Il diritto europeo all’oblio e, nella sua accezione dinamica, alla protezione dei dati personali: un work in progress

Il diritto all’oblio è, senza dubbio, una delle grandi innovazioni che il Reg. UE 2016/679 abbia codificato, consentendogli di entrare a far parte, definitivamente, all’interno del sistema normativo del diritto alla protezione dei dati personali.

Dal 1995, con l’introduzione della Direttiva madre, ad oggi, il tema del diritto all’oblio e della cancellazione dei dati personali è stato al centro di vari interventi di grandissimo impulso creativo, ad opera di Autorità giudiziarie e amministrative europee e nazionali, appartenenti ai vari Stati membri.

Va detto, tuttavia, che chi attendeva con trepidazione la costituzionalizzazione dell’istituto, all’interno di un atto normativo europeo vincolante, generale e direttamente applicabile, come il Regolamento, è rimasto non poco deluso dall’approssimazione minimalista del Legislatore europeo che, perdendo un’importante opportunità, nella previsione normativa, non ha tenuto conto di tutte quelle sfaccettature che l’istituto ha assunto nel tempo, appiattendolo fin troppo sul concetto di ‘erasure’, tanto da farlo quasi coincidere, così che il diritto alla cancellazione dei dati personali e il diritto all’oblio si traducono inevitabilmente nella volontà da parte del soggetto interessato alla cessazione del trattamento relativo ai suoi dati personali, confondendosi, come in un gioco di ombre, operazione materiale e finalità140_.

140_{Come analizza G. FINOCCHIARO, Il diritto all’oblio nel quadro dei diritti della personalità, op. cit., 596:} «volendo meglio delineare i confini dei termini dal significato limitrofo, quali cancellazione dei dati e oblio,

si può definire la cancellazione, come un’operazione sui dati, che esclude ogni conservazione degli stessi, mentre l’oblio sembra piuttosto essere una finalità che si può raggiungere con la cancellazione, ma anche con il blocco».

105

D’altra parte, ma questa non vuole essere una giustificazione, l’aumento esponenziale dei dati immessi sulla piattaforma telematica dai fruitori della stessa, dei servizi offerti dalla Rete in cambio di forme massicce di immagazzinamento degli stessi, coniugati con i crescenti problemi di sicurezza, che rendono ineludibile l’accesso ai dati per fini di polizia e di prevenzione, richiedevano un intervento urgente e ormai non più differibile, diretto ad un ripensamento radicale dell’intero impianto normativo a protezione dei dati, sfociato poi, nella riforma del 2016, Regolamento UE 2016/679, rubricato “Regolamento sulla protezione dei dati” (GDPR, General Data Protection Regulation), la cui adozione ha mandato in cantiere la Direttiva madre 95/46 CE.

In verità, in un momento immediatamente precedente, il 2 febbraio 2016, l’Unione Europea e gli Stati Uniti, recependo l’orientamento sposato dalla Corte di Giustizia europea, nella sentenza del 6 ottobre 2016141_{, avevano raggiunto un accordo politico,}

Scudo UE/USA per la Privacy, relativo alla regolamentazione dei flussi transatlantici dei dati, avente lo scopo primario di proteggere i diritti fondamentali dei cittadini europei, i cui dati erano continuamente oggetto di trasferimento negli USA, al fine di garantire la certezza del diritto per operatori e utenti della Rete. In forza dell’Accordo, le imprese che operavano negli Stati Uniti, obbligate a rispettare, in sede di trattamento, precisi parametri normativi, sanciti per meglio proteggere i dati personali dei cittadini europei, vedevano la loro azione sottoposta a poteri di controllo rafforzati ad opera del Dipartimento del Commercio degli Stati Uniti nonché della Federal Trade Commission, operanti in stretta collaborazione con le Autorità europee di protezione dei dati.

Interventi caratterizzati da un’affannosa rincorsa, da parte del Legislatore nazionale ed europeo, che, cercavano, per quanto possibile, di rispettare i ritmi dell’evoluzione tecnologica, per seguirne le orme e adeguarsi. Un work in progress, sia quando la sua evoluzione è stata caratterizzata da una frattura rivoluzionaria rispetto al passato, sia allorché si è delineata come frutto di una gestione ordinata del presente per preparare la sua metamorfosi da proiettare nel futuro. Questa seconda forma di cambiamento è particolarmente evidente nel settore del diritto alla protezione dei dati personali: di fronte a realtà in profondissimo e veloce cambiamento, le norme pensate anche solo poco tempo prima, rivelatesi obsolete, sono state costrette a cedere il passo a nuove forme di

106

regolamentazione più sensibili alle problematiche emergenti, con un legislatore in affanno.

La Convenzione 108/1981, le Direttive 95/46 e 2002/58, sicuramente pensate per un mondo che già conosceva le problematiche relative ai nuovi trattamenti automatizzati dei dati, non avevano, tuttavia, ancora assistito all’esplosione del web 2.0, ai trattamenti, massicci quanto invasivi, operati per fini di polizia di sicurezza, nonché alle problematiche connesse al trasferimento dei dati senza frontiere.

Il problema della sicurezza in particolare, nato all’indomani dell’11 settembre 2001, e mai cessato, da una parte, ha amplificato in maniera esponenziale l’uso della Rete per migliorare le capacità di controllo e di prevenzione da qualsiasi forma di attacco, ma, dall’altra, ha visto, per lungo tempo, la Direttiva madre, 95/46 CE, per quanto ritenuta ‘utile cassetta degli attrezzi’142_{, manifestare tutta la sua inadeguatezza nel gestire la}

difficoltà, sempre crescente, nell’assicurare un’effettiva protezione ai dati personali. Dell’immobilismo normativo, successivo alla sua emanazione, si sono a lungo avvantaggiate le multinazionali operanti nel settore della fornitura dei servizi digitali, che hanno visto moltiplicare il loro business con l’affermarsi di un web 2.0 sempre più pervasivo. La preoccupazione di offrire nuove forme di tutela ai diritti inerenti la sfera privata, seriamente minacciati dall’uso del cloud, dalla nuova realtà dei ‘big data’, dall’analytics, dall’IOT e da tutte le altre app, che, in cambio di servizi apparentemente gratuiti, di fatto immagazzinano e trattano dati personali, ha fatto avvertire nel legislatore europeo la necessità di un ripensamento legislativo, questa volta orientato ad alzare barriere, quanto più solide possibili, contro l’indebito uso dei dati, ivi compreso quello per finalità di polizia e sicurezza, con un occhio piuttosto attento soprattutto a quelle attività compiute al di fuori dell’UE.

Com’è facile immaginare, il percorso che ha portato all’adozione del nuovo Regolamento europeo non è stato affatto lineare, a causa dei fortissimi interessi in gioco che hanno cercato di condizionarne il cammino: da un lato, il sistema economico multinazionale spingeva ad una nuova normativa europea, coltivando la speranza di sciogliersi dai vincoli

142 _{Risale al 2009 la prima grande fase di pubblica riflessione, a livello anche delle Istituzioni europee, circa} la necessità di rivedere la regolazione in materia di dati personali. Così Working Party 29, The Future of

Privacy: Joint contribution to the Consultation in the European Commission on the legal framework for the fundamental right to protection of personal data, 1° dicembre 2009 (WP n. 159). Anche conferenza

organizzata dalla Commissione europea, Personal Data: more use, more protection, dedicata ad una consultazione pubblica sullo stato di attuazione della direttiva 9546/CE, Bruxelles, maggio 2009.

107

posti dalla precedente, soprattutto relativamente agli scambi dei dati tra UE e USA143_;

dall’altro, la nuova regolamentazione era vista con timore dagli stessi apparati di sicurezza, che vedevano incisa la loro opera d’azione144_.

Questo spiega il ‘vivace confronto’, durato ben cinque anni145_{, tra i parlamentari,}

esponenti d’interessi confliggenti, sia in sede di Parlamento europeo che di Consiglio d’Europa.