Il diritto all’oblio è stato positivizzato e disciplinato con il Regolamento dell’Unione Europea 679 del 2016, noto come General Data Protection Regulation o con l’acronimo GDPR, recepito nel nostro ordinamento con il Decreto legislativo 101 del 2018, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati)”367. Si tratta di una novità sostanziale rispetto allo scenario precedente, in cui il diritto all’oblio era riconosciuto solo a livello giurisprudenziale e giudicato caso per caso368. La disciplina dettata dal legislatore europeo è contenuta agli articoli 17, 18 e 19 del Regolamento.
362
C.EDU, 16 luglio 2013, cit.
363 “Didattica all’uso dell’archivio online” delle testate giornalistiche., in A. Salarelli, Diritto all’oblio, cit. 364Quale la compilazione di un modulo online e l’invio di una copia del proprio documento d’identità 365
A. Salarelli, Diritto all’oblio, cit.
366
A. Salarelli, Diritto all’oblio, cit.
367 Il GDPR, entrato in vigore il 24 maggio 2016 e direttamente applicabile in tutti gli Stati membri a
partire dal 25 maggio 2018, data a decorrere dalla quale la Direttiva 95/46/CE è stata abrogata, è andato a sostituire il Codice sulla Privacy. Si noti che la Direttiva del 95 è stata sostituita non con un’altra direttiva, bensì con un Regolamento, ritenuto, data la sua diretta applicabilità negli Stati membri ai sensi dell’articolo 288 TFUE, “lo strumento più idoneo per definire il quadro giuridico per la protezione dei dati personali nell’UE”.
60
L’articolo 17369 fa coincidere il diritto all’oblio con il diritto alla cancellazione dei dati personali ed enuncia al primo paragrafo i presupposti in presenza dei quali può essere esercitato.
Il procedimento di cancellazione è applicabile370 ai sensi del primo paragrafo dell’articolo 17 GDPR quando i “dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti”371 (lett. a) (ad esempio, una volta eseguito un contratto); oppure “revoca il consenso al trattamento di categorie particolari di dati e se non sussiste altro fondamento giuridico per il trattamento” (lett. b); se l’interessato ha esercitato il diritto di opposizione al trattamento372 “e non sussiste alcun motivo legittimo prevalente per procedere al trattamento”373, oppure l’interessato “si oppone al trattamento” per finalità di marketing diretto, inclusa la profilazione (lett. c); se “i dati personali sono stati trattati illecitamente” (lett. d); se “i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento” (lett. e)374; infine, se “i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione” e trattati sulla base del consenso di un minore (lett. f), che ora vuole eliminarli.
Dunque, se ricorre uno dei suddetti casi in presenza dei quali il Regolamento 2016/679/UE ha affermato l’esistenza dell’interesse alla cancellazione, “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali” che lo riguardano gratuitamente e “senza ingiustificato ritardo”, “al più tardi entro un mese”, “termine che può essere prorogato di due mesi se necessario, tenuto conto della complessità e del numero delle richieste”375, ma con comunicazione entro un mese delle ragioni del ritardo.
La cancellazione dei dati personali dell’interessato è conseguenza “automatica” del verificarsi di una delle situazioni previste dal primo comma dell’articolo 17 del GDPR, non richiedendosi l’esercizio diretto di una richiesta di cancellazione da parte dell’interessato affinché l’azienda titolare del trattamento proceda in tal senso;
369Art. 17 Reg. 2016/679/UE: “Diritto alla cancellazione (“diritto all’oblio”)” 370Art. 17, par. 1, Reg. 2016/679/UE
371Tale previsione è riconducibile al cd. principio della “limitazione della conservazione” nel trattamento
dei dati sancito all’art. 5 par. 1 lett. e) Reg. 2016/679/UE, in Rugani, Il Nuovo Pacchetto europeo, cit.
372In tal caso “il titolare del trattamento si astiene dal trattare ulteriormente i dati personali, salvo che
dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato, oppure per l’accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria”., ex art 21, Reg. 2016/679/UE. “Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici”, a norma dell’art. 89, par. 1, “l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguardano, salvo che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico”.
373 “L’esercizio del diritto di opposizione al trattamento avanzato per motivi legittimi meritevoli di
specifica tutela va considerato fondato, e legittima l’aspirazione dell’interessato affinché in rete non restino associate perennemente al proprio nominativo notizie in cui era coinvolto.” Così si è espresso il Garante in merito alla richiesta di cancellazione dei propri dati avanzata dalla ricorrente, vittima di un grave fatto criminoso che le aveva provocato pesanti conseguenze sulla salute fisica e psicologica oltre che nei rapporti sociali, per evitare di subire un ulteriore trauma in caso di riproposizione della notizia che l’aveva vista protagonista., in Garante, 2009, Archivi storici online, cit.
374Il termine “oblio” appare improprio rispetto alle lett. d) ed e), che ricollegano la cancellazione a
trattamenti illeciti ab origine
375
61
l’interessato ha comunque sempre facoltà di presentare una richiesta espressa di cancellazione, in forma libera se il titolare non ha predisposto un apposito376 modulo. Il titolare deve prevedere modalità volte ad agevolare l’esercizio dei diritti da parte dell’interessato377. Risulta opportuno, pertanto, che l’azienda titolare crei un processo che preveda il coinvolgimento almeno di un referente legale che valuti la sussistenza dei presupposti per l’esercizio del diritto alla cancellazione, di un referente IT che valuti gli aspetti tecnici in riferimento alla cancellazione, e di referenti privacy interni che si occupino della cancellazione in caso di trattamenti effettuati esclusivamente in forma cartacea (ad esempio, il Customer Service per richieste dei clienti, la Funzione HR per quelle dei dipendenti, l’Ufficio Acquisti per terze parti)378.
Al termine della valutazione sulla operatività del diritto alla cancellazione dei dati personali nel caso concreto, se esso non risulta applicabile, l’azienda titolare dovrebbe notificare l’esito della valutazione all’interessato.
Se il diritto alla cancellazione è risultato applicabile, il titolare del trattamento è tenuto ad eseguire le operazioni tecniche di cancellazione, della quale informa l’interessato.
In alternativa alla cancellazione, l’azienda titolare può propendere per l’anonimizzazione dei dati, purché eseguita correttamente, ossia senza possibilità di re-identificazione dell’interessato.
Ove il titolare del trattamento, nonostante la richiesta di cancellazione, rimanga inadempiente, deve “informare l’interessato senza ritardo”, “al più tardi entro un mese dal ricevimento della richiesta”, “dei motivi dell’inottemperanza e della possibilità di proporre reclamo all’autorità di controllo o di proporre ricorso giurisdizionale”379. La violazione delle norme delineate agli articoli 17 e successivi del Regolamento espone a multe fino a 100 milioni di euro o fino al 5% del fatturato mondiale annuo del titolare del trattamento (nel caso concreto andrebbe comminata la sanzione più gravosa delle due).
Ove la richiesta dell’interessato sia manifestamente infondata o eccessiva380, il titolare del trattamento, sul quale incombe l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta, può addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta, oppure semplicemente può rifiutare di soddisfare la richiesta.
Per assicurare il risultato che con il diritto all’oblio si vuole conseguire, il titolare del trattamento se ha pubblicato i dati personali è tenuto non solo “a cancellarli”, tenendo “conto della tecnologia disponibile e dei costi di attuazione” ed adottando “misure ragionevoli”, ma anche ad informare eventuali destinatari381 cui sono stati trasmessi i dati personali382 “della richiesta dell’interessato di cancellare qualsiasi link, copia o
376Troiano, Diritto all’oblio e privacy, cos’è e come esercitarlo: tutto quello che devi sapere, in
www.agendadigitale.eu/sicurezza/il-diritto-alloblio/ del 28/2/2019
377
Cons. 59, Reg. 2016/679/UE
378
Troiano, Diritto all’oblio, cit.
379 Trib. Roma, 2015, n. 23771, cit.
380 In particolare per il suo carattere ripetitivo
381Come già previsto dall’art. 12 Dir. 95/46/CE e poi dall’art. 7 Codice Privacy 382
62
riproduzione dei dati”383. In altre parole, si impone un “obbligo di notifica” a ciascuno dei destinatari cui sono stati trasmessi i dati personali, “in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento in capo al titolare del trattamento”, “salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato”384.
Bisogna precisare però circa il fatto che l’obbligo cui fa riferimento il paragrafo 2 è soggetto a due condizioni, una legata alla “tecnologia disponibile”, l’altra ai “costi di attuazione”, entrambe in grado di precludere in concreto l’accesso alla tutela dell’avente diritto385.
L’articolo 18386 riconosce all’interessato il diritto di ottenere la “limitazione del trattamento dei suoi dati personali, tra l’altro, quando ne contesti l’esattezza, per il periodo necessario per la verifica” (lett. a); “se il trattamento è illecito ma l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo” (lett. b); “se l’interessato si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato” (lett. d).
Quando è disposta la limitazione del trattamento, i “dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato, o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, oppure per tutelare i diritti di un’altra persona fisica o giuridica, o per motivi di rilevante interesse pubblico dell’Unione o di uno Stato membro”387.
“Il diritto alla protezione dei dati di carattere personale non è tuttavia prerogativa assoluta dell’individuo, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”388. In altri termini, sono previste delle ipotesi in cui il diritto alla cancellazione sancito dall’articolo 17 non possa essere riconosciuto ed applicato in virtù di un bilanciamento con i diritti fondamentali e le libertà e i principi riconosciuti dalla Carta dei diritti dell’Unione Europea e sanciti dai Trattati. Per quel che rileva ai nostri fini, il terzo paragrafo dell’articolo 17 esclude il diritto alla cancellazione “se il trattamento è necessario per l’esercizio del diritto alla libertà di espressione e di informazione” (lett. a); “per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, o per l’esecuzione di un compito svolto nel pubblico interesse, oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (lett. b); “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici nella misura in cui il diritto di cancellazione rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento” (lett. d)389.
383
Cons. 66, Reg. 2016/679/UE
384
Art. 19, Reg. 2016/679/UE
385Stradella, Cancellazione e oblio: come la rimozione del passato, cit., pagg. 1-3, in Rugani, Il Nuovo
Pacchetto europeo, cit.
386Art. 18, Reg. 2016/679/UE 387
Art. 18, 2 par., Reg. 2016/679/UE
388
Cons. 4, Reg. 2016/679/UE
389Ulteriori limitazioni al diritto alla cancellazione possono essere imposte dagli Stati membri o dal
63
In merito alla lettera a), che riguarda testate giornalistiche, social network e piattaforme di sharing di contenuti, l’ articolo 85390 e il Considerando 153 stabiliscono che “il diritto degli Stati membri dovrebbe conciliare le norme che disciplinano la libertà di espressione e di informazione, comprese l’espressione giornalistica, accademica, artistica o letteraria, con il diritto alla protezione dei dati personali ai sensi del Regolamento, adottando misure legislative che prevedano le deroghe e le esenzioni necessarie ai fini di un equilibrio tra tali diritti fondamentali, e qualora esse differiscano da uno Stato membro all’altro, dovrebbe applicarsi il diritto dello Stato membro cui è soggetto il titolare del trattamento”391. “Il trattamento dei dati personali effettuato unicamente a scopi giornalistici o di espressione accademica, artistica o letteraria dovrebbe essere soggetto a deroghe o esenzioni rispetto ad alcune disposizioni del Regolamento se necessario per conciliare il diritto alla protezione dei dati personali e il diritto alla libertà d’espressione e di informazione sancito nell’articolo 11 della Carta dei diritti dell’Unione Europea. Ciò dovrebbe applicarsi in particolare al trattamento dei dati personali nel settore audiovisivo, negli archivi stampa e nelle emeroteche”392. Si ricordi che, tenuto “conto dell’importanza del diritto alla libertà di espressione nelle società democratiche”, i concetti relativi alla libertà di espressione e la nozione di giornalismo vanno interpretati estensivamente393. Quanto alla lettera b), in virtù del principio del “pubblico accesso ai documenti ufficiali in quanto di interesse pubblico”394, “i dati personali contenuti in documenti conservati da un’autorità pubblica o da un organismo pubblico dovrebbero poter essere diffusi da quella autorità o organismo se la diffusione è prevista dal diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti. Tali disposizioni legislative dovrebbero conciliare l’accesso del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del settore pubblico con il diritto alla protezione dei dati personali, in conformità del Regolamento”395.
sia una misura necessaria e proporzionata in una società democratica”, per la salvaguardia e la tutela di alcuni importanti obiettivi di interesse generale, (Cons. 73, Reg. 2016/679/UE), quali “la sicurezza nazionale; la difesa; la sicurezza pubblica; la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari; le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g); la tutela dell’interessato o dei diritti e delle libertà altrui; l’esecuzione delle azioni civili” (art. 23, Reg. 2016/679/UE).
390Art. 85, Reg. UE/2016/679: “Trattamento e libertà d’espressione e di informazione” 391 Cons. 153, Reg. 2016/679/UE
392Cons. 153, Reg. 2016/679/UE, cit. 393
Cons. 153, Reg. 2016/679/UE, cit.: il termine “giornalismo” deve essere interpretato estensivamente; ciò implica che, ad esempio, devono essere ricondotti all’interno di tale nozione anche i blog gestiti da attivisti. in M. Krzysztofek, Post-Reform Personal Data Protection in the European Union: General Data Protection Regulation (EU) 2016/679, in Kluwer Law International, Alphen aan den Rijn, 2017, pag. 125, in Rugani, Il Nuovo Pacchetto europeo, cit.
394
Cons. 154, Reg. 2016/679/UE
395
64
D’altra parte nel nostro ordinamento396 la superfluità del consenso al trattamento da parte del titolare dei dati costituisce uno dei punti chiave del regime del trattamento posto in essere da soggetti pubblici, -salvo enti pubblici economici,- dettato dal Codice Privacy. La ratio di tale deroga alla regola generale della necessarietà del consenso risiede nella circostanza che il trattamento è collegato ad un interesse di matrice pubblicistica ritenuto prevalente sulla volontà dell’interessato.397
Inoltre, la disciplina del Codice Privacy prevede che il trattamento dei dati, - esclusi quelli sensibili o giudiziari - è ammesso da parte di un soggetto pubblico per finalità istituzionali anche in assenza di una norma di legge o di regolamento che lo preveda espressamente398.
Per quanto riguarda la comunicazione dei dati ordinari da parte di un soggetto pubblico, è ivi stabilito che quella effettuata da altro soggetto pubblico è ammessa soltanto se prevista da una norma di legge o da un regolamento o in mancanza se strettamente correlata ad una finalità istituzionale; quella da parte di un privato o di un ente pubblico economico e la relativa diffusione necessitano sempre di una specifica previsione di legge o di regolamento.
Riguardo al trattamento di dati personali contenuti in atti e documenti amministrativi, il Garante ha pubblicato nel 2014 le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti”399 obbligati, e ha disposto che notizie o documenti pubblicati per legge sui siti di enti pubblici, “trascorsi i periodi di tempo specificamente individuati”, debbano essere “rimossi dal sito web dell’ente oppure devono essere privati degli elementi identificativi degli interessati e delle altre informazioni che possano consentirne l’identificazione”400 (salvo, laddove esistano i presupposti previsti dalla Legge sul procedimento amministrativo, la possibilità di consultare il documento completo tramite richiesta di accesso agli atti amministrativi presso gli uffici competenti.)
Ad esempio, la deindicizzazione dai motori di ricerca è stata la soluzione prospettata dal Garante in riferimento a sanzioni amministrative risalenti applicate da un ente pubblico e pubblicate sul sito dell’ente, pertanto facilmente rinvenibili in seguito a ricerca sul web, in quanto suscettibili di pregiudicare l’immagine del soggetto colpito dalla sanzione e della sua società con la clientela401. Nel contempo il Garante ne ha assicurato la
396
In Italia l’accesso ai documenti amministrativi (atti e documenti in possesso della Pubblica Amministrazione) è un diritto riconosciuto ai cittadini inizialmente con la legge sul procedimento amministrativo n. 241 del 1990 in virtù del principio di legalità e imparzialità dell’azione amministrativa ex art. 97 Cost., nonché del principio di trasparenza dell’azione amministrativa ex D. lgs. 33/2013; poi riaffermato con la L. 150/2000; ed oggi dal D. lgs. 97/2016, che ha introdotto la normativa FOIA, Freedom of Information Act, la quale ha affermato l’accessibilità totale ai dati e ai documenti gestiti dalle Pubbliche Amministrazioni a prescindere dalla sussistenza di un interesse qualificato, a condizione però che siano tutelati gli interessi pubblici e privati espressamente indicati dalla legge, in primis il diritto alla riservatezza, che esclude la pubblicazione di alcune categorie di dati.
397
Sica e Altri, Manuale di diritto dell’informatica, cit., pag. 105
398
Art. 19, D.lgs. 196/2003
399
Garante, provv. 15 maggio 2014, n. 243, in www.garanteprivacy.it del 29/4/2019
400Garante, provv. 15 maggio 2014, n. 243, cit.
401Un operatore pubblicitario lamentava la persistenza sulla rete di due provvedimenti con i quali un ente
65
consultabilità attraverso la possibilità per l’ente di predisporre sul proprio sito una sezione per i vecchi provvedimenti, sicché il reperimento è meno agevole.
Ancora, in relazione alla lett. b), la Cassazione402, sulla scorta della giurisprudenza europea403, ha affermato la prevalenza dell’interesse pubblico alla trasparenza, dunque il diritto dei terzi all’accesso al Registro delle Imprese (per il caso di esercizio dell’impresa), rispetto alla protezione dei dati personali di soggetti i cui dati sono ivi registrati. Tuttavia, viene rimessa al legislatore nazionale la previsione di situazioni eccezionali tali da consentire la limitazione ad una indiscriminata conoscibilità.
Occasione della decisione è stato il caso originato dal ricorso di un imprenditore, il quale lamentava un presunto pregiudizio economico subìto nell’attività professionale a causa del diniego ricevuto dalla Camera di Commercio, Industria, Artigianato e Agricoltura della città in cui operava404 rispetto alla richiesta di cancellazione di alcuni dati personali dal Registro delle Imprese in cui risultava (ancora) annotata, pur essendo decorsi oltre quindici anni dal fallimento dell’impresa e due anni dalla cancellazione, la circostanza che lo stesso era stato amministratore e liquidatore di una precedente società dichiarata fallita e poi cancellata dal registri, dati che poi erano stati “trattati da una società specializzata nella raccolta e nell’elaborazione di informazioni di mercato e nella valutazione del rischio (rating)”405; pertanto, chiedeva la condanna alla cancellazione, alla trasformazione in forma anonima o al blocco dei dati che lo collegavano a quel fallimento, nonché la condanna al risarcimento del danno all’immagine cagionatogli. La Cassazione, investita del quesito406 inerente l’esistenza o meno di un obbligo di