Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

Tra il diritto all'oblio e la falsificazione della realtà. Nel GPDR un difficile equilibrio

- Manlio Cammarata* - 6 novembre 2017

1. Premessa

Nelle scorse settimane due notizie hanno tenuto viva la discussione sul "diritto all'oblio". La prima è una sentenza della Corte europea dei diritti dell'uomo (Case of Fuchsmann v. Germany, pubblicata il 19 ottobre 2017), che afferma senza mezzi termini la prevalenza della libertà dell'informazione sul diritto del singolo di "cancellare" una parte del suo passato.

A questa notizia, in diversi commenti1, è stata affiancata la seconda, quella di un emendamento al DDL 1119-B, presentato il 18 ottobre alla Commissione giustizia del Senato, emendamento che affiderebbe al Garante per la protezione dei dati personali la decisione sulla cancellazione di notizie trattate in violazione della normativa (con il richiamo all'art. 145 del DGLS 196/03, il cosiddetto "Codice privacy").

L'accostamento è improprio, perché si tratta di due questioni diverse. Nel primo caso è in gioco il "diritto all'oblio", nel secondo si tratta di "Misure a tutela del soggetto diffamato o del soggetto leso nell'onore o nella reputazione" (il DDL in questione ha appunto per oggetto principale la diffamazione). In sostanza, mentre il diritto all'oblio può essere invocato per qualsiasi informazione risalente nel tempo e che ora si riveli lesiva della personalità dell'interessato, nell'emendamento in discussione al Senato si tratta della rimozione di "contenuti diffamatori o comunque dei dati personali trattati in violazione di legge".

Per inciso: a parte il fatto che queste sono misure già previste dalla normativa sul trattamento dei dati personali, è incredibile che in un disegno di legge in esame nell'ottobre del 2017 si faccia riferimento al moribondo "Codice privacy" invece che al Regolamento generale per la protezione dei dati 2016/679 – RGPD o GDPR –, in vigore anche il Italia dal 25 maggio 2016 (anche se non ancora del tutto applicabile).

2. Un diritto tutto nuovo e i suoi limiti

Il "diritto all'oblio", al quale si riferisce indirettamente la decisione della Corte europea dei diritti dell'uomo, è stato riconosciuto formalmente con l'articolo 17 del GDPR, che stabilisce le condizioni sulla cui base l'interessato può chiedere al titolare la cancellazione di dati che lo riguardano, anche oltre i casi di trattamento illegittimo.
Ma, prima di entrare nel merito, è necessario definire con chiarezza l'oggetto della discussione. 

Il diritto all'oblio è un neonato nella famiglia dei diritti. Se ne parla da qualche anno, da quando ci si è accorti che la memoria dell'internet rende facilmente accessibili informazioni che nel "mondo di prima" sarebbero cadute nel dimenticatoio col passare del tempo. La prima giurisprudenza italiana risalirebbe al 2012 (Cass. 5525/2012) e quella europea al 2014, con la sentenza della Corte di Giustizia sul caso Google contro Agencia Española de Protección de Datos. Ma già nel 2011 un tribunale italiano aveva ordinato la cancellazione di un articolo di un giornale, sulla base di un combinato disposto di diversi articoli del "Codice privacy".

I diritti che oggi conosciamo, e che spesso sono ancora oggetto di discussioni, si sono formati nel corso dei secoli con un lungo processo di decantazione e stratificazione. Due esempi: si è incominciato a discutere di libertà di stampa nell'Inghilterra del XVII secolo (la prima "rivendicazione" storica è l'Aeropagitica di John Milton, 1644),  ma solo nel 1789 ha trovato una formulazione stabile in Francia con la "Dichiarazione dei diritti dell'uomo e del cittadino"; sempre in Inghilterra e sempre nello stessa epoca è stato pubblicato il primo Copyright Act (1709), ma per la prima sistemazione organica del diritto si dovrà aspettare la Convenzione di Berna del 1886.

Si tratta quindi di una materia dai contorni ancora incerti. Per metterli a fuoco può aiutare il breve capitolo sul diritto all'oblio in Il diritto di avere diritti di Stefano Rodotà. Scriveva lo studioso scomparso poco tempo fa:

«Liberarsi dall’oppressione dei ricordi, da un passato che continua a ipotecare pesantemente il presente, diviene un traguardo di libertà. Il diritto all’oblio si presenta come diritto a governare la propria memoria, per restituire a ciascuno la possibilità di reinventarsi, di costruire personalità e identità affrancandosi dalla tirannia di gabbie nelle quali una memoria onnipresente e totale vuole rinchiudere tutti. Il passato non può essere trasformato in una condanna che esclude ogni riscatto»2.

Per altri autori il diritto all'oblio non è solo "un traguardo di libertà". Si arriva a teorie più radicali: per Viktor Mayer-Schönberger3 il problema è che la memoria indistruttibile della Rete è contraria alla naturale decadenza della memoria umana. E' necessario tornare indietro, trovare il modo di cancellare le informazioni online, magari apponendovi una "data di scadenza", passata la quale se ne verificherebbe l'autodistruzione4

Peccato che in questo modo si cancellerebbe semplicemente la storia. Perché, mentre prima dell'era digitale essa era conservata su documenti materiali, oggetto delle ricerche degli storici, oggi è soprattutto online. La memoria del nostro tempo è affidata in buona parte alle informazioni immateriali presenti sulla Rete, che sono molte di più di quelle che potrebbero essere archiviate su supporti fisici. Stabilire una data per la cancellazione di queste informazioni significa semplicemente sottrarre il nostro presente dalla ricerca degli storici del futuro (il loro problema sarà probabilmente l'estrazione del segnale da una quantità spaventosa di rumore – ma questo è un altro discorso).

Rodotà si rende conto del problema del bilanciamento tra il diritto del singolo e l'interesse collettivo di conoscenza. E conclude:

«Il punto chiave sta nel rapporto tra memoria individuale e memoria sociale. Può il diritto della persona di chiedere la cancellazione di alcuni dati trasformarsi in un diritto all’autorappresentazione, alla riscrittura stessa della storia, con l’eliminazione di tutto quel che contrasta con l’immagine che la persona vuol dare di sé? Così il diritto all’oblio può pericolosamente inclinare verso la falsificazione della realtà e divenire strumento per limitare il diritto all’informazione, la libera ricerca storica, la necessaria trasparenza che deve accompagnare in primo luogo l’attività politica. Il diritto all’oblio contro verità e democrazia? O come inaccettabile tentativo di restaurare una privacy scomparsa come norma sociale, secondo l’interessata versione dei nuovi padroni del mondo che vogliono usare senza limiti tutti i dati raccolti?»5.

Posti così i termini del problema, si deve prendere in considerazione un aspetto essenziale: la richiesta di rimozione di informazioni in applicazione del diritto all'oblio può riferirsi sia alle pagine che contengono tali informazioni sia ai link presentati dai motori di ricerca. Per il primo caso, basta la lapidaria risposta attribuita a uno dei padri dell'internet, Vint Cerf:

«Non potete uscire di casa ed andare alla ricerca di contenuti da rimuovere sui computer della gente solo perché volete che il mondo si dimentichi di qualcosa. Non penso che sia praticabile».

L'occultamento dei link da parte dei motori di ricerca – non c'è solo Google, ma è di gran lunga il più usato – solleva un'altra questione (oltre a quella di una potenziale "falsificazione della storia", affidata ai giudizi e agli algoritmi di un soggetto privato).
Il punto critico è che le pagine dei link di Google sono in genere considerate come un elenco esaustivo delle informazioni presenti nel Web su un dato argomento in un dato momento.

Non è così. I risultati del motore di ricerca in risposta a un quesito possono non essere completi e, soprattutto, non sono neutrali. L'ordine in cui vengono presentati è governato da misteriosi algoritmi, che tengono conto anche del "profilo" di chi compie la ricerca, profilo costruito dall'azienda di Mountain View. Sicché a un ricercatore possono essere presentati risultati differenti da quelli presentati a un altro e informazioni rilevanti per l'uno o per l'altro potrebbero comparire solo dopo pagine e pagine di link meno significativi, quando la ricerca è già stata abbandonata.

Basta questa considerazione per minare buona parte della credibilità delle risposte di Google, anche senza considerare l'avviso "Alcuni risultati possono essere stati rimossi nell'ambito della normativa europea sulla protezione dei dati".
Insomma, la rimozione di collegamenti in risposta alle istanze di oblio rende ancora più inaffidabile il sistema: non fa altro che aumentare l'entropia delle informazioni disponibili sulla Rete.

3. I "considerando" del Regolamento 2016/679

In tutto questo interviene l'articolo 17 del GDPR, con la rubrica "Diritto alla cancellazione («diritto all'oblio»)", nel testo in inglese "Right to erasure (‘right to be forgotten’). Che è criptico, come tutte le norme che fanno riferimento ad altre norme senza specificarne il contenuto. Ma, come per tutta la normativa comunitaria, prima di cercare di decifrarlo è necessario leggere i "considerando" che precedono l'articolato. In questo caso i punti numero 65 e 66.

Nel considerando 65 il diritto all'oblio è affiancato al diritto di rettifica, quasi a definire il secondo come un caso particolare del primo: "l'interessato dovrebbe avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati". A ben guardare si tratta di una semplice applicazione del principio di finalità.

Segue l'elenco dei casi in cui l'interessato può esercitare il diritto all'oblio che, come il primo, sono gli stessi per i quali può semplicemente opporsi a un trattamento non conforme al Regolamento.

Nessuna evoluzione sostanziale: di fatto sono le stesse disposizioni, aggiornate e dettagliate, che erano presenti nella direttiva 95/46/CE, abrogata dal GDPR.
La novità è che ora il diritto all'oblio, prima ignorato, ora è considerato come un diritto a sé stante, con una serie di precisazioni: "Tale diritto è in particolare rilevante se l'interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da internet".

Comunque, sempre per il considerando 65, ci sono casi in cui il diritto all'oblio non può essere esercitato: "Tuttavia, dovrebbe essere lecita l'ulteriore conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria".

Anche qui, nella sostanza, nessuna novità rispetto alla direttiva del 1995. Il punto interessante è che, mentre riconosce il diritto all'oblio, il legislatore europeo ne limita l'applicazione ai casi in cui non leda il diritto di informare e di essere informati, o i motivi di pubblico interesse che rendono in ogni caso legittimo il trattamento di dati personali. Applica quindi correttamente il principio della prevalenza dell'interesse collettivo su quello di una singola persona, riconducendo il diritto all'oblio a una dimensione ragionevole.

Altrettanto buon senso  si riscontra nel considerando 66, trasfuso nel paragrafo 2 dell'articolo 17 (e, di nuovo, con principi già sanciti dalla direttiva del 1995). Ma la previsione della cancellazione dei dati da parte dei titolari che operino trattamenti in qualche modo "derivati" da quello originario, è spesso un'utopia, tanto da imporre la riserva delle "misure ragionevoli tenendo conto della tecnologia disponibile e dei mezzi a disposizione".

4. Il testo coordinato dell'articolo 17 "Diritto alla cancellazione («diritto all'oblio»)"

A questo punto possiamo passare alla lettura dell'articolo 17 (testo in neretto), completato "a cascata" dalle disposizioni richiamate di volta in volta.

1.   L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a),

(articolo 6)
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

o all'articolo 9, paragrafo 2, lettera a), 

(articolo 9)
2. a) È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

e se non sussiste altro fondamento giuridico per il trattamento;

c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1

(articolo 21)
1. L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) o f), 

(articolo 6)
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; 
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti

compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria

e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2;

(articolo 21)
2. Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1.

(articolo 8)
1. Qualora si applichi l'articolo 6, paragrafo 1, lettera a),

(articolo 6)
1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.
Gli Stati membri possono stabilire per legge un'età inferiore a tali fini purché non inferiore ai 13 anni.

2.   Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

3.   I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
a) per l'esercizio del diritto alla libertà di espressione e di informazione;
b) per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i),

(articolo 9)
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;

 e dell'articolo 9, paragrafo 3;

(articolo 9)
3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1,

(articolo 89)
1. Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l'interessato, tali finalità devono essere conseguite in tal modo.

nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

5. Conclusioni

Alla fine della storia, nel GDPR resta ben poco del diritto all'oblio, come immaginato da Rodotà e da altri studiosi della materia. Come si è visto nella lettura dei "considerando", c'è l'essenziale: non possono essere cancellati in virtù del diritto all'oblio i dati trattati per finalità specifiche di interesse collettivo, previste dalla legge. Né per riscrivere la storia, (si veda una pagina di cinque anni fa: Signor Garante, sono Lucio Sergio Catilina...).

Si allontana così il rischio che l'esercizio del diritto all'oblio sia un motivo di creazione di false verità, al confine con le fake news (un altro argomento di cui si discute spesso a vanvera, ennesimo pretesto per i mai cessati attacchi alla Rete come invenzione deleteria per l'umanità).

Si può obiettare che le disposizioni dell'articolo 17 non risolvono casi come quelli riportati negli studi sul diritto all'oblio, in cui una persona ha subito un danno a causa di vecchie informazioni disponibili in rete nonostante il tempo trascorso. E' un problema reale, al quale evidentemente il legislatore europeo non ha pensato.
Eppure basterebbe una norma che, ricalcando quanto previsto per le decisioni fondate unicamente su un trattamento automatizzato (articolo 22), stabilisse che "l'interessato ha il diritto di opporsi a decisioni prese sulla base di informazioni non più attuali o non riferibili alla sua attuale condizione".

Chissà, forse ci arriveremo fra altri vent'anni.

----------------------

1. Si veda, per esempio, Diritto all'oblio sul web, no da Strasburgo, sì dal Senato su Repubblica.it del 23 ottobre 2017

2. Rodotà, Stefano. Il diritto di avere diritti (Italian Edition) (posizioni nel Kindle 8718-8720). Editori Laterza. Edizione del Kindle.

3. Direttore dell’Information and Innovation Policy Research Centre alla Lee Kuan School of Public Management della National University of Singapore.

4. Mayer-Schoenberger, Viktor. Delete: Il diritto all'oblio nell'era digitale (Italian Edition). Egea. Edizione del Kindle.

5. Rodotà, Stefano. Il diritto di avere diritti (Italian Edition) (posizioni nel Kindle 8697-8700). Editori Laterza. Edizione del Kindle.

*  Direttore di InterLex

Per intervenire nel Forum, clicca qui
Inizio pagina     Indice del Forum      Home

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright