Paragrafo 2 dell’art 17 GDPR: la vera rivoluzione copernicana del Legislatore europeo

Superando le posizioni discordanti espresse dalla dottrina in merito alla rubrica legis dell’art. 17 Regolamento 2016/679, a serbare le maggiori sorprese è il paragrafo 2 di quella norma, che si riferisce ai dati personali pubblicati, stabilendo che il titolare del trattamento, se ha reso pubblici i dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto delle tecnologie disponibili e dei costi di attuazione, adotti le misure ragionevoli, anche tecniche, per informare i titolari del trattamento, che stanno trattando quei dati personali, della richiesta, avanzata dall’interessato, di cancellare qualsiasi link, copia o riproduzione degli stessi.

Il modello classico ‘bipolare’ di rapporto intercorrente tra titolare ed interessato, come definito dalla direttiva 95/46 CE, viene ad essere superato dal coinvolgimento di soggetti ulteriori, i quali, disponendo dei dati, sono tenuti a loro volta a procedere alla cancellazione.

Da qui la portata innovativa celata nel dettato in analisi.

Secondo autorevole dottrina211_{, leggendo tale prescrizione, in combinato disposto con il}

già citato Considerando 66, emerge una rappresentazione che a ben vedere si pone in contrasto con le determine della Google Spain.

Circa la questione centrale relativa alla qualificazione del gestore del motore di ricerca come responsabile del trattamento dei dati resi disponibili a terzi, questione che ha fatto emergere il concetto di oblio come de-indicizzazione, il Considerando rende manifesto come il Regolamento consideri responsabile del trattamento solo il soggetto che ha inserito i dati personali nel circuito della Rete, tramite il sito fonte, imponendo solo nei suoi riguardi l’onere, di cui al paragrafo 2, di comunicare ai terzi che trattino tali dati, la richiesta di cancellazione formulata dal soggetto interessato.

Il gestore del motore di ricerca rientra chiaramente tra i suddetti terzi: nonostante cataloghi, memorizzi, indicizzi e diffonda i dati non sarebbe stato considerato dal Legislatore europeo titolare del trattamento e sarebbe stata esclusa, pertanto, la possibilità per l’interessato di esercitare nei suoi confronti il diritto alla cancellazione. Solo a seguito della comunicazione dell’informativa sulla richiesta di cancellazione, da parte del sito

139

fonte, verrà attribuita la titolarità del trattamento anche al gestore del motore di ricerca212_.

Tale comunicazione, infatti, farebbe sorgere nello stesso la consapevolezza di trattare dati di natura personale, proprio in quanto oggetto di legittima richiesta di cancellazione. Il gestore del motore di ricerca si limiterebbe ad offrire, infatti, uno strumento di mera organizzazione delle informazioni, senza esercitare alcun controllo sui dati personali contenuti in pagine web di terzi e senza conoscerne la natura; solo la decisione cosciente di non ottemperare alla comunicazione della richiesta di cancellazione avanzata

212 _{Ancora così per S.ZANINI, Il diritto all’oblio nel Regolamento europeo 679/2016: quid novi?, op. ult.} cit., secondo cui: «Tale Considerando, infatti, ricalca l’impronta della sentenza della Corte di Giustizia solo per quanto concerne la volontà di base di riconoscere il diritto in oggetto.

Viceversa, circa la questione centrale relativa alla qualificazione del gestore di motore di ricerca come responsabile del trattamento dei dati resi disponibili ai terzi (questione che ha fatto emergere il concetto di “oblio” come “de-indicizzazione”), il Considerando rende manifesto come il Regolamento consideri responsabile del trattamento solo il soggetto che ha inserito i dati personali nel circuito della rete (tramite il sito fonte), e come solo su tale soggetto incomba l’obbligo, ex par. 2, di comunicare ai terzi che trattano tali dati la richiesta di cancellazione formulata dal soggetto interessato.

Il gestore del motore di ricerca, che rientra chiaramente tra i suddetti «terzi» (affermazione confermata dal richiamo espresso a concetti quali «link, copia o riproduzione dei dati» nel par. 253), cataloga, memorizza, indicizza e diffonde i dati, ma ciò non pare sufficiente per permettere che si eserciti direttamente nei suoi confronti il diritto alla cancellazione».

L’autrice, a sostegno della sua tesi richiama anche quanto affermato dal W.P. 29, nel pareren. 1/2010: «il principio di proporzionalità comporta che, nella misura in cui interviene esclusivamente come intermediario, il provider di motori di ricerca non deve essere considerato il responsabile principale del trattamento con riguardo al trattamento di dati personali in questione. In questo caso, i responsabili principali del trattamento sono i fornitori di informazioni».

Pertanto, secondo la Zanini: «Solo a seguito della comunicazione dell’informativa sulla richiesta di cancellazione da parte del sito fonte verrà attribuita la titolarità del trattamento anche al gestore del motore di ricerca: tale comunicazione, infatti, fa sorgere nello stesso la consapevolezza di trattare dati che sono (anche potenzialmente) di natura personale, proprio in quanto oggetto di legittima richiesta di cancellazione (prima di questo momento il fornitore del servizio non conosce la natura dei dati che tratta)».

Dello stesso avviso anche O. POLLICINO e M. BASSINI, Il diritto all’oblio, in http://www.academia.edu/33139336/Il_diritto_alloblio, secondo i quali: «a norma del par. 2 dell’art. 17, il

titolare che ha reso pubblici dati personali (supponiamo il titolare di una testata giornalistica online o comunque di un sito di informazione) è tenuto ad adottare, «tenendo conto della tecnologia disponibile e dei costi di attuazione», le misure ragionevoli, anche di natura tecnica, per assicurare la cessazione del trattamento dei dati da parte di terzi. Dette misure occorrono, così, ad «informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali» Il caso di specie è dato proprio dall’ipotesi in cui a trattare i dati resi pubblici da una testata giornalistica telematica sia un motore di ricerca: poiché quest’ultimo ricade, secondo quanto stabilito nella sentenza Google Spain, nella categoria del titolare del trattamento, e i dati da questi trattati sono stati resi pubblici dal proprietario di un sito terzo, ove l’interessato faccia valere i suoi diritti nei confronti di quest’ultimo, di riflesso anche il provider dovrà ottemperare alla richiesta di cessare il trattamento. Il meccanismo introdotto dal Regolamento prevede dunque un raccordo tra il gestore di un sito e il gestore di un motore di ricerca finalizzato ad evitare un’asimmetria nella divulgazione di dati personali. Appare curiosa la connotazione che traspare da questa norma rispetto al ruolo del motore di ricerca, che appare dipinto come un “titolare di secondo grado”: questa circostanza tradisce evidentemente le difficoltà di riconciliare una visione olistica dello scenario, assai complesso, dei diversi attori che si agitano sullo scenario dell’informazione in rete, con le conclusioni della Corte di giustizia nel caso Google Spain».

140

dall’interessato al sito fonte, sempre a parere di questa dottrina, potrebbe comportare la responsabilità del provider.213

Premesse che hanno condotto quella stessa dottrina214 _{ad affermare che nel paragrafo 2}

dell’art. 17, si parlerebbe anche di de-indicizzazione dei dati da parte dei motori di ricerca, ma non negli stessi termini ed alle stesse condizioni enunciate dalla Corte di Giustizia. Il soggetto interessato, infatti, non potrebbe rivolgersi direttamente al motore di ricerca né per chiedere la de-indicizzazione, né per richiedere la cancellazione dei dati. La sua richiesta potrà essere rivolta esclusivamente al sito fonte: sarà quest’ultimo che dovrà provvedere a comunicare al gestore del motore di ricerca l’istanza di cancellazione ed il suo accoglimento, ai sensi del paragrafo 1. Il motore di ricerca, da parte sua, in tal caso, per non incorrere in responsabilità, dovrà procedere alla de-indicizzazione dei dati nel momento in cui ne riceverà notizia da parte del sito sorgente. Pertanto, a parere di tale dottrina, il motore di ricerca potrebbe intervenire, de-indicizzando i link alla notizia, solo in seconda battuta, non essendo possibile per l’interessato rivolgersi direttamente allo stesso.

Posizione, quest’ultima, invero, solo parzialmente condivisibile! Il sito fonte, infatti, è obbligato ad assolvere all’obbligo di comunicazione al gestore del motore di ricerca,

213 _{Così sempre per S.ZANINI, Il diritto all’oblio nel Regolamento europeo 679/2016: quid novi? cit., che,} nel richiamare una decisione della Corte tedesca sulla funzione auto-complete di Google (BGH Case VI ZR 269/12, del maggio 2013), nella quale si affermava l’obbligo del provider di reagire e attivarsi non appena avesse appreso di star fornendo informazioni in conflitto con i diritti della personalità, afferma: «È proprio tale elemento soggettivo, che può essere racchiuso nel concetto di “trattamento consapevole”, a far sorgere la responsabilità in capo al provider, il quale, ricevuta la comunicazione (attraverso, ad esempio, i c.d. codici di esclusione), sarà tenuto ad assicurare la deindicizzazione dei link interessati, come fosse una sorta di titolare del trattamento “di secondo grado”».

214 _{Ancora, S.ZANINI, Il diritto all’oblio nel Regolamento europeo 679/2016: quid novi?, op. cit., secondo} cui: «Al paragrafo 2 si parla (anche) di de-indicizzazione dei dati da parte dei motori di ricerca, ma non nei termini usati dalla Corte di Giustizia. Il regolamento UE 679/16, all’art. 17, non sta positivizzando quel diritto all’oblio, ma qualcosa di parzialmente diverso.

Il soggetto interessato, infatti, non può rivolgersi direttamente al motore di ricerca, né per richiedere la de- indicizzazione, né per ottenere la cancellazione dei dati (d’altronde, per il provider sarebbe tecnicamente impossibile cancellare dati, come previsto al par. 1; può solo cancellare - rectius deindecizzare - link): il motore di ricerca, per non incorrere in responsabilità, dovrà procedere alla de-indicizzazione dei dati (o all’aggiornamento della memoria cache) nel momento in cui riceverà notizia della richiesta di cancellazione dei dati personali da parte del sito fonte.

La richiesta di cancellazione formulata dall’interessato, quindi, è rivolta anche ai titolari “secondari”, ma giunge loro tramite il primo titolare.

Ciò traspare con ancora maggiore chiarezza nella versione inglese del par. 2: «Where the controller has

made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of those personal data».

141

limitatamente e nel rispetto della tecnologia disponibile e dei mezzi a sua disposizione, ai sensi del paragrafo 2, art. 17 Regolamento europeo 2016/679. Le possibilità di deroga a tale onere non sono poche infatti: il sito fonte potrebbe, in ogni momento, non adempiervi, adducendo, quali motivazioni, i costi eccessivamente elevati, nonché la penuria di misure tecniche e figure professionali idonee a traghettare sui vari motori di ricerca l’istanza di cancellazione pervenuta dall’interessato e, quand’anche dovesse adempiervi, l’obbligo sarebbe limitato dal fatto che non tocchi a lui verificare quale comportamento adotteranno gli altri titolari del trattamento, anche tenendo conto del fatto che la richiesta dell’interessato dovrà essere oggetto di valutazione da parte di ciascun titolare, al fine di valutare se per lui sussista o meno il dovere di accoglienza. Il titolare del trattamento, quindi, non dovrà accertarsi del comportamento degli altri titolari, dovendo limitarsi alla mera comunicazione, della quale peraltro non vi sarebbe neppure certezza, se si considera che trattasi di un obbligo sprovvisto di sanzione, per cui il sito sorgente che non volesse far perdere visibilità a dati ed informazioni di cui fosse fornitore, potrebbe non ottemperare all’obbligo di comunicazione, senza incorrere in alcuna responsabilità e/o sanzione pecuniaria. Il sito fonte, infatti, ove costretto a cancellare ricorrendo i presupposti di cui al paragrafo 1, art. 17 GDPR, sarebbe comunque orientato a non perdere visibilità tra i risultati forniti dal motore di ricerca. La conseguenza sarebbe un vero e proprio paradosso: i dati personali relativi alle informazioni sarebbero cancellati sul sito fonte, continuando a vivere nei canali del Web, in quanto indicizzate dai motori di ricerca, vanificando per giunta le motivazioni che avrebbero indotto l’utente ad inoltrare la richiesta di cancellazione dei suoi dati personali. Il danno sarebbe ulteriormente amplificato se si tenesse conto del fatto che oggi gli utenti, affamati di informazioni, aggrediscono in prima battuta il motore di ricerca, quale contenitore di qualunque informazione cui i link rinviano, più che i siti sorgente. I rischi paventati rendono quanto mai necessaria la coesistenza delle procedure di de-indicizzazione e cancellazione dei dati, lasciando l’utente libero di optare per l’una o per l’altra, o per entrambe, escludendo qualsiasi forma di assorbimento della prima nella seconda. Solo in questo modo l’interessato, desideroso di essere dimenticato, potrà ottenere una tutela veramente completa: questi, infatti, potrebbe adire direttamente il gestore del motore di ricerca, chiedendo la de-indicizzazione, allorquando volesse esclusivamente ottenere la recisione dei link alla notizia; viceversa, potrebbe formulare istanza di cancellazione dei

142

dati al titolare del sito sorgente, ove fosse interessato alla rimozione di quei dati a lui relativi dalle pagine Web del sito fonte, ottenendo, altresì, suo tramite, la de- indicizzazione da parte del motore di ricerca, laddove il sito sorgente ottemperasse all’obbligo di comunicazione previsto dal paragrafo 2 dell’art. 17 GDPR. In assenza di tale comunicazione, al fine di ottenere una tutela completa, l’interessato potrebbe azionare contemporaneamente entrambe le procedure, adendo contestualmente il motore di ricerca ed il titolare del sito sorgente. Solo in questo modo il diritto all’oblio non rimarrebbe una mera enunciazione di principio!