il diritto all’oblio può essere applicato solo se i dati

Cristian Nardi a più volte affrontato questo tema, cos’è il diritto all’oblio e quale significato assume oggi al tempo dei social network e dello sharing continuo di informazioni personali. Come esercitare il diritto all’oblio e quali sono i limiti. Gli oneri in capo alle aziende. Ecco tutto ciò che c’è da sapere diritto all’oblio risponde all’esigenza che ognuno di noi può avere di far dimenticare a tutti la propria identità.

Nella sua accezione più ampia è, infatti, una modalità attraverso la quale si esplica il nostro diritto all’identità personale: si oblia (si chiede di obliare) ciò che riteniamo non debba essere più parte della nostra identità personale.

Il diritto all’oblio può essere praticato attraverso la richiesta di rimozione delle informazioni personali che ci riguardano dalla loro pubblica circolazione. Per questo è equiparabile al diritto alla cancellazione, anche se, in realtà, sono diritti diversi tra loro: la pretesa di cancellazione delle nostre informazioni personali è una conseguenza dell’esercizio del diritto all’oblio; si può pretendere la cancellazione di dati personali anche per presupposti diversi.

Diritto all’oblio vs. diritto alla memoria 

Gli esseri umani vivono da sempre una evidente contraddizione rispetto a ciò che vogliono che tutti sappiano di sé stessi (memoria di sé) e ciò che preferiscono resti segreto (che si oblii).

Il tema del diritto alla memoria viene magistralmente espresso in poche righe da Francesco Pizzetti (cfr. Privacy e il Diritto Europeo alla Protezione dei Dati Personali, Giappichelli, 2016):

“Da un lato, essi aspirano all’immortalità e, sapendo di non poterla avere, cercano di lasciare il più a lungo possibile memoria di sé come unico modo per prolungare la propria vita, o meglio il ricordo nel futuro del fatto che essi sono esistiti, e di ciò che hanno realizzato.”

“All’opposto, ogni persona umana ha anche il terrore che ogni atto negativo compiuto nel corso della propria esistenza possa essere ricordato per sempre, o almeno fino a quando è in vita e lo sono quelli che ne hanno memoria.”

Il diritto all’oblio sembra essere il più “giovane” tra i diritti privacy e sicuramente la moderna società digitale ha espresso un enorme interesse verso quello che è uno dei pochi baluardi contro l’invadenza del web e la sua capacità di ricordare senza limiti temporali.

In realtà il “diritto ad essere dimenticati” affonda le sue radici nel genoma stesso della privacy in quel “right to be left alone” che è la pietra d’angolo su cui si è andata erigendo tutela, dopo tutela quella roccaforte di libertà, garanzie e diritti che oggi è il framework normativo data protection.

Diritto all’oblio vs. diritto di cronaca

A scrivere la storia del diritto all’oblio sono stati in larga parte i suoi sempre complessi rapporti con il diritto di cronaca e più in generale con quello di informazione.

I diritti a ben vedere nascono sempre da una frizione, da una contrapposizione, da uno scontro di interessi che genera per fenomeni del tutto simili a quelli fisici una sorta di energia che i poteri dello stato convogliano e rendono utilizzabile. È la tensione tra forze contrapposte che crea il diritto e questa tensione nella storia del right to be forgotten nasce dalla sempiterna tenzone tra gli interessi connessi a quel macro-diritto che è il diritto all’informazione e quelli invece legati al diritto di essere lasciati soli, alla riservatezza della propria vita privata.

È con il diritto all’informazione che il diritto all’oblio si scontra in maniera decisamente più evidente, ovvero con il diritto di informare (diritto di cronaca) ed il diritto ad essere informati. Informare su fatti relativi ad un individuo, fornendo al contempo informazioni personali dello stesso, nel rispetto dei tre fondamentali parametri 1) dell’interesse pubblico, 2) dell’attualità (informare quando il fatto si verifica) e 3) della veridicità (fornire informazioni corrispondenti al vero), è la fattispecie più evidentemente afferente al diritto all’oblio.

Diritto all’oblio vs. libertà di manifestazione del pensiero

Ogni individuo gode del diritto alla libertà di opinione e di espressione, incluso il diritto di ricevere e diffondere informazioni e idee attraverso ogni mezzo. Libertà che, con gli strumenti della odierna società dell’informazione, consentono a chiunque, quindi non solo ai “giornali”, di poter rendere pubbliche informazioni sugli individui. Basti pensare alle migliaia di foto e video privati, anche a sfondo sessuale, diffusi, scambiati e pubblicati quotidianamente tramite WhatsApp, Facebook e YouTube, pubblicazioni che hanno portato anche, in alcuni tragici casi, al suicidio di chi ha preteso, senza successo, l’oblio.

Che significato assume oggi il diritto all’oblio

Il diritto all’oblio può storicamente coincidere con la nascita del diritto alla privacy ed alla riservatezza, ovvero con il diritto di essere lasciati in pace concepito da Warren e Brandeis nel 1890.

Senza dubbio è emerso nell’era precedente all’avvento del Web, noto come “oscurità pratica” riferibile a dati fisici che erano “praticamente oscuri” per la impossibilità di accedervi. L’oscurità pratica arrivò per la prima volta nel 1979, quando alcuni giornalisti cercarono documenti in possesso dell’FBI di un uomo chiamato Charles Medico, le cui attività familiari presumibilmente avevano legami con il crimine organizzato.

Come tutti i diritti in ambito data protection, anche il diritto all’oblio nasce nei tribunali; le prime controversie che lo vedono invocato, con parole ed accezioni più o meno ampie, risalgono ai primi decenni del ‘900. Uno dei primissimi casi giudiziari negli Stati Uniti è del 1930 ma in Italia si dovranno attendere gli anni 50’ perché si pongano le fondamenta del diritto alla riservatezza e quindi anche quelle del diritto all’oblio con il caso degli eredi Caruso giunto fino alla Suprema Corte di Cassazione, e successivamente negli anni 60 con il caso degli eredi Petacci.

Erano tempi completamente differenti da quelli che viviamo attualmente, la pervasività dei mezzi di informazione e dei media nella vita privata era qualcosa di profondamente sentito ma era anche una delle poche, vere minacce al quel fascio di interessi che oggi chiamiamo “privacy”.

All’epoca le Corti non riconoscevano quel diritto come esistente, lo tutelavano in via mediata ricorrendo ai tortuosi sentieri logico-giuridici che conducono alla fonte di tutte le tutele i “diritti fondamentali” contenuti nella Costituzione.

Ma è con il World Wide Web, i Social Network e, in generale, le reti di comunicazione elettronica, che il diritto all’oblio acquisita in tempi recenti un significato estremamente più profondo e dirompente. Pretendere oggi che le proprie informazioni personali vengano sottratte alla pubblica circolazione non è agevole come poteva essere in passato, quando si poteva pretendere che le informazioni che ci riguardano non venissero ristampate, essenzialmente su carta, e diffuse ulteriormente.

La prospettiva oggi è totalmente diversa. Nel mondo digitale, caratterizzato dallo “sharing” continuo di contenuti (mossi dall’adagio “If you experience something – record it. If you record something – upload it. If you upload something – share it.”), non si tratta solo di impedire che permangano disponibili le nostre informazioni personali pubblicate dalla fonte originaria ma, piuttosto, far eliminare anche le successive ripubblicazioni delle stesse da parte di terzi soggetti.

In altre parole, la problematica più rilevante oggi non è relativa alla difficoltà di cancellare una notizia o una foto o un video pubblicati dalla fonte originaria ma alle ripubblicazioni che permangono sempre accessibili. Per questo motivo, la riflessione da fare oggi, per far salvo il diritto all’oblio, è su quanto può permanere pubblicamente disponibile una informazione online, prescindendo dal tempo trascorso dalla prima pubblicazione, che potrebbe aver fatto perdere alla notizia anche attualità e interesse pubblico.

La memoria, nel mondo fisico e analogico, è strettamente connessa ai limiti che lo strumento che la custodisce possiede per mantenerla nel tempo. Per quanto tempo possiamo ricordare una informazione? Quanto è semplice condividerla con altri? Quanto può farlo la carta? Nel mondo digitale e di Internet, invece, le informazioni possono essere memorizzate, duplicate e condivise con estrema semplicità, con la conseguenza che tutte le informazioni permangono, non ci sono esigenze di selezione, le memorie al silicio sono pressoché illimitate e, nel Cloud, non abbiamo contezza concreta di chi e dove ha memorizzato, duplicato, indicizzato e pubblicato le nostre informazioni.

L’esigenza oggi non è quella di avere memoria, di ricordare delle informazioni ma, piuttosto, di dimenticare.

I provvedimenti storici italiani sul diritto all’oblio

Il primo caso giurisprudenziale italiano che ha condensato il concetto di diritto all’oblio così come lo conosciamo oggi risale appunto al 1995 quando il Tribunale di Roma emise una sentenza relativa ad un articolo del Messaggero che riportava fatti di cronaca non più coerenti con il principio di utilità sociale dell’informazione ma al contempo profondamente lesivi della sfera personale del protagonista di quella narrazione.

La giurisprudenza, a tutti i livelli, si è occupata massicciamente del diritto all’oblio negli anni successivi ma la maggior parte delle controversie riguardava i c.d. “media tradizionali”.

Il Garante della Protezione dei dati personali si è a più riprese preoccupato, fin dai primi anni 2000, di cercare una mediazione tra il diritto all’informazione e quello alla riservatezza in una delle sue più complesse declinazioni, quelle afferenti al diritto all’oblio, per l’appunto, e ai new media.

Uno degli obiettivi: bloccare quella gogna elettronica costruitasi intorno allo strapotente strumento del web.

Lo storico provvedimento del 2005[1] dell’Authority nazionale, presieduta da un vero e proprio Padre Fondatore della Privacy quale era Stefano Rodotà, aveva il compito di sciogliere un vero e proprio nodo gordiano; da un lato del figurativo banco vi era un’altra autorità indipendente, l’AGCM che aveva pubblicato – come previsto dall’ordinamento in materia di pubblicità ingannevole e comparativa – due provvedimenti sul proprio sito web avverso una società che con la sua condotta si era guadagnata la censura del Garante della Concorrenza e del Mercato, dall’altro un interessato che reclamava avverso la diffusione dei provvedimenti sul web priva di qualsivoglia cautela (come ad esempio l´oscuramento dei nominativi, oppure “la possibilità di consentire l´accesso ai provvedimenti solo mediante una ricerca all´interno del sito e inibendone invece la reperibilità mediante motori di ricerca”).

Quella decisione del Garante, quella pietra miliare nella storia del diritto all’oblio ci permette anche di effettuare una riflessione del concetto di deindicizzazione, fondamentale per comprendere la portata di questo diritto ma che va tenuto ben distinto dal quello di cancellazione o rimozione dei dati da un archivio o dal web.

La deindicizzazione, infatti consente un’operazione sostanzialmente differente dalla rimozione/cancellazione di un contenuto: non lo elimina, ma lo rende non direttamente accessibile tramite motori di ricerca esterni all’archivio in cui quel contenuto si trova.

Il web non dimentica e la deindicizzazione è uno dei compromessi per garantire una tutela avverso quei contenuti che – piaccia o meno – rimarranno li dove sono per sempre.

Il caso della sentenza Costeja

A livello internazionale una delle vicende più note è stata sicuramente quella che ha riguardato il Colosso dei motori di ricerca Google e il sig. Costeja che a distanza di 15 anni digitando il suo nome nella celeberrima barra di ricerca del titano di Mountain View trovava ancora risultati relativi ad un pignoramento subito a seguito di controversie previdenziali.

Il Garante spagnolo, diede in parte ragione all’interessato chiedendo al noto motore di ricerca di procedere alla deindicizzazione ma Big G si oppose e si giunse così ai banchi della Corte di Giustizia UE.
I giudici lussemburghesi diedero nuovamente l’ordine di deindicizzare i risultati su richiesta degli interessati a meno che non fossero “ragioni particolari, come il ruolo pubblico del soggetto.”

Il resto fa parte della storia (recente) della privacy in Europa.

Le pronunce dei giudici nazionali ed europei non sono mancate nel corso del tempo, ma l’anno della svolta, quello che ha inciso nella pietra questo diritto è il 2018, l’anno del GDPR.

Il diritto all’oblio si colloca nell’ambito della disciplina giuridica della protezione dei dati personali che, negli ultimi vent’anni, è stata oggetto della Direttiva UE n. 46/95. Nell’art. 12 (lett. b) della Direttiva si parla indirettamente di oblio in relazione alla cancellazione, o congelamento, dei dati il cui trattamento non è conforme alle disposizioni della Direttiva stessa, in particolare a causa del carattere incompleto o inesatto dei dati.

L’Autorità garante italiana si è occupata per la prima volta di diritto all’oblio nel 2004 e poi nel 2008 e nel 2010, nello specifico in relazione alla pubblicazione online degli archivi storici dei giornali. Secondo l’Autorità, è legittima la messa a disposizione per la consultazione dei dati personali online attraverso il sito dell’editore, precisando tuttavia che la pagina web che contiene i dati personali dev’essere sottratta all’indicizzazione dei motori di ricerca esterni.

Sul rapporto tra oblio e motori di ricerca si torna a parlare nel 2014 innanzi alla Corte di giustizia europea nel caso Google Spain contro l’autorità spagnola AEPD (Agencia Española de Protección de Datos) ed il cittadino spagnolo Mario Costeja González. In questo contesto fu consacrato il diritto a che le proprie informazioni personali possano essere deindicizzate dalla ricerca creando di fatto una impossibilità di trovarle sul Web. Google, infatti, a seguito della sentenza della Corte UE, non impostò un sistema per chiedere la cancellazione dei contenuti pubblicati, non avendone, tra l’altro, nemmeno la disponibilità, ma solo la loro eliminazione dai risultati della ricerca.

Occorre attendere il 2016 per avere definitivamente una norma apposita sul diritto all’oblio con la nuova disciplina europea sulla privacy, il Regolamento UE n. 679/2016 (GDPR), in vigore da maggio 2018.

Leggi: GDPR, tutto ciò che c’è da sapere per essere in regola

Il GDPR positivizza definitivamente il diritto all’oblio nell’art. 17 ma lo fa coincidere con il diritto alla cancellazione, applicabile nei seguenti casi (art. 17 c. 1 del GDPR):

1. i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti (es. lo scopo di eseguire un contratto), pertanto il trattamento deve essere limitato agli altri scopi (es. contabilità, archiviazione o conservazione legale);
2. l’interessato revoca il consenso al trattamento dei dati personali, per una o più specifiche finalità, oppure revoca il consenso al trattamento di categorie particolari di dati e se non sussiste altro fondamento giuridico per il trattamento;
3. l’interessato ha esercitato il diritto di opposizione al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento per finalità di marketing diretto, inclusa la profilazione;
4. i dati personali sono stati trattati illecitamente;
5. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
6. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione e trattati sulla base del consenso di un minore, laddove il minore abbia almeno 16 anni di età, o del consenso prestato o autorizzato dal titolare della responsabilità genitoriale, laddove il minore non abbia almeno 16 anni.

L’art. 17 prosegue precisando che il diritto alla cancellazione non si applica se il trattamento oggetto di cancellazione è necessario (art. 17 c. 3 del GDPR) per:

1. l’esercizio del diritto alla libertà di espressione e di informazione;
2. l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
3. motivi di interesse pubblico nel settore della sanità pubblica;
4. fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
5. l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Secondo Francesco Pizzetti, il diritto all’oblio, come concepito dal GDPR, “è in realtà il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale”. Nel Considerando 66 del GDPR, infatti, vi è una riflessione specifica sul rapporto tra oblio e ambiente online che indica l’obbligo per il titolare investito della cancellazione dei dati pubblicati a informare (gli altri) titolari di cancellare qualsiasi link verso i dati o copia o riproduzione degli stessi. Tale principio si ritrova poi nell’art. 17 al comma 2 che impone al titolare non solo di cancellare i dati ma anche di, “tenuto conto della tecnologia disponibile e dei costi di attuazione”, adottare “misure ragionevoli, anche tecniche” per informare della richiesta che gli è pervenuta anche gli altri eventuali titolari che stanno utilizzando i dati a lui resi pubblici. Questa è la parte davvero distintiva del diritto all’oblio rispetto al diritto alla cancellazione.

Come esercitare e come adempiere al diritto all’oblio delineato dal GDPR

La pretesa di cancellazione dei dati da parte dell’interessato al trattamento è una conseguenza del verificarsi di una delle situazioni previste dal citato art. 17 c. 1 del GDPR. Non è cioè necessario l’esercizio diretto di una richiesta di cancellazione da parte dell’interessato. L’azienda (titolare del trattamento) deve procedere spontaneamente e automaticamente alla cancellazione dei dati personali che riguardano un individuo se si verifica una delle situazioni elencate nell’art. 17 c. 1 del GDPR, a prescindere quindi dall’esercizio del diritto da parte dell’interessato. L’interessato ha comunque sempre facoltà di procede con una richiesta espressa di cancellazione, nelle forme libere che ritiene opportune, se il titolare non ne ha predisposte appositamente.

La cancellazione dev’essere effettuata senza giustificato ritardo (entro un mese previsto per il riscontro) e dev’essere a titolo gratuito anche se l’azienda titolare può prevedere un ragionevole contributo spese o rifiutarsi se dimostra che la richiesta è manifestamente infondata o eccessiva, in particolare se ripetuta nel tempo.

Al verificarsi di uno degli eventi previsti dall’art. 17 c. 1, quindi in caso di richiesta di cancellazione di dati personali, ogni azienda dovrebbe valutare l’applicabilità del diritto coinvolgendo diversi soggetti.

Il Considerando 59 del GDPR stabilisce che il titolare deve prevedere modalità volte ad agevolare l’esercizio dei diritti da parte dell’interessato. In tal senso, è opportuno che l’azienda titolare crei un processo che veda il coinvolgimento almeno di un referente legale, per valutare la sussistenza dei presupposti per l’esercizio del diritto alla cancellazione (es. per valutare se sussista il caso di accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria o il caso di trattamento illecito) e di un referente IT per valutare gli aspetti tecnici in riferimento alla cancellazione. Inoltre, è opportuno individuare dei referenti privacy interni che si occupino della cancellazione in caso di trattamenti effettuati esclusivamente in forma cartacea (es. Funzione Customer Service per richieste dei clienti, Funzione HR per quelle dei dipendenti, Ufficio Acquisti per terze parti).

Al termine della valutazione da parte dei suddetti soggetti, se il diritto alla cancellazione non è applicabile, l’azienda titolare dovrebbe notificare l’esito della valutazione all’interessato. Se, invece, il diritto alla cancellazione è applicabile, gli stessi soggetti dovrebbero eseguire le operazioni tecniche di cancellazione e dovrebbero informare l’avvenuta cancellazione all’interessato.

In alternativa alla cancellazione, l’azienda titolare può propendere per l’anonimizzazione dei dati, purché eseguita correttamente, ossia senza possibilità di re-identificazione dell’interessato. Non è invece sufficiente la semplice pseudonimizzazione.

L’azienda titolare, infine, dovrebbe organizzarsi per provvedere a comunicare la cancellazione a ciascuno dei destinatari cui sono stati trasmessi i dati personali dell’interessato (ivi compresi contitolari e responsabili), salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.

Leggi: Quanti dubbi minacciano la nuova privacy europea

I limiti del diritto alla cancellazione/oblio

Per rispondere a queste domande occorre riprendere il succitato terzo comma dell’art. 17. Tralasciando le lettere a) c) e d), che riguardano casi particolari di interesse soprattutto del settore pubblico (lett. c e d), di testate giornalistiche, social network e piattaforme di sharing di contenuti (lett. a), ciò che interessa più da vicino le aziende private sono i casi residui delle lettere b) ed e). In questi due casi l’azienda non è obbligata a procedere alla cancellazione, quindi può continuare a conservare i dati se:

• vi è una legge che glielo impone, per un periodo di tempo prestabilito > es. la conservazione delle scritture contabili disciplinata nel Codice civile all’art. 2220, secondo il quale devono essere conservate per dieci anni dalla data dell’ultima registrazione, le fatture attive e passive, le lettere spedite e ricevute e i telegrammi spediti e ricevuti;
• deve essere preservato l’accertamento, l’esercizio o la difesa di un diritto dell’azienda in sede giudiziaria > es. il diritto al risarcimento del danno derivante da fatto illecito si prescrive in cinque anni dal giorno in cui il fatto si è verificato ai sensi dell’art. 2947 del Codice civile.

Le difficoltà di applicazione del diritto all’oblio

Sebbene, dunque, il GDPR abbia fornito un quadro empiricamente chiaro di quando, come e perché è possibile esercitare o limitare l’esercizio del diritto alla cancellazione/oblio la concreta applicabilità di questa norma continua ad essere resa complessa dai delicati rapporti con altri diritti di pari rango e da una certa dose di impermeabilità delle nuove tecnologie alle regole del diritto. Internet – come si è detto – non dimentica, anche se la legge dice che dovrebbe farlo.

Come è dunque possibile fornire tutela a un diritto così fondamentale per società moderna, così sentito tra la platea degli interessati se i confini della sua applicabilità sono soffusi e i sentieri che conducono alla sua effettiva adoperabilità sono costellati da complicazioni di natura giuridica e tecnologica?

Il ruolo di sciogliere quest’intricata matassa, di bilanciare sapientemente diritti contrapposti e di valutare la concreta efficacia delle misure poste a tutela del diritto alla cancellazione/oblio è assegnato ancora una volta ai giudici, nazionali e sovranazionali.

Il ruolo delle corti: diritto all’oblio e “territorialità”

Una delle pronunce più interessanti degli ultimi anni riguarda nuovamente il re dei motori di ricerca, Google.

Ancora una volta nel marzo 2016 una data protection authority il CNIL sanzionava Google per il rifiuto di procedere alla deindicizzazione su tutte le sue estensioni, nel momento in cui una pronuncia gli intimava di procedere in tal senso.

Google – come prevedibile – si rivolge al Conseil d’Ètat per veder cassata la decisione.
Il giudici di legittimità parigini sottoponevano quindi il caso alla Corte di Giustizia, che in un certo senso, poteva vantare di aver creato “il precedente” da cui era scaturita la controversia sui cui era chiamata nuovamente ad esprimersi.

La domanda a cui i giudici europei dovevano rispondere può essere così condensata: le norme del diritto dell’Unione devono essere interpretate in senso restrittivo (e quindi obbligare alla deindicizzazione solo in un singolo stato membro), intermedio (in tutti i Paesi dell’Unione) o estensivo (su tutte le estensioni del motore di ricerca)?

La pragmatica soluzione della Corte di Giustizia è quella di dichiararsi a favore per la soluzione intermedia.

La globalizzazione delle informazioni rende la deindicizzazione dei contenuti una tutela assi fragile se non applicata a livello mondiale. È palese infatti che la mera disponibilità di un link può produrre effetti immediati e sostanziali sulla vita dell’individuo a cui quel link rimanda e non importa se quel collegamento ha un dominio di nazionalità diversa da quella dell’interessato;  d’altra parte la visione garantista dell’Unione Europea in tema di diritti “data protection” deve fare i conti con la consapevolezza che la sua prospettiva non è “esportabile” in altre aree del mondo dove il  bilanciamento la riservatezza della vita privata ed altri interessi a questa contrapposti segue logiche diametralmente divergenti.

Il compromesso della Corte è stato dunque quello di assicurare la deindicizzazione di contenuti lesivi a livello europeo prevedendo anche l’adozioone di “misure che permettano di impedire o di scoraggiare l’accesso da Stati membri al link oggetto della domanda di deindicizzazione” ma dichiarando al contempo che fuori dal recinto sicuro dell’Unione “..allo stato attuale, non sussiste per il gestore di un motore di ricerca un obbligo di effettuare deindicizzazione su tutte le versioni del suo motore.

Diritto all’oblio, le ultime pronunce in Italia

Chiarito l’ambito territoriale entro cui esercitare questo complesso meccanismo di tutele che da forma al diritto all’oblio, è opportuno tornare in Italia per vedere come sono evoluti gli orientamenti giurisprudenziali.

Il 2020 conta già due pronunce della Suprema Corte sul tema la prima del del 27 marzo 2020 con cui gli Ermellini confermano un impianto ormai consolidato e un meccanismo di bilanciamento tra diritto d’informazione e diritto alla cancellazione ormai ben oleato.

L’Ordinanza n. 7559 recita che: “È lecita la permanenza di un articolo di stampa nell’archivio informatico di un quotidiano, relativo a fatti risalenti nel tempo oggetto di cronaca giudiziaria, che abbiano ancora un interesse pubblico di tipo storico o socio-economico, purché l’articolo sia deindicizzato dai siti generalisti e reperibile solo attraverso l’archivio storico del quotidiano, in tal modo contemperandosi in modo bilanciato il diritto ex art. 21 Cost. della collettività ad essere informata e a conservare memoria del fatto storico, con quello del titolare dei dati personali archiviati a non subire una indebita compressione della propria immagine sociale”.

L’ulteriore conferma a questo orientamento è giunta con una recentissima pronuncia quella ad opera della Cassazione Civile che con Ordinanza 9147/20 ritiene la “deindicizzazione” una misura sufficiente a bilanciare il diritto all’oblio con quello all’informazione.

La pronuncia, di fatto, eredita il pensiero contenuto del già citato provvedimento  del Garante Privacy del 2005 a firma di Rodotà. A distanza di quindici anni il motto è lo stesso. La memoria storica non si cancella, si deindicizza

A chi spetta l’onere della cancellazione dei dati

Senza pretesa di aver esaurito le riflessioni sul tema, occorre fare un’ultima precisazione sugli adempimenti dei diversi soggetti che intervengono in un trattamento di dati.

Le aziende titolari che decidono di sfruttare servizi in outsourcing, in Cloud, devono tenere in considerazione come viene svolto il trattamento dei loro dati, i modelli di deployment, nonché la tipologia di Cloud utilizzato. Difatti, gli adempimenti relativi alla cancellazione dei dati devono essere calati negli accordi tra titolare e responsabile (nella nomina), tenendo conto dei modelli di Cloud di cui si può usufruire (SaaS, Iaas, PaaS).

In generale, quanto più il provider di un servizio Cloud si allontana dalla gestione e dal trattamento dei dati, tanto più sarà sgravato da responsabilità e adempimenti.

Per esempio, nel modello IaaS (Infrastructure as a Service), in cui il provider ha un’azione davvero limitata relativamente alla gestione dei dati, è principalmente il titolare che ha sottoscritto il servizio a dover adempiere alla cancellazione. Il provider, infatti, si limita a fornire l’infrastruttura e non entra nel merito di come questa venga utilizzata dal titolare.

Nel modello all’estremo opposto rispetto all’IaaS, il SaaS (Software as a Service), è invece il provider che deve garantire la corretta implementazione degli adempimenti relativi alla cancellazione cui è obbligato il titolare.