Secondo il parere del Gruppo che riunisce le autorità europee per la privacy i motori di ricerca sono tenuti a rispettare i principi e gli obblighi sanciti dalla direttiva europea 95/46 sulla protezione dei dati, in particolare informando adeguatamente gli utenti sui dati personali da loro raccolti ed evitando di conservare questi dati se non ne è dimostrata la necessità.
La raccolta e l’elaborazione di dati personali da parte dei motori di ricerca avvengono in rapporto alla duplice funzione che tali motori svolgono, sia come fornitori di servizi (indirizzi IP degli utenti, informazioni necessarie per accedere a servizi personalizzati attraverso userID e password, ecc.) sia come fornitori di contenuti (qualora memorizzino, attraverso la “cache”, i risultati di ricerche su Internet contenenti informazioni personali, ovvero
forniscano informazioni a valore aggiunto, quali profili personali o comunque informazioni organizzate relative ad un determinato soggetto).
Il parere tenta di conciliare le legittime esigenze di natura commerciale dei motori di ricerca con la necessità di garantire la tutela dei dati personali. Fondamentale, in prima battuta, il riconoscimento che la direttiva 95/46/CE sulla protezione dei dati si applica pienamente anche ai trattamenti di dati personali effettuati da motori di ricerca situati al di fuori del territorio Ue e dello Spazio Economico Europeo nella misura in cui essi utilizzino per il trattamento dispositivi situati sul territorio degli Stati membri (ad esempio, i cookie).
Per altro verso, i Garanti chiariscono che è da escludere l’applicabilità ai motori di ricerca sia della direttiva 2002/58 (direttiva e-Privacy) sia della direttiva 2006/24 sulla conservazione dei dati (la cosiddetta “direttiva Frattini”). Entrambe, infatti, non riguardano i “servizi della società dell’informazione” quali sono appunto i motori di ricerca.
Le Autorità di protezione dati europee raffermano che i motori di ricerca debbano valutare attentamente la natura delle operazioni o dei servizi che essi gestiscono per garantire il rispetto dei principi di protezione dati stabiliti dalla direttiva 95/46. Ciò vale, in modo particolare, per la conservazione dei dati personali raccolti, che devono essere distrutti o resi effettivamente anonimi (con procedure adeguate e realmente efficaci) qualora non siano necessari per gli scopi del trattamento. Nel documento viene anche ribadita la necessità per i motori di ricerca di mettere in atto in principio cosiddetto della “privacy by design”, incorporando i requisiti fondamentali in materia di protezione dati nei meccanismi operativi dei motori stessi.
[…]Per quanto riguarda la conservazione dei dati personali raccolti, il Gruppo sottolinea che spetta ai motori di ricerca giustificare la conservazione prolungata (in linea di principio non superiore a 6 mesi) dei dati personali eventualmente in loro possesso. In tal senso, deve essere garantito il diritto all’oblio delle persone i cui dati siano memorizzati nella “cache”, evitando che permangano in rete informazioni che risultano obsolete o comunque superate; ciò significa garantire agli interessati l’esercizio effettivo dei diritti di accesso, rettifica, cancellazione previsti dalla direttiva 95/46.
Articolo tratto da: Garante per la Protezione dei dati personali
