I diritti garantiti all’interessato dal Regolamento (UE) 2016/

5. Il Regolamento (UE) 2016/679 (GDPR) e la tutela dei dati personali nell’epoca digitale

5.5. I diritti garantiti all’interessato dal Regolamento (UE) 2016/

Il Regolamento (UE) 2016/679 dedica un intero Capo, il terzo, ai diritti dell’interessato dal trattamento dei propri dati personali, a differenza di quanto accadeva

494_{Per un esame teorico approfondito della privacy by design si fa riferimento ad}_A.C_AVOUKIAN_,_Privacy

by design. The 7 foundational principles, https://www.ipc.on.ca/wp-

content/uploads/resources/7foundationalprinciples.pdf (consultato il 20 agosto 2019).

495_R.P_ANETTA_,_{Privacy by design e GDPR: un’etica per l’intelligenza artificiale, in Agenda Digitale, 11}

ottobre 2018, https://www.agendadigitale.eu/sicurezza/privacy/privacy-by-design-e-gdpr-unetica-per- lintelligenza-artificiale/ (consultato il 20 agosto 2019).

177

nella previgente Direttiva che non prevedeva un unico paragrafo organico per l’elencazione e la disciplina di suddetti diritti. L’intenzione del legislatore europeo è quella di fornire a tal proposito una regolamentazione omogenea e uniforme, distinguendola dalla restante normativa tecnica e di dettaglio.

L’influenza causata dalle innovazioni tecnologiche sul GDPR non passa certo inosservata; alcuni dei diritti garantiti dal nuovo Regolamento rispondono infatti a precise esigenze avvertite dalla società moderna al mutare delle condizioni socio-economiche e all’avvento delle nuove tecnologie digitali di comunicazioni che, se non adeguatamente regolamentate, possono avere un impatto devastante sulla privacy e sull’autonomia informativa dei cittadini europei.

5.5.1. L’interconnessione globale e il diritto alla portabilità dei dati

Un esempio di come il Regolamento (UE) 2016/679 ha recepito le istanze determinate dal nuovo contesto tecnologico è dato dal cd. diritto alla portabilità dei dati. Lo spazio cibernetico ha ormai raggiunto una dimensione globale e numerosi sono gli attori che popolano questa dimensione virtuale; gli utenti possono infatti rivolgersi a diversi fornitori di servizi che utilizzano però strutture informatiche non compatibili tra loro, con conseguenti problemi tecnici di compatibilità.

Il nuovo Regolamento prevede, all’art.20, il cd. diritto alla portabilità dei dati, che consente al soggetto interessato di richiedere le proprie informazioni personali fornite al responsabile del trattamento dati in un formato strutturato, di uso comune e leggibile attraverso mezzi automatici, senza che il predetto responsabile possa ostacolare o rifiutarsi di soddisfare tale richiesta. La ratio legis è di concedere la possibilità all’interessato di valutare quali sono le informazioni condivise e di riappropriarsene. Una simile facoltà dovrebbe permettere una più agevole circolazione dei dati personali, a favore dei consumatori che potranno rientrare in possesso delle informazioni cedute a un gestore di servizi per l’ottenimento di una prestazione al fine di rivolgersi a un altro operatore del settore496.

496_L.V_ALLE_,_L.G_RECO_,_{Transnazionalità del trattamento dei dati personali e tutela degli interessati tra}

strumenti di diritto internazionale privato e la prospettiva di principi di diritto privato di formazione internazionale, in Diritto dell’Informazione e dell’Informatica, fasc.2, aprile 2017, pp.168 ss.

178

Il Regolamento sembra incentivare una sorta di “interoperabilità”497 della lettura di tali dati, indipendentemente dall’attore incaricato, e porre dei requisiti minimi a cui i gestori del trattamento delle informazioni devono adeguarsi al fine di raggiungere l’obbiettivo della portabilità dei dati. Lo stesso regolamento, tuttavia, al considerando 68 dispone altresì – apparentemente contraddicendosi – che il diritto del soggetto a trasmettere e ricevere i propri dati personali non crea un’obbligazione per il responsabile del trattamento ad adottare specifici sistemi tecnici e informatici.

L’applicazione di quanto previsto dall’art. 20 del Regolamento è soggetta inoltre a determinati requisiti legali, poiché può essere richiesta esclusivamente per i dati personali per cui il soggetto ha acconsentito al trattamento. Il diritto alla portabilità non viene esteso ai dati che il gestore del trattamento ha tratto da altre fonti e che non provengono quindi dal diretto interessato. Si potrebbe perciò riscontrare una qualche contraddittorietà rispetto a quanto affermato dall’art. 15 (3) dello stesso Regolamento, che prevede il diritto per il soggetto interessato di richiedere una copia delle proprie informazioni trattate, senza però poterne domandare anche la portabilità. Al fine di ovviare a questa possibile discrasia, è stata proposta un’interpretazione del dettato normativo più ampia ed estensiva, includendo quindi anche dati generati da un fornitore di servizi attraverso processi quali l’utilizzo di algoritmi. Un’ulteriore eccezione all’applicazione del diritto alla portabilità si ha quando il trattamento dei dati personali è necessario al perseguimento di finalità di pubblico interesse o quando è portato avanti da un’autorità pubblica nell’esercizio delle sue funzioni.

5.5.2. L’evoluzione del diritto all’oblio e la sua disciplina all’interno del Regolamento (UE) 2016/679

Una delle innovazioni più rilevanti apportate dal Regolamento (UE) 2016/679 è stata senza dubbio la disciplina normativa del cd. diritto all’oblio. Con tale termine si vuole indicare una modalità di esercizio del proprio diritto all’identità personale, chiedendo di dimenticare (obliare) cosa si ritiene non sia più pertinente alla propria individualità498_.

497_L.S_CUDIERO_,_{Bringing your data everywhere: a legal reading of the right to portability, in European}

Data Protection Law Review, n.1, 2017, pp.119-127.

498_G.T_ROIANO_,_{Diritto all’oblio e privacy, cos’è e come esercitarlo:tutto quello che devi sapere, in Agenda}

Digitale, 14 marzo 2018, https://www.agendadigitale.eu/sicurezza/il-diritto-alloblio/ (consultato il 21 agosto 2019).

179

Una prima formulazione del diritto all’oblio risaliva all’epoca off-line499, quando il cyberspace non aveva ancora raggiunto gli attuali livelli di pervasività e diffusione; allora l’obbiettivo era quello di limitare la reiterazione di una particolare notizia che si riteneva avesse perso il proprio interesse pubblico con il passare del tempo e che non descrivesse perciò più l’attuale stato delle cose, limitandosi a diffondere un’immagine dei soggetti coinvolti non più attuale e quindi potenzialmente lesiva. Il diritto all’oblio vantato dal singolo individuo si poneva perciò in una potenziale antitesi con il diritto di cronaca e con il diritto degli altri consociati ad essere informati500.

Nell’epoca della società digitale, dove ogni utente cibernetico è una potenziale fonte di diffusione di informazioni, risulta spesso assai complesso e farraginoso esercitare tale prerogativa. Il fattore tempo non gioca infatti lo stesso ruolo discriminante nell’ambito virtuale501_{, non essendoci un’effettiva distinzione cronologica tra}

pubblicazione on-line della notizia e sua effettiva ripubblicazione. L’informazione rimane infatti disponibile sul web per ogni utente sin dal momento della sua prima condivisione. Il diritto all’oblio non si manifesta perciò nella richiesta di non procedere a una nuova reiterata diffusione della notizia, poiché questa rimane liberamente consultabile. L’informazione oggetto di questione deve essere invece aggiornata, in maniera tale che rispecchi la realtà attuale dei fatti e non risulti quindi potenzialmente lesiva; risulta quindi evidente lo stretto collegamento tra autonomia informativa e diritto all’identità personale. Un’ulteriore evoluzione della concezione del diritto all’oblio si è avuto con la celebre sentenza Google Spain502 con la quale la Corte di giustizia dell’Unione europea ha avuto l’occasione di proporre una formulazione di detto diritto che tenesse di conto il ruolo svolto dai motori di ricerca nell’attuale sistema di circolazione delle informazioni. Secondo i giudici della Corte spetta infatti a tali operatori intervenire direttamente per “ostacolare” la navigazione nei siti informatici che riportano la notizia che si vuole far cadere nell’oblio, operando una loro espunzione dai risultati di ricerca, chiamata “de- indicizzazione”. Non si ottiene perciò una cancellazione dell’informazione controversa, bensì un suo “nascondimento” ottenendone una più difficile consultazione.

499_V.D’A_NTONIO_,_{Oltre la cancellazione dei dati personali: l’originaria concezione del diritto all’oblio}

off-line, in (a cura di)S.SICA,V.D’ANTONIO, G.M.RICCIO,cit., pp.203 ss.

500_V.D’A_NTONIO_,_{The right to tell people what they don’t want to hear: i moderni confini del diritto di fare}

informazione, in (a cura di)V.D’ANTONIO,S.VIGLIAR, Studi di diritto della comunicazione. Persone, società e tecnologie dell’informazione, Padova, 2009, pp.1 ss.

501_G.F_INOCCHIARO_,_{Il diritto all’oblio nel quadro dei diritti della personalità, in Diritto dell’Informazione}

e dell’Informatica, 2014, pp.593.

502_{Corte di giustizia dell’Unione europea, sentenza del 13 maggio 2014, Google Spain, causa C-131/12,}

180

L’art.17 del Regolamento (UE) 2016/679 ha certamente risentito dell’influenza della pronuncia Google Spain nel definire e regolamentare il diritto all’oblio. Secondo quanto stabilito dal GDPR, l’interessato può richiedere la cancellazione delle informazioni che lo riguardano al titolare, e questo deve procedere senza ingiustificato ritardo se sussistono una serie di requisiti, tra cui il rispetto dei principi di legittimità, proporzionalità, necessità del trattamento dati.

5.5.3. Il diritto all’accesso ai propri dati personali nel Regolamento (UE) 2016/679 come prerogativa per l’esercizio dell’autonomia informativa

Il diritto all’accesso consiste nella possibilità per l’interessato di “accedere” ai propri dati personali e di essere reso edotto da parte del responsabile del trattamento delle modalità attraverso le quali suddetti dati vengono gestiti e per quali finalità. Il raggiungimento di una piena autonomia informativa, ossia dell’effettiva consapevolezza da parte dell’interessato di quali informazioni che lo riguardano sono state condivise non può infatti prescindere da una piena collaborazione tra quest’ultimo e il titolare del trattamento.

Il diritto all’accesso permette alla persona di avere un pieno controllo della propria identità elettronica503 e di poter esercitare tutta la serie di diritti fino ad ora esposta, comprensiva del diritto all’oblio e alla portabilità dei dati.

L’art.15 del Regolamento (UE) 2016/679, tenendo presente quanto detto finora, riconosce all’interessato il diritto di sapere dal titolare se esiste un trattamento dati che lo vede coinvolto; nel caso positivo ha altresì il diritto di essere informato in merito alle finalità di suddetto trattamento, ai soggetti con i quali le informazioni che lo riguardano vengono condivise e ai tempi di conservazione di tali dati.

181

5.6. Il trasferimento dati fuori dai confini europei sotto l’egida del Regolamento

Nel documento La tutela dei diritti fondamentali nel contesto cibernetico. Profili di diritto interno, internazionale e dell'Unione europea (pagine 176-181)