Articoli

Il delicato equilibrio del diritto all’oblio: pubblicate le nuove Linee Guida per i motori di ricerca

Avv. Vincenzo Colarocco

Concordemente con quanto previsto ai sensi dell’art. 70, par. 1, lett. e) del Regolamento UE 679/2016 (“GDPR”), il Comitato Europeo per la protezione dei dati (“EDPB” o il “Comitato”), in data 2 dicembre 2019, ha adottato delle linee guida riguardo al rapporto tra diritto all’oblio e motori di ricerca (in seguito le “Linee Guida”, rinvenibili, in lingua inglese, al seguente link: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-52019-criteria-right-be-forgotten-search_it). Obiettivo delle Linee Guida è quello di fornire una corretta interpretazione del diritto all’oblio (ex art. 17 GDPR) e del diritto di opposizione al trattamento (ex art. 21 GDPR) alla luce di quanto statuito dalla Corte di Giustizia Europea all’esito del noto caso C-131/12 (Google Spain SL e Google Inc. c. Agencia Española de Protección de Datos “AEPD” e Mario Costeja González, sentenza del 13 maggio 2014). In premessa l’EDPB evidenzia come ciascuna richiesta di cancellazione dovrà rintracciare la propria legittimazione nell’ampio novero di casistiche previste dall’art. 17 GDPR, precisando come, nella prassi, risulteranno più frequenti – nonché più pertinenti – alcune basi legali piuttosto che altre. Ad esempio il Comitato sottolinea come, nel caso in cui un interessato ritenga che una notizia a sé afferente risulti ormai obsoleta, potrà motivare la propria richiesta di oblio dai motori di ricerca in forza della previsione di cui all’art. 17, par. 1, lett. a) GDPR concernente i casi in cui i “dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati”. Al contrario, sembra improbabile che una richiesta di cancellazione venga presentata in forza di una revoca del consenso in precedenza espresso (ex art. 17, par. 1, lett. b) GDPR) poiché, qualora effettivamente sussista un consenso a legittimare il trattamento, tale consenso sarà stato fornitore all’editore web e non al motore di ricerca che indicizza i dati. Le Linee Guida, quindi, si concentrano sulle ipotesi in cui, in linea con quanto disposto ai sensi dell’art. 17, par. 3, GDPR i titolari del trattamento possono non dar seguito ad una richiesta di cancellazione. Tra le dette circostanze – complessivamente ricavabili dal summenzionato articolo – l’EDPB si focalizza sulla casistica più complessa: il bilanciamento tra il diritto all’oblio e il diritto alla libertà di espressione e di informazione rilevando come, inevitabilmente, nell’ambito della detta valutazione, rileveranno una pluralità di fattori quali: la natura dei dati in questione ed il relativo grado di “sensibilità”; il concreto interesse degli utenti di internet nell’accedere alle informazioni di cui si richiede la cancellazione; l’eventuale ruolo pubblico rivestito dall’interessato richiedente.

Un’opera collettiva a tutela della nostra privacy. Discorso del Presidente Soro in occasione della presentazione della relazione annuale

Avv. Vincenzo Colarocco

Il 7 maggio, alle ore 11:00, il Presidente del Garante per la protezione dei dati personali, Antonello Soro ha presentato al Parlamento e al Governo la relazione annuale dell’Autorità.

Dalle parole del Presidente è sembrato emergere che la rinnovata attenzione mostrata negli ultimi tempi alla privacy, in parte dovuta all’applicazione di una normativa non più solo nazionale, ha cristallizzato una certa consapevolezza: il dato è tanto l’oggetto di un diritto inviolabile quanto un bene suscettibile di valutazione economica, capace di produrre ingenti profitti. La stragrande maggioranza dei nostri dati è nella disponibilità di piattaforme digitali; l’unico modo per evitare un’inutile quanto infruttuosa guerra alla digitalizzazione, è scommettere sia sulla persona che sul progresso, nella prospettiva di trovarne un giusto bilanciamento. Il Dott. Soro, infatti, conferma che se è vero che le tecnologie e le innovazioni digitali condizionano le scelte delle persone fisiche, sia come singoli sia come appartenenti ad una collettività, è anche vero che delineano l’esercizio della sovranità. La razionalizzazione e l’armonizzazione, soprattutto a livello europeo, del quadro giuridico di riferimento, compendiato dalla predisposizione di misure efficaci, sono gli unici strumenti in grado di prevenire “totalitarismi digitali” e “capitalismi della sorveglianza”.

Vicende come Facebook-Cambridge Analytica dimostrano che l’assoluta prevalenza accordata a sistemi predittivi, funzionanti sulla base di algoritmi privi di qualsiasi intermediazione umana, potrebbe certamente mettere a repentaglio la stessa forma democratica, se sottratti ad un progetto etico giuridico e politico. Per tali ragioni, il Presidente ha affermato che seppur debba essere riconosciuta “l’inadeguatezza di un algoritmo a svolgere valutazioni necessariamente discrezionali e complesse”, si deve anche comprendere che il processo d’informatizzazione è troppo prezioso per il nostro Paese per potervi del tutto rinunciare. Da ciò nasce l’esigenza di renderlo “pienamente compatibile con i principi di proporzionalità e minimizzazione”.

Sebbene il Collegio guardi con occhio critico talune scelte legislative – un esempio tra tutti la data retention – perché talvolta miopi rispetto all’osservanza dei principi ricordati, tuttavia riconosce che tanto è stato fatto.

In questo senso, il Presidente ricorda le previsioni che consentono di richiedere, con una procedura particolarmente agile, la cancellazione o rettifica dei dati illegittimamente trattati in ambito giudiziario penale; l’adozione di alcune garanzie essenziali, omogenee per tutti gli uffici giudiziari, per impedire, in fase d’indagini, fughe di notizie pregiudizievoli anche della riservatezza individuale; la legge sul cyberbullismo, che ha valorizzato l’esigenza di tutela in forma specifica dell’immagine e dell’identità del minore; le disposizioni in tema di videosorveglianza negli asili per prevenire gli abusi; le nuove forme di esercizio del potere di vigilanza disciplinate con il protocollo d’intenti siglato con il Dis nel novembre 2013 e i costanti solleciti dell’Autorità al legislatore in alcune materie particolarmente sensibili come quella concernente il fenomeno del giornalismo di trascrizione; le disposizioni che, mirando ad appianare le asimmetrie contrattuali, garantiscono anche la tutela della riservatezza. Si pensi alla possibile qualificazione, come pratiche commerciali scorrette, le informative reticenti o, come abuso di posizione dominante, le illecite concentrazioni di data set anche di terze parti; allo Statuto dei lavoratori, come modificato dal Jobs Act; alle previsioni che regolamentano il tessuto endo-associativo dei partiti politici

Tuttavia, la regolamentazione non è tutto o meglio non basta. Il Garante ricorda come il 2018 è stato definito, dal Clusit, l’anno peggiore per la sicurezza cibernetica, così costantemente esposta a minacce tanto da configurare una sorta di cyber-guerriglia permanente. Se è vero che “il diritto alla protezione dei dati personali viene sempre più invocato di fronte alle innumerevoli “servitù volontarie” cui rischiamo di consegnare noi stessi, in cambio di utilità e servizi che paghiamo al prezzo di porzioni piccole o grandi della nostra libertà”, ne consegue che la consapevolezza di tutti noi è di cruciale importanza e occorre porsi come obiettivo la tutela di questo diritto di libertà, che diviene forma e regola dell’agire individuale e collettivo. “A quest’obiettivo nessuno può sentirsi estraneo: perché involge il senso stesso del nostro essere persona e la natura della società in cui viviamo”.