GDPR (S01 E06): La cancellazione e l'oblio
Il dato deve, a un certo punto, "morire" per garantire i diritti degli interessati. La cancellazione e l'oblio sono gli strumenti previsti dal GDPR a tal fine.
La morte del dato come diritto fondamentale
I giuristi, ma non solo loro, sono tendenzialmente concordi nel ritenere che il dato, a un certo punto, debba "morire": si tratterrebbe, infatti, di un diritto fondamentale quello di un soggetto di non essere ricordato per sempre, di non avere dati che lo riguardano su database altrui per l'eternità e di poter, in ogni momento, domandare la cancellazione di dati che sono trattati, ad esempio, in violazione di legge.
Tra le principali novità introdotte dal GDPR merita una menzione particolare, allora, il rafforzamento del diritto alla cancellazione dei dati personali che è unito, nel testo del Regolamento, al diritto all’oblio, un diritto inizialmente riconosciuto solo a livello giurisprudenziale sia in campo europeo che nazionale e che, invece, nelle nuove norme trova un espresso cenno che ne indica portata e limiti.
Questo specifico aspetto è disciplinato dall’Articolo 17 del Regolamento, che prevede un diritto che non ha carattere assoluto, in quanto dev’essere inevitabilmente contemperato con altri interessi (primo fra tutti: il diritto di cronaca) e che può essere definito come “l’interesse di un singolo a essere dimenticato”.
La sua concretizzazione consiste nella cancellazione (o, in alcuni casi, nella de-indicizzazione) dei contenuti, dalle varie pagine web, di precedenti informazioni (spesso pregiudizievoli) che non rappresentano più la vera identità dell’interessato.
Quanto detto, tuttavia, non può avvenire in modo incondizionato e, prima le Corti nazionali e comunitarie, poi la regolamentazione contenuta nel GDPR, hanno stabilito quali debbano essere le condizioni necessarie per un corretto esercizio del diritto in questione, soprattutto ai fini della sua compatibilità con il diritto d’informazione che, nei casi di interesse pubblico, dovrà comunque prevalere sull’interesse del singolo.
In base alla disposizione in esame, si diceva, l’interessato ha il diritto di ottenere dal titolare del trattamento innanzitutto la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, e il titolare del trattamento ha l’obbligo di cancellare tali dati se essi non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati.
Questo primo principio mira a far sì che i dati non siano conservati in eterno quando hanno obiettivamente esaurito la loro funzione, ed era già previsto anche nella normativa precedente (per amore di precisione, potremmo dire che in questo caso stiamo parlando di cancellazione dei dati personali custoditi da un titolare, e non di diritto all’oblio in senso stretto).
La cancellazione può essere, inoltre, richiesta qualora l’interessato abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardino o, ancora, quando tale trattamento sia stato effettuato illecitamente o in maniera non conforme allo stesso GDPR, o nel caso in cui si debba adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o, infine, se i dati personali siano stati raccolti relativamente all’offerta di servizi della società dell’informazione.
Tale diritto è, in particolare, rilevante se l’interessato ha prestato il proprio consenso quando era minorenne, quindi non pienamente consapevole dei rischi derivanti dal trattamento, e decida, in un secondo momento, di eliminare un certo tipo di dati personali, in particolare da Internet. L’interessato dovrebbe poter esercitare il diritto in esame indipendentemente dal fatto che non sia più un minore.
D’altra parte, tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali in una serie di specifiche circostanze, e in particolare:
1) qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione (in questo caso entrano “in conflitto” due diritti, quello alla protezione dei dati e quello a una libera informazione, che si devono obbligatoriamente bilanciare);
2) per adempiere un obbligo legale;
3) per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
4) per motivi di interesse pubblico nel settore della sanità pubblica;
5) a fini di archiviazione, di ricerca scientifica o storica o a fini statistici;
6) per accertare, esercitare o difendere un diritto in sede giudiziaria.
Sulla base di quanto detto, si potrebbe ritenere che l’Articolo 17 non introduca modalità davvero innovative rispetto al diritto alla cancellazione previsto dalla precedente Direttiva, salvo alcune precisazioni legate a nuove tutele contenute nel Regolamento stesso.
Tuttavia, la portata innovativa della nuova disposizione c’è, e riguarda il dovere specifico posto a carico del titolare che riceva una richiesta di cancellazione quando i dati che ne sono oggetto siano stati “resi pubblici” dal titolare stesso.
Una sorta di obbligo di “rincorrere” i dati quando il titolare che riceve la richiesta di cancellazione li ha già comunicati ad altri titolari e, quindi, messi in circolazione.
Come specificato nei Considerando al Regolamento, infatti, per rafforzare il diritto all’oblio nell’ambiente online è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a comunicare ai titolari che trattano tali dati di cancellare qualsiasi link, copia o riproduzione degli stessi.
Nel fare ciò, è opportuno che si adottino misure ragionevoli, anche tecniche, tenendo conto della tecnologia disponibile e dei costi di attuazione.
L’obbligo di segnalazione scatta sempre quando l’interessato non si sia limitato a chiedere la sola cancellazione dei suoi dati in capo al titolare a cui si rivolge, ma abbia domandato la cancellazione di “qualsiasi immagine, copia o riproduzione dei suoi dati personali”. Questo è il motivo per cui va, innanzitutto, valutato l’oggetto della richiesta dell’interessato.
In secondo luogo, occorre che il titolare sia a conoscenza di quali sono gli altri titolari che stanno trattando i dati sulla base del fatto che lui li ha “resi pubblici”.
In terzo luogo, il titolare destinatario della richiesta sembra avere solo il dovere di segnalazione, lasciando alla responsabilità degli altri titolari valutare se essa debba, o meno, essere accolta anche da loro, tenendo conto della base giuridica specifica in virtù della quale ciascuno di essi opera.
Infatti, il titolare a cui è stata rivolta la richiesta ha solo il dovere di effettuare la segnalazione, non anche quello di accertarsi del comportamento degli altri titolari e di informare di questo l’interessato. Inoltre, come detto, lo stesso dovere di segnalazione trova un limite nella tecnologia disponibile e nei costi di attuazione ragionevoli.
Sarà molto interessante, nei prossimi anni, vedere se aumenteranno le richieste di cancellazione e di “oblio” che perverranno ai titolari e se, quindi, il diritto sarà percepito come (giustamente) importante nell’attuale società dell’informazione, anche in un’ottica di tutela dei consumatori/utenti o se, al contrario, una tale esigenza non sarà percepita come essenziale.
Di certo, il prevedere la “morte” del dato diventa essenziale, in una società tecnologica che tutto ricorda, per proteggere realmente i diritti dell’individuo non solo quando ha un motivo specifico per domandare la cancellazione delle informazioni che lo riguardano (perché, ad esempio, sono state raccolte in violazione di legge) ma anche, genericamente, perché non ha più senso che le informazioni, pur raccolte legittimamente, restino in vita, in quanto si è esaurita la funzione per la quale erano state raccolte.