Privacy: il nuovo regolamento europeo.
Diritto all’oblio e diritto all’identità dinamica. La direttiva 95/46/CE, operante in materia di privacy e relativa alla circolazione e alla protezione dei dati personali, sarà a breve sostituita dal regolamento UE 2016/679 del 27 aprile 2016.
Il nuovo regolamento europeo, che entrerà in vigore in tutti gli Stati membri dal 25 maggio 2018, apporterà sostanziali modifiche per quanto riguarda il trattamento dei dati personali. L’obbiettivo sarà inoltre quello di sancire il sostanziale riconoscimento del cd diritto all’oblio.
Si tratta di un istituto di matrice storicamente giurisprudenziale, che opera a tutela dei diritti della personalità. Più di preciso, consiste nella cancellazione di dati potenzialmente pregiudizievoli per la reputazione e la dignità degli individui.
Con la eliminazione di dati non più attuali e dunque non più corrispondenti a realtà, si intende offrire ai soggetti interessati, la possibilità di liberarsi dal peso di precedenti condotte negative.
Il legislatore europeo ha pertanto espressamente riconosciuto il diritto alla cancellazione dei dati personali già diffusi, purchè in presenza di determinate condizioni e salvo alcuni limiti.
Non è prevista la cancellazione quando il trattamento dei dati personali sia necessario:
- per l’esercizio del diritto alla libertà di espressione e di informazione;
- ai fini dell’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri;
- per motivi di interesse pubblico sanitario;
- in caso di archiviazione per pubblico interesse, ricerca scientifica e storica o a fini statistici;
- per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
In definitiva, all’esito del necessario bilanciamento tra interessi contrapposti, il diritto alla cancellazione dei dati personali soccombe in presenza delle ragioni superiori indicate dalla norma.
Sotto alcuni aspetti però, il nuovo regolamento UE 2016/679 presenta delle carenze.
Per cominciare, proprio il risultato relativo al formale riconoscimento del diritto all’oblio, appare deludente. Il testo normativo, al comma 1 dell’art 17 del regolamento UE 2016/679, fa infatti esplicito riferimento al solo diritto alla cancellazione di dati potenzialmente lesivi.
Viene pertanto riconosciuta al soggetto leso, la possibilità di pretendere la cancellazione di dati che lo riguardano e dai quali potrebbe derivare un potenziale danno. A questa, si aggiunge l’obbligo per il “titolare del trattamento” di cancellarli senza ritardo. Il tutto però, in assenza di una espressa definizione di “diritto all’oblio”, senza la quale potrebbe risultare complicato determinare gli spazi applicativi dell’istituto.
Con l’ampia diffusione dei dati causata dall’utilizzo di internet, soprattutto attraverso i social network, sarebbe invece auspicabile un rafforzamento della tutela della privacy, che possa efficacemente intervenire e prevenire eventuali lesioni.
Il c.d. delinsting.
Sembra inoltre mancare un riferimento normativo ad altri istituti connessi al diritto all’oblio, come ad esempio il c.d. delinsting. Il delinsting, garantirebbe la possibilità di richiedere la deindicizzazione dai motori di ricerca online, di contenuti considerati illeciti e perciò lesivi. L’interessato, dovrebbe inoltre avere il diritto di ottenere la anonimizzazione dei dati resi noti, nonché il diritto di pretendere l’esatta contestualizzazione del dato non più attuale.
Di frequente infatti, i dati non più corrispondenti al vero, restano a disposizione del pubblico a discapito dei soggetti interessati. Quanto detto, assume carattere rilevante se si considera che ogni materiale pubblicato su internet, potrebbe restare in rete per un tempo non quantificabile.
Inoltre, ogni dato potrebbe essere copiato e pubblicato su altri siti o server collegati, anche in automatico. L’immediatezza e la semplicità dell’utilizzo di motori di ricerca, consente quasi a chiunque di accedere a dati personali di altri soggetti anche involontariamente.
Pertanto, alla luce di queste considerazioni, la possibilità accordata dal legislatore di richiedere la mera cancellazione di dati, appare alquanto riduttiva. Ciò vale non soltanto con riferimento alle violazioni poste in essere attraverso la stampa cartacea, ma anche per la pubblicazione di dati o notizie tramite siti internet.
In entrami i casi, una volta avvenute la pubblicazione e la diffusione dei dati, la richiesta di cancellazione potrebbe risultare scarsamente efficace. La stessa giurisprudenza, in linea maggioritaria, è concorde nel ritenere che la mera cancellazione dei dati personali non sia in realtà sufficiente a tutelare l’interessato in modo adeguato.
La Corte di Cassazione infatti, con la sentenza n. 19534 del 2014 Cass. civ., ha in qualche modo espresso parere negativo circa la sufficienza della suddetta tutela, prevedendo anche il risarcimento dei danni ove appropriato. Si ritiene che la semplice cancellazione di una notizia ormai nota e diffusa potrebbe essere vana.
Ciò vale, soprattutto se si considera l’impossibilità di eliminare la moltitudine di articoli “superstiti” presenti nell’archivio di internet.
Al contrario, l’aggiornamento dei dati, la rettifica di una notizia o una attenta contestualizzazione dei fatti, potrebbero tutelare l’interessato senza incidere sul diritto alla libertà di informazione o di cronaca.
I confini di applicabilità tra diritto all’oblio e diritto all’identità personale, restano tuttavia indeterminati e poco chiari. Sembrerebbe pertanto opportuno ricomprendere le due fattispecie all’interno di un unico istituto, ossia quello del diritto alla cd identità dinamica.
Per “identità dinamica”, deve intendersi il diritto a che la propria identità, nel caso in cui venga resa pubblica dai media, risulti sempre e costantemente aderente alla realtà. Ciò sottintende che dovrà effettuarsi un continuo aggiornamento dei dati, affinchè l’attualità degli stessi sia protetta.
Al contempo, dovranno essere rimosse tutte le informazioni potenzialmente lesive, prive di interesse pubblico e riproposte a distanza di tempo dai fatti.
Ulteriori novità, saranno poi introdotte dagli artt. 16, 18 e 21 del medesimo Regolamento.
Più di preciso è prevista l’introduzione del diritto di rettifica senza ingiustificato ritardo dei dati inesatti o incompleti. A questo si aggiunge il diritto di limitazione del trattamento e il diritto di opposizione da parte dell’interessato, qualora vi sia il rischio di danneggiamento. La figura del c.d. titolare del trattamento, acquisisce chiaramente un ruolo cardine.
Ciò per quanto riguarda l’accertamento dell’avvenuta cancellazione di ogni link, copia o distribuzione dei dati dell’interessato.
Tuttavia, anche questa previsione normativa presenta delle lacune. Sembra infatti limitarsi ad un elenco dei poteri nascenti in capo al suddetto titolare del trattamento, senza però facilitarne in alcun modo l’identificazione.
Viene inoltre introdotta la nuova figura del DPO (data protection officer). Il responsabile della protezione dei dati, ricopre il ruolo di garante e dovrà essere obbligatoriamente interpellato dal titolare del trattamento, ogni qualvolta ricorrano determinate condizioni.
Resta in ogni caso onere degli Stati membri quello di conciliare la protezione dei dati personali con il diritto alla libertà di espressione e di informazione.
Leggi anche: Diritto all’oblio nell’era digitale