la guida

Diritto all’oblio e privacy, cos’è e come esercitarlo: tutto quello che devi sapere

Cos’è il diritto all’oblio e quale significato assume oggi al tempo dei social network e dello sharing continuo di informazioni personali. Come esercitare il diritto all’oblio e quali sono i limiti. Gli oneri in capo alle aziende. Ecco tutto ciò che c’è da sapere

Pubblicato il 13 Gen 2023

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

identita_410057710

Il diritto all’oblio risponde all’esigenza che ognuno di noi può avere di far dimenticare a tutti la propria identità.

Che cosa è il diritto all’oblio, in breve

Nella sua accezione più ampia è, infatti, una modalità attraverso la quale si esplica il nostro diritto all’identità personale: si oblia (si chiede di obliare) ciò che riteniamo non debba essere più parte della nostra identità personale.

Il diritto all’oblio può essere praticato attraverso la richiesta di rimozione delle informazioni personali che ci riguardano dalla loro pubblica circolazione. Per questo è equiparabile al diritto alla cancellazione, anche se, in realtà, sono diritti diversi tra loro: la pretesa di cancellazione delle nostre informazioni personali è una conseguenza dell’esercizio del diritto all’oblio; si può pretendere la cancellazione di dati personali anche per presupposti diversi.

Diritto all’oblio vs. diritto alla memoria 

Gli esseri umani vivono da sempre una evidente contraddizione rispetto a ciò che vogliono che tutti sappiano di sé stessi (memoria di sé) e ciò che preferiscono resti segreto (che si oblii).

Il tema del diritto alla memoria viene magistralmente espresso in poche righe da Francesco Pizzetti (cfr. Privacy e il Diritto Europeo alla Protezione dei Dati Personali, Giappichelli, 2016):

“Da un lato, essi aspirano all’immortalità e, sapendo di non poterla avere, cercano di lasciare il più a lungo possibile memoria di sé come unico modo per prolungare la propria vita, o meglio il ricordo nel futuro del fatto che essi sono esistiti, e di ciò che hanno realizzato.”

“All’opposto, ogni persona umana ha anche il terrore che ogni atto negativo compiuto nel corso della propria esistenza possa essere ricordato per sempre, o almeno fino a quando è in vita e lo sono quelli che ne hanno memoria.”

Il diritto all’oblio sembra essere il più “giovane” tra i diritti privacy e sicuramente la moderna società digitale ha espresso un enorme interesse verso quello che è uno dei pochi baluardi contro l’invadenza del web e la sua capacità di ricordare senza limiti temporali.

In realtà il “diritto ad essere dimenticati” affonda le sue radici nel genoma stesso della privacy in quel “right to be left alone” che è la pietra d’angolo su cui si è andata erigendo tutela, dopo tutela quella roccaforte di libertà, garanzie e diritti che oggi è il framework normativo data protection.

Diritto all’oblio vs. diritto di cronaca

A scrivere la storia del diritto all’oblio sono stati in larga parte i suoi sempre complessi rapporti con il diritto di cronaca e più in generale con quello di informazione.

I diritti a ben vedere nascono sempre da una frizione, da una contrapposizione, da uno scontro di interessi che genera per fenomeni del tutto simili a quelli fisici una sorta di energia che i poteri dello stato convogliano e rendono utilizzabile. È la tensione tra forze contrapposte che crea il diritto e questa tensione nella storia del right to be forgotten nasce dalla sempiterna tenzone tra gli interessi connessi a quel macro-diritto che è il diritto all’informazione e quelli invece legati al diritto di essere lasciati soli, alla riservatezza della propria vita privata.

È con il diritto all’informazione che il diritto all’oblio si scontra in maniera decisamente più evidente, ovvero con il diritto di informare (diritto di cronaca) ed il diritto ad essere informati. Informare su fatti relativi ad un individuo, fornendo al contempo informazioni personali dello stesso, nel rispetto dei tre fondamentali parametri 1) dell’interesse pubblico, 2) dell’attualità (informare quando il fatto si verifica) e 3) della veridicità (fornire informazioni corrispondenti al vero), è la fattispecie più evidentemente afferente al diritto all’oblio.

Diritto all’oblio vs. libertà di manifestazione del pensiero

Ogni individuo gode del diritto alla libertà di opinione e di espressione, incluso il diritto di ricevere e diffondere informazioni e idee attraverso ogni mezzo. Libertà che, con gli strumenti della odierna società dell’informazione, consentono a chiunque, quindi non solo ai “giornali”, di poter rendere pubbliche informazioni sugli individui. Basti pensare alle migliaia di foto e video privati, anche a sfondo sessuale, diffusi, scambiati e pubblicati quotidianamente tramite WhatsApp, Facebook e YouTube, pubblicazioni che hanno portato anche, in alcuni tragici casi, al suicidio di chi ha preteso, senza successo, l’oblio.

Che significato assume oggi il diritto all’oblio

Il diritto all’oblio può storicamente coincidere con la nascita del diritto alla privacy ed alla riservatezza, ovvero con il diritto di essere lasciati in pace concepito da Warren e Brandeis nel 1890.

Senza dubbio è emerso nell’era precedente all’avvento del Web, noto come “oscurità pratica” riferibile a dati fisici che erano “praticamente oscuri” per la impossibilità di accedervi. L’oscurità pratica arrivò per la prima volta nel 1979, quando alcuni giornalisti cercarono documenti in possesso dell’FBI di un uomo chiamato Charles Medico, le cui attività familiari presumibilmente avevano legami con il crimine organizzato.

Leggi: Privacy, che ci insegna la Storia sulle differenze tra Usa ed Europa

Come tutti i diritti in ambito data protection, anche il diritto all’oblio nasce nei tribunali; le prime controversie che lo vedono invocato, con parole ed accezioni più o meno ampie, risalgono ai primi decenni del ‘900. Uno dei primissimi casi giudiziari negli Stati Uniti è del 1930 ma in Italia si dovranno attendere gli anni 50’ perché si pongano le fondamenta del diritto alla riservatezza e quindi anche quelle del diritto all’oblio con il caso degli eredi Caruso giunto fino alla Suprema Corte di Cassazione, e successivamente negli anni 60 con il caso degli eredi Petacci.

Erano tempi completamente differenti da quelli che viviamo attualmente, la pervasività dei mezzi di informazione e dei media nella vita privata era qualcosa di profondamente sentito ma era anche una delle poche, vere minacce al quel fascio di interessi che oggi chiamiamo “privacy”.

All’epoca le Corti non riconoscevano quel diritto come esistente, lo tutelavano in via mediata ricorrendo ai tortuosi sentieri logico-giuridici che conducono alla fonte di tutte le tutele i “diritti fondamentali” contenuti nella Costituzione.

Ma è con il World Wide Web, i Social Network e, in generale, le reti di comunicazione elettronica, che il diritto all’oblio acquisita in tempi recenti un significato estremamente più profondo e dirompente. Pretendere oggi che le proprie informazioni personali vengano sottratte alla pubblica circolazione non è agevole come poteva essere in passato, quando si poteva pretendere che le informazioni che ci riguardano non venissero ristampate, essenzialmente su carta, e diffuse ulteriormente.

La prospettiva oggi è totalmente diversa. Nel mondo digitale, caratterizzato dallo “sharing” continuo di contenuti (mossi dall’adagio “If you experience something – record it. If you record something – upload it. If you upload something – share it.”), non si tratta solo di impedire che permangano disponibili le nostre informazioni personali pubblicate dalla fonte originaria ma, piuttosto, far eliminare anche le successive ripubblicazioni delle stesse da parte di terzi soggetti.

In altre parole, la problematica più rilevante oggi non è relativa alla difficoltà di cancellare una notizia o una foto o un video pubblicati dalla fonte originaria ma alle ripubblicazioni che permangono sempre accessibili. Per questo motivo, la riflessione da fare oggi, per far salvo il diritto all’oblio, è su quanto può permanere pubblicamente disponibile una informazione online, prescindendo dal tempo trascorso dalla prima pubblicazione, che potrebbe aver fatto perdere alla notizia anche attualità e interesse pubblico.

La memoria, nel mondo fisico e analogico, è strettamente connessa ai limiti che lo strumento che la custodisce possiede per mantenerla nel tempo. Per quanto tempo possiamo ricordare una informazione? Quanto è semplice condividerla con altri? Quanto può farlo la carta? Nel mondo digitale e di Internet, invece, le informazioni possono essere memorizzate, duplicate e condivise con estrema semplicità, con la conseguenza che tutte le informazioni permangono, non ci sono esigenze di selezione, le memorie al silicio sono pressoché illimitate e, nel Cloud, non abbiamo contezza concreta di chi e dove ha memorizzato, duplicato, indicizzato e pubblicato le nostre informazioni.

L’esigenza oggi non è quella di avere memoria, di ricordare delle informazioni ma, piuttosto, di dimenticare.

Leggi: Diritto all’oblio, le nuove frontiere globali del Garante Privacy italiano

I provvedimenti storici italiani sul diritto all’oblio

Il primo caso giurisprudenziale italiano che ha condensato il concetto di diritto all’oblio così come lo conosciamo oggi risale appunto al 1995 quando il Tribunale di Roma emise una sentenza relativa ad un articolo del Messaggero che riportava fatti di cronaca non più coerenti con il principio di utilità sociale dell’informazione ma al contempo profondamente lesivi della sfera personale del protagonista di quella narrazione.

La giurisprudenza, a tutti i livelli, si è occupata massicciamente del diritto all’oblio negli anni successivi ma la maggior parte delle controversie riguardava i c.d. “media tradizionali”.

Il Garante della Protezione dei dati personali si è a più riprese preoccupato, fin dai primi anni 2000, di cercare una mediazione tra il diritto all’informazione e quello alla riservatezza in una delle sue più complesse declinazioni, quelle afferenti al diritto all’oblio, per l’appunto, e ai new media.

Uno degli obiettivi: bloccare quella gogna elettronica costruitasi intorno allo strapotente strumento del web.

Lo storico provvedimento del 2005[1] dell’Authority nazionale, presieduta da un vero e proprio Padre Fondatore della Privacy quale era Stefano Rodotà, aveva il compito di sciogliere un vero e proprio nodo gordiano; da un lato del figurativo banco vi era un’altra autorità indipendente, l’AGCM che aveva pubblicato – come previsto dall’ordinamento in materia di pubblicità ingannevole e comparativa – due provvedimenti sul proprio sito web avverso una società che con la sua condotta si era guadagnata la censura del Garante della Concorrenza e del Mercato, dall’altro un interessato che reclamava avverso la diffusione dei provvedimenti sul web priva di qualsivoglia cautela (come ad esempio l´oscuramento dei nominativi, oppure “la possibilità di consentire l´accesso ai provvedimenti solo mediante una ricerca all´interno del sito e inibendone invece la reperibilità mediante motori di ricerca”).

Quella decisione del Garante, quella pietra miliare nella storia del diritto all’oblio ci permette anche di effettuare una riflessione del concetto di deindicizzazione, fondamentale per comprendere la portata di questo diritto ma che va tenuto ben distinto dal quello di cancellazione o rimozione dei dati da un archivio o dal web.

La deindicizzazione, infatti consente un’operazione sostanzialmente differente dalla rimozione/cancellazione di un contenuto: non lo elimina, ma lo rende non direttamente accessibile tramite motori di ricerca esterni all’archivio in cui quel contenuto si trova.

Il web non dimentica e la deindicizzazione è uno dei compromessi per garantire una tutela avverso quei contenuti che – piaccia o meno – rimarranno li dove sono per sempre.

Il caso internazionale: sentenza Costeja

Il caso della sentenza Costeja

A livello internazionale una delle vicende più note è stata sicuramente quella che ha riguardato il Colosso dei motori di ricerca Google e il sig. Costeja che a distanza di 15 anni digitando il suo nome nella celeberrima barra di ricerca del titano di Mountain View trovava ancora risultati relativi ad un pignoramento subito a seguito di controversie previdenziali.

Il Garante spagnolo, diede in parte ragione all’interessato chiedendo al noto motore di ricerca di procedere alla deindicizzazione ma Big G si oppose e si giunse così ai banchi della Corte di Giustizia UE.
I giudici lussemburghesi diedero nuovamente l’ordine di deindicizzare i risultati su richiesta degli interessati a meno che non fossero “ragioni particolari, come il ruolo pubblico del soggetto.”

Il resto fa parte della storia (recente) della privacy in Europa.

Le pronunce dei giudici nazionali ed europei non sono mancate nel corso del tempo, ma l’anno della svolta, quello che ha inciso nella pietra questo diritto è il 2018, l’anno del GDPR.

Diritto all’oblio e Gdpr, che cambia con il Regolamento europeo sulla privacy

Il diritto all’oblio si colloca nell’ambito della disciplina giuridica della protezione dei dati personali che, negli ultimi vent’anni, è stata oggetto della Direttiva UE n. 46/95. Nell’art. 12 (lett. b) della Direttiva si parla indirettamente di oblio in relazione alla cancellazione, o congelamento, dei dati il cui trattamento non è conforme alle disposizioni della Direttiva stessa, in particolare a causa del carattere incompleto o inesatto dei dati.

L’Autorità garante italiana si è occupata per la prima volta di diritto all’oblio nel 2004 e poi nel 2008 e nel 2010, nello specifico in relazione alla pubblicazione online degli archivi storici dei giornali. Secondo l’Autorità, è legittima la messa a disposizione per la consultazione dei dati personali online attraverso il sito dell’editore, precisando tuttavia che la pagina web che contiene i dati personali dev’essere sottratta all’indicizzazione dei motori di ricerca esterni.

Sul rapporto tra oblio e motori di ricerca si torna a parlare nel 2014 innanzi alla Corte di giustizia europea nel caso Google Spain contro l’autorità spagnola AEPD (Agencia Española de Protección de Datos) ed il cittadino spagnolo Mario Costeja González. In questo contesto fu consacrato il diritto a che le proprie informazioni personali possano essere deindicizzate dalla ricerca creando di fatto una impossibilità di trovarle sul Web. Google, infatti, a seguito della sentenza della Corte UE, non impostò un sistema per chiedere la cancellazione dei contenuti pubblicati, non avendone, tra l’altro, nemmeno la disponibilità, ma solo la loro eliminazione dai risultati della ricerca.

Occorre attendere il 2016 per avere definitivamente una norma apposita sul diritto all’oblio con la nuova disciplina europea sulla privacy, il Regolamento UE n. 679/2016 (GDPR), in vigore da maggio 2018.

Leggi: GDPR, tutto ciò che c’è da sapere per essere in regola

Il GDPR positivizza definitivamente il diritto all’oblio nell’art. 17 ma lo fa coincidere con il diritto alla cancellazione, applicabile nei seguenti casi (art. 17 c. 1 del GDPR):

  1. i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti (es. lo scopo di eseguire un contratto), pertanto il trattamento deve essere limitato agli altri scopi (es. contabilità, archiviazione o conservazione legale);
  2. l’interessato revoca il consenso al trattamento dei dati personali, per una o più specifiche finalità, oppure revoca il consenso al trattamento di categorie particolari di dati e se non sussiste altro fondamento giuridico per il trattamento;
  3. l’interessato ha esercitato il diritto di opposizione al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento per finalità di marketing diretto, inclusa la profilazione;
  4. i dati personali sono stati trattati illecitamente;
  5. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  6. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione e trattati sulla base del consenso di un minore, laddove il minore abbia almeno 16 anni di età, o del consenso prestato o autorizzato dal titolare della responsabilità genitoriale, laddove il minore non abbia almeno 16 anni.

L’art. 17 prosegue precisando che il diritto alla cancellazione non si applica se il trattamento oggetto di cancellazione è necessario (art. 17 c. 3 del GDPR) per:

  1. l’esercizio del diritto alla libertà di espressione e di informazione;
  2. l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  3. motivi di interesse pubblico nel settore della sanità pubblica;
  4. fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
  5. l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Leggi: Usi automatizzati di dati personali, le nuove tutele per gli utenti

Secondo Francesco Pizzetti, il diritto all’oblio, come concepito dal GDPR, “è in realtà il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale”. Nel Considerando 66 del GDPR, infatti, vi è una riflessione specifica sul rapporto tra oblio e ambiente online che indica l’obbligo per il titolare investito della cancellazione dei dati pubblicati a informare (gli altri) titolari di cancellare qualsiasi link verso i dati o copia o riproduzione degli stessi. Tale principio si ritrova poi nell’art. 17 al comma 2 che impone al titolare non solo di cancellare i dati ma anche di, “tenuto conto della tecnologia disponibile e dei costi di attuazione”, adottare “misure ragionevoli, anche tecniche” per informare della richiesta che gli è pervenuta anche gli altri eventuali titolari che stanno utilizzando i dati a lui resi pubblici. Questa è la parte davvero distintiva del diritto all’oblio rispetto al diritto alla cancellazione.

Leggi: Diritto all’oblio nel Gdpr, ecco tutte le novità

Come esercitare e come adempiere al diritto all’oblio delineato dal GDPR

La pretesa di cancellazione dei dati da parte dell’interessato al trattamento è una conseguenza del verificarsi di una delle situazioni previste dal citato art. 17 c. 1 del GDPR. Non è cioè necessario l’esercizio diretto di una richiesta di cancellazione da parte dell’interessato. L’azienda (titolare del trattamento) deve procedere spontaneamente e automaticamente alla cancellazione dei dati personali che riguardano un individuo se si verifica una delle situazioni elencate nell’art. 17 c. 1 del GDPR, a prescindere quindi dall’esercizio del diritto da parte dell’interessato. L’interessato ha comunque sempre facoltà di procede con una richiesta espressa di cancellazione, nelle forme libere che ritiene opportune, se il titolare non ne ha predisposte appositamente.

La cancellazione dev’essere effettuata senza giustificato ritardo (entro un mese previsto per il riscontro) e dev’essere a titolo gratuito anche se l’azienda titolare può prevedere un ragionevole contributo spese o rifiutarsi se dimostra che la richiesta è manifestamente infondata o eccessiva, in particolare se ripetuta nel tempo.

Al verificarsi di uno degli eventi previsti dall’art. 17 c. 1, quindi in caso di richiesta di cancellazione di dati personali, ogni azienda dovrebbe valutare l’applicabilità del diritto coinvolgendo diversi soggetti.

Il Considerando 59 del GDPR stabilisce che il titolare deve prevedere modalità volte ad agevolare l’esercizio dei diritti da parte dell’interessato. In tal senso, è opportuno che l’azienda titolare crei un processo che veda il coinvolgimento almeno di un referente legale, per valutare la sussistenza dei presupposti per l’esercizio del diritto alla cancellazione (es. per valutare se sussista il caso di accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria o il caso di trattamento illecito) e di un referente IT per valutare gli aspetti tecnici in riferimento alla cancellazione. Inoltre, è opportuno individuare dei referenti privacy interni che si occupino della cancellazione in caso di trattamenti effettuati esclusivamente in forma cartacea (es. Funzione Customer Service per richieste dei clienti, Funzione HR per quelle dei dipendenti, Ufficio Acquisti per terze parti).

Al termine della valutazione da parte dei suddetti soggetti, se il diritto alla cancellazione non è applicabile, l’azienda titolare dovrebbe notificare l’esito della valutazione all’interessato. Se, invece, il diritto alla cancellazione è applicabile, gli stessi soggetti dovrebbero eseguire le operazioni tecniche di cancellazione e dovrebbero informare l’avvenuta cancellazione all’interessato.

In alternativa alla cancellazione, l’azienda titolare può propendere per l’anonimizzazione dei dati, purché eseguita correttamente, ossia senza possibilità di re-identificazione dell’interessato. Non è invece sufficiente la semplice pseudonimizzazione.

L’azienda titolare, infine, dovrebbe organizzarsi per provvedere a comunicare la cancellazione a ciascuno dei destinatari cui sono stati trasmessi i dati personali dell’interessato (ivi compresi contitolari e responsabili), salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.

Leggi: Quanti dubbi minacciano la nuova privacy europea

I limiti del diritto alla cancellazione/oblio

Per rispondere a queste domande occorre riprendere il succitato terzo comma dell’art. 17. Tralasciando le lettere a) c) e d), che riguardano casi particolari di interesse soprattutto del settore pubblico (lett. c e d), di testate giornalistiche, social network e piattaforme di sharing di contenuti (lett. a), ciò che interessa più da vicino le aziende private sono i casi residui delle lettere b) ed e). In questi due casi l’azienda non è obbligata a procedere alla cancellazione, quindi può continuare a conservare i dati se:

  • vi è una legge che glielo impone, per un periodo di tempo prestabilito > es. la conservazione delle scritture contabili disciplinata nel Codice civile all’art. 2220, secondo il quale devono essere conservate per dieci anni dalla data dell’ultima registrazione, le fatture attive e passive, le lettere spedite e ricevute e i telegrammi spediti e ricevuti;
  • deve essere preservato l’accertamento, l’esercizio o la difesa di un diritto dell’azienda in sede giudiziaria > es. il diritto al risarcimento del danno derivante da fatto illecito si prescrive in cinque anni dal giorno in cui il fatto si è verificato ai sensi dell’art. 2947 del Codice civile.

Le difficoltà di applicazione del diritto all’oblio

Sebbene, dunque, il GDPR abbia fornito un quadro empiricamente chiaro di quando, come e perché è possibile esercitare o limitare l’esercizio del diritto alla cancellazione/oblio la concreta applicabilità di questa norma continua ad essere resa complessa dai delicati rapporti con altri diritti di pari rango e da una certa dose di impermeabilità delle nuove tecnologie alle regole del diritto. Internet – come si è detto – non dimentica, anche se la legge dice che dovrebbe farlo.

Come è dunque possibile fornire tutela a un diritto così fondamentale per società moderna, così sentito tra la platea degli interessati se i confini della sua applicabilità sono soffusi e i sentieri che conducono alla sua effettiva adoperabilità sono costellati da complicazioni di natura giuridica e tecnologica?

Il ruolo di sciogliere quest’intricata matassa, di bilanciare sapientemente diritti contrapposti e di valutare la concreta efficacia delle misure poste a tutela del diritto alla cancellazione/oblio è assegnato ancora una volta ai giudici, nazionali e sovranazionali.

Il ruolo delle corti: diritto all’oblio e “territorialità”

Una delle pronunce più interessanti degli ultimi anni riguarda nuovamente il re dei motori di ricerca, Google.

Ancora una volta nel marzo 2016 una data protection authority il CNIL sanzionava Google per il rifiuto di procedere alla deindicizzazione su tutte le sue estensioni, nel momento in cui una pronuncia gli intimava di procedere in tal senso.

Google – come prevedibile – si rivolge al Conseil d’Ètat per veder cassata la decisione.
Il giudici di legittimità parigini sottoponevano quindi il caso alla Corte di Giustizia, che in un certo senso, poteva vantare di aver creato “il precedente” da cui era scaturita la controversia sui cui era chiamata nuovamente ad esprimersi.

La domanda a cui i giudici europei dovevano rispondere può essere così condensata: le norme del diritto dell’Unione devono essere interpretate in senso restrittivo (e quindi obbligare alla deindicizzazione solo in un singolo stato membro), intermedio (in tutti i Paesi dell’Unione) o estensivo (su tutte le estensioni del motore di ricerca)?

La globalizzazione delle informazioni rende la deindicizzazione dei contenuti una tutela assi fragile se non applicata a livello mondiale. È palese infatti che la mera disponibilità di un link può produrre effetti immediati e sostanziali sulla vita dell’individuo a cui quel link rimanda e non importa se quel collegamento ha un dominio di nazionalità diversa da quella dell’interessato;  d’altra parte la visione garantista dell’Unione Europea in tema di diritti “data protection” deve fare i conti con la consapevolezza che la sua prospettiva non è “esportabile” in altre aree del mondo dove il  bilanciamento la riservatezza della vita privata ed altri interessi a questa contrapposti segue logiche diametralmente divergenti.

Il compromesso della Corte, nella sentenza sopra citata, è stato dunque quello di assicurare la deindicizzazione di contenuti lesivi a livello europeo prevedendo anche l’adozioone di “misure che permettano di impedire o di scoraggiare l’accesso da Stati membri al link oggetto della domanda di deindicizzazione” ma dichiarando al contempo che fuori dal recinto sicuro dell’Unione “..allo stato attuale, non sussiste per il gestore di un motore di ricerca un obbligo di effettuare deindicizzazione su tutte le versioni del suo motore.

A conclusioni diverse è pervenuta la stessa Corte di Giustizia nel 2019, poiché nel “caso Glawischnig” (C-18/08) ha affermato che il prestatore di servizi di hosting può essere destinatario di un ordine diretto a rimuovere le informazioni a livello mondiale.

Diritto all’oblio, le ultime pronunce in Italia

Chiarito l’ambito territoriale entro cui esercitare questo complesso meccanismo di tutele che da forma al diritto all’oblio, è opportuno tornare in Italia per vedere come sono evoluti gli orientamenti giurisprudenziali.

Il 2020 conta già due pronunce della Suprema Corte sul tema la prima del del 27 marzo 2020 con cui gli Ermellini confermano un impianto ormai consolidato e un meccanismo di bilanciamento tra diritto d’informazione e diritto alla cancellazione ormai ben oleato.

L’Ordinanza n. 7559 recita che: “È lecita la permanenza di un articolo di stampa nell’archivio informatico di un quotidiano, relativo a fatti risalenti nel tempo oggetto di cronaca giudiziaria, che abbiano ancora un interesse pubblico di tipo storico o socio-economico, purché l’articolo sia deindicizzato dai siti generalisti e reperibile solo attraverso l’archivio storico del quotidiano, in tal modo contemperandosi in modo bilanciato il diritto ex art. 21 Cost. della collettività ad essere informata e a conservare memoria del fatto storico, con quello del titolare dei dati personali archiviati a non subire una indebita compressione della propria immagine sociale”.

L’ulteriore conferma a questo orientamento è giunta con una recentissima pronuncia quella ad opera della Cassazione Civile che con Ordinanza 9147/20 ritiene la “deindicizzazione” una misura sufficiente a bilanciare il diritto all’oblio con quello all’informazione.

Anche il 2022 ha visto alcune pronunce della Cassazione sul tema in esame. Tra le ultime, l’ordinanza n. 34658/22, che richiama le ordinanze nn. 9147/20 e 15160/21, ha affermato il seguente principio di diritto: “in tema di trattamento dei dati personali, la tutela spettante all’interessato, strettamente connessa ai diritti alla riservatezza e all’identità personale e preordinata a garantirne la dignità personale dell’individuo, ai sensi dell’art. 3 Cost., comma 1 e dell’art. 2 Cost., che si esprime nel cosiddetto “diritto all’oblio”, consente, in conformità al diritto dell’Unione Europea, alle autorità italiane, ossia al Garante per la protezione dei dati personali e al giudice, di ordinare al gestore di un motore di ricerca di effettuare una deindicizzazione su tutte le versioni, anche extraeuropee, del suddetto motore, previo bilanciamento tra il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei dati personali e il diritto alla libertà d’informazione, da operarsi secondo gli standard di protezione dell’ordinamento italiano”.

Le pronunce, di fatto, ereditano il pensiero contenuto del già citato provvedimento  del Garante Privacy del 2005 a firma di Rodotà. A distanza di quindici anni il motto è lo stesso. La memoria storica non si cancella, si deindicizza

A chi spetta l’onere della cancellazione dei dati

Senza pretesa di aver esaurito le riflessioni sul tema, occorre fare un’ultima precisazione sugli adempimenti dei diversi soggetti che intervengono in un trattamento di dati.

Le aziende titolari che decidono di sfruttare servizi in outsourcing, in Cloud, devono tenere in considerazione come viene svolto il trattamento dei loro dati, i modelli di deployment, nonché la tipologia di Cloud utilizzato. Difatti, gli adempimenti relativi alla cancellazione dei dati devono essere calati negli accordi tra titolare e responsabile (nella nomina), tenendo conto dei modelli di Cloud di cui si può usufruire (SaaS, Iaas, PaaS).

In generale, quanto più il provider di un servizio Cloud si allontana dalla gestione e dal trattamento dei dati, tanto più sarà sgravato da responsabilità e adempimenti.

Per esempio, nel modello IaaS (Infrastructure as a Service), in cui il provider ha un’azione davvero limitata relativamente alla gestione dei dati, è principalmente il titolare che ha sottoscritto il servizio a dover adempiere alla cancellazione. Il provider, infatti, si limita a fornire l’infrastruttura e non entra nel merito di come questa venga utilizzata dal titolare.

Nel modello all’estremo opposto rispetto all’IaaS, il SaaS (Software as a Service), è invece il provider che deve garantire la corretta implementazione degli adempimenti relativi alla cancellazione cui è obbligato il titolare.

La riforma Cartabia

A seguito dell’emendamento proposto dai Deputati Enrico Costa e Riccardo Magi nell’ambito della “riforma Cartabia per l’efficienza del processo penale nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari”, è stato introdotto nelle disposizioni attuative del codice di procedura penale l’art. 64-ter “Diritto all’oblio degli imputati e delle persone sottoposte ad indagini”, il quale dispone che «1. La persona nei cui confronti sono stati pronunciati una sentenza di proscioglimento o di non luogo a procedere ovvero un provvedimento di archiviazione può richiedere che sia preclusa l’indicizzazione o che sia disposta la deindicizzazione, sulla rete internet, dei dati personali riportati nella sentenza o nel provvedimento, ai sensi e nei limiti dell’articolo 17 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016. Resta fermo quanto previsto dall’articolo 52 del decreto legislativo 30 giugno 2003, n. 196 […]».

La disposizione è condivisibile dal punto di vista dell’intento perseguito poiché introduce la possibilità per il soggetto tutelato di chiedere la deindicizzazione, nonché di far sì che la notizia che lo riguarda non sia collegata ai suoi dati. La scelta del legislatore è in linea con il principio di bilanciamento, richiamato in più occasioni sia dalla Corte di Giustizia che dalla Corte di Cassazione, tra il “diritto all’oblio” e il diritto all’informazione.

Tuttavia, anche con questo intervento normativo non vengono meno i limiti intrinseci alla deindicizzazione, poiché la stessa non consente di eliminare dalla rete e dagli archivi delle testate giornalistiche i dati del soggetto prosciolto. Pertanto, la notizia continuerà ad essere presente in rete. Infatti, come ricordato anche dall’European Data Protection Board (EDPB) nelle linee guida 05/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca «Se un interessato ottiene la deindicizzazione di un particolare contenuto, ciò determina la cancellazione di tale contenuto specifico dall’elenco dei risultati di ricerca relativi all’interessato, quando la ricerca è, in via generale, effettuata a partire dal suo nome. Il contenuto resterà tuttavia disponibile se vengono utilizzati altri criteri di ricerca […] Ad esempio, un interessato può richiedere la rimozione dall’indice di un motore di ricerca di dati personali provenienti da un mezzo di comunicazione, quale un articolo di giornale. In questo caso, il link ai dati personali può essere rimosso dall’indice del motore di ricerca, ma l’articolo in questione resterà comunque sotto il controllo del mezzo di comunicazione e può rimanere pubblicamente disponibile e accessibile, sebbene non sia più visibile nei risultati di ricerca basati sulle interrogazioni che includono, in linea di principio, il nome dell’interessato.»

[1] Reti telematiche e Internet – Motori di ricerca e provvedimenti di Autorità indipendenti: le misure necessarie a garantire il c.d. “diritto all´oblio” – doc. web n. 1116068

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4