano i dati - tramite appositi file); quindi,
solitamente l'unica facoltà del motore di ricerca è quella di cancellare i dati dal server. Per tale
attività di cancellazione dei dati (dall'indice e dai risultati delle ricerche) i motori di ricerca
stessi potrebbero essere considerati Responsabili1.
Qualora, invece, il provider si spinga oltre, eseguendo trattamenti ulteriori connessi
alle caratteristiche, o ai tipi di dati personali, o delle informazioni trattate (ad es.
vendendo pubblicità indotta da dati personali), utilizzando strumenti di ricerca e indicizzazione
che permettano di risalire all'utente, o memorizzando sui loro server parti del contenuto del
web, ovvero ancora conservando il contenuto in una memoria cache oltre il tempo
strettamente necessario per risolvere un problema di inaccessibilità temporanea al sito web,
1 Peraltro, partendo dal presupposto che “l’operazione consistente nel far comparire su una pagine internet dati
personali va considerata trattamento”, la Corte di Giustizia ben raramente ha effettuato la distinzione in esame,
attribuendo direttamente la qualifica di Responsabile al provider, in quanto la sua attività si aggiungerebbe a
quella dell’editore del sito web: il provider, infatti, svolgerebbe un ruolo decisivo nella diffusione dei dati,
rendendo accessibile i dati suddetti a qualsiasi utente che effettui una ricerca a partire dal semplice nome della
persona interessata.
dovranno essere considerati quali Responsabili. Quoando il provider, infine, offra
all'utente la possibilità di personalizzare il servizio mediante un account personale, la
correlazione tra servizi (ad esempio posta elettronica, chat, blog, ecc...) e/o piattaforme
diversi, comunque venga realizzata (con cookie, o altro mezzo), può ritenersi legittima solo se
effettuata sulla base di una registrazione volontaria (e non automatica) dell'utente, che rilasci
il proprio consenso al trattamento dei dati previa adeguata informativa.
(Non si è ritenuto Responsabile il provider di una rete di comunicazione - anche detto Internet Service Provider che si limita a fornire all'utente l'accesso ad una rete di comunicazione (hosting), senza procedere ad alcuna
trasmissione di dati, né selezionando i destinatari, né modificando le informazioni contenute nei messaggi. Se
però, oltre a fornire una piattaforma per il sito web degli utenti, tratta (per scopi propri) i dati presenti nei siti
stessi assume la natura di Responsabile.)
APPLICABILITA' DELLA DIRETTIVA COMUNITARIA: (sul punto v, anche doc. WP 56).
Qualora il provider sia Responsabile del trattamento, ma non sia stabilito nella U.E., la
normativa comunitaria si applicherà laddove il provider stesso:
- abbia uno stabilimento nello Stato membro (non importa se trattasi di un ufficio, o una filiale,
o un'agenzia) e il trattamento sia effettuato nel contesto delle attività dello stabilimento
stesso2 (cioè assume un ruolo rilevante nel trattamento stesso, ad esempio perché si
conforma alle decisioni giudiziarie dello stato membro, oppure viene costituito per la vendita
di pubblicità mirata alla comunità locale, ovvero ancora è responsabile delle relazioni con gli
utenti, ecc...)
- faccia ricorso a strumenti situati nello stato membro; sul punto, nel rimandare a quanto
già espresso nella relazione sul doc. WP 56, si ricorda come i computer, i terminali ed i
2 V. anche sentenza della Corte Giustizia dd. 13.05.2014 con cui si è precisato che il trattamento si intende
effettuato “nel contesto” quando, alternativamente, (a) il gestore apre in uno stato membro una filiale o
succursale mediante la quale svolge un’effettiva attività di promozione (che remunera il servizio gestito oltre
confine), (b) ovvero la società controllante nomina la filiale stessa rappresentante per i contratti con i clienti
locali, (c) ovvero ancora laddove la filiale trasmetta alla società madre i reclami ricevuti.
server, così come l'uso di cookie o altri software analoghi, costituiscano uno
"strumento".