I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-05-21 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96824' · pdf

Le linee guida europee applicare il gdpr contributi

abstract:



Documento annotato il 21.05.2023 Fonte: GPDP
Link: https://www.gpdp.it/documents/10160/0/Applicare+il




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:




testo:

E

estimated reading time: 1902 min Le linee guida europee
2019-2022
CONTRIBUTI

Piazza Venezia n. 11 - 00187 Roma
Tel: +39 06.69677.1
Fax: +39 06.69677.3785
e-mail: protocollo@gpdp.it
posta cer tificata: protocollo@pec.gpdp.it
www.gpdp.it

Applicare il GDPR
Le linee guida europee
www.gpdp.it

Sommario
Prefazione 9
I diritti degli interessati 11
Premessa - I diritti degli interessati 12
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’obl
io
nel caso dei motori di ricerca, ai sensi del RGDP (parte 1) - Versione
2.0 14
Linee guida 5/2020 sul Consenso ai sensi del regolamento (UE) 34
2016/679 - Versione 1.1
Obblighi di titolari e responsabili - Accountability 79
Premessa - Obblighi di titolari e responsabili - Accountability 80
Linee guida 1/2019 sui codici di condotta e sugli organismi 86
di monitoraggio a norma del regolamento (UE) 2016/679 - Versione 2.0
Linea guida 2/2019 sul Trattamento di Dati personali ai sensi 122
dell’articolo 6, paragrafo 1, lettera b), del regolamento generale
sulla protezione dei dati nel contesto della fornitura di servizi online

agli interessati - Versione 2.0
Linee guida 3/2019 sul Trattamento dei Dati personali attraverso 144
dispositivi video - Versione 2.0
Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin 184
dalla progettazione e per impostazione predefinita - Versione 2.0
Linee guida 01/2020 sul Trattamento dei Dati personali nel contesto 224
dei veicoli connessi e delle applicazioni legate alla mobilità - Vers
ione 2.0
Linee guida 06/2020 sull’interazione tra la seconda direttiva sui ser
vizi 270
di pagamento e il GDPR - Versione 2.0
Linee guida 07/2020 sui concetti di Titolare del Trattamento 302
e Responsabile del Trattamento nel GDPR
Linee guida 8/2020 sul targeting degli utenti di social media - Versione
2.0 372
Linee guida 01/2021 su esempi riguardanti la notifica di una violazione 428
dei Dati personali - Versione 2.0
Linee guida 02/2021 sugli assistenti vocali virtuali - Versione 2.0 474
Garante per la protezione dei dati personali

Raccomandazioni 02/2021 sulla base giuridica per la conservazione 524
dei dati delle carte di credito al solo scopo di agevolare ulteriori
operazioni online
Decisione di esecuzione 2021/915 della Commissione europea 530
– Clausole contrattuali tipo titolare-responsabile del trattamento
Requisiti aggiuntivi di accreditamento degli organismi di certificazione 548
Requisiti di accreditamento degli organismi di monitoraggio dei codici 574
di condotta
Trasferimenti di dati verso paesi terzi e organismi internazionali 591
Premessa - Trasferimenti di dati verso paesi terzi e organismi 592
internazionali
Linee guida 2/2020 sull’articolo 46, paragrafo 2, lettera a), 596
e paragrafo 3, lettera b), del regolamento 2016/679 per i trasferimenti

di Dati personali tra autorità ed organismi pubblici del SEE e di pae
si
non appartenenti al SEE - Versione 2.0
Linee guida 4/2021 sui codici di condotta come strumento 620
per i trasferimenti - Versione 2.0
Raccomandazioni 01/2020 relative alle misure che integrano 642
gli strumenti di trasferimento al fine di garantire il rispetto del livello
di protezione dei Dati personali dell’UE - Versione 2.0
Raccomandazioni 2/2020 relative alle garanzie essenziali europee 700
per le misure di sorveglianza
Raccomandazioni 1/2021 sui criteri di riferimento per l’adeguatezza 718
ai sensi della direttiva sulla protezione dei dati nelle attività di
polizia
e giudiziarie
Dichiarazione in merito alla sentenza della Corte di giustizia 740
dell’Unione europea nella causa C-311/18 – Data Protection
Commissioner contro Facebook Ireland e Maximillian Schrems
Domande più frequenti in merito alla sentenza della Corte di giustizi
a 744
dell’Unione europea nella causa C-311/18 – Data Protection
Commissioner contro Facebook Ireland Ltd e Maximillian Schrems
Decisione di esecuzione 2021/914 della Commissione europea – 752
Clausole contrattuali tipo per trasferimenti dati verso paesi terzi

6
Meccanismi di applicazione del GDPR 785
Premessa - Meccanismi di applicazione del GDPR 786
Linee guida 3/2018 sull’ambito di applicazione territoriale del RGPD 788
(articolo 3) - Versione 2.1
Parere 8/2019 sulla competenza di un’autorità di controllo in caso
828
di mutamento delle circostanze relative allo stabilimento principale
o unico
Linee guida 9/2020 sull’obiezione pertinente e motivata ai sensi 840
del regolamento (UE) 2016/679 - Versione 2.0
Covid-19 859
Premessa - Covid-19 860
Linee guida 03/2020 sul Trattamento dei dati relativi alla salute a fini 862
di ricerca scientifica nel contesto dell’emergenza legata al COVID-19
Linee guida 04/2020 sull’uso dei dati di localizzazione e degli strum
enti 880
per il tracciamento dei contatti nel contesto dell’emergenza legata
al COVID-19
Dichiarazione sul Trattamento dei Dati personali nel contesto 906
dell’epidemia da COVID-19
Appendice 913
Riferimenti utili 914
Garante per la protezione dei dati personali

7

Torna a Indice
Garante per la protezione dei dati personali

9
Prefazione
Con il secondo volume di “Applicare il
GDPR”, il Garante offre una panorami-
ca completa dei documenti di indirizzo
e orientamento prodotti dal Comitato
europeo per la protezione dei dati fra il
25 maggio 2019 e la fine del 2022, per i
quali è disponibile una versione definitiva
(al netto, quindi, di consultazioni pubbli-
che o ulteriori perfezionamenti). L’obietti-
vo perseguito è lo stesso del precedente
volume: fornire uno strumento agile e
comprensivo, di consultazione e di riferi-
mento, destinato in primo luogo a titolari
e responsabili del trattamento, ma anche
ai responsabili della protezione dei dati,
chiamati ad assistere i primi nel dare at-
tuazione adeguata e integrale alle norme
del Regolamento europeo sulla protezio-
ne dei Dati personali (il GDPR). Il volume
offre, inoltre, chiarimenti e spunti di ri-
flessione a tutti coloro che vogliano com-
prendere e tutelare meglio i diritti fon-
damentali alla privacy e alla protezione
dei dati, che rappresentano strumenti di
democrazia prima ancora che facilitatori
dell’economia contemporanea.
L’arco temporale coperto da questa pub-
blicazione ha visto il manifestarsi di gran-
di sfide e problemi, non solo per la prote-
zione dei dati, ma per la società nel suo
complesso. In primis la pandemia di Co-
vid-19, che ha reso necessario disegnare
strumenti emergenziali di salute pubblica
garantendo sempre il corretto bilancia-
mento fra diritti egualmente fondamen-
tali, quali il diritto alla salute e quello alla tutela della propria sfera privata rispetto
a ingerenze ingiustificate o eccessive. Su
altri versanti, sono stati anni di intenso
lavoro per il Comitato europeo e le au-
torità, che hanno avuto modo di con-
frontarsi su questioni applicative a tutto
campo anche alla luce del sempre più
prepotente emergere di tecnologie perva-
sive e complesse come l’intelligenza arti-
ficiale in tutte le sue declinazioni. Vale la
pena aggiungere, in questa prospettiva,
che numerosi sono stati gli sviluppi nor-
mativi e giurisprudenziali riferiti alla pro-
tezione dei dati negli ultimi anni, e che di
tali sviluppi si coglie un riflesso anche nei
documenti qui presentati.
Tutta la documentazione è rinvenibile
sul sito del Comitato (www.edpb.euro-
pa.eu); il volume raccoglie anche alcuni
provvedimenti del Garante, disponibili
sul sito dell’autorità (www.gpdp.it), che
integrano o specificano le prescrizioni o
le raccomandazioni del Comitato. I do-
cumenti sono stati raggruppati in cinque
macro-aree, le stesse del precedente vo-
lume (diritti degli interessati, obblighi di
titolari e responsabili, principi relativi ai
trasferimenti internazionali di dati per-
sonali, meccanismi attuativi del GDPR)
oltre a una quinta, che si aggiunge alle
precedenti, per dare conto delle attività
a vario titolo connesse all’emergenza da
Covid-19. Completano il volume una se-
zione contenente link e riferimenti utili, e
un min i-glossario dei principali termini e
acronimi utilizzati nei testi qui raccolti.

Torna a Indice
Garante per la protezione dei dati personali

11
I diritti
degli interessati
1

12
Premessa
I diritti degli interessati
Il RGPD ha, da un lato, rafforzato i diritti riconosciuti agli interessati e, dall’altro
lato, ha introdotto nuovi diritti fra cui il diritto all’oblio.
Le linee guida sul Consenso (aggiornate alla versione 1.1. del 4 maggio 2020)
rappresentano, in questo senso, un esempio significativo. Pur essendo il consen-
so uno dei requisiti per trattare lecitamente Dati personali e non (soltanto) un
diritto degli interessati, il RGPD richiede uno sforzo di trasparenza maggiore da
parte dei titolari soprattutto quando vogliano ricorrere al Consenso per trattare
dati personali. Quindi l’EDPB ha chiarito, in particolare, cosa debba intendersi
per Consenso realmente ‘informato’, e come si declinano gli obblighi di traspa-
renza (non solo di informazione) rispetto agli interessati, con particolare riguar -
do proprio alla prestazione del consenso, anche evidenziando la possibilità di
alcune semplificazioni. Non si può dimenticare, infine, che molti dubbi hanno
accompagnato e accompagnano l’applicazione del requisito di un Consenso
“esplicito” per il Trattamento delle categorie particolari di Dati personali di cui
agli artt. 9 e 10 del RGPD, e anche su questo punto le linee guida offrono indica-
zioni operative ed esempi tratti dalla prassi quotidiana anche alla luce dei con-
tributi giunti dalla consultazione pubblica indetta dall’EDPB.
Con le linee guida 5/2019 in tema di diritto all’oblio (più correttamente, alla
cancellazione) e motori di ricerca, si sono fornite indicazioni specifiche sia sul-
le modalità per l’esercizio di uno dei diritti più innovativi sanciti dal RGPD, sia
sui criteri che possono assistere i titolari (ossia i motori di ricerca) nel rifiutare
agli interessati tale diritto. Le linee guida si compongono infatti di due parti: la
prima si sofferma sui presupposti che inducono l’interessato ad effettuare una
richiesta di deindicizzazione; la seconda, invece, esamina il regime di eccezio -
ni, che consentono al Titolare del Trattamento di non adempiere alla richiesta
dell’interessato. L’art. 17 del RGPD riconosce all’interessato il diritto di ottenere
dal Titolare del Trattamento la cancellazione dei Dati personali che lo riguarda-
no, senza ingiustificato ritardo, se sussiste almeno uno dei sei motivi elencati
Torna a Indice
I diritti degli interessati
Garante per la protezione dei dati personali

13
dalla lett. a) alla lett. f ) del suo paragrafo 1; l’EDPB li esamina tutti e di ciascuno
offre un’interpretazione orientata all’esperienza raccolta e alla giurisprudenza
(per esempio in tema di necessità del trattamento, di contemperamento con altri
diritti del Titolare in caso di opposizione al Trattamento da parte dell’interessato,
o rispetto alla nozione di illiceità del trattamento, e così via). Quanto alle ipotesi
in cui l’esercizio del diritto all’oblio può essere rifiutato dal titolare, le linee guida
si soffermano sul possibile contrasto fra cancellazione e “libertà di espressione”
alla luce della giurisprudenza Ue e CEDU nonché sulla possibile esistenza di ob -
blighi di pubblicazione sanciti per legge, e sottolineano come il motore di ricer -
ca debba essere in grado di dimostrare che la cancellazione di un determinato
contenuto della pagina dei risultati rappresenta un grave ostacolo o impedisce
del tutto il raggiungimento delle finalità di Archiviazione nell’interesse pubblico,
ricerca scientifica o storica o per scopi statistici.
Premessa

14
Linee guida 5/2019
sui criteri per l’esercizio del diritto all’oblio
nel caso dei motori di ricerca, ai sensi del RGPD
(parte 1) - Versione 2.0
Adottate il 7 luglio 2020
Torna a Indice | Premessa
I diritti degli interessati
Garante per la protezione dei dati personali

15
Cronologia delle versioni
Versione 2.07 luglio 2020Adozione delle Linee guida
dopo la consultazione pubblica
Versione 1.1 17 febbraio 2020Correzioni min ori
Versione 1.0 2 dicembre 2019Adozione delle Linee guida
per consultazione pubblica
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

16
Indice
Introduzione
1. Basi giuridiche di una richiesta di Deindicizzazione ai sensi del RGPD
1.1 Motivazione 1: il diritto di chiedere la Deindicizzazione quando i dati
personali non sono più necessari rispetto al Trattamento del fornitore
del motore di ricerca (articolo 17, paragrafo 1, lettera a))
1.2 Motivazione 2: il diritto di chiedere la deindecizzazione quando l’in-
teressato Revoca il Consenso nel caso in cui il fondamento giuridico
del Trattamento sia conforme all’articolo 6, paragrafo 1, lettera a)
1.3 Motivazione 3: il diritto di chiedere la Deindicizzazione quando l’in-
teressato ha esercitato il diritto di opporsi al Trattamento dei suoi dati
personali (articolo 17, paragrafo 1, lettera b))
1.4 Motivazione 4: il diritto di chiedere la Deindicizzazione quando i dati
personali sono stati trattati illecitamente (articolo 17, paragrafo 1,
lettera d))
1.5 Motivazione 5: il diritto di chiedere la Deindicizzazione quando i dati
personali sono stati cancellati per adempiere un obbligo legale (arti-
colo 17, paragrafo 1, lettera e))
1.6 Motivazione 6: il diritto di chiedere la Deindicizzazione quando i dati
personali sono stati raccolti relativamente all’offerta di servizi della
società dell’informazione a min ori (articolo 17, paragrafo 1, lettera f ))
2. Le eccezioni al diritto di chiedere la Deindicizzazione ai sensi dell’articolo
17, paragrafo 3
2.1 Il Trattamento è necessario per l’esercizio del diritto alla libertà di
espressione e di informazione
2.2 Il Trattamento è necessario per l’adempimento di un obbligo legale cui
è soggetto il Titolare del Trattamento o per l’esecuzione di un compito
svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di
cui è investito il Titolare del trattamento
2.2.1 Obbligo legale
2.2.2 Esecuzione di un compito svolto nel pubblico interesse oppure
nell’esercizio di pubblici poteri
2.3 Motivi di interesse pubblico nel settore della sanità pubblica
2.4 Finalità di Archiviazione nel pubblico interesse, di ricerca scientifica
o storica o finalità statistiche conformemente all’articolo 89, paragrafo
1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere
impossibile o di pregiudicare gravemente il conseguimento degli
obiettivi di tale trattamento
2.5 Accertamento, esercizio o difesa di un diritto in sede giudiziaria
I diritti degli interessati
Garante per la protezione dei dati personali

17
IL COMITATO EUROPEO PER LA PROTEZIONE DEI DATI
visto l’articolo 70, paragrafo 1, lettera e), del regolamento (UE) 2016/679 del Par -
lamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle
persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (in appresso «RGPD»),
visto l’accordo SEE, in particolare l’allegato XI e il protocollo n.  37 dello stesso,
modificati dalla decisione del Comitato misto SEE n. 154/2018 del 6 luglio 2018
1,
visti l’articolo 12 e l’articolo 22 del regolamento interno,
HA ADOTTATO LE SEGUENTI LINEE GUIDA:
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

18
INTRODUZIONE
1. In esito alla sentenza Costeja della Corte di giustizia dell’Unione europea
(«CGUE») del 13 maggio 2014
2, un interessato può richiedere al fornitore di
un motore di ricerca online («fornitore del motore di ricerca») 3, di cancel-
lare uno o più link verso pagine web dall’elenco di risultati che appare dopo
una ricerca effettuata a partire dal suo nome.
2. Secondo la relazione sulla trasparenza di Google
4, la percentuale di URL che
Google non ha rimosso dall’elenco non è aumentata nel corso degli ultimi
5 anni dopo l’emanazione di detta sentenza. Tuttavia, successivamente alla
sentenza della CGUE, gli interessati sembrano essere più consapevoli del
loro diritto di presentare un reclamo avverso il rifiuto delle loro richieste di
deindicizzazione, considerato che le autorità di controllo hanno osservato
un aumento del numero di reclami riguardanti il rifiuto da parte dei fornitori
di motori di ricerca di deindicizzare link.
3. Il comitato europeo per la protezione dei dati («comitato»), conformemente
al proprio piano d’azione, sta sviluppando linee guida in merito all’artico -
lo  17 del regolamento generale sulla protezione dei dati («RGPD»). Fino a
quando tali linee guida non saranno ultimate, le autorità di controllo devono
continuare a gestire e a svolgere indagini sui reclami presentati dagli inte -
ressati nella misura del possibile e in maniera ragionevolmente tempestiva.
4. Pertanto, il presente documento intende fornire un’interpretazione del di-
ritto all’oblio nei casi dei motori di ricerca alla luce delle disposizioni dell’ar -
ticolo  17 del RGPD (il «diritto di richiedere la deindicizzazione»). Difatti, il
diritto all’oblio è stato introdotto, in particolare, nel quadro dell’articolo 17
del RGPD per tenere conto del diritto di richiedere la Deindicizzazione stabi-
lito dalla sentenza Costeja.
5. Tuttavia, come previsto dalla direttiva 95/46/CE del 24 ottobre 1995 (la «di-
rettiva») e come statuito dalla CGUE nella succitata sentenza Costeja
5, il di-
ritto di richiedere la Deindicizzazione implica due diritti (il diritto di oppo -
sizione e il diritto alla cancellazione RGPD). L’applicazione dell’articolo 21 è
infatti espressamente prevista quale Terzo motivo per esercitare il diritto alla
cancellazione. Pertanto, sia l’articolo  17 sia l’articolo  21 del RGPD possono
fungere da fondamento giuridico per le richieste di deindicizzazione. Il dirit -
to di opposizione e il diritto di ottenere la cancellazione erano già stati rico -
nosciuti dalla direttiva. Tuttavia, come vedremo, la formulazione del RGPD
richiede un adeguamento dell’interpretazione di tali diritti.
6. A titolo preliminare occorre osservare che, mentre l’articolo  17 del RGPD è
applicabile a tutti i titolari del trattamento, il presente documento si concen-
tra esclusivamente sul Trattamento da parte dei fornitori di motori di ricerca
e sulle richieste di Deindicizzazione presentate dagli interessati.
7. Occorre svolgere alcune considerazioni per quanto concerne l’applicazione
dell’articolo  17 del RGPD in rapporto al Trattamento dei dati da parte di un
fornitore di motore di ricerca. A tal proposito, è necessario precisare che il
trattamento dei Dati personali effettuato nel quadro dell’attività del fornitore
I diritti degli interessati
Garante per la protezione dei dati personali

19
di un motore di ricerca deve essere distinto dal Trattamento operato degli
editori dei siti web di terzi (come i mezzi di comunicazione) che forniscono
contenuti giornalistici online
6.
8. Se un interessato ottiene la Deindicizzazione di un particolare contenuto, ciò
determina la cancellazione di tale contenuto specifico dall’elenco dei risul-
tati di ricerca relativi all’interessato, quando la ricerca è, in via generale, ef -
fettuata a partire dal suo nome. Il contenuto resterà tuttavia disponibile se
vengono utilizzati altri criteri di ricerca.
9. Le richieste di Deindicizzazione non comportano la cancellazione completa
dei dati personali. Infatti, i Dati personali non saranno cancellati né dal sito
web di origine né dall’indice e dalla cache del fornitore del motore di ricer -
ca. Ad esempio, un interessato può richiedere la rimozione dall’indice di un
motore di ricerca di Dati personali provenienti da un mezzo di comunicazio -
ne, quale un articolo di giornale. In questo caso, il link ai Dati personali può
essere rimosso dall’indice del motore di ricerca, ma l’articolo in questione
resterà comunque sotto il controllo del mezzo di comunicazione e può rima-
nere pubblicamente disponibile e accessibile, sebbene non sia più visibile
nei risultati di ricerca basati sulle interrogazioni che includono, in linea di
principio, il nome dell’interessato.
10. Tuttavia, i fornitori di motori di ricerca non sono esonerati, in via generale,
dall’obbligo di cancellazione completa. In alcuni casi eccezionali, dovranno
effettuare la cancellazione effettiva e completa dei propri indici o cache. Ad
esempio, nei casi in cui i fornitori di motori di ricerca non rispettassero più
le richieste robots.txt attuate dall’editore originario, avrebbero effettivamen-
te l’obbligo di cancellare completamente l’URL corrispondente al contenuto,
a differenza della Deindicizzazione che è principalmente basata sul nome
dell’interessato.
11. Il presente documento affronta due temi. Il primo tema riguarda i motivi che
un interessato può invocare per chiedere la Deindicizzazione a un fornitore
di motore di ricerca ai sensi dell’articolo 17, paragrafo 1, del RGPD. Il secon-
do riguarda le eccezioni al diritto di richiedere la Deindicizzazione ai sensi
dell’articolo 17, paragrafo 3, del RGPD. Il presente documento sarà integrato
da un allegato dedicato alla valutazione dei criteri per gestire i reclami rela-
tivi al diniego di un richiesta di deindicizzazione.
12. Il presente documento non tratta dell’articolo 17, paragrafo 2
7, del RGPD. Tale
articolo impone infatti ai titolari del Trattamento che hanno reso pubblici
dati personali di informare i titolari che hanno successivamente riutilizzato
tali Dati personali mediante link, copia o riproduzione. Tale obbligo di infor -
mazione non si applica ai fornitori di motori di ricerca quando trovano infor -
mazioni contenenti Dati personali pubblicate o rese disponibili su Internet
da terzi, le indicizzano in maniera automatica, le memorizzano temporane -
amente e infine le mettono a disposizione degli utenti di Internet secondo un
determinato ordine di preferenza
8. Inoltre, l’articolo non impone ai fornitori
di motori di ricerca, che hanno ricevuto una richiesta di Deindicizzazione da
parte di un interessato, di informare il Terzo che ha reso pubblica tale infor -
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

20
mazione su Internet. Questo obbligo intende rafforzare la responsabilità dei
titolari originari del Trattamento e impedire il moltiplicarsi delle iniziative
assunte dagli interessati. A tal proposito, rimane valido quanto affermato dal
gruppo “Articolo 29”, ossia che i fornitori di motori di ricerca «non dovrebbero,
quale prassi generale, informare i webmaster delle pagine deindicizzate del fatto che
non si riesca ad accedere ad alcune pagine web dal motore di ricerca in risposta ad
una specifica interrogazione» in quanto «non esiste alcun fondamento giuridico per
una tale comunicazione ai sensi della normativa UE sulla protezione dei dati»
9. Si
prevede di sviluppare linee guida specifiche e distinte anche in merito all’ar -
ticolo 17, paragrafo 2, del RGPD.
1. BASI GIURIDICHE DI UNA RICHIESTA DI Deindicizzazione AI SENSI
DEL RGPD
13. Il diritto di richiedere la Deindicizzazione previsto dall’articolo 17 del RGPD
non inficia le conclusioni della sentenza Costeja, in cui la CGUE ha statuito
che una richiesta di Deindicizzazione trovava fondamento nel diritto di retti-
fica/cancellazione e nel diritto di opposizione ai sensi, rispettivamente, degli
articoli 12 e 14 della direttiva.
14. L’articolo  17, paragrafo  1, stabilisce un principio generale per cancellare i
dati nei sei casi seguenti:
a. i Dati personali non sono più necessari rispetto alle finalità per le quali
sono stati raccolti o altrimenti trattati (articolo 17, paragrafo 1, lettera a);
b. l’interessato Revoca il Consenso su cui si basa il Trattamento (articolo 17,
paragrafo 1, lettera b);
c. l’interessato esercita il diritto di opporsi al Trattamento dei suoi dati per -
sonali ai sensi dell’articolo 21, paragrafi 1 e 2, del RGPD;
d. i Dati personali sono stati trattati illecitamente (articolo 17, paragrafo 1, let -
tera d);
e. la cancellazione adempie un obbligo legale (articolo 17, paragrafo 1, lettera e);
f. i Dati personali sono stati raccolti relativamente all’offerta di servizi della
società dell’informazione a min ori (articolo  17, paragrafo  1, lettera f ), che
rinvia all’articolo 8, paragrafo 1).
15. Sebbene tutti i motivi di cui all’articolo  17 siano teoricamente applicabili
quando si tratta di procedere a una deindicizzazione, in pratica alcuni non
verranno mai utilizzati o lo saranno solo raramente, come nel caso della re -
voca del Consenso (cfr. motivo 2 di seguito).
16. Un interessato potrebbe tuttavia presentare una richiesta di deindicizzazio -
ne a un fornitore di motori di ricerca sulla base di uno o più motivi. Ad esem-
pio, un interessato potrebbe richiedere la Deindicizzazione perché non ritie -
ne più necessario che i suoi Dati personali siano trattati dal motore di ricerca
(articolo  17, paragrafo  1, lettera a)) ed esercitare anche il diritto di opporsi
al Trattamento ai sensi dell’articolo  21, paragrafo  1, del RGPD (articolo  17,
paragrafo 1, lettera c)).
17. Onde valutare i reclami riguardanti un fornitore di motori di ricerca che si è
I diritti degli interessati
Garante per la protezione dei dati personali

21
rifiutato di cancellare un particolare risultato di ricerca ai sensi dell’artico-
lo  17 del RGPD, le autorità di controllo dovrebbero stabilire se il contenuto
cui si riferisce un URL debba essere deindicizzato o meno. Nell’analizzare il
merito del reclamo, le autorità dovrebbero quindi tenere conto della natura
del contenuto reso disponibile dagli editori dei siti web terzi.
1.1 MOTIVAZIONE 1: IL DIRITTO DI CHIEDERE LA Deindicizzazione QUANDO
I Dati personali NON SONO PIÙ NECESSARI RISPETTO AL Trattamento
DEL FORNITORE DEL MOTORE DI RICERCA (ARTICOLO 17, PARAGRAFO 1,
LETTERA A))
18. Ai sensi dell’articolo 17, paragrafo 1, lettera a), del RGPD, un interessato può
richiedere a un fornitore di motore di ricerca, a seguito di una ricerca effet -
tuata in via generale a partire dal suo nome, di rimuovere contenuti dall’e -
lenco dei risultati di ricerca, qualora i Dati personali dell’interessato apparsi
in questi risultati di ricerca non siano più necessari rispetto alle finalità del
trattamento del motore di ricerca.
19. Questa disposizione consente a un interessato di chiedere la deindicizzazio -
ne delle informazioni personali che lo riguardano rese accessibili per un pe -
riodo superiore a quello necessario per il Trattamento ad opera del fornitore
del motore di ricerca. Tuttavia, tale Trattamento è effettuato in particolare
per rendere le informazioni più facilmente accessibili agli utenti di Internet.
Nell’ambito del diritto di chiedere la deindicizzazione, deve essere raggiunto
un equilibrio tra la tutela della vita privata e gli interessi degli utenti di In-
ternet ad avere accesso all’informazione. In particolare, occorre valutare se
con il passare del tempo i Dati personali siano diventati obsoleti o non siano
stati aggiornati.
20. Ad esempio, un interessato può esercitare il diritto di chiedere la deindiciz -
zazione ai sensi dell’articolo 17, paragrafo 1, lettera a), quando:
• le informazioni che lo riguardano detenute da un’impresa sono state elimi-
nate dal registro pubblico;
• un link a un sito web di un’azienda contiene i suoi dati di contatto sebbene
non lavori più per quell’azienda;
• è necessario pubblicare informazioni su Internet per diversi anni in adem-
pimento di un obbligo legale e queste sono rimaste online per un periodo di
tempo superiore a quanto specificato dalla legislazione.
21. Come dimostrato dagli esempi, un interessato può chiedere in particolare la
deindicizzazione di un determinato contenuto, laddove le informazioni per -
sonali siano chiaramente inesatte perché obsolete o datate. Una tale valuta-
zione dipenderà, tra l’altro, dalle finalità del Trattamento originario. Di conse -
guenza, le autorità di controllo dovrebbero anche tenere conto dei periodi di
conservazione iniziali dei dati personali, ove disponibili, allorché effettuano
la loro analisi in merito alle richieste di Deindicizzazione ai sensi dell’artico -
lo 17, paragrafo 1, lettera a), del RGPD.
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

22
1.2 MOTIVAZIONE 2: IL DIRITTO DI CHIEDERE LA Deindicizzazione
QUANDO L’INTERESSATO Revoca IL Consenso NEL CASO IN CUI
IL FONDAMENTO GIURIDICO DEL Trattamento SIA CONFORME
ALL’ARTICOLO 6, PARAGRAFO 1, LETTERA A), O ALL’ARTICOLO 9, PARAGRAFO 2,
LETTERA A), DEL RGPD E SE NON SUSSISTE ALTRO FONDAMENTO GIURIDICO
PER IL Trattamento (ARTICOLO 17, PARAGRAFO 1, LETTERA B))
22. Ai sensi dell’articolo 17, paragrafo 1, lettera b), del RGPD, un interessato può
ottenere la cancellazione dei Dati personali che lo riguardano se Revoca il
consenso al trattamento.
23. In caso di deindicizzazione, ciò significherebbe che il fornitore del motore di
ricerca si sarebbe avvalso del Consenso dell’interessato quale base legale per
il trattamento. L’articolo 17, paragrafo 1, del RGPD solleva infatti la questio -
ne della base legale del Trattamento utilizzata da un fornitore del motore di
ricerca per produrre i risultati del motore di ricerca, tra cui i dati personali.
24. Per tale ragione, sembra improbabile che una richiesta di Deindicizzazione
sia presentata da un interessato che desideri revocare il Consenso perché
il Titolare del trattamento, a cui ha dato il proprio consenso, è l’editore web
e non il gestore del motore di ricerca che indicizza i dati. Questa interpre -
tazione è stata confermata dalla CGUE nella propria sentenza C-136-17 del
24 settembre 2019 (la «sentenza Google 2»)
10. La Corte indica che «(...) il con -
senso deve essere “specifico” e vertere quindi specificamente sul Trattamento effettua -
to nell’ambito dell’attività del motore di ricerca (...). Orbene, in pratica è difficilmente
ipotizzabile (...) che il gestore di un motore di ricerca chieda il Consenso esplicito degli
interessati prima di procedere, per le necessità della sua attività di indicizzazione, al
trattamento dei Dati personali che li riguardano. In ogni caso, (...) il fatto stesso che
una persona presenti una richiesta di Deindicizzazione significa, in linea di principio,
che, quanto meno alla data di tale richiesta, non acconsente più al Trattamento effet -
tuato dal gestore del motore di ricerca.»
25. Ciononostante, se un interessato revocasse il proprio Consenso a utilizzare
i suoi dati su una particolare pagina web, l’editore originario di tale pagina
web dovrebbe informare i fornitori di motori di ricerca che hanno indicizza-
to i dati ai sensi dell’articolo 17, paragrafo 2, del RGPD. L’interessato avrebbe
comunque diritto a ottenere la Deindicizzazione dei Dati personali che lo ri-
guardano, ma in tal caso ai sensi dell’articolo 17, paragrafo 1, lettera c).
1.3 MOTIVAZIONE 3: IL DIRITTO DI CHIEDERE LA Deindicizzazione QUANDO
L’INTERESSATO HA ESERCITATO IL DIRITTO DI OPPORSI AL Trattamento
DEI SUOI Dati personali (ARTICOLO 17, PARAGRAFO 1, LETTERA C))
26. Ai sensi dell’articolo 17, paragrafo 1, lettera c) del RGPD, un interessato può
ottenere la cancellazione dei Dati personali che lo riguardano dal fornitore
del motore di ricerca, laddove l’interessato si opponga al Trattamento ai sensi
dell’articolo 21, paragrafo 1, del RGPD e non sussiste alcun motivo legittimo
prevalente per procedere al Trattamento ad opera del titolare.
I diritti degli interessati
Garante per la protezione dei dati personali

23
27. Il diritto di opposizione offre agli interessati maggiori garanzie, poiché non
limita i motivi in base ai quali gli interessati possono chiedere la deindiciz -
zazione come invece avviene nel caso dell’articolo 17, paragrafo 1, del RGPD.
28. Il diritto di opporsi al Trattamento è stato previsto dall’articolo 14 della diret -
tiva
11 e ha costituito un fondamento giuridico delle richieste di deindicizza-
zione sin dalla sentenza Costeja. Tuttavia, le differenze nella formulazione
dell’articolo 21 del RGPD e dell’articolo 14 della direttiva indicano che vi pos -
sono essere anche differenze nella rispettiva applicazione.
29. Ai sensi della direttiva, l’interessato doveva basare la propria richiesta su
«motivi preminenti e legittimi, derivanti dalla sua situazione particolare». Quanto
al RGPD, un interessato può opporsi al Trattamento «per motivi connessi alla sua si-
tuazione particolare». Pertanto, questi non deve più dimostrare l’esistenza di
«motivi preminenti e legittimi».
30. Il RGPD modifica pertanto l’onere della prova, stabilendo una presunzione a
favore dell’interessato e obbligando, al contrario, il Titolare del Trattamento a
dimostrare l’esistenza di «motivi legittimi cogenti per procedere al trattamento»
(articolo 21, paragrafo 1). Pertanto, quando un fornitore di motore di ricerca
riceve una richiesta di Deindicizzazione fondata sulla situazione particolare
dell’interessato, è tenuto ora a cancellare i Dati personali ai sensi dell’arti-
colo  17, paragrafo  1, lettera c), del RGPD, a meno che possa dimostrare che
sussiste un «motivo legittimo prevalente» per l’inclusione in un elenco dello
specifico risultato di ricerca che, in combinato disposto con l’articolo 21, pa-
ragrafo 1, configuri «motivi legittimi cogenti (...) che prevalgono sugli interessi, sui
diritti e sulle libertà dell’interessato». Il fornitore del motore di ricerca può sta-
bilire se sussiste un «motivo legittimo prevalente», inclusa qualsiasi esenzione
prevista dall’articolo  17, paragrafo  3, del RGPD. Tuttavia, se il fornitore del
motore di ricerca non dimostra l’esistenza di un motivo legittimo prevalente,
l’interessato ha il diritto di ottenere la Deindicizzazione ai sensi dell’artico -
lo 17, paragrafo 1, lettera c), del RGPD. Di fatto, le richieste di deindicizzazio -
ne comportano ora la necessità di un bilanciamento tra le ragioni riguardan-
ti la situazione particolare dell’interessato e i motivi legittimi e cogenti del
fornitore del motore di ricerca. Il bilanciamento tra la tutela della vita privata
e gli interessi degli utenti di Internet ad avere accesso all’informazione come
stabilito dalla CGUE nella sentenza Costeja può essere pertinente ai fini di
questa valutazione, così come quello realizzato dalla Corte europea dei diritti
dell’uomo (Corte EDU) nelle sentenze relative alla libertà di informazione.
31. Pertanto, i criteri di Deindicizzazione definiti dal gruppo ”Articolo  29” nel-
le linee guida sull’attuazione della sentenza della Corte di giustizia dell’U -
nione nella causa C-131/12 «Google Spain SL e Google Inc. contro Agencia
Española de Protección de Datos (AEPD) e Mario Costeja González» possono
ancora essere utilizzati dai fornitori di motori di ricerca e dalle autorità di
controllo per valutare una richiesta di Deindicizzazione fondata sul diritto di
opposizione (articolo 17, paragrafo 1, lettera c), del RGPD).
32. A tal proposito, la richiesta di Deindicizzazione si fonderà sulla «situazione
particolare» dell’interessato (ad esempio, la circostanza per cui un risultato
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

24
di ricerca arreca danno a un interessato nella ricerca di un impiego o min a la
sua reputazione nella vita personale) che sarà presa in considerazione nello
stabilire il bilanciamento tra i diritti personali e il diritto all’informazione, in
aggiunta ai criteri classici per gestire le richieste di deindicizzazione, quali:
• l’interessato non è una figura pubblica;
• le informazioni in questione non sono attinenti alla vita professionale
dell’interessato, ma si ripercuotono sulla sua vita privata;
• le informazioni costituiscono incitamento all’odio, calunnia, diffamazio -
ne o analoghi reati di opinione contro l’interessato come sancito da una
decisione giudiziale;
• i dati sembrano verificati, ma sono di fatto inesatti;
• le informazioni si riferiscono a un reato di gravità relativamente min ore
commesso molto tempo prima e arrecano pregiudizio all’interessato.
33. Tuttavia, tali criteri non dovranno essere esaminati in assenza di elementi
che comprovino la sussistenza di motivi legittimi e cogenti per rifiutare la
richiesta.
1.4 MOTIVAZIONE 4: IL DIRITTO DI CHIEDERE LA Deindicizzazione
QUANDO I Dati personali SONO STATI TRATTATI ILLECITAMENTE
(ARTICOLO 17, PARAGRAFO 1, LETTERA D))
34. Ai sensi dell’articolo 17, paragrafo 1, lettera d), del RGPD, un interessato può
ottenere la cancellazione dei Dati personali che lo riguardano nel caso in cui
questi siano stati trattati illecitamente.
35. Il concetto di Trattamento illecito va innanzitutto interpretato alla luce
dell’articolo 6 del RGPD sulla liceità del trattamento. Gli altri principi stabiliti
dal RGPD (come i principi dell’articolo 5 del RGPD o di altre disposizioni del
capo II) possono contribuire a tale interpretazione.
36. Questo concetto va, in secondo luogo, interpretato estensivamente quale vio -
lazione di una disposizione di legge diversa dal RGPD. Tale interpretazione
deve basarsi su elementi oggettivi alla luce del diritto o della giurisprudenza
nazionali. Ad esempio, una richiesta di Deindicizzazione è accolta laddove
l’indicizzazione è stata vietata espressamente da un’ordinanza del tribunale.
Qualora un fornitore di motore di ricerca non sia in grado di dimostrare
l’esistenza di un fondamento giuridico per il trattamento, una richiesta di
deindicizzazione può rientrare nell’ambito di applicazione dell’articolo  17,
paragrafo  1, lettera d), del RGPD, poiché il Trattamento dei Dati personali in
questi casi deve essere considerato illecito. Tuttavia, occorre ricordare che
nel caso di illiceità del Trattamento originario, l’interessato ha comunque il
diritto di chiedere la Deindicizzazione ai sensi dell’articolo  17, paragrafo  1,
lettera c), del RGPD.
I diritti degli interessati
Garante per la protezione dei dati personali

25
1.5 MOTIVAZIONE 5: IL DIRITTO DI CHIEDERE LA Deindicizzazione QUANDO
I Dati personali SONO STATI CANCELLATI PER ADEMPIERE UN OBBLIGO
LEGALE (ARTICOLO 17, PARAGRAFO 1, LETTERA E))
37. Ai sensi dell’articolo 17, paragrafo 1, lettera e), del RGPD, un interessato può
chiedere al fornitore del motore di ricerca di deindicizzare uno o più risul-
tati di ricerca, se i Dati personali devono essere cancellati per adempiere un
obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è sog-
getto il fornitore del motore di ricerca.
38. La necessità di adempiere un obbligo legale può derivare da un’ingiunzio -
ne, da una espressa previsione del diritto interno o dell’Unione in quanto
sussiste un «obbligo legale alla cancellazione» o dalla semplice violazione
del periodo di conservazione da parte del fornitore del motore di ricerca. Un
esempio potrebbe essere rappresentato dalla non osservanza del periodo
di conservazione fissato per legge (anche se questa ipotesi riguarda princi-
palmente i documenti pubblici). In un caso del genere potrebbero ricadere
anche dati non anonimizzati o identificativi messi a disposizione come dati
aperti.
1.6 MOTIVAZIONE 6: IL DIRITTO DI CHIEDERE LA Deindicizzazione QUANDO
I Dati personali SONO STATI RACCOLTI RELATIVAMENTE ALL’OFFERTA
DI SERVIZI DELLA SOCIETÀ DELL’INFORMAZIONE A Minori (ARTICOLO  17,
PARAGRAFO 1, LETTERA F))
39. Ai sensi dell’articolo 17, paragrafo 1, lettera f ), del RGPD, un interessato può
chiedere a un fornitore del motore di ricerca di deindicizzare uno o più risul-
tati se i Dati personali sono stati raccolti relativamente all’offerta di servizi
della società dell’informazione a min ori, nei termini di cui all’articolo 8, pa-
ragrafo 1, del RGPD.
40. L’articolo riguarda l’offerta diretta di servizi della società dell’informazione e
nessun altro tipo di trattamento. Il RGPD non definisce i servizi della società
dell’informazione, ma rimanda alle definizioni esistenti nel diritto dell’UE
12.
Vi sono difficoltà nell’interpretazione in quanto il considerando 18 della
direttiva  2000/31/CE del Parlamento europeo e del Consiglio, dell’8  giu-
gno  2000, fornisce una definizione ampia e ambigua del concetto di «offer -
ta diretta di servizi della società dell’informazione». Essa indica soprattutto che
questi servizi «abbracciano una vasta gamma di attività economiche svolte in linea
(on line)», ma specifica che non si tratta esclusivamente di «servizi che portano
a stipulare contratti in linea ma anche di servizi non remunerati dal loro destina -
tario, nella misura in cui costituiscono un’attività economica, come l’offerta di
informazioni o comunicazioni commerciali in linea o la fornitura di strumenti per
la ricerca, l’accesso e il reperimento di dati», definendo poi i criteri di un’attività
economica.
41. Da quanto precede si desume che le attività dei fornitori di motori di ricer -
ca rientrano probabilmente nell’ambito di applicazione dell’offerta diret -
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

26
ta di servizi della società dell’informazione. Tuttavia, i fornitori di motori
di ricerca non verificano se i Dati personali che indicizzano riguardino o
meno un min ore. Alla luce delle loro specifiche responsabilità e fatta salva
l’applicazione dell’articolo  17, paragrafo  3, del RGPD, essi dovrebbero però
deindicizzare un contenuto riguardante un min ore ai sensi dell’articolo  17,
paragrafo 1, lettera c), del RGPD, riconoscendo che il fatto di essere un min o -
re è un valido «motivo connesso ad una situazione particolare» (articolo 21
del RGPD) e che «i min ori meritano una specifica protezione relativamente ai loro
dati personali»” (considerando 38 del RGPD). In tal caso, deve essere preso in
considerazione l’ambito della raccolta dei Dati personali da parte del Titolare
del trattamento. In particolare, si deve tenere conto della data di inizio del
trattamento da parte del sito web originario quando un interessato chiede la
deindicizzazione dello specifico contenuto.
2. LE ECCEZIONI AL DIRITTO DI CHIEDERE LA Deindicizzazione AI SENSI
DELL’ARTICOLO 17, PARAGRAFO 3
42. L’articolo 17, paragrafo 3, del RGPD afferma che i paragrafi 1 e 2 dell’artico -
lo 17 del RGPD non si applicheranno quando il Trattamento è necessario: a. per l’esercizio del diritto alla libertà di espressione e di informazione (ar-
ticolo 17, paragrafo 3, lettera a));
b. per l’adempimento di un obbligo legale che richieda il Trattamento previ-
sto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare
del Trattamento o per l’esecuzione di un compito svolto nel pubblico in-
teresse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare
del Trattamento (articolo 17, paragrafo 3, lettera b));
c. per motivi di interesse pubblico nel settore della sanità pubblica in con-
formità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, para-
grafo 3 (articolo 17, paragrafo 3, lettera c));
d. a fini di Archiviazione nel pubblico interesse, di ricerca scientifica o sto -
rica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella
misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile
o di pregiudicare gravemente il conseguimento degli obiettivi di tale trat -
tamento (articolo 17, paragrafo 3, lettera d)); o
e. per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria
(articolo 17, paragrafo 3, lettera e)).
43. Questa sezione intende dimostrare che la maggior parte delle eccezioni di
cui all’articolo  17, paragrafo  3, del RGPD non sembrano attagliarsi alle ri-
chieste di deindicizzazione. Tale inadeguatezza depone a favore dell’appli-
cazione dell’articolo 21 del RGPD per le richieste di deindicizzazione. In ogni
caso, occorre ricordare che le eccezioni di cui all’articolo  17, paragrafo  3,
del RGPD possono essere invocate quali motivi legittimi prevalenti ai sensi
dell’articolo 17, paragrafo 1, lettera c), del RGPD.
I diritti degli interessati
Garante per la protezione dei dati personali

27
2.1 IL Trattamento È NECESSARIO PER L’ESERCIZIO DEL DIRITTO ALLA LI-
BERTÀ DI ESPRESSIONE E DI INFORMAZIONE
44. Questa eccezione all’applicazione dell’articolo  17, paragrafo  1, del RGPD
deve essere interpretata e applicata nell’ambito delle caratteristiche che de -
finiscono la cancellazione. L’articolo  17, paragrafo  1, del RGPD è formula-
to nei termini di un mandato chiaro e incondizionato rivolto ai titolari del
trattamento. Se le condizioni stabilite nell’articolo 17, paragrafo 1, del RGPD,
sono soddisfatte, il Titolare del Trattamento «ha l’obbligo di cancellare senza in -
giustificato ritardo i dati personali». Tuttavia, non si tratta di un diritto assoluto.
Le eccezioni di cui all’articolo 17, paragrafo 3, del RGPD, individuano i casi in
cui questo obbligo non si applica.
45. Tuttavia, l’equilibrio tra la tutela dei diritti delle parti interessate e la libertà
di espressione, incluso il libero accesso alle informazioni, costituisce parte
integrante dell’articolo 17 del RGPD.
46. La CGUE ha riconosciuto nella sentenza Costeja, e lo ha ripetuto di recente
nella sentenza Google 2, che il Trattamento effettuato da un fornitore di mo -
tore di ricerca può incidere significativamente sui diritti fondamentali alla
vita privata e alla protezione dei dati quando la ricerca è effettuata utilizzan-
do il nome di un interessato.
47. Nel valutare i diritti e le libertà degli interessati e gli interessi degli utenti di
Internet ad avere accesso all’informazione tramite il fornitore del motore di
ricerca, la Corte ha fornito la seguente interpretazione: «Se indubbiamente i
diritti della persona interessata tutelati da tali articoli prevalgono, di norma, anche
sul citato interesse degli utenti di Internet, tale equilibrio può nondimeno dipendere,
in casi particolari, dalla natura dell’informazione di cui trattasi e dal suo carattere
sensibile per la vita privata della persona suddetta, nonché dall’interesse del pubblico
a disporre di tale informazione, il quale può variare, in particolare, a seconda del
ruolo che tale persona riveste nella vita pubblica.»
13
48. La Corte ha altresì ritenuto che i diritti degli interessati prevarranno, in linea
generale 14, sull’interesse degli utenti di Internet ad avere accesso all’infor -
mazione tramite il fornitore del motore di ricerca. Tuttavia, ha individuato
diversi fattori che possono influenzare tale determinazione. Tra di essi figu-
rano: la natura dell’informazione o il suo carattere sensibile, in particolare
l’interesse degli utenti di Internet ad avere accesso all’informazione, il quale
può variare a seconda del ruolo che tale persona interessata riveste nella vita
pubblica.
49. L’analisi svolta dalla Corte in tema di Deindicizzazione implica che, nel va-
lutare le richieste di deindicizzazione, la decisione sul mantenimento o
il blocco dei risultati di ricerca da parte del fornitore del motore di ricerca
debba necessariamente valutare quale sarebbe l’impatto di una decisione di
deindicizzazione sull’accesso alle informazioni da parte degli utenti di Inter -
net
15. Tale impatto non comporta per forza di cose il rigetto di una richiesta
di deindicizzazione. Come confermato dalla Corte, una tale interferenza con
i diritti fondamentali dell’interessato deve essere giustificata dall’interesse
preponderante del pubblico ad avere accesso all’informazione.
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

28
50. La Corte ha altresì distinto tra la legittimità della diffusione di informazio -
ni da parte dell’editore di un sito web e la legittimità di tale diffusione da
parte del fornitore del motore di ricerca. La Corte ha riconosciuto che l’atti-
vità di un editore web può perseguire esclusivamente i fini giornalistici, nel
qual caso l’editore web beneficerebbe delle esenzioni che gli Stati membri
possono stabilire in questi casi sulla base dell’articolo  9 della direttiva (at -
tualmente articolo 85, paragrafo 2, del RGPD). A tal proposito, nella sentenza
«M.L. e W.W. contro Germania», del 28  giugno  2018, la Corte EDU indica che
l’equilibrio degli interessi in gioco può produrre risultati diversi in base alla
specifica richiesta – distinguendo tra i) una richiesta di cancellazione rivolta
all’editore originario, la cui attività è il nucleo essenziale di ciò che mira a
tutelare la libertà di espressione e ii) una richiesta nei confronti del motore
di ricerca, il cui primo interesse non è quello di pubblicare le informazioni
originarie sull’interessato, ma consentire in particolare l’identificazione del-
le informazioni disponibili su tale persona e dunque stabilire il suo profilo.
51. Queste considerazioni dovrebbero trovare applicazione in relazione ai recla-
mi concernenti l’articolo  17 del RGPD, dal momento che nelle decisioni in
materia i diritti degli interessati che hanno chiesto la Deindicizzazione de -
vono essere valutati alla luce degli interessi degli utenti di Internet ad avere
accesso all’informazione.
52. Come chiarito dalla CGUE nella sentenza Google 2, l’articolo 17, paragrafo 3,
lettera a), del RGPD è «espressione del fatto che il diritto alla protezione dei dati
personali non è un diritto assoluto, ma deve (...) essere considerato in relazione alla
sua funzione sociale ed essere bilanciato con altri diritti fondamentali, conforme -
mente al principio di proporzionalità»
16. Esso «prevede quindi espressamente il re -
quisito del bilanciamento tra, da un lato, i diritti fondamentali al rispetto della vita
privata e alla protezione dei dati personali, sanciti agli articoli 7 e 8 della Carta e,
d’altro lato, il diritto fondamentale alla libertà di informazione, garantito dall’arti-
colo 11 della Carta.»
17
53. La Corte conclude che «il gestore di un motore di ricerca, quando riceve una richie -
sta di Deindicizzazione riguardante un link verso una pagina web nella quale sono
pubblicati Dati personali rientranti nelle categorie particolari (...), deve – sulla base
di tutti gli elementi pertinenti della fattispecie e tenuto conto della gravità dell’inge -
renza nei diritti fondamentali della persona interessata al rispetto della vita privata
e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta – verificare,
alla luce dei motivi di interesse pubblico rilevante (...), se l’inserimento di detto link
nell’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal
nome della persona in questione, si riveli strettamente necessario per proteggere la
libertà di informazione degli utenti di Internet potenzialmente interessati ad avere
accesso a tale pagina web mediante una ricerca siffatta, libertà che è sancita all’arti-
colo 11 della Carta.»
18
54. Per concludere, a seconda delle circostanze del caso, i fornitori di motori di
ricerca possono rifiutare la Deindicizzazione di un contenuto qualora pos -
sano dimostrare che l’inserimento di tale contenuto nell’elenco di risultati
è strettamente necessario per la tutela della libertà di informazione degli
utenti di Internet.
I diritti degli interessati
Garante per la protezione dei dati personali

29
2.2 IL Trattamento È NECESSARIO PER L’ADEMPIMENTO DI UN OBBLIGO
LEGALE CUI È SOGGETTO IL Titolare DEL Trattamento
O PER L’ESECUZIONE DI UN COMPITO SVOLTO NEL PUBBLICO INTERESSE
OPPURE NELL’ESERCIZIO DI PUBBLICI POTERI DI CUI È INVESTITO
IL Titolare DEL TRATTAMENTO
55. Il contenuto di questa eccezione è difficilmente applicabile all’attività dei
fornitori di motori di ricerca e può influire sulle decisioni di deindicizzare
alcuni risultati, poiché il Trattamento dei dati da parte dei fornitori di motori
di ricerca si basa, in linea di principio, sul loro legittimo interesse.
2.2.1. OBBLIGO LEGALE
56. È difficile immaginare l’esistenza di disposizioni di legge che obblighino i
fornitori di motori di ricerca a divulgare determinate informazioni. Tale cir -
costanza deriva dal tipo di attività svolta dai fornitori in questione, i quali
non producono né presentano informazioni.
57. Pertanto, si ritiene improbabile che il diritto di uno Stato membro preveda
l’obbligo per i fornitori di motori di ricerca di pubblicare determinati tipi di
informazione, anziché stabilire che l’obbligo di procedere a tale pubblica-
zione debba essere assolto da altre pagine web che saranno poi collegate dai
fornitori di motori di ricerca.
58. Analoghe considerazioni valgono quanto alla possibilità che il diritto dell’U -
nione o dello Stato membro consenta a un’autorità pubblica di prendere de -
cisioni che obblighino i fornitori di motori di ricerca a pubblicare informa-
zioni direttamente anziché mediante i link URL alla pagina web dove sono
contenute le informazioni.
59. Qualora il diritto di uno Stato membro stabilisca l’obbligo per i fornitori di
motori di ricerca di pubblicare decisioni o documenti contenenti informa-
zioni personali, o autorizzi le autorità pubbliche a esigere tale pubblicazione,
si dovrebbe applicare l’eccezione di cui all’articolo 17, paragrafo 3, lettera b),
del RGPD.
60. Nell’applicare l’eccezione suddetta occorre tenere conto dei termini in cui
è stabilita, ovvero del fatto che il mantenimento dell’informazione in que -
stione è necessario per ottemperare all’obbligo legale di pubblicazione. Ad
esempio, il fatto che un obbligo legale o la decisione assunta da un’autorità
a ciò legittimata possa prevedere un termine per la pubblicazione o finalità
espressamente dichiarate che possano essere conseguite entro un determi-
nato periodo di tempo. In questi casi, se la richiesta di Deindicizzazione è
presentata oltre i rispettivi termini, si dovrebbe ritenere che l’eccezione non
sia più applicabile.
61. Al contrario, accade di frequente che il diritto di uno Stato membro preveda
la pubblicazione su pagine web di informazioni contenenti dati personali.
Quest’obbligo legale di pubblicare o mantenere pubblicate determinate in-
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

30
formazioni non può essere considerato pertinente ai fini dell’eccezione di
cui all’articolo  17, paragrafo  3, lettera b), del RGPD, poiché non è rivolto al
fornitore del motore di ricerca, bensì agli editori web i cui contenuti sono po -
sti in connessione dall’indice del fornitore del motore di ricerca. Quest’ulti-
mo non può pertanto invocare l’esistenza dell’obbligo suddetto per rigettare
una richiesta di deindicizzazione.
62. Tuttavia, l’obbligo legale di pubblicazione posto in capo agli altri editori web
dovrebbe essere tenuto in considerazione quando si effettua il bilanciamen-
to tra i diritti degli interessati e l’interesse degli utenti di Internet ad avere
accesso all’informazione. Il fatto che un’informazione debba essere pubbli-
cata online per obblighi di legge o in seguito alla decisione assunta da un’au-
torità a ciò legittimata è indicativo di un interesse del pubblico ad avere la
possibilità di accedere a tale informazione.
63. Questa presunzione dell’esistenza di un interesse prevalente del pubbli-
co non è applicabile negli stessi termini alle pagine web originarie rispetto
all’indice dei risultati di un fornitore di motore di ricerca. Sebbene l’obbli-
go legale di pubblicare informazioni su un determinato sito web possa far
concludere che tali informazioni non debbano essere cancellate dalla pagina
web, non è detto che sia questa la conclusione relativa ai risultati offerti dal
fornitore del motore di ricerca quando il nome di un interessato è utilizzato
generalmente quale criterio di ricerca.
64. In casi del genere, la valutazione della richiesta di Deindicizzazione non do -
vrebbe basarsi sull’assunto che l’esistenza di un obbligo legale di pubblica-
zione implichi necessariamente che, nella misura in cui tale obbligo sia im-
posto agli editori web originari, il fornitore del motore di ricerca non possa
accogliere la richiesta di deindicizzazione.
65. La decisione dovrebbe essere presa, come è la norma, individuando un bi-
lanciamento tra i diritti dell’interessato e l’interesse degli utenti di Internet
ad avere accesso a tale informazione tramite il fornitore del motore di ricerca.
2.2.2 ESECUZIONE DI UN COMPITO SVOLTO NEL PUBBLICO INTERESSE OPPURE
NELL’ESERCIZIO DI PUBBLICI POTERI
66. I fornitori di motori di ricerca non sono autorità pubbliche e pertanto non
esercitano pubblici poteri.
67. Tuttavia, potrebbero esercitare tali poteri se fossero loro attribuiti dal dirit -
to di uno Stato membro o dell’Unione. Analogamente, potrebbero svolgere
compiti di pubblico interesse se la loro attività fosse considerata necessaria
per soddisfare tale interesse pubblico conformemente alla legislazione na-
zionale
19.
68. Date le caratteristiche dei fornitori di motori di ricerca, è improbabile che gli
Stati membri attribuiscano loro pubblici poteri o considerino la loro attività,
o parte di essa, necessaria per il conseguimento di un interesse pubblico ri-
conosciuto dalla legge.
I diritti degli interessati
Garante per la protezione dei dati personali

31
69. Se, a ogni modo, si verifica un caso in cui il diritto degli Stati membri attri-
buisce ai fornitori di motori di ricerca pubblici poteri o collega la loro attività
al perseguimento di un obiettivo di interesse pubblico, essi potrebbero av -
valersi dell’eccezione di cui all’articolo 17, paragrafo 3, lettera b), del RGPD.
Valgono le considerazioni svolte in precedenza rispetto ai casi in cui il diritto
di uno Stato membro preveda in capo ai fornitori di motori di ricerca un ob -
bligo legale di trattare le informazioni in questione.
70. Nel decidere sul rigetto di una richiesta di Deindicizzazione per ragioni lega-
te a questa eccezione, occorre determinare se il mantenimento dell’informa-
zione nei risultati del motore di ricerca sia necessario per il conseguimento
dell’interesse pubblico perseguito o per l’esercizio dei poteri delegati.
71. D’altro canto, di norma la definizione giuridica di poteri pubblici o di interes -
se pubblico spetta al singolo Stato membro e se il motore di ricerca rigetta
una richiesta di Deindicizzazione sulla base dell’eccezione in esame occorre
considerare che assume tale decisione poiché ritiene la sua attività neces -
saria per il conseguimento degli obiettivi di interesse pubblico. Il fornitore
del motore di ricerca dovrebbe, in questo caso, fornire le motivazioni per cui
ritiene che la sua attività sia svolta nell’interesse pubblico. In assenza di una
tale spiegazione, il rifiuto di dare seguito a una richiesta di Deindicizzazione
presentata dall’interessato non può basarsi sull’eccezione in esame.
72. Ne consegue anche che spetterebbe all’autorità di controllo dello Stato mem-
bro di cui si applica la legge trattare un eventuale reclamo, ai sensi dell’arti-
colo 55, paragrafo 2, del RGPD.
2.3 MOTIVI DI INTERESSE PUBBLICO NEL SETTORE DELLA SANITÀ PUBBLICA
73. Questa eccezione configura un caso specifico derivante dalla circostanza che
il Trattamento è necessario per l’esecuzione di un compito svolto nell’interes -
se pubblico.
74. In questo caso, l’interesse pubblico è limitato al settore della sanità pubblica,
ma come per l’interesse pubblico in altri settori, il fondamento di liceità del
trattamento deve essere previsto nel diritto dell’Unione o dello Stato membro.
75. Dal punto di vista dell’applicazione di questa eccezione nel contesto dell’at -
tività del fornitore del motore di ricerca, valgono le stesse conclusioni espo -
ste in precedenza. Non sembra probabile che il diritto di uno Stato membro
o dell’Unione possa stabilire una relazione tra, da un lato, l’attività del for -
nitore del motore di ricerca e il mantenimento dell’informazione o di una
categoria di informazioni nei risultati del fornitore del motore di ricerca e,
dall’altro lato, il conseguimento delle finalità di interesse pubblico nel settore
della sanità pubblica.
76. Tale conclusione risulta ancor più evidente se si considera che l’effetto della
deindicizzazione consiste soltanto nella rimozione di alcuni risultati dalla
pagina dei risultati che viene visualizzata quando si inserisce per lo più un
nome quale criterio di ricerca. Ma l’informazione non è cancellata dagli in-
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

32
dici dei fornitori di motori di ricerca e può essere estratta utilizzando altri
criteri di ricerca.
77. È pertanto difficile immaginare che mantenere questi risultati visibili quan-
do sono effettuate ricerche principalmente a partire dal nome di un interes -
sato possa essere considerato, in linea generale, necessario per motivi di
interesse pubblico nel settore della sanità pubblica.
78. I criteri concernenti l’applicabilità delle norme nazionali e l’identificazione
delle autorità di controllo competenti a trattare eventuali reclami qualora
richieste ai sensi dell’articolo  17 del RGPD siano rigettate sulla base della
presente eccezione sono stati discussi in precedenza.
2.4 FINALITÀ DI Archiviazione NEL PUBBLICO INTERESSE, DI RICERCA
SCIENTIFICA O STORICA O FINALITÀ statistiche CONFORMEMENTE
ALL’ARTICOLO 89, PARAGRAFO 1, NELLA MISURA IN CUI IL DIRITTO DI CUI
AL PARAGRAFO 1 RISCHI DI RENDERE IMPOSSIBILE O DI PREGIUDICARE
GRAVEMENTE IL CONSEGUIMENTO DEGLI OBIETTIVI DI TALE TRATTAMENTO
79. In questo scenario, il fornitore del motore di ricerca deve essere in grado di
dimostrare che la Deindicizzazione di un determinato contenuto sulla pagi-
na dei risultati costituisce un serio ostacolo o impedisce totalmente il conse -
guimento delle finalità di ricerca scientifica o storica o le finalità statistiche.
80. Va inteso che queste finalità devono essere oggettivamente perseguite dal
fornitore del motore di ricerca. La possibilità che l’eliminazione dei risulta-
ti possa pregiudicare in modo significativo le finalità di ricerca o statistica
perseguite dagli utenti del servizio del fornitore del motore di ricerca non è
pertinente ai fini dell’applicazione di questa eccezione. Tali finalità, se esi-
stono, dovrebbero essere prese in considerazione nel bilanciamento tra i
diritti dell’interessato e gli interessi degli utenti di Internet ad avere accesso
all’informazione tramite il fornitore del motore di ricerca.
81. Va inoltre rilevato che queste finalità possono essere oggettivamente perse -
guite dal fornitore del motore di ricerca senza che sia necessario creare un
link, in linea di principio, tra il nome dell’interessato e i risultati di ricerca.
2.5 ACCERTAMENTO, ESERCIZIO O DIFESA DI UN DIRITTO IN SEDE GIUDIZIARIA
82. In linea di massima, è alquanto improbabile che i fornitori di motori di ricer -
ca possano invocare questa eccezione per rigettare richieste di deindicizza-
zione basate sull’articolo 17 del RGPD.
83. Va inoltre sottolineato che una richiesta di Deindicizzazione presuppone
l’eliminazione di determinati risultati dalla pagina dei risultati di ricerca
mostrata dal fornitore quando il criterio di tale ricerca è sostanzialmente il
nome di un interessato. L’informazione resta accessibile utilizzando altri cri-
teri di ricerca.
I diritti degli interessati
Garante per la protezione dei dati personali

33
NOTE
[1] Nelle presenti linee guida, i
riferimenti agli «Stati membri»
sono da intendersi come riferi-
menti agli «Stati membri del SEE».
[2] CGUE, causa C 131/12, Goo -
gle Spain SL e Google Inc. contro
Agencia Española de Protección
de Datos (AEPD) e Mario Costeja
González, sentenza del 13 mag-
gio 2014.
[3] Inclusi gli archivi web come
archive.org
[4] https://transparencyreport.
google.com/eu-privacy/over -
view?hl=it
[5] CGUE, causa C 131/12, sen-
tenza del 13 maggio 2014, pun -
to 88: «gli articoli 12, lettera b), e
14, primo comma, lettera a), della
direttiva 95/46 devono essere in-
terpretati nel senso che, al fine di
rispettare i diritti previsti da tali di-
sposizioni, e sempre che le condi-
zioni da queste fissate siano effet-
tivamente soddisfatte, il gestore di
un motore di ricerca è obbligato
a sopprimere, dall’elenco di risul-
tati che appare a seguito di una
ricerca effettuata a partire dal
nome di una persona, dei link ver-
so pagine web pubblicate da terzi
e contenenti informazioni relative
a questa persona, anche nel caso
in cui tale nome o tali informa-
zioni non vengano previamente o simultaneamente cancellati dalle
pagine web di cui trattasi, e ciò
eventualmente anche quando la
loro pubblicazione su tali pagine
web sia di per sé lecita».
[6] CGUE, causa C-131/12, sen-
tenza del 13 maggio 2014; Cor-
te europea dei diritti dell’uomo
(Corte EDU), «M.L. e W.W. contro
Germania», 28 giugno 2018.
[7] Regolamento 2016/679 (RGPD),
articolo 17, paragrafo 2: «Il tito -
lare del trattamento, se ha reso
pubblici Dati personali ed è ob-
bligato, ai sensi del paragrafo 1,
a cancellarli, tenendo conto della
tecnologia disponibile e dei costi
di attuazione adotta le misure ra-
gionevoli, anche tecniche, per in-
formare i titolari del Trattamento
che stanno trattando i dati perso-
nali della richiesta dell’interessato
di cancellare qualsiasi link, copia
o riproduzione dei suoi dati per-
sonali.»
[8] Cfr. CGUE, causa C 136/17,
GC e altri contro CNIL, sentenza
del 24 settembre 2019, punto 35
e causa C-131/12, sentenza del
13 maggio 2014, punto 41.
[9] Gruppo dell’articolo 29, Gui -
delines on the implementation
of the Court of Justice of the
European Union judgment on
«Google Spain and Inc v. Agen-
cia Española de Protección de
Datos (AEPD) and Mario Costeja
González» [Linee guida relative
all’esecuzione della sentenza
della Corte di giustizia dell’Unio -
ne europea nella causa «Goo -
gle Spain et Inc. contro Agencia
Española de Protección de Da-
tos (AEPD) e Mario Costeja Gon -
zález»], C-131/12, WP 225, 26
novembre 2014, pag. 23.
[10] CGUE, causa C-136/17,
Commission nationale de l’in-
formatique et des libertés (CNIL)
contro Google LLC, sentenza del
24 settembre 2019.
[11] Direttiva 95/46/CE, articolo
14: «Gli Stati membri riconoscono
alla persona interessata il diritto: a) almeno nei casi di cui all’ar-
ticolo 7, lettere e) e f), di opporsi
in qualsiasi momento, per motivi
preminenti e legittimi, derivanti
dalla sua situazione particolare,
al Trattamento di dati che la ri-
guardano, salvo disposizione con-
traria prevista dalla normativa
nazionale. In caso di opposizione
giustificata il Trattamento effet-
tuato dal Responsabile non può
più riguardare tali dati ».
[12] In particolare, l’articolo 1, pa-
ragrafo 1, lettera b), della direttiva
(UE) 2015/1535 del Parlamento
europeo e del Consiglio, del 9
settembre 2015, che prevede
una procedura d’informazione
nel settore delle regolamentazio-
ni tecniche e delle regole relative
ai servizi della società dell’infor-
mazione (codificazione).
[13] CGUE, C-131/12, sentenza
del 13 maggio 2014, punto 81;
CGUE, C-136/17, sentenza del
24 settembre 2019, punto 66.
[14] CGUE, causa C-131/12, sen-
tenza del 13 maggio 2014, punto
99; CGUE, causa C-136/17, sen-
tenza del 24 settembre 2019,
punto 53.
[15] CGUE, causa C-136/17, sen-
tenza del 24 settembre 2019,
punto 56 e seguenti
[16] CGUE, causa C-136/17, sen-
tenza del 24 settembre 2019,
punto 57.
[17] CGUE, causa C-136/17, sen-
tenza del 24 settembre 2019,
punto 59.
[18] CGUE, causa C-136/17, sen-
tenza del 24 settembre 2019,
punto 69.
[19] RGPD, articolo 6, paragra -
fo 3: «La base su cui si fonda il
trattamento dei dati di cui al pa-
ragrafo 1, lettere c) ed e), deve
essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro
cui è soggetto il Titolare del trat -
tamento (...)».
Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD (parte 1) - Versione 2.0

34
Linee guida 5/2020
sul Consenso ai sensi del regolamento (UE)
2016/679 - Versione 1.1
Adottate il 4 maggio 2020
Torna a Indice | Premessa
I diritti degli interessati
Garante per la protezione dei dati personali

35
Cronologia delle versioni
Versione 1.113 maggio 2020Correzioni di formattazione
Versione 1.0 4 maggio 2020Adozione delle linee guida
Linee guida 5/2020 sul Consenso ai sensi del regolamento (UE) 2016/679 - Versione 1.1

36
Indice
0. Prefazione
1. Introduzione
2. Consenso di cui all’articolo 4, punto 11, del regolamento generale sulla pro-
tezione dei dati
3. Elementi del Consenso valido
3.1 Consenso libero/manifestazione di volontà libera
3.1.1 Squilibrio di potere
3.1.2 Condizionalità
3.1.3 Granularità
3.1.4 Pregiudizio
3.2 Specifico
3.3 Informato
3.3.1 Requisiti min imi di contenuto del Consenso “informato”
3.3.2 Come fornire le informazioni
3.4 Manifestazione di volontà inequivocabile
4. Ottenimento del Consenso esplicito
5. Condizioni aggiuntive per l’ottenimento di un Consenso valido
5.1 Dimostrazione del consenso
5.2 Revoca del consenso
6. Interazione tra il Consenso e altre basi legittime di cui all’articolo 6 del rego -
lamento generale sulla protezione dati
7. Settori specifici di interesse nel regolamento generale sulla protezione dei dati
7.1 Minori (articolo 8)
7.1.1 Servizio della società dell’informazione
7.1.2 Forniti direttamente a un min ore
7.1.3 Età
7.1.4 Consenso del min ore e responsabilità genitoriale
7.2 Ricerca scientifica
7.3 Diritti dell’interessato
8 Consenso ottenuto a norma della direttiva 95/46/CE
 
I diritti degli interessati
Garante per la protezione dei dati personali

37
IL COMITATO EUROPEO PER LA PROTEZIONE DEI DATI
visto l’articolo 70, paragrafo 1, lettera e), del regolamento (UE) 2016/679 del Par -
lamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle
persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale
sulla protezione dei dati),
visto l’accordo sullo Spazio economico europeo (SEE), in particolare l’allegato XI
e il protocollo 37, modificati dalla decisione del comitato misto SEE n. 154/2018
del 6 luglio 2018
1,
viste le linee guida sul Consenso ai sensi del regolamento (UE) 2016/679 adottate
dal Gruppo di lavoro Articolo 29 (WP259 rev.01),
HA ADOTTATO LE SEGUENTI LINEE GUIDA:
Linee guida 5/2020 sul Consenso ai sensi del regolamento (UE) 2016/679 - Versione 1.1

38
0. PREFAZIONE
Il 10 aprile 2018 il Gruppo di lavoro Articolo 29 ha adottato le linee guida sul
consenso ai sensi del regolamento (UE) 2016/679 (WP259.01), che il Comitato
europeo per la protezione dei dati (“Comitato”) ha approvato nel corso della sua
prima riunione plenaria. Il presente documento è una versione leggermente ag-
giornata di tali linee guida. Qualsiasi riferimento alle linee guida sul Consenso
elaborate dal Gruppo di lavoro Articolo 29 (WP259 rev.01) dovrebbe d’ora in poi
essere inteso come riferimento alle presenti linee guida.
Il Comitato ha rilevato la necessità di ulteriori chiarimenti, in particolare per
quanto riguarda due aspetti:
1 la validità del Consenso espresso dall’interessato nell’interagire con i cosid-
detti “cookie walls”;
2 l’esempio 16 sullo scorrimento (“scrolling”) e il consenso.
I punti relativi a questi due aspetti sono stati rivisti e aggiornati, mentre il resto
del documento è rimasto invariato, fatta eccezione per alcune modifiche reda-
zionali. La revisione riguarda più specificamente:
• la sezione relativa alla Condizionalità (punti 38 - 41);
• la sezione relativa alla Manifestazione di volontà inequivocabile (punto 86).
1. INTRODUZIONE
1. Le presenti linee guida forniscono un’analisi approfondita della nozione di
consenso di cui al regolamento (UE) 2016/679 (“regolamento generale sulla
protezione dei dati” o “regolamento”). Il concetto di Consenso di cui alla di-
rettiva sulla protezione dei dati (direttiva 95/46/CE) e alla direttiva relativa
alla vita privata e alle comunicazioni elettroniche (direttiva 2002/58/CE) si
è evoluto. Il regolamento generale sulla protezione dei dati fornisce ulteriori
chiarimenti e specifiche sui requisiti per ottenere e dimostrare un Consenso
valido. Prendendo le mosse dal parere 15/2011 del Gruppo di lavoro Artico -
lo 29 sul consenso, le presenti linee guida si concentrano sui cambiamenti
introdotti, fornendo orientamenti pratici per garantire il rispetto del regola-
mento. Il Titolare del Trattamento è tenuto a innovare per trovare soluzioni
che siano conformi ai requisiti di legge e sostengano meglio la protezione dei
dati personali e gli interessi degli interessati.
2. Il Consenso rimane una delle sei basi legittime per trattare i dati persona-
li, come disposto dall’articolo  6 del regolamento
2. Prima di avviare attività
che implicano il Trattamento di dati personali, il Titolare del Trattamento deve
sempre valutare con attenzione la base legittima appropriata per il tratta-
mento.
3. Di norma il Consenso può costituire la base legittima appropriata solo se
all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere
se accettare i termini proposti o rifiutarli senza subire pregiudizio. Quando
richiede il consenso, il Titolare del Trattamento deve valutare se questo sod-
I diritti degli interessati
Garante per la protezione dei dati personali

39
disferà tutti i requisiti per essere valido. Se ottenuto nel pieno rispetto del
regolamento, il Consenso è uno strumento che fornisce all’interessato il con-
trollo sul Trattamento dei Dati personali che lo riguardano. In caso contrario,
il controllo diventa illusorio e il Consenso non costituirà una base valida per
il trattamento, rendendo illecita l’attività di trattamento
3.
4. Ove coerenti con il nuovo quadro giuridico, i pareri che il Gruppo di lavoro
Articolo 29 ha formulato in materia di consenso
4 rimangono pertinenti, in
quanto il regolamento generale sulla protezione dei dati codifica gli orienta-
menti e le buone prassi generali del Gruppo di lavoro Articolo 29 e lascia im-
mutata la maggior parte degli aspetti essenziali del consenso. Di conseguen-
za, il presente documento del Comitato amplia e integra precedenti pareri
del Gruppo di lavoro Articolo 29 su argomenti specifici che fanno riferimen-
to al Consenso ai sensi della direttiva 95/46/CE, senza sostituirli.
5. Come affermato dal Gruppo di lavoro Articolo 29 nel parere 15/2011 sulla
definizione di consenso, l’invito ad accettare il Trattamento dei dati dovrebbe
essere soggetto a criteri rigorosi, poiché sono in gioco i diritti fondamentali
dell’interessato e il Titolare del Trattamento intende svolgere un Trattamento
che senza il Consenso sarebbe illecito
5. Il ruolo cruciale del Consenso è sot -
tolineato dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione
europea. Inoltre, l’ottenimento del Consenso non fa venir meno né diminui-
sce in alcun modo l’obbligo del Titolare del Trattamento di rispettare i principi
applicabili al Trattamento sanciti nel regolamento generale sulla protezione
dei dati, in particolare all’articolo 5, per quanto concerne la correttezza, la
necessità e la proporzionalità, nonché la qualità dei dati. Il fatto che il tratta-
mento dei Dati personali si basi sul Consenso dell’interessato non legittima
la raccolta di dati non necessari a una finalità specifica di trattamento, che
sarebbe fondamentalmente iniqua
6.
6. Parallelamente, il Comitato è a conoscenza della revisione della direttiva re -
lativa alla vita privata e alle comunicazioni elettroniche. La nozione di con-
senso nel progetto di regolamento sulla vita privata e le comunicazioni elet -
troniche rimane legata a quella del regolamento generale sulla protezione
dei dati
7. È probabile che ai sensi del futuro strumento le organizzazioni ne -
cessitino del Consenso per la maggior parte dei messaggi di marketing onli-
ne, per le chiamate di marketing e per i metodi di tracciamento online, com-
preso tramite l’uso di cookie, applicazioni o altri software. Il Comitato ha già
fornito raccomandazioni e orientamenti al legislatore europeo in merito alla
proposta di regolamento sulla vita privata e le comunicazioni elettroniche
8.
7. Per quanto riguarda l’attuale direttiva relativa alla vita privata e alle comuni-
cazioni elettroniche, il Comitato rileva che i riferimenti alla direttiva 95/46/
CE abrogata si intendono fatti al regolamento generale sulla protezione dei
dati
9. Ciò vale anche per i riferimenti riguardanti il consenso, poiché il rego -
lamento sulla vita privata e le comunicazioni elettroniche non sarà (ancora)
entrato in vigore il 25 maggio 2018. Ai sensi dell’articolo 95 del regolamento
generale sulla protezione dei dati, non sono imposti obblighi supplementari
in relazione al Trattamento nel quadro della fornitura di servizi di comunica-
zione elettronica accessibili al pubblico su reti pubbliche di comunicazione,
Linee guida 5/2020 sul Consenso ai sensi del regolamento (UE) 2016/679 - Versione 1.1

40
nella misura in cui la direttiva relativa alla vita privata e alle comunicazioni
elettroniche impone obblighi specifici aventi il medesimo obiettivo. Il Comi-
tato rileva che i requisiti per il Consenso ai sensi del regolamento generale
sulla protezione dei dati non sono considerati un “obbligo supplementare”,
bensì condizioni preliminari per la liceità del trattamento. Pertanto, tali re -
quisiti sono applicabili alle situazioni che rientrano nel campo di applicazio -
ne della direttiva relativa alla vita privata e alle comunicazioni elettroniche.
2. Consenso DI CUI ALL’ARTICOLO 4, PUNTO 11, DEL REGOLAMENTO GE -
NERALE SULLA PROTEZIONE DEI DATI
8. L’articolo 4, punto 11, del regolamento generale sulla protezione dei dati de -
finisce il Consenso dell’interessato come: “qualsiasi manifestazione di volontà
libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso
manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabi-
le, che i Dati personali che lo riguardano siano oggetto di trattamento”.
9. La nozione di Consenso rimane sostanzialmente simile a quella della diret -
tiva 95/46/CE, e il Consenso rimane uno dei presupposti per il Trattamento
dei dati personali, ai sensi dell’articolo 6 del regolamento generale sulla pro -
tezione dei dati
10. Oltre alla definizione modificata di cui all’articolo 4, punto
11, il regolamento fornisce ulteriori indicazioni, all’articolo 7 e ai conside -
rando 32, 33, 42 e 43, su come il Titolare del Trattamento deve agire per ri-
spettare gli elementi principali del requisito del consenso.
10. L’inclusione, nel regolamento, di disposizioni e considerando specifici sulla
revoca del Consenso conferma che quest’ultimo dovrebbe essere una deci-
sione reversibile e che l’interessato mantiene un certo grado di controllo.
3. ELEMENTI DEL Consenso VALIDO
11. L’articolo 4, punto 11, del regolamento generale sulla protezione dei dati sta-
bilisce che il Consenso dell’interessato è qualsiasi:
• manifestazione di volontà libera,
• specifica,
• informata e
• inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio as -
senso, mediante dichiarazione o azione positiva inequivocabile, che i dati
personali che lo riguardano siano oggetto di trattamento.
12. Le sezioni che seguono analizzano la misura in cui la formulazione dell’ar -
ticolo 4, punto 11, richiede al Titolare del Trattamento di modificare le sue
richieste/i suoi moduli di Consenso affinché siano conformi al regolamento
generale sulla protezione dei dati
11.
I diritti degli interessati
Garante per la protezione dei dati personali

41
3.1 Consenso LIBERO/MANIFESTAZIONE DI VOLONTÀ LIBERA 12
13. L’elemento della manifestazione di volontà “libera” implica che l’interessato
abbia una scelta effettiva e il controllo sui propri dati. Come regola generale,
il regolamento stabilisce che se l’interessato non dispone di una scelta effet -
tiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative
se non acconsente, il Consenso non sarà valido
13. Se il Consenso è un elemen-
to non negoziabile delle condizioni generali di contratto/servizio, si presume
che non sia stato prestato liberamente. Di conseguenza, il Consenso non sarà
considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire
pregiudizio
14. Il regolamento generale sulla protezione dei dati ha preso in
considerazione anche la nozione di squilibrio tra Titolare del Trattamento e
interessato.
14. Nel valutare se il Consenso sia stato prestato liberamente, si deve anche te -
ner conto dell’eventualità che il Consenso sia collegato all’esecuzione di un
contratto o alla prestazione di un servizio come descritto all’articolo 7, pa-
ragrafo 4. L’articolo 7, paragrafo 4, contenendo l’inciso “tra le altre”, non è
esaustivo e può quindi comprendere altre eventualità. In termini generali,
qualsiasi azione di pressione o influenza inappropriata sull’interessato (che
si può manifestare in vari modi) che impedisca a quest’ultimo di esercitare il
suo libero arbitrio, rende il Consenso invalido.
15. Esempio 1: Un’applicazione mobile per il fotoritocco chiede agli utenti
di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. L’appli-
cazione comunica agli utenti che utilizzerà i dati raccolti per finalità di
pubblicità comportamentale. Né la geolocalizzazione né la Pubblicità
comportamentale online sono necessarie per la prestazione del servizio
di fotoritocco e vanno oltre la fornitura del servizio principale. Poiché
gli utenti non possono utilizzare l’applicazione senza acconsentire a tali
finalità, il Consenso non può essere considerato liberamente espresso.
3.1.1. SQUILIBRIO DI POTERE
16. Il considerando 43
15 indica chiaramente che è improbabile che le autorità
pubbliche possano basarsi sul Consenso per effettuare il trattamento, poiché
quando il Titolare del Trattamento è un’autorità pubblica sussiste spesso un
evidente squilibrio di potere nella relazione tra il Titolare del Trattamento e
l’interessato. In molti di questi casi è inoltre evidente che l’interessato non
dispone di alternative realistiche all’accettazione (dei termini) del trattamen-
to. Il Comitato ritiene che esistano altre basi legittime, in linea di principio
più appropriate, per il Trattamento da parte delle autorità pubbliche
16.
17. Fatte salve queste considerazioni generali, il regolamento non esclude com-
pletamente il ricorso al Consenso come base legittima per il Trattamento dei
dati da parte delle autorità pubbliche. I seguenti esempi mostrano infatti che
l’uso del Consenso può essere appropriato in determinate circostanze.
Linee guida 5/2020 sul Consenso ai sensi del regolamento (UE) 2016/679 - Versione 1.1

42
18. Esempio 2: Un comune sta pianificando l’esecuzione di lavori di manu-
tenzione stradale. Poiché i lavori possono perturbare il traffico per pa-
recchio tempo, il comune offre ai cittadini la possibilità di iscriversi a
una mailing list per ricevere aggiornamenti sull’avanzamento dei lavori
e sui ritardi previsti. Il comune chiarisce che la partecipazione non è
obbligatoria e chiede il Consenso a utilizzare gli indirizzi di posta elet -
tronica per questa finalità (esclusiva). I cittadini che non acconsentono
non perderanno l’accesso ad alcun servizio fondamentale del comune
né alcun diritto, di conseguenza possono esprimere o rifiutare libera-
mente il loro Consenso a questo uso dei dati. Tutte le informazioni sui
lavori stradali saranno disponibili anche sul sito web del comune.
19. Esempio 3: Un proprietario terriero necessita di alcuni Permessi tanto
dal comune quanto dalla provincia. Entrambi gli enti pubblici richiedo -
no le stesse informazioni per il rilascio dei permessi, ma non hanno ac -
cesso alle rispettive banche dati. Di conseguenza entrambi chiedono le
stesse informazioni e il proprietario terriero invia i dati ad entrambi. Il
comune e la provincia chiedono il Consenso dell’interessato per riunire
i fascicoli al fine di evitare duplicazioni di procedure e corrispondenza.
Entrambi gli enti pubblici assicurano che ciò è facoltativo e che le ri-
chieste di permesso verranno comunque trattate separatamente qualo -
ra l’interessato decida di non acconsentire alla riunione dei fascicoli. Il
proprietario terriero può quindi esprimere liberamente il Consenso alle
autorità per la finalità di riunione dei fascicoli.
20. Esempio 4: Una scuola pubblica chiede agli studenti il Consenso ad uti-
lizzare le loro fotografie in una rivista studentesca in formato cartaceo.
In questo caso il Consenso costituisce una scelta vera e propria a condi-
zione che agli studenti non vengano negati l’istruzione o altri servizi e
che gli studenti possano rifiutare il Consenso senza subire pregiudizio
17.
21. Lo squilibrio di potere sussiste anche nel contesto dell’occupazione
18. Data
la dipendenza risultante dal rapporto datore di lavoro/dipendente, è impro -
babile che l’interessato sia in grado di negare al datore di lavoro il consen-
so al Trattamento dei dati senza temere o rischiare di subire ripercussioni
negative come conseguenza del rifiuto. È improbabile che il dipendente sia
in grado di rispondere liberamente, senza percepire pressioni, alla richiesta
del datore di lavoro di acconsentire, ad esempio, all’attivazione di sistemi di
monitoraggio, quali la sorveglianza con telecamere sul posto di lavoro, o alla
compilazione di moduli di valutazione
19. Di conseguenza il Comitato ritiene
problematico per il datore di lavoro trattare i Dati personali dei dipendenti
attuali o futuri sulla base del consenso, in quanto è improbabile che questo
venga prestato liberamente. Per la maggior parte delle attività di Trattamento
svolte sul posto di lavoro, la base legittima non può e non dovrebbe essere il
I diritti degli interessati
Garante per la protezione dei dati personali

43
consenso del dipendente (articolo 6, paragrafo 1, lettera a)) in considerazio-
ne della natura del rapporto tra datore di lavoro e dipendente 20.
22. Tuttavia, ciò non significa che il datore di lavoro non possa mai basarsi sul
consenso come base legittima per il trattamento. In alcune situazioni il da-
tore di lavoro è in grado di dimostrare che il Consenso è stato effettivamente
espresso liberamente. Dato lo squilibrio di potere tra il datore di lavoro e il
suo personale, i dipendenti possono manifestare il loro Consenso liberamen-
te soltanto in casi eccezionali, quando non subiranno alcuna ripercussione
negativa per il fatto che esprimano il loro Consenso o meno
21.
23. Esempio 5: Una troupe cinematografica filmerà una determinata area
di un ufficio. Il datore di lavoro chiede a tutti i dipendenti che hanno la
scrivania in quella zona il Consenso a essere ripresi, in quanto potreb -
bero apparire sullo sfondo del video. Chi non vuole essere filmato non
viene penalizzato in alcun modo e ottiene invece una scrivania altrove
nell’edificio per l’intera durata delle riprese.
24. Gli squilibri di potere non sono limitati alle autorità pubbliche e ai datori di
lavoro, potendo verificarsi anche in altre situazioni. Come evidenziato dal
Comitato in diversi pareri, il Consenso è valido soltanto se l’interessato è in
grado di operare realmente una scelta e non c’è il rischio di raggiri, intimida-
zioni, coercizioni o conseguenze negative significative (ad es. costi aggiuntivi
sostanziali) in caso di rifiuto a prestare il consenso. Il Consenso non sarà con-
siderato liberamente espresso qualora vi sia qualsiasi elemento di costrizio -
ne, pressione o incapacità di esercitare il libero arbitrio.
3.1.2 CONDIZIONALITÀ
25. Per valutare se il Consenso sia stato prestato liberamente è di rilievo l’articolo
7, paragrafo 4, del regolamento
22.
26. L’articolo 7, paragrafo 4, indica, tra l’altro, che è altamente inopportuno “ac -


Link: https://www.gpdp.it/documents/10160/0/Applicare+il

Testo del 2023-05-21 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Le linee guida europee applicare il gdpr contributi e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza