I motori di ricerca sono tenuti a rispettare i principi e gli obblighi sanciti dalla direttiva europea 95/46 sulla protezione dei dati, in particolare informando adeguatamente gli utenti sui dati personali da loro raccolti ed evitando di conservare questi dati se non ne è dimostrata la necessità. È questo il parere del Gruppo che riunisce le autorità europee per la privacy ( http://ec.europa.eu/…) che prende in esame numerosi aspetti connessi al trattamento di dati personali da parte dei motori di ricerca. La raccolta e l’elaborazione di dati personali da parte dei motori di ricerca avvengono in rapporto alla duplice funzione che tali motori svolgono, sia come fornitori di servizi (indirizzi IP degli utenti, informazioni necessarie per accedere a servizi personalizzati attraverso userID e password, ecc.) sia come fornitori di contenuti (qualora memorizzino, attraverso la “cache”, i risultati di ricerche su Internet contenenti informazioni personali, ovvero forniscano informazioni a valore aggiunto, quali profili personali o comunque informazioni organizzate relative ad un determinato soggetto). Il parere tenta di conciliare le legittime esigenze di natura commerciale dei motori di ricerca con la necessità di garantire la tutela dei dati personali. Fondamentale, in prima battuta, il riconoscimento che la direttiva 95/46/Ce sulla protezione dei dati si applica pienamente anche ai trattamenti di dati personali effettuati da motori di ricerca situati al di fuori del territorio Ue e dello Spazio Economico Europeo nella misura in cui essi utilizzino per il trattamento dispositivi situati sul territorio degli Stati membri (ad esempio, i cookie). Per altro verso, i Garanti chiariscono che è da escludere l’applicabilità ai motori di ricerca sia della direttiva 2002/58 (direttiva e-Privacy) sia della direttiva 2006/24 sulla conservazione dei dati (la cosiddetta “direttiva Frattini”). Entrambe, infatti, non riguardano i “servizi della società dell’informazione” quali sono appunto i motori di ricerca. Le Autorità di protezione dati europee raffermano che i motori di ricerca debbano valutare attentamente la natura delle operazioni o dei servizi che essi gestiscono per garantire il rispetto dei principi di protezione dati stabiliti dalla direttiva 95/46. Ciò vale, in modo particolare, per la conservazione dei dati personali raccolti, che devono essere distrutti o resi effettivamente anonimi (con procedure adeguate e realmente efficaci) qualora non siano necessari per gli scopi del trattamento. Nel documento viene anche ribadita la necessità per i motori di ricerca di mettere in atto in principio cosiddetto della “privacy by design”, incorporando i requisiti fondamentali in materia di protezione dati nei meccanismi operativi dei motori stessi. A tale scopo, i Garanti hanno formulato una serie di indicazioni e raccomandazioni: fornire un’adeguata informativa agli utenti (soggetto titolare del trattamento, natura dei dati raccolti, scopi del trattamento); ottenere il consenso degli utenti qualora i dati personali raccolti siano utilizzati per attività di profilazione o comunque raffrontati ad altre informazioni in possesso del motore di ricerca; effettuare la cancellazione dei dati (o loro anonimizzazione) qualora non siano più necessari per le specifiche finalità. Per quanto riguarda la conservazione dei dati personali raccolti, il Gruppo sottolinea che spetta ai motori di ricerca giustificare la conservazione prolungata (in linea di principio non superiore a 6 mesi) dei dati personali eventualmente in loro possesso. In tal senso, deve essere garantito il diritto all’oblio delle persone i cui dati siano memorizzati nella “cache”, evitando che permangano in rete informazioni che risultano obsolete o comunque superate; ciò significa garantire agli interessati l’esercizio effettivo dei diritti di accesso, rettifica, cancellazione previsti dalla direttiva 95/46.
