Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Tutela del diritto all’oblio: ecco come effettuare il reclamo al Garante e il ricorso all’autorità giudiziaria

In materia di tutela del diritto all’oblio il GDPR prevede che l’interessato può ottenere la cancellazione dei dati che lo riguardano, la rettifica, la limitazione d’uso e l’opposizione al trattamento. Ecco le modalità tecniche per esercitare il proprio diritto mediante reclamo al Garante o ricorso all’autorità giudiziaria

11 Nov 2019
G
Grazia Galdi

Avvocato - Privacy, compliance & corporate crimes


Al fine di tutelate il diritto all’oblio dell’individuo (in inglese, right to be forgotten), strettamente connesso alla tutela della sua vita privata ex art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, il legislatore europeo ha stabilito che ogni trattamento di dati personali debba avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679 (GDPR):

  1. principio di minimizzazione dei dati (data minimisation), che richiede che i dati siano adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  2. principio dell’esattezza (accuracy), che stabilisce che i dati siano sempre esatti ed aggiornati, con conseguente tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  3. principio della limitazione della conservazione (storage limitation), che impone che i dati vengano conservati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento.

Da tali principi deriva che anche un trattamento inizialmente lecito di dati esatti possa, con il tempo, non essere più in linea con i suddetti principi allorquando i dati ab origine diffusi siano diventati non più necessari in rapporto alle finalità per le quali sono stati raccolti o trattati, ovvero inadeguati e non più pertinenti in considerazione del tempo trascorso dalla loro diffusione.

Ma cosa su intende realmente per “diritto all’oblio”, soprattutto nella moderna società perennemente connessa a Internet? “La rete annulla la distanza temporale tra una pubblicazione e la successiva, ospitando senza soluzione di continuità notizie anche risalenti, spesso superate dagli eventi e per ciò non più attuali”. È questo – secondo l’acuta analisi del Presidente del Garante per la protezione dei dati personali, Antonello Soro – il tratto peculiare delle nuove tecnologie che deve essere preso in considerazione allorquando si parli di diritto all’oblio ossia del diritto a non subire gli effetti pregiudizievoli della ripubblicazione, a distanza di tempo, di una notizia pur legittimamente diffusa in origine ma non più attuale.

Tutela del diritto all’oblio e cronaca giudiziaria

Tale problematica affligge, in particolar modo, il trattamento delle informazioni inerenti al coinvolgimento di un soggetto in un procedimento penale. Tali notizie, infatti, permangono sul web senza essere aggiornate, rettificate o cancellate, sebbene il trascorrere del tempo ed il conseguente mutato scenario processuale, le abbia rese non più esatte o, addirittura, obsolete.

Pensiamo a chi abbia visto definita la propria vicenda giudiziaria con una sentenza di assoluzione o di prescrizione, o anche a chi, dopo aver espiato la propria pena, stia portando avanti quel progressivo percorso di reinserimento sociale, a cui dovrebbe tendere il nostro sistema sanzionatorio, e veda la propria immagine inesorabilmente associata a quella remota vicenda giudiziaria, che non ha più nulla a che vedere con la sua immagine attuale.

Recentemente, proprio in tema di diritto all’oblio e cronaca giudiziaria, si è pronunciata la Corte di Giustizia dell’Unione Europea[1], chiamata in via pregiudiziale a giudicare la legittimità dell’operato del gestore del motore di ricerca Google, che, non avendo provveduto alla deindicizzazione di taluni risultati di ricerca, era stato accusato della diffusione, al vasto pubblico del web, di dati non esatti ed aggiornati all’evoluzione della vicenda giudiziaria in cui era stato coinvolto l’interessato.

Il Giudice europeo, in primis, ha chiarito quale debba essere l’ampiezza della tutela riconosciuta al diritto all’oblio, stabilendo che, laddove le notizie indicizzate non riflettano la condizione giudiziaria attuale dell’interessato, il motore di ricerca debba rimuovere i link ad articoli non aggiornati quando e solo se i pregiudizi subiti dall’interessato siano sproporzionati rispetto all’esigenza di agevole reperibilità della notizia.

Ha infatti ricordato che la protezione dei dati personali non è un diritto assoluto, ma deve essere considerato in relazione alla sua funzione sociale ed essere bilanciato, conformemente al principio di proporzionalità, con altri diritti fondamentali quali la libertà di espressione e, in particolare, la libertà di informazione[2].

Ciò comporta che possa essere ritenuta lecita la scelta del motore di ricerca di non rimuovere taluni link dai risultati di ricerca allorquando, in considerazione anche dei principi individuati dalle linee guida del WP Art. 29 (ad esempio, se il soggetto interessato ha un ruolo nella vita pubblica), risulti prevalente l’interesse della collettività a conoscere la notizia.

Tuttavia, chiarisce la Corte, è necessario che i risultati di ricerca relativi all’interessato vengano visualizzati in modo da riflettere la posizione giudiziaria attuale della persona. Come afferma il Presidente Soro, “la notizia dell’assoluzione non deve, ad esempio, essere posta in coda a una pluralità di link più risalenti, relativi all’imputazione, alle misure cautelari, persino alla condanna non definitiva”.

L’invito, dunque, ai gestori dei motori di ricerca è quello di dare piena ed effettiva tutela al diritto alla vita privata e all’identità del singolo individuo, rendendoli, di fatto, prevalenti ai meri interessi economici che regolano il loro operato.

In altre parole, non dovranno essere le notizie allarmistiche del coinvolgimento in un procedimento penale a dover comparire per prime nell’elenco dei risultati, ma quelle attuali, che consentano di offrire alla vastità del web un’immagine digitale del soggetto conforme a quella effettiva.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Sono, dunque, i principi dell’esattezza e dell’aggiornamento che dovrebbero essere presi in considerazione dai grandi del web affinché l’algoritmo che regola il loro funzionamento sia compliant con i principi in tema di protezione dei dati personali.

Tutela del diritto all’oblio: il reclamo al Garante

Ma quali sono, in concreto, gli strumenti di tutela del diritto all’oblio a cui il singolo può ricorrere allorquando intenda essere dimenticato?

Il Regolamento 2016/679/UE ha ampliato e rafforzato i diritti dell’interessato, riconoscendo, in particolare:

  • il diritto alla rettifica dei dati inesatti o non aggiornati (art. 16);
  • il diritto alla cancellazione (art. 17);
  • il diritto alla limitazione (art. 18);
  • il diritto alla opposizione al trattamento dei propri dati personali (art. 21).

Tali diritti possono essere esercitati indirizzando una richiesta di accesso, rettifica, cancellazione, limitazione od opposizione direttamente al titolare o al responsabile del trattamento dei dati personali, i quali sono tenuti a rispondere senza ingiustificato ritardo al più tardi entro un mese dal ricevimento dell’istanza[3].

È bene chiarire che, per ottenere una piena tutela dei propri diritti, nel caso in cui i dati personali inesatti o non più attuali siano contenuti in un articolo pubblicato su una pagina web, l’istanza dovrà essere indirizzata sia al titolare, o al responsabile del trattamento dati, del gestore della pagina web, che al titolare, o al responsabile del trattamento dati, del gestore del motore di ricerca. Infatti, solo il primo, che ha la piena gestione del sito su cui è pubblicata la notizia, potrà rimuovere completamente dal web la notizia inesatta; il secondo, invece, potrà intervenire soltanto rimuovendo dai risultati di ricerca il link che rimanda alla relativa pagina web.

Ad ogni modo, se l’istante non ha ricevuto alcun riscontro dal titolare o dal responsabile del trattamento dei dati nei termini stabiliti dall’art. 12, par. 3, del Regolamento 2016/679/UE, ovvero, ritenga non soddisfacente la risposta ricevuta, potrà rivolgersi con ricorso all’autorità giudiziaria oppure presentare un reclamo all’autorità Garante per la Privacy ai sensi dell’art. 77 del Regolamento 2016/679/UE e degli artt. da 140 bis a 143 del D.lgs. 196/2003, cosiddetto Codice della Privacy.

Il ricorso ed il reclamo sono mezzi di tutela alternativi: il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria e, viceversa, la presentazione del reclamo al Garante rende improponibile un’analoga azione dinanzi all’autorità giudiziaria, ad eccezione del caso in cui abbia dato mandato di agire per suo conto ad una associazione senza scopo di lucro attiva nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali.

Reclamo al Garante: modalità di presentazione

La presentazione del reclamo è gratuita e potrà essere curata direttamente dall’interessato ovvero, per suo conto, da un avvocato, un procuratore, un organismo, un’organizzazione o un’associazione senza scopo di lucro, a cui abbia conferito apposita procura secondo le disposizioni previste dal codice di procedura civile.

Il reclamo, secondo quanto stabilito dall’art. 142 del Codice della Privacy, recentemente modificato dal D.lgs. 101/2018, dovrà contenere un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze relative alla vicenda denunciata, delle disposizioni normative che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare o del responsabile del trattamento, ove conosciuto.

Per la trattazione dei reclami aventi ad oggetto la violazione degli articoli da 15 a 22 del Regolamento 2016/679/UE, e dunque, anche del diritto all’oblio, il Garante ha predisposto modalità semplificate e termini abbreviati.

Le tempistiche della fase dell’istruttoria preliminare variano in base alla presentazione o meno da parte dell’interessato di una precedente richiesta di intervento sui suoi dati personali al titolare o al responsabile del trattamento.

Se la richiesta è stata presentata, il Garante, salvi i casi di inammissibilità o di manifesta infondatezza, da comunicazione al titolare o al responsabile del reclamo entro quarantacinque giorni dalla sua ricezione, invitandolo a sua volta a comunicare, nel termine di venti giorni, la propria eventuale adesione spontanea.

Laddove l’interessato non abbia preventivamente esercitato i diritti di cui agli art. da 15 a 22 del Regolamento 2016/679/UE, il Garante entro quarantacinque giorni dalla ricezione del reclamo, invita l’istante a rivolgersi comunque preliminarmente al titolare del trattamento, onde consentire un’adesione spontanea alle richieste dell’interessato.

All’istruttoria preliminare, segue poi il procedimento amministrativo formale, nel quale è instaurato un contraddittorio con il titolare o responsabile del trattamento.

Il procedimento viene definito dal Garante con l’adozione dei provvedimenti correttivi di cui all’art. 58, paragrafo 2, del Regolamento 2016/679/UE, nonché con l’irrogazione di una delle sanzioni amministrative di cui all’articolo 83 del medesimo Regolamento e di cui ai commi 1 e 2 dell’art. 166 del Codice della Privacy.

Il provvedimento emesso dal Garante è impugnabile con ricorso all’autorità giudiziaria ai sensi dell’art. 78 del Regolamento 2016/679/UE e art. 152 del Codice della Privacy.

Il ricorso contro il Garante potrà essere presentato anche nel caso in cui l’ufficio non abbia trattato un reclamo o non abbia informato nei termini l’istante dello stato o dell’esito del reclamo proposto.

A pena di inammissibilità, il ricorso deve essere proposto entro trenta giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito, ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Tutela del diritto all’oblio: il ricorso all’autorità giudiziaria

Nel caso, invece, in cui l’interessato intenda tutelare i suoi diritti per via giudiziaria, dovrà presentare un ricorso all’autorità giudiziaria ordinaria secondo quanto stabilito dall’art. 79 del GDPR e dall’art. 152 del Codice della Privacy.

La competenza spetta, in via alternativa, al tribunale del luogo in cui il titolare del trattamento risiede o ha sede, ovvero, il tribunale del luogo di residenza dell’interessato. Ai sensi dell’art. 10 del D.lgs. n. 150/2011, le controversie previste dall’articolo 152 del Codice della Privacy sono regolate dal rito del lavoro.

Aspetto peculiare della procedura è la comunicazione al Garante della Privacy della pendenza della controversia e la trasmissione della copia degli atti introduttivi. Ciò è previsto al fine di consentire all’autorità di controllo l’eventuale presentazione di osservazioni, da rendere per iscritto o in udienza, sulla controversia in corso con riferimento ai profili relativi alla protezione dei dati personali.

La sentenza che definisce il giudizio non è appellabile, può disporre anche la revoca o modifica di un atto amministrativo, senza che sia necessario il successivo ricorso alle competenti Autorità amministrative e può, infine, disporre in merito al risarcimento del danno spettante all’istante quale conseguenza dell’illecito trattamento dei suoi dati personali.

NOTE

  1. Corte di Giustizia dell’Unione europea, Sentenza 24 settembre 2019, n. 136/17; Corte di Giustizia dell’Unione europea, Sentenza 24 settembre 2019, n. 507/17
  2. Si ricordi che l’articolo 17, paragrafo 1, del Regolamento 2016/679/UE, che attribuisce all’interessato il diritto alla cancellazione dei dati non più attuali, non si applica nella misura in cui il trattamento in questione è necessario per uno dei motivi elencati nella prima disposizione, in particolare, per l’esercizio del diritto alla libertà di informazione, ai sensi dell’articolo 17, paragrafo 3, lettera a), di tale regolamento.
  3. Tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all’interessato entro 1 mese dal ricevimento della richiesta
WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 3