Diritto all'oblio, ecco come rispettarlo secondo gli interventi del Garante privacy - Agenda Digitale

Le regole

Diritto all’oblio, ecco come rispettarlo secondo gli interventi del Garante privacy

Cancellazione dei dati o loro anonimizzazione, per rispettare il diritto all’oblio degli interessati al trattamento: due recenti casi trattati dal Garante permettono di chiarire gli aspetti operativi e normativi legati a questo ambito

17 Dic 2020
Renato Goretta

Consulente GDPR - DPO

diritto all'oblio

In caso di esercizio del diritto all’oblio, il titolare del trattamento dati può optare per due strade: la cancellazione tout court dei dati personali o la loro anonimizzazione. Il tema relativo ai provvedimenti da adottare in caso di reclami è particolarmente attuale considerando due recenti provvedimenti del Garante della privacy. La posizione dell’autorità nei casi specifici è che una persona ha diritto a vedere deindicizzati dai motori di ricerca gli articoli che riportano vicende giudiziarie risalenti nel tempo e rispetto alle quali l’interessato è poi risultato estraneo. Analizziamo la situazione, considerando la normativa di riferimento tra cui il GDPR.

I recenti provvedimenti del Garante privacy

Il diritto alla cancellazione (cosiddetto diritto all’oblio) previsto dall’Art. 17 GDPR, si configura come un diritto in forma rafforzata con la previsione dell’obbligo, per i Titolari del trattamento (Art. 17, par. 2) che hanno reso pubblici i dati personali dell’interessato, a cancellarli e a informare della richiesta dell’interessato anche gli altri Titolari che stanno trattando i medesimi dati personali, chiedendo loro la cancellazione di qualsiasi link, copia o riproduzione dei medesimi; tale processo, come facilmente intuibile, presenta non poche difficoltà applicative. Infatti, l’Art. 17, par. 2 stabilisce che si debba tener conto della tecnologia disponibile, dei costi di attuazione e della ragionevolezza delle misure anche tecniche. Ancora una volta, se ve ne fosse bisogno, un invito alla progettazione ex ante (privacy by design) del trattamento dei dati personali piuttosto che interventi posticci.

WEBINAR
27 Settembre 2021 - 18:00
360ON Tv - Via al nuovo “Gdpr” cinese: quali impatti sul business delle aziende italiane?
Legal
Sicurezza

Ma veniamo ai Provvedimenti del Garante. Comprensibilmente, quando i dati personali ai quali si fa riferimento riguardano vicende giudiziarie, la materia diventa incandescente ed è su questo argomento (reclamo) che l’Autorità Garante per la Protezione dei Dati Personali ha annotato sul Registro dei provvedimenti il n. 192 del 15 Ottobre 2020 e il n. 194 sempre del 15 ottobre 2020.  In base questo principio sono stati dichiarati fondati 2 reclami ed è stato ordinato a Google LLC di rimuovere gli URL (Uniform Resource Locator, che nella terminologia delle telecomunicazioni e dell’informatica, è la sequenza di caratteri che identifica univocamente l’indirizzo di una risorsa su una rete di computer, come ad esempio un documento, un’immagine, un video, presente su un host server e resa accessibile a un client) agli articoli reperibili facendo una ricerca online con i nominativi dei reclamanti.

Nel primo caso (n. 192), il nominativo era riportato in articoli riguardanti una vicenda giudiziaria in cui erano coinvolte altre persone. Nel secondo caso (n. 194), il nominativo compariva in alcuni articoli di stampa che riferivano di un collegamento tra la società, nella quale la persona prestava la propria attività, e un’altra azienda direttamente coinvolta in un’inchiesta giudiziaria. In entrambi gli episodi i reclamanti, che non erano mai stati sottoposti a provvedimenti giudiziari – come confermato dal Certificato dei carichi pendenti e Certificato del casellario giudiziale – si erano rivolti al Garante lamentando il pregiudizio personale e professionale derivante dalla permanenza in rete degli articoli di stampa, chiedendo la rimozione degli URL.

Respingendo le tesi di Google LLC, che aveva ritenuto non vi fossero i presupposti per l’esercizio del diritto all’oblio, l’Autorità ha, invece, affermato che la perdurante reperibilità in rete degli articoli associati ai nominativi dei reclamanti crea un impatto sproporzionato sui loro diritti, non bilanciato da un interesse pubblico a conoscere notizie che non hanno avuto alcun seguito giudiziario a loro carico. Il Garante ha quindi ordinato a Google la rimozione degli URL ed ha disposto l’annotazione nel registro interno dell’Autorità, previsto dal Regolamento Ue, della misura adottate nei confronti del motore di ricerca.

In particolare, il Provvedimento n. 192 è relativo a un reclamo riguardante la richiesta di ordinare a Google LLC la rimozione dai risultati di ricerca associati al nome del reclamante di alcuni URL collegati ad articoli inerenti a un’inchiesta giudiziaria attinente a condotte contestate ad altri soggetti e, rispetto alla quale, il reclamante è risultato totalmente estraneo, in considerazione del grave pregiudizio alla reputazione, personale e professionale, derivante dal perdurare degli articoli in rete. Nonostante l’opposizione di Google LLC per dimostrare (sic!) l’interesse pubblico a conoscere la vicenda (e tendente a dimostrare l’insussistenza dei presupposti per l’esercizio del diritto all’oblio vista la prossimità temporale delle indagini riguardanti il padre del reclamante e l’emersione del nome dello stesso come percettore di redditi da parte di un imprenditore indagato per corruzione) il Garante, vista la produzione del Certificato dei carichi pendenti da parte del reclamante e i recenti articoli riportanti le condanne delle persone coinvolte, senza alcuna menzione del reclamante medesimo, ha ordinato a Google LLC, ai sensi dell’Art. 58, par. 2, lett. c) e g), la rimozione entro 20 giorni dalla data di ricevimento del Provvedimento degli URL indicati nel reclamo associati al nominativo del reclamante e di comunicare entro 30 giorni dalla data di ricevimento del Provvedimento, ai sensi dell’Art. 157 del Codice della privacy, le iniziative intraprese al fine di dare attuazione a quanto prescritto.

Il Provvedimento n. 194 è, invece, relativo a un reclamo riguardante la richiesta di ordinare a Google LLC la rimozione dai risultati di ricerca reperibili in associazione al nominativo del reclamante di alcuni URL collegati a pagine contenenti notizie, risalenti al 2013, riferite ad indagini penali su presunte irregolarità amministrative nella percezione di finanziamenti pubblici da parte di alcune imprese, contestazioni alle quali il reclamante sarebbe stato estraneo – come confermato dal certificato del casellario giudiziale e da quello dei carichi pendenti prodotti in allegato al reclamo – ricevendo, di conseguenza, un notevole pregiudizio reputazionale dal perdurare degli articoli in rete.

La difesa di Google LLC è pressoché identica a quella del “caso” 192: i fatti avvenuti tra il 2010 e il 2012 sarebbero troppo recenti (sarebbe interessante sapere da Google LLC quando i fatti smettono di essere recenti e, soprattutto, quale rilevanza abbia la prossimità temporale se non sono, comunque, riferibili all’interessato), il reclamante avrebbe avuto rapporti commerciali con un imprenditore agli arresti domiciliari e, per finire, da una deliberazione provinciale sarebbe desumibile un procedimento sanzionatorio nei confronti del reclamante stesso. Come nel precedente Provvedimento, il Garante, viste le repliche del reclamante, ha ritenuto fondato il reclamo e ha ordinato a Google LLC, ai sensi dell’Art. 58, par. 2, lett. c) e g), la rimozione entro 20 giorni dalla data di ricevimento del Provvedimento degli URL indicati nel reclamo associati al nominativo del reclamante e di comunicare, entro 30 giorni dalla data di ricevimento del Provvedimento, ai sensi dell’Art. 157 del Codice della privacy, le iniziative intraprese al fine di dare attuazione a quanto prescritto.

Naturalmente, il mancato rispetto delle prescrizioni darebbe luogo all’applicazione dell’Art. 166 del Codice della privacy (Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori).

Gli interventi precedenti dell’Autorità

Il diritto all’oblio è da sempre questione molto delicata e sulla quale il Garante, negli ultimi 16 anni, ha assunto quasi 400 provvedimenti. Nel 2004 l’autorità ha prodotto un Provvedimento denominato “Reti telematiche e internet – Motori di ricerca e provvedimenti di Autorità indipendenti: le misure necessarie a garantire il c.d. ‘diritto all’oblio’” [doc. web n. 1116068]. Ma la gran parte dei provvedimenti sono concentrati negli ultimi 6 anni. Infatti, c’è un prima e un dopo la sentenza del 13 Maggio 2014 della Corte di Giustizia dell’Unione Europea (CGUE) in merito alla causa C-131/12, Google Spain SL e Google Inc. contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González. Sentenza “storica” – seppur riferibile a un periodo nel quale il GDPR era, forse, solo a una delle prime draft e la sentenza Costeja ha inciso sulla definizione dell’Art. 17 GDPR – in base alla quale un interessato può richiedere al fornitore di un motore di ricerca online di cancellare uno o più link verso pagine web dall’elenco di risultati che appare dopo una ricerca effettuata a partire dal suo nome.

Sulla scia di questa sentenza vengono introdotte le Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, definite in base alle previsioni del Regolamento (UE) 2016/679 – Parte I adottate il 7 Luglio 2020 dallo European Data Protection Board dopo la consultazione pubblica iniziata il 2 Dicembre 2019, che intendono fornire un’interpretazione del diritto all’oblio nei casi dei motori di ricerca alla luce delle disposizioni dell’Art. 17 GDPR (Diritto alla cancellazione «diritto all’oblio»). Occorre tenere presente che questa prima parte si concentra esclusivamente sul trattamento da parte dei fornitori di motori di ricerca e sulle richieste di deindicizzazione presentate dagli interessati mentre l’Art. 17 GDPR ha ben più ampia portata (più ambia anche dell’Art. 7, c. 3, lett. b) del Codice della Privacy, articolo oggi abrogato). Infatti, è previsto lo sviluppo di Linee guida specifiche e distinte anche in merito all’articolo 17, paragrafo 2, del GDPR.

Ma già le precedenti Linee guida del 26 novembre 2014 adottate dal WP Art. 29 (Linee Guida sull’attuazione della sentenza della Corte di Giustizia dell’Unione Europea nel C-131/12 “Google Spain & Inc. contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González”) avevano trattato l’argomento e, per altro, sono quelle citate nel Provvedimento n. 192 del quale scriveremo fra breve.

La normativa di riferimento

Il diritto all’oblio è stato introdotto, in particolare, nel quadro dell’Art. 17 GDPR anche per tenere conto del diritto di richiedere la deindicizzazione stabilito proprio dalla sentenza Costeja. Tuttavia, come previsto dalla Direttiva 95/46/CE del 24 Ottobre 1995 e come statuito dalla CGUE nella succitata sentenza Costeja, il diritto di richiedere la deindicizzazione implica contestualmente due diritti: il diritto di opposizione (Art. 21 GDPR) e il diritto alla cancellazione (Art. 17 GDPR). L’applicazione dell’Art. 21 GDPR è infatti espressamente prevista quale terzo motivo per esercitare il diritto alla cancellazione (Art. 17, par. 1, lett. c)). Pertanto, sia l’Art. 17 che l’Art 21 GDPR possono rappresentare il fondamento giuridico per le richieste di deindicizzazione. Il diritto di opposizione e il diritto di ottenere la cancellazione erano già stati riconosciuti dalla Direttiva 95/46/CE.

Le Linee guida 5/2019 EDPB, come abbiamo visto, hanno una portata più limitata rispetto a quella dell’Art. 17 GDPR. Infatti, non trattano del paragrafo 2 dell’Art. 17 GDPR. Tale paragrafo impone ai Titolari del trattamento che hanno reso pubblici dati personali di informare delle richieste dell’interessato anche i Titolari che successivamente hanno riutilizzato tali dati personali mediante link, copia o riproduzione. Questo obbligo intende rafforzare la responsabilità dei Titolari originari del trattamento e impedire il moltiplicarsi delle iniziative assunte dagli interessati. A tal proposito, rimane valido quanto affermato dal Gruppo “Articolo 29”, ossia che i fornitori di motori di ricerca «non dovrebbero, quale prassi generale, informare i webmaster delle pagine deindicizzate del fatto che non si riesca ad accedere ad alcune pagine web dal motore di ricerca in risposta ad una specifica interrogazione» in quanto «non esiste alcun fondamento giuridico per una tale comunicazione ai sensi della normativa UE sulla protezione dei dati». Invece, tale obbligo di informazione – è bene precisare – non si applica ai fornitori di motori di ricerca quando trovano informazioni contenenti dati personali pubblicate, o rese disponibili, su Internet da terzi, allorché le indicizzano in maniera automatica, le memorizzano temporaneamente e infine le mettono a disposizione degli utenti di Internet secondo un determinato ordine di preferenza. Inoltre, il paragrafo 2 dell’Art. 17 GDPR non impone ai fornitori di motori di ricerca, che hanno ricevuto una richiesta di deindicizzazione da parte di un interessato, di informare il terzo che ha reso pubblica tale informazione su Internet.

Conclusioni

I due recenti Provvedimenti che abbiamo illustrato consolidano e cristallizzano le decisioni del Garante e si basano su quanto indicato dal Regolamento 2016/679 UE e dalle citate Linee guida dello EDPB e, volendo risalire a ben prima del GDPR, anche una previsione relativa al diritto all’oblio nell’Art. 12 lett. b) della Direttiva 95/46/CE recepito in ambito nazionale dall’Art. 7, c. 3, lett. b) del Codice della Privacy, ma con alcune eccezioni. Il Titolare del trattamento dei dati personali, infatti, non avrà un obbligo generalizzato di cancellazione, essendo il diritto alla cancellazione dei dati personale esercitabile solo in considerazione dei limiti indicati specificamente al par. 3 dell’Art. 17 GDPR, con gli opportuni bilanciamenti con il diritto di cronaca (lett. a).

Invece, il diritto di cancellazione si estende alle persone decedute, prevedendo l’esercizio del diritto da parte di chi ha un interesse proprio o agisce a tutela dell’interessato in qualità di suo mandatario o per ragioni familiari meritevoli di tutela e da un’ampia ed effettiva tutela all’interessato, chiedendo al Titolare del trattamento dei dati personali di informare gli altri Titolari qualora avesse reso pubblici i dati oggetto dell’esercizio del diritto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3