Com’è noto, il regolamento europeo n. 679/2016, c.d. General Data Protection Regulation (G.D.P.R.) è entrato in vigore nel maggio 2018, portando con sé una serie di innovazioni in tema di trattamento dei dati a cui ci si è dovuti conformare per non incorrere in eventuali sanzioni pecuniarie, talvolta anche molto elevate, previste dal regolamento stesso.
Ebbene, a distanza, ormai, di quasi due anni dall’entrata in vigore del suddetto regolamento, proviamo a ripercorrere, seppur brevemente, l’iter normativo che ha portato all’adozione del G.D.P.R. ed, altresì, che tipo di impatto ha avuto il diritto nella tutela della privacy del singolo individuo.
Il primo fondamentale approdo normativo alla privacy si è avuto con la Carta dei diritti fondamentali dell’Unione Europea, il cui art. 8 recita espressamente che “ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”.
Con tale previsione, dunque, si è sancito, espressamente, il diritto dell’individuo alla protezione dei dati di carattere personale che lo riguardano, diritto ulteriormente implementato e disciplinato, in ambito europeo, dalla direttiva 95/46/CE, sostituita poi dal G.D.P.R., attualmente in vigore.
In Italia, per una disciplina organica del diritto alla protezione dei dati personali, si è dovuto attendere il c.d. codice della privacy (d. lgs. n. 196/2003), aggiornato, ad oggi, con le prescrizioni di cui al regolamento europeo n. 679/2016, normativa che, ad ogni buon conto, risultava comunque organica e completa rispetto alla tutela del singolo individuo.
Orbene, il diritto alla privacy, a seguito dell’evoluzione tecnologica, è stato sempre più oggetto di attenzione da parte del legislatore europeo ed italiano, a causa della crescente facilità con cui è possibile reperire informazioni su qualsiasi soggetto mediante l’utilizzo degli strumenti informatici di ultima generazione.
Tale diritto, dunque, deve indubbiamente essere contemperato con il diritto all’informazione, quest’ultimo non espressamente riconosciuto in Costituzione ma ad ogni modo riconducibile al diritto di libertà dei manifestazione del pensiero ex art. 21 Cost.: ebbene, il bilanciamento degli interessi in gioco risulta essere tutt’altro che agevole posto che se si ritiene legittimo, infatti, che il singolo individuo abbia il diritto a mantenere lo stretto riserbo sui propri dati personali e sulla propria vita privata, è da ritenersi altrettanto legittimo il diritto della collettività ad essere edotta circa la moltitudine di attività poste in essere da un singolo individuo, soprattutto con riferimento all’opera dei politici e dei soggetti apicali posti ai vertici delle strutture più influenti del sistema.
Attraverso, dunque, l’iter normativo innanzi delineato, ed altresì grazie all’evoluzione giurisprudenziale, si è giunti all’adozione del G.D.P.R., il quale poggia le proprie basi sui principi dell’accountability (responsabilizzazione da parte del titolare e dei responsabili del trattamento dei dati volta all’adozione di comportamenti proattivi a dimostrazione della concreta adozione del regolamento), della transparency (sotto il profilo della liceità, correttezza e delle finalità perseguite dal trattamento), della esattezza, minimizzazione, integrità e riservatezza dei dati trattati.
Proprio nell’ottica di una disciplina quanto più organica possibile, assume grande rilevanza il “diritto alla cancellazione” di cui all’art. 17 del regolamento, una delle colonne portanti della nuova disciplina della privacy.
Come far valere il proprio diritto alla cancellazione
Orbene, l’art. 17 del G.D.P.R. disciplina il “diritto alla cancellazione” da parte dell’interessato, il quale ha “il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali” in presenza di una serie di requisiti nel momento in cui i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, ovvero quando i dati personali sono trattati illecitamente, ovvero negli altri casi previsti dal citato art. 17.
Ma come viene garantito ed attuato, dal punto di vista pratico, il “diritto alla cancellazione”?
Preliminarmente, occorre evidenziare come la cancellazione dei dati possa essere richiesta per qualsiasi ragione, a prescindere da aspetti attinenti alla tutela della reputazione o alla corretta rappresentazione pubblica della personalità individuale, in quanto può riguardare anche dati che non sono pubblici ma che sono semplicemente gestiti dal titolare del trattamento.
In sostanza, dunque, la cancellazione può riguardare anche informazioni che non sono mai state divulgate ai terzi.
Il diritto alla cancellazione dei dati (e/o alla loro rettifica) svolge, dunque, una funzione protettiva, a presidio della sfera intima dell’individuo, i cui dati memorizzati nei motori di ricerca e nelle reti sociali richiedono garanzie tali da assicurarne protezione e monitoraggio, oltre alla possibilità di ottenerne la rimozione decorso un determinato lasso di tempo dalla pubblicazione, se, nel mentre, sono venuti meno i presupposti ed i requisiti di liceità del trattamento.
La formulazione del G.D.P.R., ed in particolar modo le prescrizioni di cui all’art. 17, affonda le proprie radici nella celebre sentenza della Corte di Giustizia dell’Unione Europea relativa al caso Google Spain, nel quale si è giunti ad una qualificazione dei motori di ricerca come responsabili del trattamento dei dati personali secondo l’allora vigente Direttiva 95/46/CE, in quanto la loro attività permette a qualsiasi utente di Internet di ottenere, inserendovi il nome di una certa persona, un elenco di risultati che ad essa si riferiscono, riuscendo, in tal modo, a ricostruirne il profilo anche in relazione a molteplici aspetti della vita privata.
La Corte ha così imposto ai motori di ricerca, in presenza di determinate condizioni, di sopprimere, dall’elenco di risultati apparso a seguito di una ricerca effettuata a partire dal nome di una persona, i collegamenti a pagine web pubblicate da terzi e contenenti informazioni relative a tale persona. Tale obbligo può esistere anche nell’ipotesi in cui il nome o le informazioni non vengano previamente o simultaneamente cancellate dalle suddette pagine web, e ciò eventualmente anche quando la loro pubblicazione sulle pagine in questione sia di per sé lecita.
I motori di ricerca sono, pertanto, tenuti a vagliare le richieste di de-indicizzazione dei link presentate da persone fisiche e giuridiche, decidendo se accoglierle o meno in base al bilanciamento fra il diritto alla privacy del richiedente e il legittimo interesse degli utenti ad avere accesso alle informazioni: tale valutazione non può non tener conto della natura delle informazioni di cui si chiede la de-indicizzazione, del loro eventuale carattere “sensibile” per la vita privata di coloro ai quali esse si riferiscono, nonché dell’interesse del pubblico a disporre di tali informazioni, che può variare anche a seconda del ruolo rivestito da talune persone nella vita pubblica.
Il dominus di tale fase risulta essere, dunque, il titolare del trattamento (figura ampiamente disciplinata dal nuovo regolamento europeo) che, nel vagliare la richiesta della persona cui i dati si riferiscono, deve operare un bilanciamento tra gli interessi in conflitto, considerando le inevitabili ripercussioni dell’esercizio del diritto alla cancellazione sul legittimo interesse degli utenti di Internet ad avere accesso alle informazioni, ricercando il giusto equilibrio tra tale interesse e i diritti fondamentali della persona.
Va da sé che non si può, allora, non interrogarsi sull’effettiva idoneità di un soggetto privato che, nella maggior parte dei casi, persegue le logiche di mercato volti ad attuare i propri interessi, e che pertanto è carente dei necessari requisiti di terzietà ed imparzialità, al fine di svolgere il compito di decidere in merito alle richieste di de-indicizzazione dei dati.
Un esempio concreto
Si prenda ad esempio un soggetto condannato per reati commessi quando svolgeva attività politica ed oggi non svolge più tale attività: occorre precisare tale ultima circostanza, elemento che risulta essere imprescindibile ai fini di un corretto bilanciamento.
Il motore di ricerca, pertanto, se accoglie la richiesta, si limita alla deindicizzazione della pagina con riferimento al nome e cognome del richiedente. Tuttavia, la notizia in sé rimane sul sito fonte (blog, giornale et similia) e comunque si può rintracciare se la ricerca viene posta in essere con dati dell’evento differenti dal nome e cognome del richiedente.
È proprio in casi analoghi che ci si può avvalere del servizio di rimozione dei link proposto e realizzato dai nostri esperti.
