Gdpr e diritto di cancellazione dati/rettifica: come funziona

07/11/2018


C'è anche il diritto alla cancellazione dei dati, altrimenti rubricato “diritto all’oblio”, nel Regolamento (UE) n. 2016/679 del 27 aprile 2016 (General Data Protection Regulation – GDPR), che abroga la direttiva 95/46/CE e si sostituisce alle normative nazionali. La qualificazione di diritto all’oblio (art 17) tuttavia è del tutto impropria, poiché il GDPR ponel’accento sulla cancellazione dei dati indipendentemente dalla loro circolazione pubblica,senza che la richiesta di cancellazione avanzata dalla persona cui i dati si riferiscono debba essere necessariamente valutata in relazione alla libertà di cronaca degli organi di informazione.

La cancellazione dei dati, infatti, può essere richiesta per qualsiasi ragione (non solo per ragioni inerenti alla tutela della reputazione o della corretta rappresentazione pubblica della personalità individuale); può riguardare anche dati non pubblici, ma gestiti solo dal titolare del trattamento; può riguardare informazioni che non sono mai state, nemmeno in passato, di interesse pubblico.

Diritto di cancellazione col GDPR ed eccezioni

L’art 17 del GDPR prevede che l’interessato (cioè la persona cui dati si riferiscono) possa chiedere al titolare del trattamento di tali dati la loro cancellazione e che quest’ultimo debba procedere a ciò senza ingiustificato ritardo in tutti i casi in cui i dati personali non siano più necessari rispetto alle finalità per cui erano stati originariamente trattati, oppure siano stati trattati illecitamente, oppure l’interessato revochi il consenso o si opponga al loro trattamento, oppure la cancellazione costituisca un obbligo giuridico imposto dal diritto dell’UE o degli Stati membri.
Il rifiuto della cancellazione da parte del titolare del trattamento può essere giustificato quando il trattamento sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione, oppure avvenga nell’adempimento di un obbligo giuridico previsto dal diritto dell’Unione o degli Stati membri, oppure sia motivato dall’interesse pubblico nel settore della sanità pubblica, oppure abbia finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici, oppure infine sia necessario per l’esercizio o la difesa di un diritto in sede giudiziaria. Il titolare del trattamento provvederà in tali casi alla cancellazione «tenendo conto della tecnologia disponibile e dei costi di attuazione»: si tratta, quindi, di un diritto sottoposto anche a condizionalità estrinseche di carattere tecnologico e finanziario, non correlate in alcun modo all’esigenza di bilanciare i contrapposti interessi in gioco.

Diritto di rettifica

Il diritto alla cancellazione dei dati è strettamente connesso al diritto di rettifica, di cui all’art. 16 del Regolamento, secondo cui l’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo, nonché quello di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa. Non a caso, il Considerando n. 65 del Regolamento tratta congiuntamente il diritto alla rettifica dei dati e quello alla loro cancellazione: entrambi, infatti, sono collegati al diritto individuale alla corretta rappresentazione della “personalità digitale”, ovvero alla tutela della cosiddetta “reputazione digitale” (web reputation), di cui oggi sempre più frequentemente si invoca la tutela in sede civile e penale.
Il diritto alla cancellazione dei dati o alla loro rettifica ha una funzione protettiva della sfera intima dell’individuo, i cui dati memorizzati nei motori di ricerca e nelle reti sociali richiedono garanzie tali da assicurarne la protezione ed il monitoraggio, nonché la possibilità di ottenerne la rimozione decorso un certo lasso di tempo dalla pubblicazione, se sono nel frattempo venuti meno i presupposti ed i requisiti di liceità del trattamento.

Il diritto all’oblio in Google Spain e nel GDPR: differenze

Le disposizioni del GDPR tengono ovviamente in considerazione la celebre sentenza della Corte di Giustizia dell’Unione europea relativa al caso Google Spain (13 maggio 2014), che ha qualificato i motori di ricerca come responsabili del trattamento dei dati personali secondo la allora vigente Direttiva 95/46/CE, in quanto la loro attività permette a qualsiasi utente di Internet di ottenere, partendo dal nome di una certa persona, un elenco di risultati che ad essa si riferiscono, riuscendo così a ricostruirne il profilo anche in relazione a molteplici aspetti della vita privata. La Corte ha così imposto ai motori di ricerca, in presenza di determinate condizioni, di sopprimere, dall’elenco di risultati apparso a seguito di una ricerca effettuata a partire dal nome di una persona, i collegamenti a pagine web pubblicate da terzi e contenenti informazioni relative a tale persona.

Tale obbligo può esistere anche nell’ipotesi in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellate dalle suddette pagine web, e ciò eventualmente anche quando la loro pubblicazione sulle pagine in questione sia di per sé lecita. I motori di ricerca sono quindi tenuti a vagliare le richieste di de-indicizzazione dei link presentate da persone fisiche e giuridiche, decidendo se accoglierle o meno in base al bilanciamento fra il diritto fondamentale al rispetto della vita privata del richiedente e il legittimo interesse degli utenti di Internet ad avere accesso alle informazioni; tale valutazione deve tenere conto della natura delle informazioni di cui si chiede la de-indicizzazione, del loro eventuale carattere “sensibile” per la vita privata di coloro ai quali esse si riferiscono, nonché dell’interesse del pubblico a disporre di tali informazioni, che può variare anche a seconda del ruolo rivestito da talune persone nella vita pubblica.

È il titolare del trattamento che, nel processare la richiesta della persona cui i dati si riferiscono, deve ponderare gli interessi in conflitto, considerando le inevitabili ripercussioni dell’esercizio del diritto alla cancellazione (o del diritto di opposizione) sul legittimo interesse degli utenti di Internet ad avere accesso alle informazioni, ricercando il giusto equilibrio tra tale interesse e i diritti fondamentali della persona. Non si può, allora, non interrogarsi sull’effettiva idoneità di un soggetto privato, che segue le logiche di mercato e che pertanto difetta dei necessari requisiti di neutralità ed imparzialità, a svolgere il delicato compito di decidere in merito alle richieste di de-indicizzazione dei dati.

Evidentemente, sia la sentenza Google Spain sia il GDPR muovono dall’assunto che l’attività di organizzazione e aggregazione dei contenuti svolta dai motori di ricerca sia in qualche modo più rilevante, dal punto di vista della corretta rappresentazione dell’identità personaleonline, di quella dei siti in cui le informazioni personali sono state originariamente pubblicate, per via della facile reperibilità e della più ampia visibilità che i link contestati ottengono proprio grazie a motori di ricerca. Dunque, il fatto che le informazioni personali, quantunque non più indicizzate dal motore di ricerca, permangano nei siti-sorgente a meno che l’interessato non rivolga a ciascuno di essi la richiesta di cancellazione, indicando con precisione gli esatti URL da rimuovere, mostra con evidenza l’inadeguatezza dell’espressione “diritto all’oblio”: una richiesta inviata a un motore di ricerca non garantisce affatto che l’interessato possa ottenere l’oblio tramite la cancellazione dei dati, ma soltanto che talune informazioni possano ottenere minore visibilità grazie alla de-indicizzazione.

Bisogna dunque distinguere fra un’accezione ampia del concetto di diritto all’oblio come diritto ad essere dimenticati, che nell’era di Internet rappresenta più un’aspirazione che una reale possibilità, e un’accezione più ristretta concernete solo il profilo del trattamento dei dati personali, in base alla quale si richiede all’intermediario digitale di cancellare quelli scorretti, distorti o non più rilevanti, cosa che non necessariamente garantisce l’assoluta irreperibilità del dato.

Sta di fatto che, in seguito alla sentenza Google Spain, i motori di ricerca – Google in particolare – sono stati letteralmente inondati di richieste di de-indicizzazione: secondo il Transparency Report periodicamente aggiornato da Google, da maggio 2014 ad oggi il motore di ricerca ha valutato le richieste di de-indicizzazione relative ad oltre due milioni di URL, accolte in circa il 44% dei casi, mentre circa mezzo milione di URL sono ancora sotto esame. Contro il diniego di de-indicizzazione espresso dal motore di ricerca, l’interessato ha diritto di rivolgersi alla competente Autorità nazionale (per l’Italia, il Garante per il trattamento dei dati personali): da giugno 2014 ad oggi i provvedimenti adottati dal Garante italiano in materia di diritto all’oblio sono stati poco meno di un centinaio.

Occorre comunque sottolineare la differenza fra il diritto all’oblio così come postulato nella sentenza Google Spain e il diritto alla cancellazione dei dati personali previsto dall’art. 17 del GDPR: nel primo caso, infatti, la richiesta di de-indicizzazione dei link contenenti informazioni personali è valutata in base alla persistenza o meno dell’interesse del pubblico rispetto a tali informazioni; nel secondo caso, invece, tale elemento è del tutto irrilevante poiché, come si è visto, la richiesta di cancellazione dei dati può essere avanzata in base a presupposti del tutto diversi. Ciò rende l’espressione “diritto all’oblio” non pertinente in relazione al GDPR, poiché la richiesta di cancellazione dei dati non presuppone necessariamente il fatto che tali dati siano stati resi pubblici e quindi non sempre è collegata all’esigenza di “essere dimenticati”.

La cancellazione dei dati nei “trattamenti concatenati”

Nel momento in cui una persona esprime il consenso al trattamento dei propri dati nei confronti di uno specifico titolare (per esempio, il gestore di un sito Internet) potrebbe non essere del tutto consapevole che, in realtà, è assai probabile che quegli stessi dati verranno trattati anche da altri titolari nei confronti dei quali il consenso non è stato espresso direttamente. 
Per fare alcuni esempi: i motori di ricerca, attraverso la loro attività di aggregatori di informazioni, svolgono trattamenti di dati secondari e correlati a quelli effettuati dai gestori dei siti Internet che hanno ricevuto direttamente il consenso dell’interessato; attraverso l’utilizzo dei cookies, cui spesso gli utenti di Internet acconsentono senza avere piena consapevolezza delle relative implicazioni, i dati forniti a un sito Internet vengono trasmessi a terze parti e trattati da questi ultimi per le proprie finalità; i dati condivisi da una persona con i propri contatti selezionati all’interno di un social network possono essere trasmessi da questi ultimi ad altre persone, senza che l’interessato ne sia al corrente. In tutti questi casi, e in molti altre situazioni analoghe, non si verifica un singolo trattamento di dati personali, ma una serie di trattamenti concatenati fra loro effettuati da diversi titolari.

Proprio per rafforzare la tutela della persona cui i dati si riferiscono anche in presenza di una “catena” di trattamenti, il Considerando n. 66 e il par. 2 dell’art. 17 del GDPR pongono in capo al titolare del trattamento dei dati personali di cui si chiede la cancellazione o la rettifica un obbligo aggiuntivo, cioè quello di informare gli altri titolari del trattamento dei medesimi dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali; a tal fine, il titolare del trattamento è tenuto ad adottare misure ragionevoli, anche di tipo tecnico, che tengano conto della tecnologia disponibile e dei mezzi a disposizione del titolare del trattamento. Si tratta di un compito assai gravoso che, proprio per questo, è soggetto a “condizionalità tecnologiche” da valutare in base al principio di ragionevolezza e che, comunque, non è assistito da alcuna sanzione in caso di mancato o incompleto adempimento. Il GDPR prevede quindi, da questo punto di vista, una tutela imperfetta, la cui reale efficacia dovrà essere dimostrata dalla pratica.

In base a queste nuove previsioni, se una richiesta di de-indicizzazione dei link contenenti dati personali è inoltrata a un motore di ricerca, quest’ultimo dovrà avere cura di informarne anche i singoli siti-sorgente: i siti-sorgente verranno così informati che i link contestati non verranno più indicizzati dai motori di ricerca, ricevendo quindi una minore visibilità, ma non saranno giuridicamente obbligati a procedere alla cancellazione delle informazioni contenute in tali link, a meno che l’interessato non rivolga direttamente ad essi la richiesta. Al contrario, se la richiesta di cancellazione dei dati è inviata a un singolo sito Internet, quest’ultimo dovrà preoccuparsi di darne comunicazione anche ai motori di ricerca, i quali non sono però tenuti per legge a procedere alla de-indicizzazione. Inoltre, se la richiesta di cancellazione dei dati è inoltrata a un gestore di social media, quest’ultimo dovrà probabilmente avvertire di ciò tutti i gli utenti della piattaforma che hanno condiviso tali informazioni, senza però che essi siano soggetti ad obblighi di cancellazione.

Si tratta comunque di una assoluta novità rispetto alla precedente normativa, poiché né la direttiva 95/46/CE né conseguentemente la sentenza Google Spain prevedevano un obbligo siffatto. Anzi, le Guidelines prodotte nel 2014 dall’Article 29 Working Party per la corretta esecuzione della sentenza Google Spain sottolineavano al punto n. 23 che «no provision in EU data protection law obliges search engines to communicate to original webmasters that results relating to their content have been de-listed. Such a communication is in many cases a processing of personal data and, as such, requires a proper legal ground in order to be legitimate». Tuttavia le Guidelines, sempre al punto n. 23, ammettevano la legittimità di contatti fra il motore di ricerca i i siti-sorgente «prior to any decision about a de-listing request, in particularly difficult cases, when it is necessary to get a fuller understanding about the circumstances of the case».

Il diritto dei minori alla cancellazione dei propri dati

In vari passaggi (sia dei considerando sia delle disposizioni normative vere e proprie) il GDPR tiene conto dell’esigenza di particolare tutela di cui devono godere i minori rispetto al trattamento dei dati personali. Si veda ad esempio il considerando n. 38 («I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore.
Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore»), il considerando n. 58 («Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente») e l’art. 12 comma 1 (relativo al fatto che le informazioni relative al trattamenti dei dati devono essere fornite «in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori»), il considerando n. 75 («I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: […] se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori»).

Le disposizioni del GDPR più rilevanti (e più discusse) in materia di tutela dei minori sono quelle dell’art. 8 che, come è noto, fissa l’età per poter prestare autonomamente il consenso al trattamento dei propri dati (il cosiddetto “consenso digitale”) indipendentemente dall’autorizzazione dei genitori a 16 anni, ferma restando la possibilità per i singoli Stati membri dell’Unione europea di stabilire per legge limiti di età inferiori, purché non al di sotto dei 13 anni. L’Italia peraltro, nel regolamento legislativo di adeguamento della disciplina sulla protezione dei dati personali al Regolamento (UE) 2016/679, ha scelto di mantenere il limite di età di 16 anni.

Nonostante l’attenzione generalmente prestata nei confronti dei minori, le disposizioni relative al diritto di chiedere la rettifica e la cancellazione dei propri dati non prevedono alcuna particolare disciplina per questi ultimi. L’unico riferimento è contenuto nel considerando n. 65, che però in realtà sembra disciplinare una sorta di “diritto al ripensamento” del soggetto ormai maggiorenne rispetto al consenso al trattamento dei propri dati prestato in età minorile, senza quindi la piena consapevolezza delle conseguenze di tale scelta: «… l’interessato dovrebbe avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento.

Tale diritto è in particolare rilevante se l’interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da internet. L’interessato dovrebbe poter esercitare tale diritto indipendentemente dal fatto che non sia più un minore». La “regola interpretativa” del considerando n. 65, che non ha efficacia giuridica vincolante, sottolinea in particolare tre aspetti: 1) la vulnerabilità del minore e la sua scarsa consapevolezza nel prestare il consenso; 2) l’inevitabile evoluzione della personalità del minore connessa alla sua crescita, che giustifica il ripensamento in relazione al trattamento dei dati; 3) l’attenzione che i titolari del trattamento (cioè i fornitori dei vari servizi via Internet) devono prestare ai suddetti due elementi.
Al di là di quanto indicato nel considerando n. 65, gli artt. 16 e 17 del GDPR si applicano in modo identico tanto ai minori quanto agli adulti. Se ne desume, che i minori possano chiedere la cancellazione dei propri dati in qualunque momento e per qualsiasi motivo, esattamente come gli adulti, e che la cancellazione verrà ad essi concessa o negata alle medesime condizioni indicate per gli adulti. La questione, dunque, si sposta sull’età in cui è possibile chiedere la cancellazione del dato autonomamente, senza l’intervento dei genitori o, addirittura, in opposizione ad essi. In assenza di specifiche disposizioni a riguardo, si può presumere che l’età sia la medesima fissata per l’espressione del “consenso digitale”: se così fosse, i minori di anni 13 potranno chiedere la cancellazione dei propri dati esclusivamente per il tramite dei propri genitori, i maggiori di anni 16 potranno farlo autonomamente senza l’intervento dei genitori, per quelli di età compresa fra 13 e 16 anni la necessità di assistenza da parte dei genitori dipenderà da quanto stabilito dai singoli Stati membri dell’UE.

Questa interpretazione, che nel caso italiano richiederebbe l’intervento dei genitori fino al compimento del sedicesimo anno di età, contrasta però con quanto stabilito dalla legge n. 71 del 2017 (Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo), il cui art. 2 consente a ciascun minore ultraquattordicenne vittima di cyberbullismo di agire autonomamente (non solo tramite i genitori) per inoltrare al titolare del trattamento o al gestore del sito internet o del social media un’istanza per l’oscuramento, la rimozione o il blocco dei propri dati personali (previa conservazione dei dati originali), nonché di rivolgersi al Garante per la protezione dei dati personali nei casi in cui il titolare del trattamento o il gestore del sito Internet o del social media non abbiano dato seguito alla richiesta entro ventiquattro ore oppure non siano identificabili. Se dunque sono sufficienti per legge 14 anni per chiedere e ottenere che i propri dati non siano più visibili online quando si è colpiti da cyberbullismo, appare incongruo che siano necessari invece 16 anni per poter disporre autonomamente dei propri dati personali negli altri casi, non per forza meno gravi. Ciò considerato, sarebbe stata opportuna una più accurata riflessione da parte del legislatore italiano sui limiti di età per prestare e revocare il consenso al trattamento dei propri dati in Internet. (Fonte: Maria Romana Allegri, https://www.agendadigitale.eu)