Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

la guida

Diritto all’oblio e privacy, cos’è e come esercitarlo: tutto quello che devi sapere

Cos’è il diritto all’oblio e quale significato assume oggi al tempo dei social network e dello sharing continuo di informazioni personali. Come esercitare il diritto all’oblio e quali sono i limiti. Gli oneri in capo alle aziende. Ecco tutto ciò che c’è da sapere

14 Mar 2018

Guglielmo Troiano

P4I


Il diritto all’oblio risponde all’esigenza che ognuno di noi può avere di far dimenticare a tutti la propria identità. Nella sua accezione più ampia è, infatti, una modalità attraverso la quale si esplica il nostro diritto all’identità personale: si oblia (si chiede di obliare) ciò che riteniamo non debba essere più parte della nostra identità personale.

Il diritto all’oblio può essere praticato attraverso la richiesta di rimozione delle informazioni personali che ci riguardano dalla loro pubblica circolazione. Per questo è equiparabile al diritto alla cancellazione, anche se, in realtà, sono diritti diversi tra loro: la pretesa di cancellazione delle nostre informazioni personali è una conseguenza dell’esercizio del diritto all’oblio; si può pretendere la cancellazione di dati personali anche per presupposti diversi.

Diritto all’oblio vs. diritto alla memoria 

Gli esseri umani vivono da sempre una evidente contraddizione rispetto a ciò che vogliono che tutti sappiano di sé stessi (memoria di sé) e ciò che preferiscono resti segreto (che si oblii).

Il tema del diritto alla memoria viene magistralmente espresso in poche righe da Francesco Pizzetti (cfr. Privacy e il Diritto Europeo alla Protezione dei Dati Personali, Giappichelli, 2016):

“Da un lato, essi aspirano all’immortalità e, sapendo di non poterla avere, cercano di lasciare il più a lungo possibile memoria di sé come unico modo per prolungare la propria vita, o meglio il ricordo nel futuro del fatto che essi sono esistiti, e di ciò che hanno realizzato.”

“All’opposto, ogni persona umana ha anche il terrore che ogni atto negativo compiuto nel corso della propria esistenza possa essere ricordato per sempre, o almeno fino a quando è in vita e lo sono quelli che ne hanno memoria.”

Diritto all’oblio vs. diritto di cronaca

È con il diritto all’informazione che il diritto all’oblio si scontra in maniera decisamente più evidente, ovvero con il diritto di informare (diritto di cronaca) ed il diritto ad essere informati. Informare su fatti relativi ad un individuo, fornendo al contempo informazioni personali dello stesso, nel rispetto dei tre fondamentali parametri 1) dell’interesse pubblico, 2) dell’attualità (informare quando il fatto si verifica) e 3) della veridicità (fornire informazioni corrispondenti al vero), è la fattispecie più evidentemente afferente al diritto all’oblio.

Diritto all’oblio vs. libertà di manifestazione del pensiero

Ogni individuo gode del diritto alla libertà di opinione e di espressione, incluso il diritto di ricevere e diffondere informazioni e idee attraverso ogni mezzo. Libertà che, con gli strumenti della odierna società dell’informazione, consentono a chiunque, quindi non solo ai “giornali”, di poter rendere pubbliche informazioni sugli individui. Basti pensare alle migliaia di foto e video privati, anche a sfondo sessuale, diffusi, scambiati e pubblicati quotidianamente tramite WhatsApp, Facebook e YouTube, pubblicazioni che hanno portato anche, in alcuni tragici casi, al suicidio di chi ha preteso, senza successo, l’oblio.

Che significato assume oggi il diritto all’oblio

Il diritto all’oblio può storicamente coincidere con la nascita del diritto alla privacy ed alla riservatezza, ovvero con il diritto di essere lasciati in pace concepito da Warren e Brandeis nel 1890. Senza dubbio è emerso nell’era precedente all’avvento del Web, noto come “oscurità pratica” riferibile a dati fisici che erano “praticamente oscuri” per la impossibilità di accedervi. L’oscurità pratica arrivò per la prima volta nel 1979, quando alcuni giornalisti cercarono documenti in possesso dell’FBI di un uomo chiamato Charles Medico, le cui attività familiari presumibilmente avevano legami con il crimine organizzato.

Leggi: Privacy, che ci insegna la Storia sulle differenze tra Usa ed Europa

Ma è con il World Wide Web, i Social Network e, in generale, le reti di comunicazione elettronica, che il diritto all’oblio acquisita in tempi recenti un significato estremamente più profondo e dirompente. Pretendere oggi che le proprie informazioni personali vengano sottratte alla pubblica circolazione non è agevole come poteva essere in passato, quando si poteva pretendere che le informazioni che ci riguardano non venissero ristampate, essenzialmente su carta, e diffuse ulteriormente.

La prospettiva oggi è totalmente diversa. Nel mondo digitale, caratterizzato dallo “sharing” continuo di contenuti (mossi dall’adagio “If you experience something – record it. If you record something – upload it. If you upload something – share it.”), non si tratta solo di impedire che permangano disponibili le nostre informazioni personali pubblicate dalla fonte originaria ma, piuttosto, far eliminare anche le successive ripubblicazioni delle stesse da parte di terzi soggetti.

In altre parole, la problematica più rilevante oggi non è relativa alla difficoltà di cancellare una notizia o una foto o un video pubblicati dalla fonte originaria ma alle ripubblicazioni che permangono sempre accessibili. Per questo motivo, la riflessione da fare oggi, per far salvo il diritto all’oblio, è su quanto può permanere pubblicamente disponibile una informazione online, prescindendo dal tempo trascorso dalla prima pubblicazione, che potrebbe aver fatto perdere alla notizia anche attualità e interesse pubblico.

La memoria, nel mondo fisico e analogico, è strettamente connessa ai limiti che lo strumento che la custodisce possiede per mantenerla nel tempo. Per quanto tempo possiamo ricordare una informazione? Quanto è semplice condividerla con altri? Quanto può farlo la carta? Nel mondo digitale e di Internet, invece, le informazioni possono essere memorizzate, duplicate e condivise con estrema semplicità, con la conseguenza che tutte le informazioni permangono, non ci sono esigenze di selezione, le memorie al silicio sono pressoché illimitate e, nel Cloud, non abbiamo contezza concreta di chi e dove ha memorizzato, duplicato, indicizzato e pubblicato le nostre informazioni.

L’esigenza oggi non è quella di avere memoria, di ricordare delle informazioni ma, piuttosto, di dimenticare.

Leggi: Diritto all’oblio, le nuove frontiere globali del Garante Privacy italiano

Cosa cambia con il Regolamento europeo sulla privacy

Il diritto all’oblio si colloca nell’ambito della disciplina giuridica della protezione dei dati personali che, negli ultimi vent’anni, è stata oggetto della Direttiva UE n. 46/95. Nell’art. 12 (lett. b) della Direttiva si parla indirettamente di oblio in relazione alla cancellazione, o congelamento, dei dati il cui trattamento non è conforme alle disposizioni della Direttiva stessa, in particolare a causa del carattere incompleto o inesatto dei dati.

L’Autorità garante italiana si è occupata per la prima volta di diritto all’oblio nel 2004 e poi nel 2008 e nel 2010, nello specifico in relazione alla pubblicazione online degli archivi storici dei giornali. Secondo l’Autorità, è legittima la messa a disposizione per la consultazione dei dati personali online attraverso il sito dell’editore, precisando tuttavia che la pagina web che contiene i dati personali dev’essere sottratta all’indicizzazione dei motori di ricerca esterni.

Sul rapporto tra oblio e motori di ricerca si torna a parlare nel 2014 innanzi alla Corte di giustizia europea nel caso Google Spain contro l’autorità spagnola AEPD (Agencia Española de Protección de Datos) ed il cittadino spagnolo Mario Costeja González. In questo contesto fu consacrato il diritto a che le proprie informazioni personali possano essere deindicizzate dalla ricerca creando di fatto una impossibilità di trovarle sul Web. Google, infatti, a seguito della sentenza della Corte UE, non impostò un sistema per chiedere la cancellazione dei contenuti pubblicati, non avendone, tra l’altro, nemmeno la disponibilità, ma solo la loro eliminazione dai risultati della ricerca.

Occorre attendere il 2016 per avere definitivamente una norma apposita sul diritto all’oblio con la nuova disciplina europea sulla privacy, il Regolamento UE n. 679/2016 (GDPR).

Leggi: GDPR, tutto ciò che c’è da sapere per essere in regola

Il GDPR positivizza definitivamente il diritto all’oblio nell’art. 17 ma lo fa coincidere con il diritto alla cancellazione, applicabile nei seguenti casi (art. 17 c. 1 del GDPR):

  1. i dati non sono più necessaroni rispetto alle finalità per le quali sono stati raccolti (es. lo scopo di eseguire un contratto), pertanto il trattamento deve essere limitato agli altri scopi (es. contabilità, archiviazione o conservazione legale);
  2. l’interessato revoca il consenso al trattamento dei dati personali, per una o più specifiche finalità, oppure revoca il consenso al trattamento di categorie particolari di dati e se non sussiste altro fondamento giuridico per il trattamento;
  3. l’interessato ha esercitato il diritto di opposizione al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento per finalità di marketing diretto, inclusa la profilazione;
  4. i dati personali sono stati trattati illecitamente;
  5. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  6. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione e trattati sulla base del consenso di un minore, laddove il minore abbia almeno 16 anni di età, o del consenso prestato o autorizzato dal titolare della responsabilità genitoriale, laddove il minore non abbia almeno 16 anni.

L’art. 17 prosegue precisando che il diritto alla cancellazione non si applica se il trattamento oggetto di cancellazione è necessario (art. 17 c. 3 del GDPR) per:

  1. l’esercizio del diritto alla libertà di espressione e di informazione;
  2. l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  3. motivi di interesse pubblico nel settore della sanità pubblica;
  4. fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
  5. l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Leggi: Usi automatizzati di dati personali, le nuove tutele per gli utenti

Secondo Francesco Pizzetti, il diritto all’oblio, come concepito dal GDPR, “è in realtà il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale”. Nel Considerando 66 del GDPR, infatti, vi è una riflessione specifica sul rapporto tra oblio e ambiente online che indica l’obbligo per il titolare investito della cancellazione dei dati pubblicati a informare (gli altri) titolari di cancellare qualsiasi link verso i dati o copia o riproduzione degli stessi. Tale principio si ritrova poi nell’art. 17 al comma 2 che impone al titolare non solo di cancellare i dati ma anche di, “tenuto conto della tecnologia disponibile e dei costi di attuazione”, adottare “misure ragionevoli, anche tecniche” per informare della richiesta che gli è pervenuta anche gli altri eventuali titolari che stanno utilizzando i dati a lui resi pubblici. Questa è la parte davvero distintiva del diritto all’oblio rispetto al diritto alla cancellazione.

Leggi: Diritto all’oblio nel Gdpr, ecco tutte le novità

Come esercitare e come adempiere al diritto all’oblio delineato dal GDPR

La pretesa di cancellazione dei dati da parte dell’interessato al trattamento è una conseguenza del verificarsi di una delle situazioni previste dal citato art. 17 c. 1 del GDPR. Non è cioè necessario l’esercizio diretto di una richiesta di cancellazione da parte dell’interessato. L’azienda (titolare del trattamento) deve procedere spontaneamente e automaticamente alla cancellazione dei dati personali che riguardano un individuo se si verifica una delle situazioni elencate nell’art. 17 c. 1 del GDPR, a prescindere quindi dall’esercizio del diritto da parte dell’interessato. L’interessato ha comunque sempre facoltà di procede con una richiesta espressa di cancellazione, nelle forme libere che ritiene opportune, se il titolare non ne ha predisposte appositamente.

La cancellazione dev’essere effettuata senza giustificato ritardo (entro un mese previsto per il riscontro) e dev’essere a titolo gratuito anche se l’azienda titolare può prevedere un ragionevole contributo spese o rifiutarsi se dimostra che la richiesta è manifestamente infondata o eccessiva, in particolare se ripetuta nel tempo.

Al verificarsi di uno degli eventi previsti dall’art. 17 c. 1, quindi in caso di richiesta di cancellazione di dati personali, ogni azienda dovrebbe valutare l’applicabilità del diritto coinvolgendo diversi soggetti.

Il Considerando 59 del GDPR stabilisce che il titolare deve prevedere modalità volte ad agevolare l’esercizio dei diritti da parte dell’interessato. In tal senso, è opportuno che l’azienda titolare crei un processo che veda il coinvolgimento almeno di un referente legale, per valutare la sussistenza dei presupposti per l’esercizio del diritto alla cancellazione (es. per valutare se sussista il caso di accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria o il caso di trattamento illecito) e di un referente IT per valutare gli aspetti tecnici in riferimento alla cancellazione. Inoltre, è opportuno individuare dei referenti privacy interni che si occupino della cancellazione in caso di trattamenti effettuati esclusivamente in forma cartacea (es. Funzione Customer Service per richieste dei clienti, Funzione HR per quelle dei dipendenti, Ufficio Acquisti per terze parti).

Al termine della valutazione da parte dei suddetti soggetti, se il diritto alla cancellazione non è applicabile, l’azienda titolare dovrebbe notificare l’esito della valutazione all’interessato. Se, invece, il diritto alla cancellazione è applicabile, gli stessi soggetti dovrebbero eseguire le operazioni tecniche di cancellazione e dovrebbero informare l’avvenuta cancellazione all’interessato.

In alternativa alla cancellazione, l’azienda titolare può propendere per l’anonimizzazione dei dati, purché eseguita correttamente, ossia senza possibilità di re-identificazione dell’interessato. Non è invece sufficiente la semplice pseudonimizzazione.

L’azienda titolare, infine, dovrebbe organizzarsi per provvedere a comunicare la cancellazione a ciascuno dei destinatari cui sono stati trasmessi i dati personali dell’interessato (ivi compresi contitolari e responsabili), salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.

Leggi: Quanti dubbi minacciano la nuova privacy europea

I limiti del diritto alla cancellazione/oblio

Per rispondere a queste domande occorre riprendere il succitato terzo comma dell’art. 17. Tralasciando le lettere a) c) e d), che riguardano casi particolari di interesse soprattutto del settore pubblico (lett. c e d), di testate giornalistiche, social network e piattaforme di sharing di contenuti (lett. a), ciò che interessa più da vicino le aziende private sono i casi residui delle lettere b) ed e). In questi due casi l’azienda non è obbligata a procedere alla cancellazione, quindi può continuare a conservare i dati se:

  • vi è una legge che glielo impone, per un periodo di tempo prestabilito > es. la conservazione delle scritture contabili disciplinata nel Codice civile all’art. 2220, secondo il quale devono essere conservate per dieci anni dalla data dell’ultima registrazione, le fatture attive e passive, le lettere spedite e ricevute e i telegrammi spediti e ricevuti;
  • deve essere preservato l’accertamento, l’esercizio o la difesa di un diritto dell’azienda in sede giudiziaria > es. il diritto al risarcimento del danno derivante da fatto illecito si prescrive in cinque anni dal giorno in cui il fatto si è verificato ai sensi dell’art. 2947 del Codice civile.

A chi spetta l’onere della cancellazione dei dati

Senza pretesa di aver esaurito le riflessioni sul tema, occorre fare un’ultima precisazione sugli adempimenti dei diversi soggetti che intervengono in un trattamento di dati.

Le aziende titolari che decidono di sfruttare servizi in outsourcing, in Cloud, devono tenere in considerazione come viene svolto il trattamento dei loro dati, i modelli di deployment, nonché la tipologia di Cloud utilizzato. Difatti, gli adempimenti relativi alla cancellazione dei dati devono essere calati negli accordi tra titolare e responsabile (nella nomina), tenendo conto dei modelli di Cloud di cui si può usufruire (SaaS, Iaas, PaaS).

In generale, quanto più il provider di un servizio Cloud si allontana dalla gestione e dal trattamento dei dati, tanto più sarà sgravato da responsabilità e adempimenti.

Per esempio, nel modello IaaS (Infrastructure as a Service), in cui il provider ha un’azione davvero limitata relativamente alla gestione dei dati, è principalmente il titolare che ha sottoscritto il servizio a dover adempiere alla cancellazione. Il provider, infatti, si limita a fornire l’infrastruttura e non entra nel merito di come questa venga utilizzata dal titolare.

Nel modello all’estremo opposto rispetto all’IaaS, il SaaS (Software as a Service), è invece il provider che deve garantire la corretta implementazione degli adempimenti relativi alla cancellazione cui è obbligato il titolare.