***
Il diritto all’oblio e le sue estrinsecazioni normative
Il diritto all’oblio o “right to be forgotten”, rappresenta di certo una delle più rilevanti conquiste raggiungibili in una società che spinge quotidianamente ad una condivisione massiva e massificata della vita privata e di tutto ciò che concerne l’individualità. Tale fenomeno sta finalmente creando una maggiore consapevolezza e coscienza collettiva, su un tema che ha un impatto dirompente, e a volte silenzioso, sulla vita di ogni essere umano, sia in via diretta che mediata.
Dal punto di vista normativo il riferimento resta il regolamento europeo 679/2016, conosciuto come GDPR. Il “General Data Protection Regulation”, entrato in vigore nel 2018, ha creato una forte base giuridica capace di regolare in maniera uniforme dei diritti che, prima di tale momento, restavano disciplinati, almeno in Italia dal “Codice in Materia di Protezione dei Dati Personali”, conosciuto come “Codice della Privacy”. Quest’ultimo, essendo stato varato nel 2003, si poneva sicuramente quale strumento vetusto ed inadeguato a normare contesti così dinamici e massivi, come quelli venuti in essere dopo la nascita e la vastissima diffusione degli smartphone, dei motori di ricerca e dei Social Media.
L’articolo del GDPR che enuclea e disciplina questo diritto è il 17, secondo cui: “L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali[1]”. Tale diritto necessita di svariati presupposti al fine del suo esercizio, i quali spaziano dalla mancata persistenza della finalità per cui i dati erano stati raccolti, presupponendo un intervento autonomo del titolare dei dati, fino alla mera volontà del soggetto, il quale può in qualsiasi momento invocare questo suo diritto, indissolubilmente legato a principi fondanti della Carta dei Diritti Fondamentali dell’Unione Europea, conosciuta come “Carta di Nizza”, agli art. 7 e 8.
È bene ricordare, altresì, che tale norma pone anche alcuni limiti all’esercizio di questo diritto. I più importanti, enucleati nel paragrafo 3 di suddetto articolo, sono legati all’esercizio indispensabile di una funzione pubblica, ad esigenze di natura sanitaria e al diritto di cronaca. Su quest’ultimo spesso si è discusso, in quanto anch’esso diritto di rango costituzionale. Per tal motivo necessita di un bilanciamento alquanto difficile nei confronti della privacy di un soggetto. Sul punto sicuramente alcuni capisaldi sono rappresentati da diverse sentenze della Corte di Giustizia UE tra cui, C-131/12[2], anteriore all’entrata in vigore del GDPR e basata sulla precedente direttiva vigente, la 95/46/CE e la C-507/17[3], entrambe legate al gigante americano Google. Esistono anche svariate pronunce giurisprudenziali nazionali, ma richiederebbero un’analisi ben più approfondita.
Una volta superata questa prima fase, spetta al titolare dei dati procedere alla rimozione e distruzione di questi ultimi, come ben disciplinato nel paragrafo 2 dell’art. 17 del GDPR: “Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali”.
Il diritto all’oblio e la realtà fattuale
Alla luce del sistema brevemente delineato in precedenza, risulta abbastanza agevole comprendere, dal punto di vista teorico, come questo diritto si esplichi e mantenga un rigore logico ampiamente condivisibile. Bisogna, a questo punto, calare il dettato normativo nella realtà. I “dati” vivono nella rete, luogo sia fisico, attraverso le strutture di cui essa necessita per esistere, sia astratto, capace di creare connessioni incalcolabili e, a volte, non tracciabili. Ed è proprio questa ineludibile realtà che dovrebbe spingere a porsi una domanda in particolare. È davvero possibile ottenere un diritto all’oblio assoluto sui dati per cui esso si esercita?
La domanda può sembrare ad un primo impatto di facile risposta, almeno seguendo il dato normativo. Basta esercitare il proprio diritto e il titolare dei dati dovrebbe, attraverso misure “ragionevoli”, fare in modo che tale dato svanisca, cessi di esistere e di essere fruibile da parte di ogni soggetto coinvolto con il suo trattamento. Tale costrutto risulta fallace ai fini di un’analisi pragmatica della realtà.
Va ricordato innanzitutto che la “mappatura” della vita di un dato non è sempre agevole e che, prima del GDPR, il loro trattamento era a dir poco “pressapochista”. Ciò rende, a volte, anche solo teoricamente impossibile rintracciare chi di quel dato ha fruito e magari ne ha generato copia. A tale discorso vanno purtroppo menzionate tutte le acquisizioni di dati provenienti attraverso metodi illeciti, come ad esempio blacklist e database nascosti nel cosiddetto dark web, fenomeni di cui neanche la portata è calcolabile. Figurarsi un calcolo dei soggetti che attraverso questo mezzo ottengono dati.
Già analizzando soltanto due degli svariati aspetti che mettono in criticità la funzionalità pratica del diritto all’oblio se ne intuisce come esso possa essere visto solo come un interesse “in potenza”, la cui realizzazione, empiricamente, spesso sarà solo parziale.
Considerazioni e valutazioni ulteriori
Considerando quanto brevemente esposto in precedenza si resta spesso scoraggiati e annichiliti dal potere che ormai la rete ha sulla nostra vita e sulla nostra privacy. Ciò però non deve porci in un’ottica disfattista, ma altresì consapevole sui rischi, sul valore e sulle criticità che un dato personale possiede. Per questo va considerato che esistono strumenti che potrebbero, con la loro costante applicazione, garantire un efficace tracciamento dei dati e quindi una loro effettiva cancellazione. Il riferimento va sicuramente al principio dell’ “accountability” o responsabilizzazione, in primis. Il quale imponendo un approccio tailor made, prevede un sistema che segua il dato e la sua gestione fin dalla sua genesi, anche attraverso i principi della Privacy by Design e Privacy by Default, che tendono a minimizzare e ottimizzare il numero e la qualità di trattamento dei dati. Bisognerebbe però prevedere tale accountability, non solo per chi tratta o gestisce i dati, ma anche per chi tali dati deve fornirli. Sono loro che, oggi più che mai, devono essere responsabilizzati al fine di fornire i propri dati personali, l’oro del terzo millennio, in maniera consapevole e ponderata.
Solo attraverso un uso congiunto e costante di questi strumenti, coadiuvati ad altri di natura tecnica, come la DPIA (Data Protection Impact Assessment), potremmo forse arrivare, in un futuro non necessariamente così distante, a rendere questo diritto molto più efficace ed effettivo di quanto non lo sia mai stato.
[1] Art.17, General Data Protection regulation, Reg. UE n. 679/2016.
[2] Google Spain SL e Google Inc. c. Agencia Española de Protección de Datos (AEPD) e Mario Costeja González, C-131/12, Corte di Giustizia EU.
[3] Google LLC c. Commission nationale de l'informatique et des libertés (CNIL), C-507/17, Corte di Giustizia EU.
