“Il Diritto di cancellazione anche per i dati che rendono identificabile una persona”

Il diritto all’oblio, inizialmente riconosciuto soltanto a livello giurisprudenziale, sia in campo europeo che nazionale, riceve oggi un’espressa regolamentazione nell’art. 17 del Regolamento Generale sulla Protezione dei Dati Personali (GDPR) – Reg. UE 679/16 – rubricato “diritto alla cancellazione”.

Il testo del GDPR, ha sostituito la direttiva sulla protezione dei dati personali 95/46/CE e ha abrogato, in Italia, gli articoli incompatibili del codice per la protezione dei dati personali, d.lgs. 196/2003.

Il diritto alla cancellazione dei dati nasce come evoluzione del principio sancito dalla  pronuncia della Corte di Giustizia Europea del 13 maggio 2014 (sentenza Google Spain, Sentenza CGUE, Grande sezione, 13/05/2014, Causa C- 142/12) relativamente al diritto di essere dimenticati.

Con detta sentenza i Giudici di Lussemburgo hanno sancito il diritto di un soggetto a non essere trovato online attraverso l’utilizzo di nome e cognome e il conseguente diritto a chiedere la deindicizzazione delle notizie relative alla sua persona al motore di ricerca, inteso quale responsabile del trattamento.

Questo diritto non è assoluto e trova un limite esterno nel diritto di cronaca e nel diritto alla libertà di stampa: la richiesta di deindicizzazione dei link contenenti informazioni personali è valutata in base alla persistenza o meno dell’interesse del pubblico rispetto a tali informazioni.

La valutazione spetta al motore di ricerca, tenuto a ponderare gli interessi in conflitto in ragione delle ripercussioni dell’esercizio del diritto alla cancellazione sul legittimo interesse degli utenti di internet ad avere accesso alle informazioni.

In evoluzione a tale pronuncia l’autorità Garante italiana ha esteso l’applicazione del diritto all’oblio anche alle ipotesi in cui l’identificazione dell’interessato avvenga indirettamente, senza l’utilizzo del solo nome e cognome, ma attraverso elementi caratteristici dell’identità culturale e sociale dell’interessato.

Il Garante della Privacy, con parere del 20 giugno 2020, ha valutato fondato il reclamo di un professionista che aveva chiesto invano a Google di deindicizzare un URL che risultava reperibile online digitando non il proprio nome, ma la carica sociale che lo stesso aveva rivestito in passato in una determinata cooperativa. Il link faceva riferimento ad una notizia non più attuale e relativa ad un procedimento giudiziale ormai concluso con sentenza definitiva di assoluzione.

L’Autorità riteneva che la permanenza della notizia rappresentasse un pregiudizio grave alla reputazione dell’interessato tale da non potersi ritenere bilanciato con l’interesse della collettività alla sua diffusione e ingiungeva così a Google la rimozione dei dati.

Gli innumerevoli provvedimenti adottati negli ultimi anni dal Garante sul tema dell’oblio inducono un riflessione sull’evoluzione del concetto di “dato personale”, cosi come declinato nel GDPR e della sua tutela.

Si può affermare infatti che, se da un lato il concetto di “dato personale” tutelato dalla legge si è esteso anche a indici generici capaci di individuare in via indiretta il soggetto interessato, dall’altro il diritto alla cancellazione dei dati personali previsto dall’art. 17 del GDPR è concetto diverso e non coincidente con il diritto all’oblio, così come enunciato nella sentenza Google Spain.

Ad oggi l’interessato ha diritto alla cancellazione dei propri dati personali da parte del titolare del trattamento, senza giustificato ritardo, se sussistono almeno uno dei requisiti indicati dall’art. 17 lett. a) – f) , per esempio quando i dati non sono più necessari rispetto alle finalità per le quali furono raccolti o ancora quando l’interessato abbia revocato il consenso, e non presuppone necessariamente il fatto che tali dati siano stati resi pubblici.

In sostanza, la tutela prestata dall’art. 17  del GDPR non sempre è collegata all’esigenza di “essere dimenticati”.

In vista della complessità della materia in continua evoluzione e del crescente utilizzo del web per la condivisione di tutto quello che vi viene inserito, volontariamente o meno,  il Comitato Europeo sulla protezione dei dati personali (EDPB) ha pubblicato di recente le linee guida sul diritto all’oblio – Opinion 5/2019 – al fine di meglio definire i limiti di applicazione del diritto alla cancellazione dei dati personali, sulla scorta dei casi sottoposti all’Autorità Garante degli stessi.

Tale raccolta consentirà di stabilire con maggior chiarezza la corretta interpretazione dell’art. 17 del GDPR, i criteri per l’esercizio del diritto all’oblio e le modalità applicative per la sua corretta attuazione.