Regime giuridico e presupposti per l’esercizio del diritto all’oblio

/ Diritto delle nuove tecnologie / Di
Tempo di lettura stimato:12 Minuti, 0 Secondi

L’art. 17 del Regolamento Europeo sulla Privacy (GDPR), riconosce all’interessato, nell’ambito della più generale facoltà di controllare il trattamento dei propri dati nei confronti del titolare e del responsabile del trattamento, il diritto di domandare la cancellazione dei propri dati, un diritto che affonda le sue radici nella celebre teoria formulata da Samuel D. Warren e Louis D. Brandeis nell’articolo del 1890 intitolato The Right to Privacy, pubblicato sulla Harvard Law Review.

In quell’opera pionieristica, i due giuristi americani posero le basi per il riconoscimento di un diritto alla riservatezza, definendolo come il “diritto a essere lasciati soli” (the right to be let alone). Questa idea nacque in risposta all’espansione delle tecnologie dell’epoca, come la stampa fotografica, che stavano consentendo una diffusione senza precedenti di informazioni personali. Warren e Brandeis sottolinearono l’importanza di proteggere la sfera privata dell’individuo da intrusioni non autorizzate, considerando il diritto alla privacy un corollario della dignità personale e della libertà individuale.

E l’art. 17 del GDPR rappresenta una evidente evoluzione di questo principio, adattandolo alle esigenze del mondo contemporaneo, caratterizzato dalla diffusione capillare delle tecnologie digitali e dalla raccolta massiva di dati personali. Il diritto alla cancellazione non è solo il diritto di “essere lasciati soli”, ma si traduce nel diritto di riprendere il controllo sui propri dati personali, eliminando informazioni che non siano più pertinenti, necessarie o lecite.

In questo senso, la visione di Warren e Brandeis anticipa il concetto centrale del GDPR: la protezione della privacy non riguarda solo la riservatezza, ma implica un potere attivo dell’individuo di gestire le proprie informazioni. Così come i due giuristi criticavano gli abusi della tecnologia del loro tempo, il diritto alla cancellazione combatte le distorsioni del potere informativo che caratterizzano la società digitale, tutelando l’individuo contro il trattamento sproporzionato o arbitrario dei propri dati.

Il legame tra il diritto alla cancellazione e la teoria di Warren e Brandeis è quindi evidente: entrambi mirano a preservare l’autonomia dell’individuo, adattandosi alle sfide di epoche diverse ma accomunate dalla necessità di proteggere la dignità e la libertà personali in un contesto di rapidi cambiamenti tecnologici.

In presenza di determinate condizioni, infatti, oggi qualunque interessato può chiedere al titolare o al responsabile del trattamento che i propri dati vengano cancellati o resi anonimi.

Tali condizioni sussistono quando:

  • i dati non sono più necessari per la finalità per la quale sono stati raccolti; 
  • l’interessato revoca il consenso quando lo stesso costituiva base giuridica per il trattamento, e non sussiste altra base giuridica;
  • i dati sono stati trattati illecitamente;
  • la cancellazione costituisce adempimento di un obbligo legale in capo al titolare;
  • l’interessato chiede la limitazione del trattamento ai sensi dell’art. 21 c. 1 e 2 GDPR.

Qualora si debba procedere con la cancellazione, il GDPR prescrive al titolare del trattamento di adoperarsi affinché i dati personali vengano non solo cancellati dai propri registri ed archivi, ma anche “deindicizzati”, ossia che venga rimosso ogni link o collegamento o riproduzione di tali dati presso altri titolari.

In ogni caso, il diritto alla cancellazione è limitato in alcune ipotesi:

  • i dati devono essere conservati per l’esercizio della libertà di espressione o d’informazione;
  • i dati sono necessari per l’esercizio o difesa di un diritto in sede giudiziaria;
  • il trattamento è necessario per adempiere a un obbligo legale del titolare ovvero per motivi di interesse pubblico nel settore della sanità pubblica;
  • il trattamento è necessario ai fini di archiviazione nel pubblico interesse o di ricerca scientifica o a fini statistici.

Tra queste limitiazioni, rilevano senz’altro il diritto di cronaca, la libertà di espressione e la conservazione per finalità storiche o scientifiche. La giurisprudenza europea e italiana ha definito tali limitazioni come strumenti per bilanciare il diritto individuale con l’interesse collettivo. Ad esempio, la sentenza della Corte di Giustizia nel caso “Google Spain” ha introdotto il concetto di deindicizzazione, che permette di limitare la reperibilità on-line di informazioni personali senza cancellare il dato dalla fonte originaria.

Fatta questa generale premessa, vi è ora da dire che il diritto alla cancellazione è un’espressione del principio di accountability e privacy by design, richiedendo ai titolari del trattamento di implementare soluzioni preventive per proteggere i dati fin dalla progettazione. La normativa non impone una cancellazione generalizzata, ma una valutazione caso per caso, con un obbligo per il titolare di dimostrare il rispetto delle richieste dell’interessato. Esempi applicativi possono essere l’obbligo di informare terzi titolari del trattamento dei dati in merito alla richiesta di cancellazione, assicurando che tutti i collegamenti o riproduzioni dei dati siano rimossi e l’anonimizzazione dei dati come alternativa alla cancellazione, purché sia garantita l’irriconoscibilità dell’interessato.

Da tutto ciò deriva che l’attuazione del diritto alla cancellazione richiede ai titolari di adottare una serie di misure quali, ad esempio, la predisposizione di strumenti tecnici e organizzativi per rispondere tempestivamente alle richieste degli interessati, la gestione del bilanciamento tra interessi contrapposti, come la tutela della privacy e il diritto all’informazione, e più in generale di evitare inadempienze, che, a norma dell’art. 83 GDPR, possono essere sanzionate fino a 20 milioni di euro o al 4% del fatturato globale annuo.

Ora, nel corso della nostra esperienza professionale, abbiamo avuto modo di assistere clienti in diverse situazioni legate all’esercizio del diritto alla cancellazione, disciplinato dall’art. 17 del GDPR. Questa esperienza ci ha concesso di appurare come la normativa, sebbene chiara nei suoi principi, possa risultare alquanto complessa nella sua applicazione pratica, specie in relazione alle specificità di ogni contesto.

Tenteremo ora di fornire una serie di esempi che si ispirano a problematiche reali affrontate dallo Studio e che sono pensati per illustrare le molteplici sfaccettature di questo diritto, sia nei casi di riconoscimento della cancellazione sia in quelli in cui, per motivi legittimi, è stata negata. In ciascuno di essi emerge l’importanza di una gestione rigorosa e tempestiva delle richieste, nonché la necessità di bilanciare gli interessi individuali e collettivi in gioco.

Segue una panoramica di situazioni tipiche che dimostrano l’applicazione concreta del diritto alla cancellazione e le relative eccezioni previste dalla normativa.

Esempi pratici di applicazione del diritto alla cancellazione

  1. Revoca del consenso
    Un utente si è iscritto a una newsletter di un’azienda fornendo il proprio consenso per ricevere comunicazioni commerciali. Successivamente, decide di revocare il consenso perché non trova più utili i contenuti e richiede la cancellazione dei propri dati. L’azienda, in ottemperanza all’art. 17 GDPR, è obbligata a rimuovere tutte le informazioni personali dell’interessato relativi alla finalità originaria, come indirizzo e-mail e preferenze di marketing, salvo però che vi siano obblighi legali o legittimi motivi per conservarli, come ad esempio il mantenimento di alcune informazioni necessarie per dimostrare il rispetto delle normative o per evitare di inviare ulteriori e-mail. In pratica, l’azienda potrebbe conservare il log della revoca del consenso senza includere altre informazioni personali superflue.
  2. Trattamento illecito
    Un datore di lavoro raccoglie informazioni sulla salute dei dipendenti senza aver ottenuto un consenso esplicito e informato richiesto dalla legge, ad esempio registrando l’esito di visite mediche aziendali in modo generalizzato. Un dipendente, accorgendosi della violazione, richiede la cancellazione dei dati trattati illecitamente. In questo caso, il datore di lavoro è tenuto a rimuovere tali dati immediatamente, poiché il trattamento è stato effettuato in assenza di una base giuridica valida.
  3. Dati obsoleti o non più necessari
    Una banca conserva per anni i dati relativi a un vecchio prestito ormai estinto da tempo. Il cliente, constatando che tali dati non sono più necessari per le finalità per cui erano stati raccolti, richiede la loro cancellazione. La banca deve procedere alla rimozione, a meno che non sia obbligata per legge a conservarli (ad esempio, per ragioni contabili o di compliance alla normativa antiriciclaggio). Una soluzione concreta potrebbe riguardare il mantenimento di informazioni limitate però ai dati strettamente necessari.
  4. Diritto alla deindicizzazione on-line
    Un cittadino scopre che, digitando il proprio nome su un motore di ricerca, compare un vecchio articolo relativo a un procedimento giudiziario di dieci anni prima, in cui è stato assolto. L’interessato richiede al motore di ricerca la deindicizzazione del link, in quanto la notizia non è più di pubblico interesse e danneggia la sua reputazione. Il gestore del motore di ricerca, dopo aver valutato il bilanciamento tra diritto all’oblio e diritto all’informazione, nel caso in cui prevalga il primo, deve rimuovere il link dai risultati di ricerca.
  5. Tutela dei minori
    Un genitore scopre che foto e dati personali del proprio figlio minorenne sono stati pubblicati su un social network senza il suo consenso, magari in seguito a un evento scolastico. Richiede quindi la cancellazione immediata al gestore della piattaforma, in virtù della particolare attenzione che il GDPR riserva alla protezione dei minori on-line (premere qui per approfondire). La piattaforma è obbligata a intervenire tempestivamente, rimuovendo non solo le foto ma anche eventuali metadati associati. Un caso ancor più specifico potrebbe riguardare poi quegli influencer che condividono immagini dei propri figli senza le dovute precauzioni sulla privacy, generando segnalazioni da parte di terzi preoccupati per la sicurezza del minore.
  6. Cancellazione a seguito di trattamento inadeguato
    Un’azienda adotta un sistema di controllo degli accessi basato su dati biometrici (come impronte digitali) per accedere ai locali aziendali, senza valutare soluzioni alternative meno invasive, come adesempio i badge magnetici. Successivamente, i dipendenti contestano l’adeguatezza e la proporzionalità di tale trattamento, proprio perchè esistono metodi meno invasivi per raggiungere lo stesso scopo. L’azienda, in assenza di una giustificazione valida per continuare il trattamento, è tenuta a cancellare i dati biometrici raccolti e a sostituire il sistema con uno meno invasivo.

Casi pratici di eccezioni al diritto alla cancellazione

  1. Interesse pubblico alla conservazione
    Un giornalista pubblica un articolo su un fatto storico di rilevante importanza nazionale, citando i nomi delle persone coinvolte. Una di queste, ritenendo che la vichenda sia ormai superata, richiede la cancellazione del proprio nome dall’articolo. Tuttavia, data la rilevanza storica del fatto e il diritto di cronaca, l’editore può rifiutare la cancellazione, garantendo il bilanciamento tra diritto all’oblio e libertà di informazione. Un’applicazione pratica di quanto appena affermato potrebbe riguardare documentari o articoli relativi a scandali politici, dove l’interesse collettivo alla conoscenza supera il diritto alla privacy del singolo.
  2. Obbligo legale di conservazione
    Un’azienda deve conservare per 10 anni i dati relativi alle fatture emesse, in base alla normativa fiscale. Anche se un cliente richiedesse la cancellazione di tali dati, invocando il diritto ex art. 17 GDPR, l’azienda può legittimamente rifiutare, in quanto l’obbligo di conservazione imposto dalla legge prevale sempre, come abbiamo visto, sul diritto del cliente alla cancellazione. Un esempio concreto potrebbe riguardare un audit fiscale, durante il quale l’azienda deve dimostrare la corretta registrazione e conservazione delle transazioni.
  3. Difesa in sede giudiziaria
    Un cliente contesta la validità di un contratto e chiede che siano cancellate tutte le comunicazioni scambiate via e-mail con il fornitore. Tuttavia, queste e-mail contengono prove fondamentali, come l’accettazione esplicita di determinate clausole o la conferma di modifiche richieste dal cliente stesso. Il fornitore, in questo contesto, rifiuta la cancellazione, poiché i dati sono indispensabili per dimostrare il rispetto degli accordi contrattuali e per contrastare l’accusa di inadempimento, ma deve limitare il trattamento dei dati personali alle finalità strettamente necessarie per la difesa legale, evitare di utilizzare i dati per scopi diversi dal contenzioso in corso, assicurarsi che i dati siano protetti adeguatamente e non divulgati a soggetti non coinvolti nella controversia.

Ed allora, in virtù di tutto quanto sin qui esposto, possiamo concludere questa breve trattatazione illustrando come il diritto alla cancellazione non sia un diritto assoluto, ma debba essere esercitato e bilanciato in relazione a specifiche situazioni e interessi contrapposti. Si configura come uno strumento potente, ma non privo di limiti e complessità, e che richiede un esercizio responsabile e una consapevolezza condivisa da parte di tutti i soggetti coinvolti – dagli interessati ai titolari del trattamento – al fine di garantire un equilibrio tra la protezione dei dati personali e altri valori fondamentali, come la sicurezza giuridica, la libertà di informazione e la giustizia sociale.

Per approfondire:

- G. FINOCCHIARO, Identità personale su Internet: Il diritto alla contestualizzazione dell’informazione, in DInf, 28, 3, 2012, 383; 

- G. FINOCCHIARO, Il diritto all’oblio nel quadro dei diritti della personalità, in DInf, 29, 4-5, 2014, 596;

- A. RICCI, I diritti dell’interessato, in G. FINOCCHIARO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2016, 201;

- F. PIZZETTI, Le Autorità Garanti per la protezione dei dati personali e la sentenza della Corte di giustizia sul caso Google Spain: è tempo di far cadere il “Velo di Maya”, in RESTA-ZENO-ZENCOVICH, Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, 2015, 274; 

- F. PIZZETTI, Il prisma del diritto all’oblio, in F. PIZZETTI, Il caso del diritto all’oblio, Torino, 2013, 21-63; 

- T.E. FROSINI, Il diritto all’oblio e la libertà informatica, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 94; 

- A. MANTELERO, Il diritto all’oblio dalla carta stampata ad Internet, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio,  Torino, 2013, 145-172;

- SIANO, Il diritto all’oblio in Europa e il recente caso spagnolo, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 125; 

- D’ANTONIO, Oblio e cancellazione dei dati nel diritto europeo, in SICA-D’ANTONIO-RICCIO (a cura di), La nuovadisciplina europea della privacy, Milano, 2016, 207; 

- FERRI, Diritto all’informazione e diritto all’oblio, in RDC, 1990, I, 818; 

- OROFINO, Trattamento dei dati personali e libertà di espressione e di informazione, in CALIFANO-COLAPIETRO (a cura di), Innovazione tecnologica e valore della persona, Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017; 

- PELINO, I diritti dell’interessato, in BOLOGNINI-PELINO-BISTOLFI, Il Regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, 259, 263, 264; 

- RICCIO, Diritto all’oblio e responsabilità dei motori di ricerca, in DInf, 29, 4-5, 2014, 759; 

- COOLEY, Treatise on the Law of Torts del 1879, in GLANCY, The Invention of the Right to Privacy, Arizona Law Review, vol. 29, 1, 1979; 

- WARREN-BRANDEIS, The Right to Privacy, in Harvard Law Review, vol. 4, 1890, V, 193-220.
The following two tabs change content below.
Il mio profilo FacebookIl mio profilo LinkedIn

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi
*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.
error: Misure tecnologiche di protezione attive ex art. 11 WIPO Copyright Treaty, §1201 del DMCA, art. 6, dir. 29/2001/CE, art. 102-quater, l. 22 aprile 1941, n. 633, art. 171-ter, l. 22 aprile 1941, n. 633.