Il diritto alla cancellazione («diritto all’oblio»), disciplinato ai sensi dell’art. 17 del Regolamento UE 2016/679, racchiude quella che costituisce e costituirà l’intrinseca contraddizione della nostra società sempre più interconnessa, con il principio, nonché il diritto degli individui all’autodeterminazione informativa ed alla valutazione del come, del quando e del se consentire la propria esposizione mediatica: fatto salvo il diritto di cronaca.
Lasciando ad altri successivi approfondimenti il commento della sentenza della Corte di giustizia dell’Unione europea nella causa C-507/17 Google LLC, succeduta alla Google Inc., – che ha contenuto gli obblighi di deindicizzazione di un motore di ricerca al solo territorio della Unione; escludendo pertanto che allo stato attuale vi sia un obbligo derivante dal diritto dell’Unione, di effettuare tale deindicizzazione su tutte le versioni del suo motore – in questa analisi ci concentreremo sulle complessità connesse e collegate al dovere del titolare di cancellazione, nonché cercheremo di fare luce tra le diverse anime del diritto all’oblio e/o cancellazione.
Indice degli argomenti
Diritto alla cancellazione e diritto all’oblio: le differenze
Invero il titolo dell’art. 17 del Regolamento sembrerebbe voler accomunare due concetti, diritto alla cancellazione e «diritto all’oblio», che seppur correlati dal punto di vista del diritto degli interessati a voler essere cancellati/dimenticati – in tutti i casi in cui i dati personali non siano più necessari rispetto alle finalità per cui erano stati originariamente trattati (oppure trattati illecitamente ecc.) – in pratica comportano oneri differenti per i titolari: e dove il più contiene anche il meno.
Le sfaccettature di cui sopra necessitano anche di diverse specifiche azioni che i titolari del trattamento sono tenuti a porre in essere; ovvero per l’oblio possono comportare un quid plus di azioni a carico dei titolari, con particolare riguardo all’ambiente online.
Il diritto cosiddetto “all’oblio”, difatti, si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata e prevede, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”(si veda art. 17, paragrafo 2).
Recita difatti il Considerando n. 66 che per rafforzare il «diritto all’oblio» nell’ambiente online è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali ad informare i titolari del trattamento che trattano tali dati personali e cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali.
Difatti ai sensi del secondo paragrafo dell’art. 17, il titolare del trattamento se ha reso pubblici i dati personali dell’interessato ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
In sintesi, il diritto all’oblio, disciplinato dal secondo paragrafo dell’art. 17 ha a che fare con il libero arbitrio nella scelta dell’auto esposizione: sia per la tutela della propria reputazione, sia per motivi inerenti alla “privacy”, ovvero al diritto di scegliere la rappresentazione pubblica della propria personalità individuale.
Diversamente, il diritto alla cancellazione riguarda sia la volontà del soggetto di richiedere la cancellazione dei propri dati (ovvero nel caso di genitori e/o tutori anche dei dati dei propri figli e/o soggetti affidati) in quanto, ad esempio, i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati o ha revocato il proprio consenso ecc. (primo paragrafo art. 17), ma anche il titolo giuridico alla conservazione del dato da parte del titolare del trattamento, poiché non tutti i dati devono essere cancellati a fronte di richiesta (terzo paragrafo art. 17).
Difatti il titolare può opporre il rifiuto della cancellazione quando il trattamento avvenga nell’adempimento di un obbligo giuridico previsto dal diritto dell’Unione o degli Stati membri, oppure sia motivato dall’interesse pubblico nel settore della sanità pubblica, oppure abbia finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici, oppure sia necessario per l’esercizio o la difesa di un diritto in sede giudiziaria o anche per l’esercizio del diritto alla libertà di espressione e di informazione.
Diritto alla cancellazione: procedure da porre in essere
Ritornando alla mera cancellazione di un dato personale, con particolare riguardo alle categorie dei dati particolari e/o giudiziari, la stessa consiste nella cancellazione definitiva dei dati immagazzinati nei sistemi, nonché anche in eventuali archivi cartacei, di tutti quei dati personali che non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, ovvero per i quali sia stata richiesta legittimamente la cancellazione, ovvero siano stati raccolti illegittimamente ovvero in fine sia stato revocato un consenso anteriormente prestato.
In tutte le predette ipotesi il titolare, e con lui o dietro di lui la catena dei processor o sub processor, dovranno porre in essere solide procedure per il rispetto dell’esercizio dei diritti di cui sopra.
Al riguardo, come recita il Considerando 59, il titolare deve prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione.
Ferme restando le complessità tecnologiche legate all’irreversibile cancellazione dei dati, i titolari del trattamento avranno l’onere di comprendere per ogni dato acquisito, una corretta e non banale analisi dei tempi di conservazione delle informazioni, che per loro natura saranno spezzettate in diversi server e/o partizioni di server.
Il titolare ad esempio azienda XYZ sarà titolato a conservare il dato del soggetto Caio perché Caio ha concluso un contratto con la predetta società. Sarà diversamente obbligato a cancellare i dati di profilazione e/o marketing a richiesta di Caio, e/o informazioni eccedenti acquisite illegittimamente.
Il Titolare inoltre dovrà richiedere la cancellazione dei dati personali e dei profili costituiti, anche alle aziende Alpha e Bravo, che effettuano per conto di XYZ attività di marketing e mailing.
Gli oneri del titolare del trattamento
Per concludere, i titolari di piccole e medie aziende, ma anche di aziende più grandi che non hanno fatto del mercato estrattivo dei dati la loro fortuna, si ritrovano stretti tra oneri e correlate sanzioni, nonché tra i rischi di data breach e di hakeraggio e dei conseguenti danni reputazionali, con un mercato che innova costantemente le potenzialità tecnologiche di hardware e software e che costantemente lo tenta ad operare una raccolta a strascico di dati che il più delle volte comportano rischi e oneri nella custodia.
A tale sconsolata valutazione servirà un controcanto legato alla formazione ed alla consapevolezza, non solo e non tanto del middle management ma anche e soprattutto del top management che dovrebbe guardare a tutto tondo il tema della protezione dei dati e dei rischi connessi alla custodia degli stessi.
