“Diritto all'oblio”, privacy on web

1. Evoluzione storica della teoria del "diritto all'oblio" e regolamentazione privacy 

Il diritto all'oblio e, nella fattispecie, la “domanda di deindicizzazione dei risultati oggetto della ricerca” ex art. 17 del Regolamento 679/2016, rubricato “Diritto alla cancellazione («diritto all'oblio»)” ha avuto negli anni un’evoluzione applicativa tesa all’ampliamento della casistica che ha come oggetto tale diritto.

Oggi per diritto all’oblio, si tende a definire quel diritto della persona che vede nelle informazioni risalenti al passato un impedimento al diritto costituzionalmente garantito (art. 2 Cost.)  dello sviluppo e costruzione della personalità del cittadino.

In origine, infatti, la tutela a tale diritto era destinata a tutti coloro che, dopo aver scontato una pena richiedevano la cancellazione dalla “memoria collettiva” dei fatti e avvenimenti passati e collegati alla data sanzione come elementi “minante” del proprio futuro.

Successivamente con la famosa sentenza della Corte di Giustizia del 13 maggio 2014 relativa al caso Costéja Gonzales vs. Google Spain, Google Inc. e La Vanguardia, si è passati a considerare l’oblio come un diritto di tutti, recepito pertanto semplicemente come un “diritto ad essere dimenticati”, presumendo limitazioni alla circostanza di diffusione dei dati personali e sensibili nell’ambito della rete telematica cosi presente e diffuso nell’uso quotidiano.

In questo senso è da accogliere con favore la tesi secondo la quale esistono diverse “accezioni” del diritto all’oblio:

• nell'era pre-digitale e del mondo “offline”, inteso come diritto alla riservatezza e all'identità personale e pertanto era considerato tale il diritto della persona a non permanere esibita ai danni relativi alla ripubblicazione di notizia risalente nel tempo e la cui ulteriore pubblicazione non fosse da considerarsi necessaria
•  nell’era digitale in una nuova realtà come quella del web in cui si assiste ad un “inserimento costante” di informazioni e dati da parte di una pluralità di soggetti e da una pluralità di direzioni. In questo “quadro” così rinnovato, assume importanza e rilievo il diritto all’oblio con riferimento ai motori di ricerca e, conseguentemente, al diritto alla “de-indicizzazione” rispetto alle informazioni presenti in rete.

La cancellazione dei dati è condizionata a determinate condizioni cosi espressamente indicato dall’art. 17 del GDPR.

2. Applicazione art. 17 del D.LGS. 369/2016 (GDPR)

Il diritto sancito dall’art. 17 del GDPR, secondo molti studi italiani ed europei, non rappresenta un passo avanti rispetto alla sentenza “Google Spain”. Si ritiene, infatti, che “il diritto sancito da tali norme sia sottoposto a condizioni e numerose eccezioni, soccombendo di fronte alla libertà di informazione ed espressione”. In particolar modo il comma 3 del predetto articolo enumera tutti i casi in cui tale diritto subisce delle eccezioni. Si enumerano:

“a) per l'esercizio del diritto alla libertà di espressione e di informazione;

b) per l'adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i), e dell'articolo 9, paragrafo 3;

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.”.

In precedenza il comma 2 aveva delineato la “responsabilità” del titolare del trattamento dei dati affermando “2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.”

3. Una sentenza esemplare: “Cass. civile 21/07/2021 n. 20861”

La sentenza sopra richiamata appare esemplare per quello che è stato precedentemente rappresentato. In tale sentenza si afferma che “Ai fini della determinazione del petitum mediato (per petitum si intende l’oggetto della domanda - n.d.a.), la domanda di deindicizzazione esige la precisa individuazione dei risultati della ricerca che l'attore intende rimuovere, e quindi, normalmente, l'indicazione degli indirizzi telematici, o URL, dei contenuti rilevanti a tal fine, anche se non è escluso che una puntuale rappresentazione delle singole informazioni che sono associate alle parole chiave possa rivelarsi, secondo le circostanze, idonea a dare precisa contezza della cosa oggetto della domanda, in modo da consentire al convenuto, gestore del motore di ricerca, di apprestare adeguate e puntuali difese sul punto (fattispecie relativa all'azione intrapresa da un uomo per vedere accertato il suo diritto ad ottenere la rimozione da un motore di ricerca di tutti i risultati che comparivano digitando il proprio nome).” 

 Il carattere “esemplare” di tale sentenza risiede nel fatto che tale disposizione ci fa comprendere come sia impattante per tutti noi, il rapporto con il mondo web e la continua ricerca e condivisione d’informazioni. Nella sentenza si prevede, infatti, l’“investitura” dei Web –provider quali titolari del trattamento dei dati personali.

Con tale responso, la Suprema Corte ha chiarito che non ci si può attendere che i vari Web-provider possano operare in un senso di “autosorveglianza” preventiva nei confronti dell’utenza ma che comunque essi abbiano la responsabilità di  agire per la rimozione dei risultati  di una ricerca effettuata in quanto proprio l ’attività del motore di ricerca suppone un obbligo di intervento da parte del medesimo soggetto nella veste di titolare del trattamento.

Attività come Indicizzare, recuperare informazioni e renderle disponibili agli utenti seguendo un determinato ordine o scala di preferenza o memorizzarle temporaneamente sono a tutti gli effetti un trattamento dei dati personali disciplinato dal GDPR. Come titolare del trattamento, il gestore del motore di ricerca deve garantire che tutto sia trattato tenendo conto dei dettami legislativi europei e nazionali. 

4. Conclusioni 

Ancora una volta le scelte del legislatore (GDPR) e del Supremo Giudice (Corte di Cassazione) appaiono allineate nel determinare una compensazione tra i diversi ambiti di diritti in gioco, mettendo sulla bilancia il valore, da una parte, del diritto all’informazione e, dall’altra, quella seppur rilevante del diritto all’oblio inteso come il diritto universale alla riservatezza e alla tutela della persona esposta alla continua pubblicazione di notizie lontane nel tempo e perciò, potenzialmente lesive dell’attuale rappresentazione della propria personalità.