Privacy: nuove sentenze comparate in materia di protezione dei dati personali

Pubblicato sul Quotidiano Giuridico del 31 marzo 2017

In Francia, con una decisione dell’8 febbraio 2017, il Conseil d’État ha confermato il rifiuto del CNIL (Commission nationale de l’informatique et des libertés) di autorizzare la sperimentazione della raccolta dati dei passanti da parte di una nota agenzia di pubblicità concessionaria di cartellonistica stradale. La tecnologia utilizzata che avrebbe dovuto registrare il flusso dei pedoni nelle vicinanze di tali strumenti nel quartiere de La Défense di Parigi. Le obiezioni avanzate nei confronti della società concernevano principalmente il fatto che chiunque si trovasse a passare nei pressi dei cartelloni pubblicitari muniti della tecnologia in questione non fosse appropriatamente informato della raccolta dei dati e dei suoi diritti di accesso, opposizione e rettifica al trattamento. Il punto critico riguardava la raccolta dei dati in forma realmente anonima, in quanto le apparecchiature utilizzate sarebbero state in grado di intercettare, e identificare, i dispositivi mobili dotati di WiFi entro un raggio di 25 metri. Per rendere tali dati veramente anonimi, l’agenzia di pubblicità aveva progettato di troncare gli indirizzi MAC (acronimo di “Media Access Control”: si tratta di un codice univoco assegnato dal produttore ad ogni scheda di rete wireless). Secondo l’agenzia pubblicitaria, di tal guisa il rischio di identificazione dei passanti sarebbe divenuto trascurabile, tuttavia il Consiglio di Stato ha osservato che seppure questo sistema sia stato progettato per impedire l’accesso ai dati a terzi, il responsabile del loro trattamento sarebbe rimasto in grado di procedere all’identificazione della persona titolare dei medesimi ovvero interferire su di essi.
In Irlanda del Nord, la Court of Appeal in Northern Ireland ha emanato una attesissima sentenza in materia di responsabilità di Facebook per l’abuso di informazioni riservate e ha ribaltato la decisione di primo grado la quale stabiliva che il noto social network non fosse considerabile titolare del trattamento di dati personali. Invece, i giudici d’appello hanno affermato che Facebook Ireland è legittimato ad invocare la sua qualità di hosting ai sensi della direttiva sul commercio elettronico solo contro la domanda di risarcimento del danno per violazione del Data Protection Act 1998. Secondo la dottrina che immediatamente ha commentato la decisione (S. Peers) il punto nevralgico di questa decisione riguarda proprio il rapporto tra la direttiva in materia di commercio elettronico e la disciplina sulla protezione dei dati personali. In questa decisione la contraddizione tra la disciplina del commercio elettronico da un lato e la disciplina britannica sui dati personali dall’altro (e alla quale è sottoposta Facebook Irlanda) risulta evidente e la Corte d’Appello nordirlandese cerca di appianare tale contraddizione specificando che nonostante la protezione dei dati sia esclusa dalla disciplina del commercio elettronico, le pagine Facebook e i relativi commenti invece ricadano sotto questa disciplina. Tuttavia la Corte ha trascurato di affrontare la circostanza secondo cui agli utenti debba essere fornito un rimedio efficace per la tutela del loro diritto alla privacy senza che tale strumento giuridico debba dipendere a seconda del meccanismo tecnico utilizzato per il trattamento dei dati.

Advertisements