Il cosiddetto diritto all’oblio acquista una particolare connotazione in riferimento ai soggetti minori, i cui dati personali dovrebbero essere protetti in modo più accurato rispetto agli adulti per via della maggiore vulnerabilità della personalità del minore. Ecco come l’articolazione del GDPR consente ai ragazzi di ottenere una diversa “rappresentazione digitale”.
Oblio o cancellazione?
Cominciamo con una precisazione: l’espressione “diritto all’oblio” è in realtà assai imprecisa e non perfettamente corrispondente al contenuto del diritto sancito dall’art. 17 del regolamento UE n. 2016/679 (d’ora innanzi GDPR, ovvero General Data Protection Regulation).
Non a caso, tale espressione figura nel titolo dell’art. 17 soltanto fra parentesi, a completamento della dicitura “diritto alla cancellazione”. Quindi, l’art. 17 del regolamento europeo disciplina solo uno specifico aspetto del più generale diritto ad essere dimenticati, ovvero il diritto di chiedere e ottenere la cancellazione dei propri dati personali.
In una più ampia accezione, invece, l’espressione “diritto all’oblio” si riferisce al diritto individuale a non vedere continuamente riproposte dai mezzi di comunicazione notizie riferite alla propria persona che, per via del trascorrere del tempo, hanno perso i caratteri dell’interesse pubblico e dell’utilità sociale. Sul nesso fra libertà di cronaca e diritto all’oblio esistono varie significative pronunce della Corte di Cassazione, che negli ultimi anni hanno spesso riguardato articoli giornalistici pubblicati online.
A differenza del diritto alla riservatezza, il diritto all’oblio non è rivolto a cancellare il passato, ma a proteggere il presente, in quanto ha per oggetto avvenimenti che, nel momento del loro accadimento, non rientravano nella sfera della privacy, ma erano caratterizzati dall’interesse pubblico alla loro conoscenza. Dunque, in questa prospettiva il diritto all’oblio non è una mera espressione del diritto alla riservatezza, ma ne costituisce piuttosto un riflesso, ponendosi a protezione della sfera intima dell’individuo, i cui dati memorizzati in Internet richiedono specifici strumenti di protezione, fra cui la possibilità di ottenerne la rimozione, una volta venuti meno i presupposti ed i requisiti di liceità del loro trattamento.
Le tappe del diritto all’oblio
Nell’ordinamento giuridico dell’Unione europea, il diritto all’oblio ha fatto il suo ingresso ufficiale nel 2014, in seguito alla notissima e molto commentata pronuncia pregiudiziale della Corte di Giustizia dell’Unione europea relativa al caso Google Spain (sentenza 13 maggio 2014, causa C-131/12), che ha imposto ai motori di ricerca di procedere, a richiesta dell’interessato, alla deindicizzazione dei link collegati al suo nome contenenti informazioni personali non più di attualità.
In assenza di parametri oggettivi che possano guidare le valutazioni e le decisioni dei titolari del trattamento dei dati – in questo caso i motori di ricerca, cioè soggetti privati che agiscono a scopo di lucro – il nodo critico risiede nell’oggettiva difficoltà di stabilire fino a quando ricorrono le condizioni della permanenza online di informazioni riferite al passato, ovvero fino a quando e in base a quali presupposti queste ultime risultano avere ancora un apprezzabile interesse pubblico per la collettività.
Oggetto di tutela è diventato, quindi, non tanto il diritto ad essere dimenticati, quanto il diritto ad essere correttamente rappresentati. Infatti, nel caso Google Spain la richiesta di deindicizzazione rivolta al motore di ricerca riguardava notizie provenienti da fonti giornalistiche e mirava a realizzare non l’oblio in senso proprio, ma la rappresentazione corretta e attuale della personalità del richiedente.
Con l’art. 17 del GDPR si compie un significativo passo in avanti, superando completamente il rapporto fra il diritto impropriamente definito “all’oblio” e l’attività degli organi di informazione (libertà di cronaca). Tale disposizione, infatti, presuppone che la cancellazione dei dati personali possa essere richiesta per ragioni anche del tutto indipendenti dall’esigenza di tutela della propria reputazione o della corretta rappresentazione pubblica della personalità individuale.
Dati di interesse pubblico
In sintesi, nel GDPR il cosiddetto “diritto all’oblio” non è necessariamente collegato alla libertà di cronaca – cioè al diritto della collettività di venire a conoscenza di fatti di interesse pubblico – ma può riguardare dati di nessun interesse pubblico (che non lo hanno mai avuto, nemmeno in passato), che non necessariamente sono stati resi pubblici (si può infatti chiedere anche la cancellazione di dati non pubblici, ma gestiti solo dal titolare del trattamento) e che, in molti casi, sono stati originariamente immessi in Internet per decisione stessa dell’interessato.
Dunque, il GDPR consente a chiunque di chiedere che i propri dati vengano cancellati o perché l’interessato non ha consentito all’originario trattamento, o perché i dati sono stati trattati in modo illecito o con modalità non conformi a quanto dichiarato nell’informativa o semplicemente perché a un certo punto l’interessato sceglie, per qualsiasi ragione, di revocare il proprio consenso.
In tutti questi casi, secondo il primo paragrafo dell’art. 17 «l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali», pur con la precisazione che l’obbligo di cancellazione dei dati da parte del titolare del trattamento potrà essere assolto in misura più o meno completa e radicale in ragione della tecnologia disponibile e dei costi di attuazione (art. 17 par. 2).
Fra le condizioni indicate dall’art. 17, per le quali è possibile chiedere e ottenere la cancellazione dei dati personali, figura alla lettera f anche quella indicata dall’art. 8 del GDPR, cioè «l’offerta diretta di servizi della società dell’informazione ai minori». Tuttavia, le condizioni per le quali il soggetto minore può chiedere e ottenere la cancellazione dei propri dati personali non sono diverse da quelle generalmente applicate agli adulti, mancando qualsiasi specifica disposizione in merito.
Oblio e minori: la questione dell’età
È pur vero che la speciale protezione di cui i minori devono godere, in quanto non pienamente consapevoli delle implicazioni relative al trattamento dei loro dati personali, soprattutto se realizzato per finalità commerciali (marketing o profilazione dell’utente), è richiamata nel considerando n. 38 del regolamento, nonché nel considerando n. 58, riferito alla trasparenza e alla chiarezza delle informazioni destinate ai minori. Ma i considerando non sono disposizioni giuridicamente vincolanti e, in ogni caso, quanto richiamato non attiene specificamente al diritto all’oblio, ma al trattamento dei dati in genere.
La questione, dunque, si sposta sull’età in cui è possibile chiedere la cancellazione dei dati autonomamente, senza l’intervento dei genitori o, addirittura, in opposizione ad essi.
Per la verità, il GDPR tace su questo specifico punto. Tuttavia l’art. 8, che riguarda le condizioni applicabili al consenso al trattamento dei dati personali prestato dai minori, stabilisce al par. 1 che il trattamento dei dati è lecito se il consenso è prestato da persona di età minima di 16 anni, che qualora il minore abbia un’età inferiore ai 16 anni il trattamento è lecito se il consenso è prestato o autorizzato da chi esercita la responsabilità genitoriale e che, infine, gli Stati membri dell’Unione europea possono stabilire diverse soglie di età a tali fini, purché non inferiori a 13 anni.
Sharenting, i rischi sottovalutati della genitorialità nell’era della condivisione
Cosa prevede la normativa italiana
Per quanto riguarda l’Italia, il d. lgs. 10 agosto 2018, n. 101, con cui la normativa nazionale è stata adeguata al GDPR, ha fissato a 14 anni l’età in cui il soggetto minore può prestare autonomamente il consenso al trattamento dei propri dati personali, indipendentemente dal genitore (art. 2 quinquies).
Si può dunque arguire – pur trattandosi di un’interpretazione “estensiva” del dato normativo – che le medesime soglie di età individuate per la prestazione del consenso siano applicabili anche alla revoca del consenso e all’esercizio del diritto “all’oblio” e che, pertanto, in Italia il minore almeno quattordicenne possa legittimamente chiedere al titolare del trattamento dei dati la cancellazione degli stessi nei casi indicati (per gli adulti) dall’art. 17 del GDPR.
Questa interpretazione, peraltro, è congruente con quanto previsto dalla legge 29 maggio 2017, n. 71, contenente disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo: tale legge prevede infatti che i minori di almeno 14 anni che siano vittime di cyberbullismo possano agire autonomamente (non tramite i propri genitori) per inoltrare al titolare del trattamento dei dati (cioè al gestore del sito Internet o social network provider o motore di ricerca) un’istanza per l’oscuramento, la rimozione o il blocco dei dati personali (con conservazione dei dati originali) e, se questo non provvede entro 24 ore, per presentare un reclamo al Garante per la protezione dei dati personali. Ciò considerato, si può ragionevolmente supporre che 14 anni siano un’età adeguata all’autonomo esercizio del diritto di cui all’art. 17 del GDPR anche al di fuori dei casi di cyberbullismo.
Un “diritto di ripensamento”
In tema di diritto all’oblio e soggetti minori è opportuno esaminare anche il considerando n. 65 del GDPR, che però si riferisce al caso in cui una persona di qualsiasi età (quindi non necessariamente minorenne, ma anche ormai maggiorenne) desideri rettificare i propri dati personali o opporsi al loro trattamento o chiederne la cancellazione anche quando il consenso al trattamento di tali dati era stato prestato all’epoca in cui l’interessato non aveva ancora raggiunto la maggiore età e non era quindi presumibilmente consapevole dei rischi connessi al trattamento.
Dalle indicazioni contenute in questo considerando, utili però solo a fini interpretativi, si può desumere che i titolari del trattamento dovrebbero essere più disponibili ad accogliere le richieste di cancellazione dei dati personali (anche di quelli trattati legittimamente e col consenso dell’interessato) se il consenso era stato prestato da persona all’epoca minore di età. Questa “regola interpretativa” di fatto sottolinea, da un lato, la vulnerabilità del minore e la sua scarsa consapevolezza nel prestare il consenso al trattamento dei dati e, dall’altro, l’inevitabile evoluzione della personalità del minore, da cui deriva una sorta di “diritto al ripensamento” nei casi in cui, a distanza di tempo, l’interessato si penta di scelte avventate compiute durante la minore età.
In assenza, finora, di istanze di cancellazione di dati avanzate autonomamente da soggetti minori (sia la giurisprudenza di merito che i provvedimenti Garante per il trattamento dei dati personali hanno sempre riguardato richieste presentate dai genitori del minore) è tuttavia troppo presto per trarre conclusioni definitive con riguardo alla lacunosità e imprecisione delle relative norme del GDPR.
