Open in app

Sign in

Write

Sign in

IL DIRITTO ALL'OBLIO NELLA LEGISLAZIONE EUROPEA

Lucrezia Pedini
Argomenti di diritto dei media digitali
Published in
13 min readDec 20, 2017

Il diritto all'oblio, inizialmente riconosciuto soltanto a livello giurisprudenziale sia in campo europeo che nazionale, può essere definito come l’interesse di un singolo ad essere dimenticato: la sua esplicazione consiste nella cancellazione dei contenuti dalle varie pagine web, di precedenti informazioni (spesso pregiudizievoli come ad esempio precedenti penali) che non rappresentano più la vera identità dell’interessato. Consiste, dunque, nella possibilità di richiedere l’eliminazione di notizie relative a fatti avvenuti in passato per tutelare la riservatezza e l’identità personale attuale di un soggetto.

Infatti, digitare il proprio nome su Google può essere un’esperienza che riserva molte sorprese. La lista dei risultati è un insieme di pezzi che va a comporre la nostra identità sul web: compare ciò che abbiamo postato sui social network, c’è il commento fatto nella bacheca dell’università o foto che abbiamo pubblicato tanti anni fa. Ma se qualcosa non ci piace, ci imbarazza o addirittura riteniamo sia calunniosa, abbiamo diritto a essere “dimenticati” dal motore di ricerca? Secondo la Corte di Giustizia europea, tecnicamente sì.

Questo, tuttavia, non può avvenire in modo incondizionato e, prima le Corti nazionali e comunitarie, poi il Regolamento Generale sulla Protezione dei Dati, hanno stabilito quali debbano essere le condizioni necessarie per un corretto esercizio di questo diritto, soprattutto ai fini della sua compatibilità con il diritto d’informazione che, nei casi in cui le notizie siano attuali e di interesse pubblico, dovrà comunque prevalere sull'interesse del singolo.

In base alle puntualizzazioni delle più autorevoli dottrine in materia, il diritto all'oblio potrebbe essere agevolmente definito tanto come la naturale conseguenza di una corretta applicazione dei principi che regolano il diritto di cronaca, quanto come uno dei molteplici aspetti in cui si manifesta il diritto alla riservatezza. Esso, in ogni caso, rappresenta, una sorta di «difesa dal ritorno del rimosso». Il diritto all'oblio, inevitabilmente, si pone in contrapposizione con l’interesse alla conoscenza. Secondo alcuni, esso, se concepito come diritto incondizionato, andrebbe a contrapporsi, con effetti a dir poco disastrosi, allo stesso “diritto alla storia”, poiché, potendo, chiunque avrebbe interesse a non rendere più conoscibili tutte quelle notizie “scomode” che lo riguardano.

Quel che è certo è che il diritto all'oblio è un diritto la cui portata si estende ben oltre i confini della tutela della Privacy, ma che, fino a poco tempo fa, risultava privo di legittimazione nazionale ed europea.

In Europa, esso ha ricominciato a far parlare di sé, soprattutto in conseguenza alla pubblicazione, nella Gazzetta Ufficiale dell’Unione Europea 4 Maggio 2016 n. 119, del nuovo Regolamento (UE) 2016/679, il quale non veniva affrontato dalla Direttiva del 1995.

IL REGIME LEGALE

L’attuale regime legale per la protezione dei dati personali, in Europa, è indubbiamente il quadro normativo esistente più avanzato a livello mondiale.

Viene da pensare che al mondo ci siano altri stati molto più sviluppati in campo economico su internet e quindi mettere in dubbio questo, ma bisogna eliminare la convinzione che il diritto all'oblio è connesso solo con le attività degli utenti internet, anche se tuttavia sarebbe difficile negare che la maggior parte delle polemiche nate a riguardo di questi diritti, non si riferiscano al mondo del web.

La protezione dei dati personali delle persone è stata riconosciuta in Europa ormai da qualche tempo. Nel 1950, la CEDU, ovvero la Carta europea dei diritti dell’uomo, nell'art. 8 parlava del diritto che tutti hanno sulla propria vita privata e familiare, sulla casa e la sua corrispondenza. Fino alla fine degli anni ’70, il Comitato del Consiglio d’Europa ha adottato diversi atti in riferimento alla protezione dei dati personali, come erano stati definiti dalla CEDU. Nel 1981, viene applicata la Convenzione di Strasburgo, o anche Convenzione 108 del Consiglio d’Europa, che è uno dei più importanti strumenti legali per la protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale. Ed è l’unico strumento giuridicamente vincolante a livello internazionale in tale materia, potendo ad essa aderire anche Stati non membri del Consiglio d’Europa. La Convenzione 108 nasce dall'esigenza di tutela per le persone a seguito del proliferare di tecnologie dell’informazione e comunicazione a partire dagli anni ’60. La normativa mira a proteggere gli individui da abusi e regolamentare i flussi transnazionali dei dati e trae diretta inspirazione dall'art. 8 sopracitato.

In sintesi, l’UE ha da sempre adottato un ruolo di garante e protettore del diritto al controllo sui dati personali, riconosciuto come una delle norme fondamentali dell’ordinamento giuridico. Pertanto, il problema affrontato dall'UE è quello di garantire i diritti e dare ai cittadini un controllo reale sui loro dati.

DIRETTIVA 95/46/CE

Dopo il 1981, il primo documento importante su questo tema è la Direttiva n. 46 del 1995. La direttiva, testo di riferimento a livello europeo, definisce un quadro normativo volto a stabilire un equilibrio fra un livello elevato di tutela della vita privata delle persone e la libera circolazione dei dati personali all'interno dell’Unione. A tal fine, la direttiva fissa limiti precisi per la raccolta e l’utilizzazione dei dati personali e chiede a ciascuno Stato membro di istituire un organismo nazionale indipendente incaricato della sorveglianza di ogni attività associata al trattamento dei dati personali.

La norma principale che costituisce una base per il diritto all'oblio nella legislazione dell’UE, e che insieme ad altri articoli va a costituire quello che viene definito il diritto comunitario all'oblio, è l’art. 12 della direttiva: “Diritto di accesso: Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento, a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati”.

L’art. 6 stabilisce, invece:

“1. Gli Stati membri dispongono che i dati personali devono essere:

a) trattati lealmente e lecitamente;

b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità;

c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;

d) esatti e aggiornati;

e) conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati.”

La presenta direttiva, nel campo dell’oblio, è completata dal testo dell’art. 14: “Diritto di opposizione della persona interessata. Gli Stati membri riconoscono alla persona interessata il diritto:

a) di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale;

b) di opporsi, su richiesta e gratuitamente, al trattamento dei dati personali che la riguardano previsto dal responsabile del trattamento a fini di invio di materiale pubblicitario ovvero di essere informata prima che i dati personali siano, per la prima volta, comunicati a terzi o utilizzati per conto di terzi, a fini di invio di materiale pubblicitario.”

Per dirlo con parole più semplici, la Corte di Giustizia dell’Unione Europea ha stabilito che è nel diritto dei cittadini europei richiedere ai motori di ricerca online l’eliminazione dalle loro pagine dei risultati di eventuali link che rimandino verso “contenuti non più rilevanti” che li riguardano.

SENTENZA DELLA CORTE NEL 2014

Molto importante a riguardo è la decisione che Corte prende nel 2014, che ha fatto e fa molto discutere ed è stata criticata da Google, il più usato motore di ricerca che è anche coinvolto direttamente nella decisione dei giudici, i quali si sono espressi su un ricorso specifico presentato da un cittadino spagnolo contro la società.

Il sign. Gonzalez, infatti, nel marzo 2010, avendo verificato che inserendo il proprio nome nel motore di ricerca di Google si ottenevano dei link verso due pagine del quotidiano nazionale La Vanguardia, che riportavano la notizia di una vicenda giudiziaria che lo aveva riguardato e che si era definita oltre 10 anni prima, ha presentato un reclamo dinanzi all’AEPD (Agenzia Spagnola per la Protezione dei Dati) contro il quotidiano, nonché contro Google Spain e Google Inc. Con il reclamo ha chiesto che, al quotidiano, fosse ordinato di sopprimere o modificare le pagine suddette in modo che non vi fossero più i propri dati personali e che, ai secondi, fosse ordinato di eliminare o di occultare i dati stessi, in modo che non comparissero più tra i risultati di ricerca. Per Gonzalez il contenuto segnalato da Google violava la sua privacy e non era più rilevante come informazione sui suoi problemi economici, ora risolti.

I giudici della Corte hanno stabilito che i cittadini europei hanno il diritto di richiedere che alcune informazioni siano rimosse se queste sono “non adatte, irrilevanti o non più rilevanti”. Secondo la Corte, se cercando qualcosa sul proprio conto su Internet si trova un contenuto segnalato nella pagina dei risultati di un motore di ricerca che si ritiene non rilevante deve essere possibile chiederne la “deindicizzazione” alla società che gestisce lo stesso motore di ricerca, indipendentemente dall'esistenza online di quel contenuto. In caso di inadempienza, il cittadino ha poi il diritto di ricorrere alle autorità competenti per ottenerne la rimozione.

L’AEPD, quindi, ha respinto il reclamo nella parte in cui era diretto contro il quotidiano, in quanto ha ritenuto la pubblicazione assolutamente legittima; mentre lo ha invece accolto nella parte in cui era diretto contro Google Spain e Google Inc. I due operatori del web hanno impugnato la decisione dell’AEPD in sede giudiziaria dinanzi all’Audiencia Nacional, che a propria volta ha sospeso il procedimento per sottoporre alla Corte di Giustizia dell’U.E., mediante rinvio pregiudiziale, alcune rilevanti questioni interpretative riguardanti, nella sostanza, l’applicabilità all'attività dei motori di ricerca della normativa europea in materia di protezione dei dati (Direttiva 95/46/CE).

Su tali questioni la posizione di Google Spain e Google Inc. è stata nettamente diversa da quella manifestata dal “Garante” spagnolo. Infatti entrambi hanno sostenuto che l’attività dei motori di ricerca non sia un «trattamento di dati personali» (con la motivazione che i motori di ricerca trattano le informazioni accessibili su Internet nel loro insieme senza operare una selezione tra i dati personali e le altre informazioni) e che, anche laddove lo fosse, il gestore di un motore di ricerca non potrebbe essere considerato come «responsabile» di tale trattamento, dal momento che egli non ha conoscenza dei dati in questione e non esercita alcun controllo su di essi. La Corte di Giustizia, dopo aver richiamato anche altre proprie precedenti sentenze, ha invece stabilito che “l’attività di un motore di ricerca, consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell'indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali» qualora tali informazioni contengano dati personali.

La Corte ha poi ritenuto che la stessa normativa europea si applichi anche ai gestori che abbiano la loro sede fuori dall'Europa nell'ipotesi in cui, come nel caso di Google.

In sostanza la Corte di Giustizia ha affermato in maniera molto netta che la normativa europea sulla privacy si applica anche all'attività dei motori di ricerca e che anche Google è sottoposto alla “giurisdizione” europea. Un passaggio di assoluto rilievo della decisione in oggetto è indubbiamente quello nel quale la Corte ha evidenziato che “il trattamento di dati personali effettuato nell'ambito dell’attività di un motore di ricerca si distingue da, e si aggiunge a, quello effettuato dagli editori di siti web, consistente nel far apparire tali dati su una pagina Internet”.
Proprio a partire da tale assunto si evince che, secondo l’autorevole e decisiva interpretazione della Corte, il diritto fondamentale alla protezione dei dati personali, nel quadro dell’ordinamento euro-unitario vigente, implica il cosiddetto diritto all'oblio consistente nel riconoscimento, in capo all'interessato, del diritto di controllare l’uso che viene fatto in Internet dei dati personali che lo riguardano e gli conferisce la facoltà di esercitare tale diritto, a seconda delle situazioni concrete, tanto nei confronti del responsabile del sito web in cui è stata pubblicata l’informazione personale, quanto nei confronti del gestore del motore di ricerca che fornisca il link alla medesima informazione.

Quindi, dopo la sentenza del 13 maggio 2014, Google ha messo a disposizione un modulo con il quale gli utenti possono chiedere la rimozione di link che li riguardano e che ritengono «inadeguati, irrilevanti o non più rilevanti, o eccessivi in relazione agli scopi per cui sono stati pubblicati». La procedura è semplice: si inseriscono i propri dati, la url che si desidera venga eliminata e una copia del proprio documento d’identità. Se il processo va a buon fine, Google integra nei suoi algoritmi la richiesta e alla successiva ricerca fatta sul nome dell’utente quel link non apparirà più.

Tuttavia, anche se Google decidesse di accogliere la richiesta di cancellazione, il vero nemico dell’oblio rimane la viralità: «Se un’informazione è pubblica è difficile farla sparire da tutti i posti in cui è finita. Da un punto di vista normativo è possibile chiedere aiuto, ma se il dato è stato condiviso è impossibile renderlo totalmente irreperibile». La url, quindi, non comparirà più quando qualcuno digiterà il nome dell’utente, ma potrebbe essere ancora raggiungibile tramite altre parole chiave.

Il motore di ricerca, però, può anche decidere di considerare la richiesta illegittima e negare la cancellazione del contenuto. A quel punto l’utente può fare ricorso al Garante per la Privacy.

L’Authority può decidere se accettare o respingere la procedura in base al bilanciamento con il diritto di cronaca: se un fatto è troppo recente o è di rilevante interesse pubblico la risposta sarà negativa per il prevalere dell’interesse pubblico.

L’unica alternativa per il richiedente rimane quella di rivolgersi a un giudice civile per ricorrere contro il Garante, una decisione che comporta un impegno ancora maggiore sia dal punto di vista economico che delle tempistiche necessarie. È più facile, quindi, ottenere la cancellazione di informazioni riguardanti dati personali piuttosto che notizie legate a fatti di cronaca, vicende giudiziarie o comunque riprese dai mezzi d’informazione.

PROPOSTA DI REGOLAMENTO SULLA PROTEZIONE DEI DATI PERSONALI (maggio 2016, entrerà in vigore nel maggio 2018)

Nel gennaio 2016 la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati. Si tratta di un Regolamento, che andrà a sostituire la direttiva 95/46/CE. Va ricordato che i regolamenti UE sono immediatamente esecutivi, non necessitando di recepimento da parte degli Stati membri, a differenza delle direttive. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE.

Alcune tra le maggiori novità della proposta di Regolamento, sono le seguenti:

• restano ferme le definizioni fondamentali, ma con alcune significative aggiunte;

• si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all'oblio”, ossia di decidere quali informazioni possano continuare a circolare dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);

• scompare l’obbligo per i titolari di notificare i trattamenti di dati personali, sostituito da quello di nominare un “data protection officer”, per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti;

• viene introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy) oltre al principio generale detto “privacy by design” (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);

• si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

L’articolo che però si occupa del diritto all'oblio e alla cancellazione è il numero 17, prima definito dall'art. 12 della Direttiva. Andando ad analizzarlo nel dettaglio vediamo che come prima cosa viene riconosciuto all'interessato il diritto di ottenere dal responsabile del trattamento la cancellazione di dati personali che lo riguardano e la rinuncia a un’ulteriore diffusione di tali dati, in particolare in relazione ai dati personali resi pubblici quando l’interessato era un minore, se sussiste uno dei motivi seguenti:

a) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l’interessato revoca il consenso su cui si fonda il trattamento, oppure il periodo di conservazione dei dati autorizzato è scaduto e non sussiste altro motivo legittimo per trattare i dati

c) il trattamento dei dati non è conforme al presente regolamento.

L’art.17, inoltre, obbliga il responsabile del trattamento di prendere tutte le misure ragionevoli, anche tecniche, in relazione ai dati della cui pubblicazione è responsabile, per informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Altro compito del responsabile del trattamento è la cancellazione, a meno che conservare i dati personali non sia necessario:

(a) per l’esercizio del diritto alla libertà di espressione;

(b) per motivi di interesse pubblico nel settore della sanità pubblica;per finalità storiche, statistiche e di ricerca scientifica.

Se invece non può provvedere alla cancellazione, il responsabile del trattamento limita il trattamento dei dati personali:

a) quando l’interessato ne contesta l’esattezza;

b) quando, benché non ne abbia più bisogno per l’esercizio dei suoi compiti, i dati devono essere conservati a fini probatori;

c) quando il trattamento è illecito e l’interessato si oppone alla loro cancellazione e chiede invece che ne sia limitato l’utilizzo.

CONCLUSIONE

Dal quadro sommariamente delineato si evince una evoluzione in atto, con una sua coerenza ma non priva di qualche elemento problematico e di limitazione. Da un lato la cronaca ci rivela frequentemente la fragilità e vulnerabilità della nostra privacy, dall'altro il diritto fondamentale alla protezione dei dati personali ottiene un progressivo e crescente riconoscimento sul piano giuridico formale.

Per portare alcuni dati a dimostrazione dell’importanza data al diritto all'oblio, possiamo dire che al gennaio 2016 sono arrivate circa 376 000 richieste a 1 329 000 url in tutta Europa. L’Italia si trova al quinto posto per il numero di richieste assolute e al primo per quelle rifiutate. Sempre secondo i dati, i domini di cui Google ha rimosso il maggiore numero di url risultano essere: Facebook, youtube, badoo, Twitter…

Indubbiamente l’evoluzione tecnologica incide profondamente sul processo dinamico in atto, i cui esiti futuri sono solo in parte prevedibili; lo stesso diritto all'oblio tende poi ad assumere un profilo multiforme: ora diritto alla cancellazione e all’”oscuramento”, ora diritto alla completezza dell’informazione e ad una memoria storica aggiornata e trasparente, a seconda delle situazioni concrete e dell’eventuale coinvolgimento di altri diritti fondamentali.

Per concludere, Jankowsky afferma che bisogna ricordare che l’UE non crea queste normative in modo “malvagio” e non mira a diminuire la protezione delle persone e a danneggiare il legittimo interesse pubblico. Al contrario, l’obbiettivo del quadro UE è garantire sia gli interessi pubblici che privati, per far sì che ci sia la convivenza anche tra i diritti fondamentali quali quelli sulla protezione dei dati personali, la libertà di parola, la privacy e la libertà di stampa.

“Trovare l’equilibrio tra questi valori potrebbe a volte essere difficile, ma non impossibile”: è la frase con cui si conclude l’articolo di approfondimento, dove l’autore in qualche modo fa capire la sua speranza del riconoscimento del diritto all'oblio tra i diritti fondamentali, ma anche il suo scetticismo a riguardo.

Per approfondire:

  • “The right to be forgotten in EU legislation”, di Krzysztof J. Jankowski, dicembre 2014;
  • Sito dell’Unione Europea.
Privacy
Right To Be Forgotten
Freedom Of Expression

--

--

Lucrezia Pedini
Argomenti di diritto dei media digitali

Written by Lucrezia Pedini

7 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams