Diritto all’oblio, un'efficace deindicizzazione delle informazioni personali: linee guida - Cyber Security 360

REGOLAMENTO UE

Diritto all’oblio, un’efficace deindicizzazione delle informazioni personali: linee guida

L’European Data Protection Board (EDPB) ha adottato le Linee Guida in materia di diritto all’oblio al fine di indirizzare i titolari del trattamento nella gestione delle richieste di rimozione dei dati personali. Ecco tutti i dettagli, motivi che legittimano il pieno esercizio del diritto e le possibili eccezioni alla sua applicazione

14 Apr 2020
M
Daniela Messina

Professoressa a contratto di diritto dell'informazione e dell'informatica presso l'Università degli Studi di Napoli "Parthenope"

Il diritto all’oblio è uno dei principi cardini della data protection: in un mondo sempre più interconnesso e caratterizzato dalla “imperitura memoria” dei dati immessi, l’esigenza di dimenticare ed essere dimenticati assume una importanza di primo piano ai fini dell’evoluzione delle moderne società digitali.

Come è noto, Internet è tendenzialmente privo di quel fattore temporale che costituisce da sempre lo strumento essenziale di crescita della personalità degli individui. In assenza di un preciso intervento esterno che ristabilisca il normale e spesso “riparatorio” fluire del tempo, infatti, le informazioni acquisite dalla Rete rischiano di rimanere imprigionate in un sistema che opera per accumulo di dati, ma non per evoluzione degli stessi, rendendoli spesso inaccurati, inesatti ovvero non più di interesse per la comunità.

Tale carattere a-temporale può influire in maniera negativa sulla libera evoluzione dell’identità dei singoli dando al mondo esterno una descrizione che non è più è rappresentativa del ruolo attuale che i soggetti interessati assumono all’interno della società.

È proprio in tale prospettiva che, in seguito ad un percorso giurisprudenziale e dottrinale complesso, si è affermato il c.d. diritto all’oblio inteso come “interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata, salvo che per eventi sopravvenuti il fatto precedente ritorni di attualità e rinasca un nuovo interesse pubblico all’ informazione[1].

Tale situazione giuridica meritevole di tutela è attualmente disciplinata dall’art. 17 del Regolamento europeo in materia di tutela dei dati personali (GDPR) che mira a tutelare gli individui attraverso il diritto riconosciuto a livello europeo di richiedere al titolare del trattamento, in presenza di determinate cause legittime, la rimozione delle informazioni che li riguardano senza ingiustificato ritardo.

Al fine di indirizzare i titolari del trattamento nella gestione delle richieste di rimozione dei dati personali che, come si avrà modo di evidenziare, presentano molteplici elementi di criticità in quanto incidono direttamente sulle possibilità di accesso alle informazioni da parte della collettività, l’European Data Protection Board (EDPB) ha adottato le Linee Guida 5/2019 in materia, sottoponendole a pubblica consultazione[2].

Tale documento, che rappresenta solo la prima parte di un più ampio quadro di criteri che verranno definiti a livello europeo al fine di rendere effettiva la tutela assicurata dall’art. 17 GDPR, è dedicato esclusivamente ai gestori dei motori di ricerca alla luce di quanto indicato dalla Corte di Giustizia dell’Unione Europea nel 2014 in occasione dell’ormai noto caso “Google Spain[3] grazie al quale, per la prima volta, il diritto all’oblio si è affermato nella peculiare sfumatura di diritto alla deindicizzazione, inteso come la possibilità di ottenere la rimozione, “dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona”.

Diritto all’oblio: Linee Guida per i motori di ricerca

Le Linee Guida si aprono con due premesse di particolare importanza. La prima, solo apparentemente lapalissiana, ma dai risvolti di rilievo per la corretta implementazione del diritto all’oblio, riguarda la netta distinzione che intercorre in tale ambito tra gestori di motori di ricerca ed editori di siti web.

Come è noto, le istanze di deindicizzazione avanzate ai primi non comportano, in via generale, una rimozione del contenuto pubblicato sul sito fonte. Questo significa che se la richiesta di tutela, nel caso in cui sia legittima, determina l’eliminazione dei link che riportano ad una determinata informazione, la stessa rimarrà comunque pubblicamente disponibile sul sito originario.

Tuttavia, lo stesso Comitato europeo per la protezione dati personali evidenzia che vi sono alcuni casi in cui l’intervento dei motori di ricerca deve essere necessariamente più “invasivo” rispetto alla semplice deindicizzazione delle informazioni all’interno dei risultati di ricerca.

In particolare, le Linee Guida fanno esplicitamente riferimento al caso in cui i provider ai quali vengono avanzate le richieste di rimozione dei link non rispettino i comandi robots.txt[4] indicati dall’editore del sito web. In tal caso, se sussistono legittime motivazioni, tali soggetti sono tenuti a rimuovere completamente l’URL del contenuto oggetto di reclamo, non limitando alla semplice estromissione del collegamento ipertestuale tra i risultati della ricerca.

Con riferimento alla seconda premessa, il Comitato sottolinea che le Linee Guida oggetto di analisi non si applicano al secondo comma dell’art. 17 del GDPR che disciplina i casi in cui i titolari del trattamento, avendo reso pubblici i dati personali dei soggetti interessati, siano obbligati, in presenza di motivazione legittima, ad informare gli altri titolari dell’esistenza di una pretesa di cancellazione delle informazioni oggetto del loro trattamento. Per tali peculiari situazioni saranno, infatti, delineati in un secondo momento criteri di intervento e di indirizzo ad hoc.

Motivazioni ed eccezioni per il diritto all’oblio

Passando, invece, al nucleo essenziale delle Linee Guida, il documento risulta articolato in due parti fondamentali che rispecchiano rispettivamente il comma 1 ed il comma 3 dell’art. 17.

In particolare, la prima è dedicata ai motivi che legittimano il pieno esercizio del diritto all’oblio ai sensi dell’art.17.1 del GDPR.

La seconda, invece, è dedicata alle eccezioni che operano ai sensi dell’art.17.3. Con riferimento al primo ambito, come è noto, la prima causa di giustificazione dell’esercizio del diritto all’oblio ex art. 17.1 a) è rappresentato dal caso in cui i dati non siano più necessari in relazione alla finalità del trattamento.

Questo, che costituisce il motivo che coglie più degli altri l’essenza stessa di tale tutela, è giustificato dal fatto che le informazioni immesse su un sito web e continuamente riproponibili tramite l’azione dei motori di ricerca possano spesso risultare inaccurate ovvero obsolete a causa dello scorrere del tempo che, come detto, in Rete non opera automaticamente, incidendo notevolmente sull’attuale proiezione sociale dell’identità del soggetto interessato.

A tal fine, le Linee Guida stabiliscono che nella valutazione delle richieste di deindicizzazione i titolari del trattamento sono tenuti a valutare se tali informazioni siano state rese disponibili più a lungo del tempo necessario al loro utilizzo.

Si fa rifermento, in particolare, ai casi in cui i collegamenti ipertestuali a determinate aziende riportano alla luce i dettagli di contatto di una persona che ha ormai cessato il proprio rapporto lavorativo ovvero di informazioni pubblicate per un certo numero di anni per un obbligo legale, ma rimaste online più del termine necessario a soddisfare quella determinata esigenza.

In tale ambito, il Comitato sottolinea che la decisione di rimuovere i risultati di ricerca deve sempre basarsi su un’idonea opera di bilanciamento tra tutela del diritto all’oblio ed interesse della collettività ad accedere a quelle specifiche informazioni.

La seconda motivazione attiene, invece, ai casi di revoca del consenso che operano ai sensi dell’articolo 6, paragrafo 1, lettera a) ovvero dell’articolo 9, paragrafo 2, lettera a), sempre che non sussista altro fondamento giuridico per il trattamento.

Questo specifico caso, secondo il Comitato, non si applica, almeno direttamente, ai gestori dei motori di ricerca. I soggetti interessati alla rimozione dei contenuti sulla base di tale motivazione, infatti, tendenzialmente avanzano tale richiesta al sito web a cui hanno prestato originariamente il proprio consenso, non al provider che li estrapola mediante un’attività di ricerca basato sull’inserimento di parole chiave. Questo anche alla luce di quanto previsto dal GDPR che impone che la manifestazione di volontà al trattamento sia sempre specificamente riferita all’utilizzo che viene effettuato con le informazioni cedute[5].

Tuttavia, qualora una richiesta di tal tipo venga avanzata all’editore del sito web, quest’ultimo dovrebbe informare i motori di ricerca che indicizzano tali dati dell’avvenuta rimozione alla luce di quanto indicato dall’art.17.2. In questo modo, l’interessato avrebbe la possibilità di ottenere anche la deindicizzazione delle informazioni, nel caso in cui continuassero a comparire nei risultati di ricerca, in quanto non più esistente il motivo originario che legittimava il trattamento ai sensi dell’art. 17. 2 c).

WHITEPAPER
Protezione dei dati e backup: come valutare le diverse soluzioni prima dell’acquisto
Backup
Sicurezza dei dati

La terza motivazione che giustifica una richiesta di eliminazione di dati personali si ricollega all’esercizio del diritto di opposizione previsto e disciplinato dall’art. 21 del GDPR.

A tal proposito le Linee Guida sottolineano che tale ambito offre ai soggetti interessati maggiori garanzie in quanto prevede un raggio di azione ben più ampio rispetto a quello determinato dalla tutela dell’oblio, non limitando le richieste di rimozione ai casi indicati dall’art.17 comma 1. Inoltre, con riferimento specificamente al diritto di opposizione, il Comitato evidenzia nel Regolamento europeo un importante cambio di prospettiva rispetto alla previgente disciplina in materia.

Se la direttiva 95/46/CE prevedeva, infatti, la possibilità per il soggetto di opporsi al trattamento “per motivi preminenti e legittimi derivanti dalla sua situazione particolare”[6], oggi l’art. 21 del GDPR consente allo stesso di procedere semplicemente per “motivi connessi alla sua situazione particolare”, come ad esempio nel caso di un danno effettivo per la sua vita personale o sociale.

Ricade, pertanto, sul titolare del trattamento l’onere di provare che non vi siano motivi legittimi cogenti, incluse le eccezioni previste dall’articolo 17.3, che impediscano di accogliere la richiesta e, quindi, di rimuovere i dati.

Tali giustificazioni debbono prevalere “sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”. Per tale peculiare attività di bilanciamento i motori di ricerca possono ancora far riferimento ai criteri di deindicizzazione delineati dal Working Party 29 all’indomani della sentenza Google Spain[7].

Una corretta applicazione del diritto all’oblio

La motivazione prevista dalla lett. d) dell’art. 17 comma 1 riguarda le richieste di tutela successive ad un illecito utilizzo di dati personali.

In tale ambito, le Linee Guida specificano che, nell’attività di valutazione delle domande di rimozione delle informazioni, i titolari sono tenuti ad analizzare il trattamento effettuato alla luce dei criteri stabiliti dall’art. 6 del GDPR diretti, appunto, a garantire un impiego lecito delle informazioni personali, nonché dell’insieme dei principi applicabili al trattamento di dati indicati dall’art. 5.

Inoltre, ai fini di una corretta applicazione di tale motivazione per l’esercizio del diritto all’oblio, il Comitato sottolinea che l’illecito trattamento deve essere interpretato in senso ampio, comprendendo anche la violazione di disposizioni ulteriori e diverse rispetto a quelle presenti nel quadro normativo in materia di tutela dei dati personali.

Tale valutazione deve essere condotta da un’Autorità di vigilanza, nel rispetto delle norme nazionali o sulla base di una decisione adottata dall’autorità giudiziaria competente. Relativamente all’ambito specifico dei motori di ricerca, le Linee Guida specificano che nel caso in cui tali provider non siano in grado di dimostrare l’esistenza di una base legale che legittimi l’utilizzo di determinati dati personali, il relativo trattamento da parte di tali soggetti deve essere considerato illecito, giustificando, pertanto, una pretesa di deindicizzazione ai sensi dell’art.17, comma 1, lett. d).

Infine, con riferimento alle ultime due cause che giustificano una richiesta di rimozione di informazioni personali ai sensi dell’art. 17 del GDPR, se il Comitato non offre particolari delucidazioni nel caso in cui il diritto all’oblio venga esercitato per soddisfare un obbligo legale previsto a livello europeo o nazionale, una maggiore attenzione viene, invece, rivolta ai casi in cui la domanda di tutela origini da una raccolta di dati connessa all’offerta di servizi della società dell’informazione ai minori (art. 17, comma 1, lett. f).

Una volta sottolineata l’ambiguità e – la ormai risalente nel tempo – descrizione presente nella direttiva 2000/31/CE sul commercio elettronico, il Comitato afferma che i motori di ricerca debbono essere considerati parte integrante dei servizi della società dell’informazione e pertanto sottoposti alle norme definite in materia.

Nonostante ciò, tuttavia, perplessità rimangono sulla possibilità di applicare tale specifica motivazione a soggetti che, su ammissione dello stesso Comitato, nell’erogare il servizio di ricerca non discernono tra dati appartenenti ad adulti e dati appartenenti a minori.

In tale prospettiva, l’attività di valutazione delle richieste di deindicizzazione avanzate sulla base di tale giustificazione dovrà basarsi su una delicata opera di bilanciamento che tenga in debito conto il contesto all’interno del quale l’attività di raccolta e di trattamento dei dati sono stati effettuati.

Questo significa, in particolare, che i motori di ricerca sono tenuti a valutare anche l’anno a partire dal quale il sito web originario ha dato avvio all’utilizzo delle informazioni personali il cui collegamento ipertestuale viene richiesto di rimuovere.

Cause di esclusione del diritto all’oblio

Una volta analizzate le motivazioni che legittimano la pretesa di tutela ex art. 17 del GDPR, il Comitato passa in disamina le eccezioni che possono applicarsi al diritto alla deindicizzazione.

In tale ambito assume particolare rilievo il ruolo che ormai rivestono i motori di ricerca nel panorama informativo dal momento che il loro operato risulta essere sempre più spesso fondamentale per orientare gli utenti nello sterminato panorama di informazioni presenti in Rete.

Come è stato evidenziato dalla Corte di Giustizia nella recente sentenza del 24 settembre 2019, il trattamento esercitato da tali provider può incidere, “in modo significativo ed in aggiunta all’attività degli editori”[8] sull’esercizio dei diritti fondamentali.

Tale situazione di fatto assume particolare rilievo con riferimento alla prima eccezione prevista dal GDPR rappresentata dalla tutela della libertà di espressione e di informazione, il cui bilanciamento con la difesa dell’identità attuale del soggetto interessato, a detta del Comitato, rappresenta un elemento intrinsecamente presente nella protezione del diritto all’oblio.

A tal proposito, le Linee Guida evidenziano che, nonostante i diritti fondamentali della persona debbano essere considerati di norma prevalenti, il titolare del trattamento in presenza di una richiesta di rimozione di dati personali deve comunque valutare il caso specifico comparando la natura delle informazioni con l’interesse della collettività ad accedere alle stesse; un interesse che può variare a seconda del ruolo rivestito dall’interessato all’interno della comunità.

Declinato nel peculiare ambito dei motori di ricerca, questo vuol dire che tali provider dinanzi ad una richiesta di deindicizzazione sono tenuti a valutare l’impatto che avrebbe una decisione di rimozione delle informazioni sul diritto della collettività ad essere informata.

Ma non solo: operando all’interno di un ambito estremamente importante ai fini dell’evoluzione democratica della società, per poter appellarsi all’eccezione di cui all’art. 17.3, lett. a), tali provider sono tenuti anche a dimostrare che l’inclusione di quella peculiare informazione all’interno dei risultati di ricerca sia strettamente necessaria alla protezione dell’esercizio della libertà di informazione.

La seconda causa che può giustificare il rigetto di una richiesta di rimozione di dati personali è rappresentata dalla necessità di adempiere ad un obbligo legale richiesto a livello sovranazionale o nazionale ovvero di eseguire un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

La peculiare attività svolta dai motori di ricerca spinge il Comitato ad affermare che questa particolare causa di giustificazione difficilmente potrà applicarsi a tale tipologia di provider. Non producendo direttamente le informazioni che emergono a seguito delle ricerche effettuate dagli utenti, è inverosimile, infatti, che esista un obbligo legale che imponga tali soggetti a diffondere determinate informazioni.

Diverso, invece, è il caso in cui l’Unione Europea ovvero uno Stato membro consentano ad una pubblica autorità di adottare decisioni che possano comportare l’obbligo per i motori di ricerca di pubblicare informazioni contenute su siti terzi, in modo diretto e non mediante un collegamento ipertestuale.

In tali occasioni, secondo il Comitato, i motori di ricerca possono disporre della eccezione di cui all’art. 17 comma 3, lett. b), ma solo per il tempo necessario per assolvere tale dovere.

Infine, nel più frequente caso in cui l’obbligo di pubblicare determinate informazioni ricada sull’editore di un sito web, il motore di ricerca non potrà ovviamente fare appello a tale eccezione e, dinanzi ad una eventuale richiesta di deindicizzazione, dovrà procedere ad una necessaria ponderazione tra tutela dell’identità del soggetto interessato e diritto della collettività ad accedere al dato di cui si richiede la rimozione.

A tal proposito, le Linee Guida sottolineano che anche se sussiste per gli editori dei siti un obbligo legale di diffondere determinate informazioni e, quindi, di conseguenza, la necessità che le stesse siano accessibili al pubblico, non può operare per i motori di ricerca una presunzione di prevalenza dell’interesse pubblico su quello dei soggetti interessati.

Tali provider, infatti, sono comunque tenuti a valutare il caso specifico e a verificare se, nonostante l’obbligo di pubblicazione di tali informazioni, i collegamenti ipertestuali connessi ai nomi dei soggetti interessati non abbiano ragione d’esistere tra i risultati della ricerca, prevalendo in tal caso il diritto all’oblio.

In altri termini, per decidere se dare seguito o meno ad una richiesta di deindicizzazione per motivi connessi a tale categoria di esenzione, i motori di ricerca debbono determinare sempre se la conservazione dei link alle informazioni diffuse per gli obblighi suddetti sia necessario per il conseguimento dell’interesse pubblico perseguito. In caso contrario, la tutela dell’identità personale attuale del soggetto deve prevalere.

Valutazioni analoghe operano anche per la terza eccezione che, in virtù del particolare interesse sociale che lo caratterizza e per il rilievo dei dati personali che vengono in esso trattati, agisce esclusivamente per il peculiare ambito della sanità pubblica.

Con riferimento in particolare ai motori di ricerca, il Comitato sottolinea che, tenuto conto che la deindicizzazione non comporta l’eliminazione “alla radice” di informazioni che potrebbero essere di interesse fondamentale per tale settore, tale peculiare eccezione difficilmente può operare per i motori di ricerca visto che risulta difficile immaginare che un provider possa ritenere di interesse collettivo mantenere visibili tra i risultati di ricerca collegamenti ipertestuali ad informazioni personali così sensibili ottenute per giunta digitando semplicemente il riferimento nominativo di un individuo.

Relativamente, invece, all’eccezione connessa a motivi di archiviazione nel pubblico interesse, di ricerca scientifica, storica o a fini statistici (art.17.3, lett. d), le Linee Guida sottolineano che per usufruire di tale causa di giustificazione i motori di ricerca devono essere in grado di dimostrare che la cancellazione di un determinato contenuto dalla lista dei risultati costituirebbe un grave ostacolo ovvero impedirebbe completamente il raggiungimento di tali obiettivi, fondamentali in una società democraticamente avanzata. Tuttavia, il Comitato rimarca anche la necessità che tali provider valutino se effettivamente il perseguimento degli scopi evidenziati possa realizzarsi anche in assenza di un collegamento diretto tra il nome del soggetto interessato alla rimozione dei dati personali ed i risultati della ricerca.

Infine, le Linee Guida si concludono con l’ultima causa di giustificazione relativa all’accertamento, esercizio o difesa di un diritto in sede giudiziaria (art.17.3. lett. e). Anche in questo caso il Comitato sottolinea che in linea di principio tale eccezione difficilmente può applicarsi ai motori di ricerca alla luce della loro peculiare attività di collegamento ad informazioni presenti su siti web gestiti da terzi.

Conclusioni

In attesa degli esiti della consultazione pubblica, l’attuale versione delle Linee Guida evidenzia il delicatissimo ruolo che rivestono i motori di ricerca nell’ambito della tutela del diritto all’oblio. È indubbio, infatti, che la previsione di uno strumento che possa ripristinare l’impatto del fattore temporale, garantendo anche in Rete quella evoluzione dell’identità personale che normalmente caratterizza la vita di ogni individuo, non può non tenere conto dell’attività svolta da tali provider.

Sono quest’ultimi, infatti, che consentono agli utenti di orientarsi nel mare magnum delle informazioni quotidianamente immesse attraverso la predisposizione di opportuni collegamenti ipertestuali. Tuttavia, notevoli sono le criticità che si ricollegano a questi soggetti nel caso di richieste di indicizzazioni di informazioni ex art. 17 del GDPR.

Come confermato dalla Linee Guida l’attività che viene richiesta ai motori di ricerca si sostanzia in ogni caso in un’opera di bilanciamento tra diritti fondamentali.

Questo significa che viene affidata ad imprese private, animate soprattutto da interessi economici, un’attività tradizionalmente di carattere pubblicistico consistente nella determinazione del necessario punto di equilibrio tra tutela della proiezione attuale dell’identità della persona ed interesse della collettività ad essere informata.

Un onere che richiede una peculiare capacità di analisi delle fattispecie concrete, così come sottolineato più volte dal Comitato, ed inevitabilmente risorse dedicate in termini di esperienza e competenza.

Le Linee Guida rappresentano sicuramente un importante strumento di supporto per le attività di valutazione delle richieste di rimozione dei link nei casi concreti, vista anche la molteplicità di situazioni che possono palesarsi, ma è evidente che nel futuro prossimo risulta fondamentale introdurre e rafforzare strumenti di dialogo e di cooperazione tra tutti gli attori coinvolti in tale scenario: motori di ricerca, editori siti web, autorità indipendenti (nel caso italiano il Garante Privacy) e pubbliche autorità in modo da favorire soluzioni condivise per i casi più controversi e delicati.

Tali misure dovrebbero essere adottate nel più breve tempo possibile in quanto quando si parla di diritto all’oblio connesso all’attività svolta dai motori di ricerca, si fa riferimento inevitabilmente al futuro del pluralismo informativo in termini sia qualitativi che quantitativi, considerato da sempre perno dell’ordine democratico delle moderne società.

NOTE

  1. Corte di Cassazione, Sez. III civ., 09 aprile 1998, n. 3679.
  2. European Data Protection Board, Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1), pubblicamente consultabili.
  3. Corte di Giustizia, causa 131/12, Google Inc./Agencia Española de Protección de Datos, Mario Costeja González, 13 maggio 2014.
  4. Un robots.txt è un file di testo realizzato dai gestori di siti web e destinato ai motori di ricerca (o più precisamente ad un crawler) al fine di indicare quali sezioni o pagine possono essere oggetto di scansione e, quindi, essere o meno indicizzati. Rileva sottolineare che tali istruzioni possono essere anche disattese dai suddetti provider.
  5. Così anche la Corte di Giustizia nella sentenza C 136/17 del 24 settembre 2019.
  6. Art.14, Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
  7. WP29, Guidelines on the implementation of the Court of Justice of the European Union Judgment on “Google Spain and Google Inc V. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/12, 26 novembre 2014.
  8. Corte di Giustizia, causa 131/12, paragrafo 38. Sul punto si permetta di rinviare a D. Messina, Diritto all’oblio e limite territoriale europeo: la sentenza della Corte di Giustizia UE C-507 17 del 24 settembre 2019 in De Iustitia – Rivista giuridica, 2019.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3