Al contrario di quanto molti pensano, l’art.17 del GDPR, che pure si intitola “Diritto alla cancellazione (“diritto all’oblio”), c’entra pochissimo con i motori di ricerca e in generale con la libertà di stampa e di manifestazione del pensiero.
Il richiamo, posto tra parentesi e virgolette, al diritto all’oblio trae facilmente in inganno. Può infatti indurre a pensare che la norma si riferisca anche, o essenzialmente, al diritto all’oblio inteso come la possibilità di chiedere che una notizia di cui si contesta l’esattezza o l’interesse pubblico a conoscerla, non sia più accessibile attraverso i link dei motori di ricerca da un lato; sia “cancellata”, “rettificata”, o resa non più nuovamente conoscibile, da parte dei media che hanno diffuso la notizia stessa, dall’altro.
Lo scontro Google-Europa sul diritto all’oblio
La maggior parte delle persone, inoltre, leggendo questa norma, pensano soprattutto al diritto all’oblio con riguardo al motore di ricerca di Google, che, dopo la famosa decisione della Corte di Giustizia europea detta “Google Spain” del 2014, è tenuto a valutare ogni richiesta fatta da una persona fisica di cancellare i link che rendano accessibili le fonti di una notizia che la riguarda quando ritiene che essa sia inesatta, non vera e lesiva della sua immagine, o quando, sostiene che per il tempo passato, o altre situazioni, legate al bilanciamento tra la tutela della persona e il diritto di informazione dei cittadini, la conoscenza della notizia non sia più di interesse pubblico.
Su questa tematica, come su quella relativa ai media e alle notizie da essi pubblicate, abbiamo ormai una massa di decisioni, anche giurisprudenziali, consolidata, anche se inevitabilmente ogni decisione va assunta va valutata caso per caso e fa storia a se.
Per quanto riguarda il motore di ricerca di Google (ma anche a tutti i motori generalisti) il punto che tuttora resta aperto è se, quando Google accoglie la richiesta dell’interessato, la “delinkizzazione” debba riguardare solo l’accessibilità al motore di ricerca dal territorio dell’Unione europea o da ogni parte del mondo.
Google ritiene che la soluzione esatta sia la prima, alcune Autorità di controllo, e in particolare la CNIL francese ritengono invece che debba prevalere la seconda e la delinkizzazione debba riguardare tutto il mondo. Recentemente il Garante italiano, con una decisione commentata su Agenda digitale qualche settimana fa da chi scrive, accogliendo una specifica richiesta di un italiano residente all’estereo, e in particolare negli USA, ha imposto a Google la delinkizzazione anche rispetto ai siti accessibili in territorio americano, allineandosi così, sia pure in una decisione strettamente legata alla particolarità del caso, alla linea francese.
Vedremo la decisione della Corte di giustizia, alla quale ha fatto ricorso il Consiglio di Stato francese nell’estate del 2017. Certamente, quale che essa sia, avrà un peso molto rilevante.
Quale diritto all’oblio con il GDPR
Il fatto importante però è che l’art. 17 del GDPR incide pochissimo su questa problematica. Il paragrafo 3 lettera a), infatti, precisa che “i paragrafi 1 e 2” (che costituiscono la parte veramente innovativa della norma), non si applicano al diritto alla libertà di espressione e di informazione”. Del resto la disciplina dell’informazione figura tra le materie la cui regolazione è rimessa, pur nel quadro dei principi del nuovo Regolamento, alle leggi nazionali ex art.85 del GDPR.
Il diritto all’oblio di cui all’art. 17 del GDPR è in realtà il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale.
Per un verso esso conferma e adegua al mondo digitale punti fermi del diritto alla cancellazione dei dati quando essi non sono più necessari alle finalità per cui sono stati raccolti, o quando viene revocato il consenso e i dati non possono essere trattati dal titolare su una base giuridica diversa.
A questi due punti fermi, classici e fondamentali del diritto dell’interessato alla cancellazione dei propri dati (che è diritto diverso dalla rettifica o dalla richiesta di cancellazione di dati inesatti, giacché in questo secondo caso è il trattamento stesso ad essere illegittimo), il nuovo GDPR aggiunge anche il diritto di opposizione dell’interessato, a condizione che non sussista alcun interesse legittimo prevalente del titolare (art. 21, paragrafo1), oppure l’opposizione si basi sull’art. 21 paragrafo 2, e cioè i dati siano trattati per finalità di marketing diretto.
Si aggiunge poi il diritto alla cancellazione in casi previsti esplicitamente da leggi degli Stati, ex art. 6, paragrafo 1, o il caso dei dati trattati in base all’art. 9, paragrafo 2, lettera a), che riguarda i dati un tempo detti “sensibili” che richiedono un consenso che l’interessato che ha dato a suo tempo e che ora revoca.
Inoltre, come anche già faceva la Direttiva, la cancellazione è dovuta quando i dati siano trattati illecitamente, o essa si basi sulla necessità di adempiere a un obbligo legale previsto dal diritto dell’Unione o dalle leggi di uno Stato membro (art.17, paragrafo 1, lettera e).
Infine, la norma precisa anche che la cancellazione è obbligatoria quando i dati siano stati raccolti in base all’art.8, paragrafo 1, e cioè rispetto a servizi offerti dalla società dell’informazione a minori di anni 16 (o dell’età che ciascun Stato potrà fissare purché non inferiore a 13 anni) senza il consenso di chi ha la responsabilità genitoriale.
Fin qui, si potrebbe ritenere che l’art. 17 non introduca modalità davvero innovative rispetto al diritto alla cancellazione previsto dalla Direttiva, salvo appunto alcune precisazioni legate a nuove tutele contenute nel Regolamento stesso.
La vera novità del Gdpr sul diritto all’oblio
La parte veramente nuova, che consente di parlare anche di diritto l’oblio, pur poco avendo a che fare con la informazione e la libertà di pensiero, riguarda il dovere specifico posto a carico del titolare che riceva una richiesta di cancellazione quando i dati che ne sono oggetto siano stati “resi pubblici” dal titolare stesso.
In questa ipotesi l’art. 17 paragrafo 2 impone al titolare non solo di cancellare i dati (sempre ovviamente che ritenga la richiesta legittima per quanto lo riguarda). Egli deve anche, “tenuto conto della tecnologia disponibile e dei costi di attuazione”, adottare “misure ragionevoli, anche tecniche” per informare della richiesta che gli è pervenuta anche gli altri eventuali titolari che stanno utilizzando i dati a lui resi pubblici.
Questo obbligo, ovviamente, sussiste quando la richiesta dell’interessato abbia ad oggetto la cancellazione di “qualsiasi link, copia o riproduzione dei suoi dati personali”.
La norma è molto complessa, e ancora più complicata ne sarà l’attuazione. Essa infatti pone a carico del titolare in questione, l’obbligo di diventare in “intermediario necessario” tra l’interessato e chiunque stia trattando i dati di questo.
Ciò ovviamente se i dati oggetto della richiesta sono stati resi pubblici dal titolare stesso, ed egli è a conoscenza che altri titolari li stiano trattando.
L’obbligo di segnalazione scatta sempre quanto l’interessato non si sia limitato a chiedere solo la cancellazione dei suoi dati da parte del titolare a cui si rivolge, ma domanda la cancellazione di “qualsiasi immagine, copia o riproduzione dei suoi dati personali”.
Quindi va innanzitutto valutato l’oggetto della richiesta dell’interessato.
In secondo luogo, occorre che il titolare sia a conoscenza di quali sono gli altri titolari che stanno trattando i dati sulla base del fatto che lui li ha “resi pubblici”.
In terzo luogo, il titolare destinatario della richiesta sembra avere solo il dovere di segnalazione, lasciando ovviamente alla responsabilità degli altri titolari valutare se essa debba o no essere accolta anche da loro, tenendo conto della base giuridica specifica in virtù della quale ciascuno di essi operando.
La norma sembra porre implicitamente anche altre limitazioni rispetto al dovere del titolare che ha reso pubblici i dati.
Egli infatti sembrerebbe non essere tenuto a comunicare all’interessato di aver ottemperato all’obbligo di segnalazione ad altri titolari, anche se forse il principio di trasparenza dell’art. 12 e l’accountability dell’art.5 paragrafo 2, potrebbero far ritenere che il dovere di informativa debba essere in qualche modo tenuto in conto.
Inoltre, il titolare a cui è stata rivolta la richiesta ha solo il dovere di segnalazione, non anche quello di accertarsi del comportamento degli altri titolari e di informare di questo l’interessato.
Infine, anche il dovere di segnalazione trova un limite nella tecnologia disponibile e dei costi di attuazione ragionevoli.
Come si vede l’art. 17 non riguarda dunque tanto il diritto all’oblio come generalmente inteso ma contiene una innovazione estremamente importante, legata direttamente alla società digitale, ferme restando le esenzioni contenute nel paragrafo 3 e che meriterebbero una trattazione a parte.
La vera novità, che consente anche di parlare in senso lato di “diritto all’oblio”, consiste dunque nel dovere del titolare, che abbia reso pubblici i dati, di diventare un “tramite obbligato” anche verso gli altri titolari che, a sua conoscenza, stanno trattando i dati oggetto della istanza di cancellazione, sempre che si richieda anche la delinkizzazione o la cessazione di ogni copia o diffusione.
Il salto in avanti nella tutela dei diritti dell’interessato è molto forte.
In una società che promuove la trasparenza e la conoscenza degli atti, delle delibere e di ogni altra in formazione utile ai cittadini da parte delle pubbliche amministrazioni e che, anche ai sensi dell’art. 12, è ispirata al principio di trasparenza, i casi in cui un titolare renda pubblici dati di un interessato sono destinati a crescere a dismisura. La stessa pubblicità del dato comporta che esso possa essere trattato da altri, che assumono così la veste di titolari.
È chiaro che se l’interessato chiede non solo la cancellazione, ma anche la delinkizzazione e la cessazione dalla diffusione del dato o di sue copie, la richiesta non può essere adeguatamente soddisfatta solo dal titolare al quale è rivolta.
Di qui l’obbligo, nei limiti che abbiamo visto, di informare della richiesta anche chiunque stia trattando gli stessi dati.
Un obbligo limitato dal fatto che non tocca a lui verificare quale sarà il comportamento degli altri titolari, anche tenendo conto che la richiesta dell’interessato deve essere valutata da ciascun titolare al fine di valutare se per lui sussiste o meno il dover di accoglierla (si pensi ai casi di trattamenti basati sul legittimo interesse). Inoltre l’obbligo del titolare è limitato dalla tecnologia a sua disposizione e dai costi che l’adempimento può comportare.
Va sempre tenuto in conto, dunque, che l’ampiezza dell’obbligo di segnalazione può variare, almeno per quanto riguarda le modalità di attuazione, anche sulla base della tecnologia a disposizione.
È evidente che la norma pone problemi enormi che toccherà alle Autorità di controllo e al Gruppo europeo di protezione dati aiutare a risolvere. Né mancherà lo svilupparsi di una ampia giurisprudenza negli Stati membri, prima, e della Corte di giustizia dell’Unione, poi.
Quello che conta segnalare è che quando ci si riferisce al diritto all’oblio ai sensi del nuovo GDPR si parla di cosa estremamente complessa, che va molto oltre il diritto all’oblio applicato al motore di ricerca e alle notizie diffuse attraverso i mezzi della società dell’informazione.
Infine una sottolineatura importante: la portata innovativa dell’art. 17 si capisce bene se si tiene sempre presente che obiettivo primo del GDPR è tutelare e proteggere i dati per rafforzare la fiducia dei cittadini nella società digitale.
Assicurare che la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporti per lui anche l’obbligo di trasmetterla a tutti coloro che li utilizzano è certamente cosa molto positiva per i cittadini.