I LIMITI ALL’OBLIO
3.4 I parametri applicativi della sentenza ‘Google Spain’ nelle linee guida dell’Article 29 Working Party
Si sono analizzati alcuni tra i parametri da tenere in considerazione per il riconoscimento della prevalenza del diritto all’oblio sugli altri interessi giuridicamente tutelati che possono, di volta in volta, porsi quali limiti al diritto a essere dimenticati. Per quanto concerne il diritto alla deindicizzazione, l’Article 29
Working Party (WP29)179 ha stilato un parere contenente delle
linee guida volte all’implementazione della sentenza Google Spain180. Il fine di questo documento, emesso dall’organo consultivo che riunisce i garanti della privacy degli Stati
179 Presto l’Article 29 Working Party sarà sostituito dalla nuova commissione
per la coordinazione delle autorità nazionali. Questa prenderà il nome di
European Data Protection Board (EDPB), secondo quanto previsto dal
Regolamento (UE) 2016/679.
180 Il testo integrale del parere WP 225, titolato “Guidelines on the
implementation of the European Union judgment on ‘Google Spain and Inc. v. Agencia Espanola de protecciòn de datos (AEPD) and Mario Costeja Gonzàlez’ C- 131/12”, adottato il 26 novembre 2014, è disponibile in internet all’indirizzo
www.dataprotection.ro%2Fservlet%2FViewDocument%3Fid%3D1080&usg= AFQjCNFVXJCkfdoyAJBAOdMv3nyOyTachw [consultato in data 23 giugno 2017].
93 appartenenti all’UE, è quello di offrire, alle autorità amministrative e giurisdizionali chiamate ad applicare il diritto all’oblio, una chiave di lettura uniforme della fondamentale sentenza emessa dalla Corte di Giustizia, così da ottenere una omologazione applicativa in ambito comunitario. Nel suddetto documento viene enunciato un elenco di parametri, da valutare nei giudizi aventi ad oggetto il diritto alla deindicizzazione, deducibili dalla innovativa interpretazione offerta dalla Corte nella sentenza C-131/2014. Nella parte introduttiva del documento si specifica che i criteri forniti dal WP29 sono generali e flessibili. Questi dovranno dunque essere valutati e ponderati
case-by-case dai Data Protection Authority (di seguito: DPA)
nazionali nel processo decisionale. È, d’altronde, assai infrequente che una richiesta di deindicizzazione possa essere valutata prendendo in considerazione uno solo tra i criteri offerti dal parere; è infatti usualmente necessario valutare e contemperare più criteri applicabili alla medesima fattispecie.
Criteri interpretativi fondamentali enunciati dalla Corte comunitaria (e richiamati nel parere del WP29) quali l’esercizio del diritto di informazione, il tempo trascorso e la natura di figura pubblica dell’interessato sono stati oggetto di analisi nei precedenti capitoli. In questa sede si ometterà di ribadire quanto precedentemente esposto, concentrando l’attenzione sugli ulteriori parametri decisionali stabiliti dalla CGCE e tracciati dai Garanti europei nel parere n. 225 del 2014.
Tra gli aspetti riguardanti il soggetto richiedente, assume una importante valenza il fatto che l’interessato non abbia ancora raggiunto la maggiore età. Nel caso in cui l’interessato sia un minore il parere invita i DPA a tenere in debita considerazione l’interesse migliore per il bambino (c.d. best interest of the child), così come stabilito dall’art. 24 della Carta di Nizza. Ad esso deve
94 essere garantito il diritto fondamentale alla protezione e alla cura, il diritto a esprimere liberamente le proprie opinioni e, quale principio generale previsto al secondo comma, “in tutti gli atti
relativi ai bambini, siano essi compiuti da autorità pubbliche o da istituzioni private, l'interesse superiore del bambino deve essere considerato preminente”181. Quando il trattamento riguarda i minori, infatti, si affianca alle ordinarie esigenze di tutela della privacy e della dignità la necessità di garantire un armonico sviluppo della personalità del minore, e da ciò derivano, in linea generale, maggiori limiti e cautele182. Il problema della tutela della privacy dei minori e del corretto sviluppo della loro personalità è un problema oggi quanto mai concreto. Palesi minacce derivano infatti dalla spiccata invasività raggiunta dalla tecnologia nell’ultimo decennio, così come da un abuso dei social
network e strumenti simili, non solo da parte dei minorenni, ma
anche da parte di genitori che sottovalutano l’importanza della riservatezza da garantire alla propria prole. Si riporta a titolo di esempio il caso, curioso ma emblematico, di una cittadina austriaca che, compiuti i 18 anni di età, ha deciso di citare in giudizio i propri genitori a causa della pubblicazione su Facebook di oltre 500 foto avente lei come soggetto, riferibili alla sua
181 Principio ripreso dalla Convenzione ONU sui diritti dell’infanzia e
dell’adolescenza, approvata dall’Assemblea Generale delle Nazioni Unite il 20 novembre 1989 e ratificata dall’Italia con la legge 27 maggio 1991, n. 176. Ivi, all’art. 3, si legge: «In tutte le decisioni relative ai fanciulli, di competenza delle
istituzioni pubbliche o private di assistenza sociale, dei tribunali, delle autorità amministrative o degli organi legislativi, l'interesse superiore del fanciullo deve essere una considerazione preminente».
182FALCONE V., L’immagine del minore e la sua tutela, 8 maggio 2008, in
www.diritto.it. Disponibile in Internet all’indirizzo https://www.diritto.it/l- immagine-del-minore-e-la-sua-tutela/ [consultato in data 24 giugno 2017].
95 infanzia. I genitori, incuranti delle lamentale avanzate oralmente, hanno continuato per circa 7 anni nella loro attività di condivisione delle immagini ritraenti la ragazza, spingendo la suddetta, appena acquisita la capacità di agire, ad avanzare una denuncia per violazione della privacy183. Il caso evidenzia come spesso le manie di protagonismo e la corsa alla condivisione possano offuscare la percezione delle esigenze di riservatezza e dignità della persona che vanno in ogni caso garantite, tanto più nel caso in cui siano coinvolti dei minorenni184.
Altro parametro da tenere in considerazione è quello relativo alla natura dei dati trattati. I dati sensibili (definiti dall’art. 9 del Regolamento 679 del 2016 come ‘categorie particolari di dati
personali’) hanno infatti un maggiore impatto sulla vita privata
dell’interessato rispetto ai dati personali “ordinari” e, per questo motivo, il DPA è tenuto a valutare la natura dei dati trattati, orientandosi maggiormente verso una concessione della deindicizzazione qualora i dati trattati abbiano ad oggetto quella categoria di dati previsti all’art. 9 del Regolamento (che sostituisce
183CAGNAZZO R., Austria, diciottenne denuncia i genitori per foto postate su
Facebook, in Corriera della Sera, 15 settembre 2016. Disponibile in Internet
all’indirizzo: http://www.corriere.it/esteri/16_settembre_15/austria- diciottenne-denuncia-genitori-foto-postate-facebook-2ceb737a-7b46-11e6- ae27-bc43cc35ec72.shtml [consultato in data 24 giugno 2017].
184 Le sanzioni previste dal codice della privacy in caso di pubblicazione illecita,
vanno dalla rimozione dell’oggetto alla reclusione (da sei mesi a tre anni), alla quale si aggiunge un’ammenda di importo non inferiore a 516 euro. A titolo comparativo, il code pénal francese, all’articolo 226-1, nel caso di trasmissione illecita dell’immagine di una persona prevede la pena dell’arresto e un’ammenda di 45.000 euro.
96 l’art. 8 della direttiva 95/46/CE)185. Rientrano in questa categoria le informazioni riguardanti la salute della persona, la sua sessualità, le sue credenze religiose o convincimenti politici, e anche le informazioni genetiche.
Sarà infine da tenere in conto la natura aggiornata o meno dei dati. In rapporto al tempo trascorso le informazioni non adeguatamente aggiornate potranno infatti divenire, a causa della loro obsolescenza, non veritiere e, dunque, lesive dell’identità personale dell’interessato186. La sussistenza o meno di un aggiornamento dovrà essere, in ogni caso, valutato in correlazione allo scopo di raccolta e diffusione dei dati (giornalistico, storico, statistico, ecc.).
185 Una delle maggiori novità del Regolamento generale sulla privacy, rispetto
alla direttiva 95/46/CE, è l’introduzione della ‘Valutazione d’impatto sulla
protezione dei dati’ disciplinata nella sezione 3 del Regolamento. Tale
valutazione preventiva è richiesta, al titolare del trattamento, in alcuni casi specificati nel comma 3 dell’art. 35, tra i quali rientra «il trattamento, su larga
scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1».
La valutazione d’impatto deve contenere una descrizione dei trattamenti previsti e delle finalità perseguite, una valutazione sulla necessità e proporzionalità del trattamento e sui rischi che da questo possono derivare nonché le misure previste per affrontare i suddetti rischi.
186 A conclusioni analoghe perveniva la Corte di Cassazione nella sentenza n.
5525 del 2012, analizzata nel capitolo precedente. Cfr. Cass. 5 aprile 2012, n.5525, in For. it., 2013, p. 312 e ss..
97