La protezione dei dati personali ed il diritto all'oblio

Il diritto all'oblio è il diritto ad essere dimenticati. Sembra una cosa semplice, quasi banale, ma in un mondo iperconnesso non lo è affatto. Molti, infatti, vedono pubblicato il proprio nome online, attraverso dei siti web, che poi vengono indicizzati dai motori di ricerca, Google su tutti.

Ciò che si contrappone al diritto all'oblio è il diritto di cronaca. Si presuppone, però, che l'interesse pubblico alla conoscenza di un fatto è legato all'arco temporale necessario ad informare la collettività del fatto stesso. Ne consegue quindi che, col passare del tempo, questo interesse si affievolisca fino a diventare nullo.

Lungi dal costituire un concetto isolato, il diritto all'oblio si inserisce nel più ampio contesto del diritto alla privacy e alla riservatezza, direttamente legati al trattamento dei dati personali. La gestione di questi ultimi avviene attraverso l'istituto giuridico del consenso. Ma andiamo con ordine.

La protezione dei dati personali

Il paragrafo 1 dell'articolo 8 della Carta dei diritti fondamentali dell'Unione Europea, ed il paragrafo 1 dell'articolo 16 del Trattato sul Funzionamento dell'Unione Europea (TFUE) asseriscono che ogni persona ha il diritto alla protezione dei propri dati personali.

Si definisce dato personale qualsiasi informazione relativa ad una persona fisica identificata o identificabile. Il trattamento di questo tipo di dati deve innanzitutto seguire i principi dell'articolo 5 del Regolamento (UE) 2016/679, conosciuto come GDPR (General Data Protection Regulation), secondo il quale i dati vanno:

1. trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
2. raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
3. devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
4. esatti e, se necessario, aggiornati; inoltre devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
5. conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
6. trattati in maniera da garantire un'adeguata sicurezza dei dati personali.

Nell'articolo 24 viene poi introdotto il concetto di responsabilizzazione del titolare del trattamento. Questi, infatti, mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al (presente) Regolamento.

Il consenso al trattamento dei dati e il diritto all'oblio

Come dicevamo, il trattamento si concretizza poi materialmente attraverso il consenso degli interessati. Lo stesso GDPR, al comma 11 dell'articolo 4, definisce il consenso come qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Esistono diversi tipi di consenso, che spaziano dai settori più disparati, per finalità molto diverse tra loro. Esiste, ad esempio, il consenso informato in campo medico. Quello che però accomuna tutte queste tipologie, fatti salvi alcuni casi eccezionali, è appunto la consapevolezza degli interessati e la necessità che questi ultimi manifestino esplicitamente il consenso in oggetto.

Considerata l'attuale diffusione della digitalizzazione, oggi più che in passato è importante operare un'azione di sensibilizzazione sull'importanza della protezione dei dati personali. Essa si configura, ormai, come un primo step necessario alla salvaguardia di altri diritti. Per questo motivo il Garante della Privacy ha lanciato la campagna “Dalla tua parte”. Il Garante ha dedicato alla campagna una pagina specifica del proprio sito web, in costante aggiornamento. Una grossa fetta dell'impegno volto alla protezione dei dati è indirizzata alla protezione dei dati dei minori. Dura da anni, ad esempio, la battaglia affinché i social verifichino l'età dei minori che si iscrivono.

Come accennavamo in precedenza, il diritto all'oblio si contrappone al diritto di cronaca ed in generale al diritto alla libertà di espressione e informazione. Per questo motivo, l'articolo 17 del Regolamento decreta la non sussistenza del diritto alla cancellazione nel caso in cui il trattamento dei dati sia necessario per il soddisfacimento di alcune esigenze. Tra queste quelle di cronaca appena citata o di, ad esempio, archiviazione nel pubblico interesse e di ricerca scientifica o storica.

Il primo passo: la sentenza relativa a Google Spain

Il diritto all'oblio è stato introdotto in Italia nel 2015. Esso è, infatti, il tema del comma 1 dell'articolo 11 della Dichiarazione dei diritti di internet, voluta e curata da Stefano Rodotà.

Il primo caso, e sicuramente il più eclatante, però, che ha attirato l'attenzione sul tema è quello che vede l'obbligo, imposto dalla Corte di Giustizia Europea a Google Spain, di deindicizzare alcuni dati. Si tratta della sentenza numero 317 del 13 maggio 2014, relativa a Google Spain SL e Google Inc. contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González.

Il giornale online La Vanguardia Editiones SL aveva pubblicato poche righe in cui comparivano alcuni dati personali di González. Egli, non ritenendoli più attuali, ne aveva richiesto la rimozione, sia al giornale che a Google. L'Agencia Española de Protección de Datos (AEPD), ha decretato che i motori di ricerca pongono in essere un trattamento di dati e sono i responsabili dello stesso, e quindi tenuti a rispettare la normativa sul tema. Successivamente, la Corte Suprema Spagnola ha presentato alla Corte di Giustizia una serie di punti relativi all'applicazione della direttiva 95/46/CE. Da qui è scaturita, infine, la citata sentenza n°317.

Il caso Meta

 Molto più recente è invece la diatriba tra Meta Platforms Ireland Limited, il colosso che comprende le piattaforme Facebook, Instagram e Whatsapp, ed il Garante della Privacy Irlandese. La questione riguardava l'introduzione, da parte di Meta, del consenso alla profilazione dei dati per il cosiddetto behavioral advertising all'interno del documento generico di termini e condizioni del servizio. La Data Protection Commission irlandese giudicava ammissibile questo comportamento, sulla base della propria interpretazione dell'articolo 6 del GDPR. Secondo tale lettura, la profilazione rientrerebbe tra gli elementi necessari all'esecuzione di un contratto accettato dalle parti. Trattandosi, però, di una decisione che riguarda tutti i cittadini europei, l'autorità irlandese è stata costretta a sottoporre la bozza della propria decisione alle autorità nazionali degli altri Stati membri. Queste ultime hanno bocciato la scelta dei propri colleghi. La contestazione riguarda il fatto che l'accettazione della profilazione dei dati per la pubblicità personalizzata, deve essere consapevolmente espressa dall'utente. Non può, quindi, essere considerata come semplice elemento contrattuale. Questo significa che tale consenso deve essere richiesto in maniera chiara ed esplicita, e non può essere “nascosto” tra i termini generali del servizio. La querelle è nata in seguito alla segnalazione dell'associazione Nyob. Si è giunti ad una conclusione il 4 gennaio 2023, in seguito all'intervento, non riuscendo a trovare un accordo tra le diverse autorità nazionali, dell'European Data Protection Board, ovvero il Comitato Europeo per la Protezione dei Dati. Il gigante dei social network è stato condannato a pagare una multa di 390 milioni di euro.

La legislazione comunitaria ed italiana

Come dicevamo, il diritto all'oblio è stato poi introdotto in Italia nel 2015. In Europa è stato ufficializzato nel 2016, nell'articolo 17 del citato Regolamento 679. La logica su cui quest'ultimo si fonda è quella di assicurare certezza del diritto e trasparenza agli operatori economici, comprese micro, piccole e medie imprese e, allo stesso tempo, garantire alle persone fisiche, lo stesso livello sia di diritti che di obblighi e responsabilità dei titolari e dei responsabili del trattamento dei dati in tutti gli Stati membri. Questo a prescindere sia dalla nazionalità che dalla residenza del titolare dei dati. Come si è accennato, a questo scopo il Regolamento introduce, a carico del titolare del trattamento, il concetto di accountability (responsabilizzazione). Sempre a carico del titolare è l'obbligo di effettuare la valutazione di impatto del trattamento (risked based approach to data privacy). Il GDPR impone, inoltre, all'articolo 37, che negli ordinamenti nazionali venga individuato un Responsabile della protezione dei dati (Data Protection Officer).

Nel nostro ordinamento, il cosiddetto Codice della Privacy, d.lgs. N°196 del 30/06/2003, è stato profondamente modificato, allo scopo di allinearsi alla normativa sovranazionale, dal d.lgs 10/08/2018 n°101. All'articolo 2 del nuovo Codice della Privacy viene individuata la figura del Garante della Protezione dei dati personali. Si tratta di un'autorità indipendente, che ha, oltre al compito di vigilanza nazionale, anche quello di contribuire alla coerente applicazione del Regolamento in tutta l'Unione.

Come ha affermato Viviane Reding, commissario europeo alla Giustizia, in occasione della sentenza del 2014: “È una chiara vittoria a favore della protezione dei dati personali dei cittadini europei, che conferma la necessità di portare le regole odierne sulla protezione dei dati dall’età della pietra ai giorni nostri, nel mondo moderno dei computer”.