Articoli

Diritto all’oblio: a che punto siamo?

Avv. Vincenzo Colarocco

L’Autorità Garante Italiana, con provvedimento del 24 luglio 2019 n. 153, afferma il principio secondo il quale il diritto all’oblio va riconosciuto anche a chi è stato riabilitato dopo una condanna.

Nel caso oggetto della pronuncia, l’interessato, dopo aver tentato di far deindicizzare le pagine direttamente a Google, si era rivolto all’Autorità lamentando il pregiudizio derivante alla propria reputazione personale e professionale dalla permanenza in rete di informazioni obsolete e non aggiornate. Per questo motivo aveva chiesto al Garante di ordinare a Google la rimozione dai risultati di ricerca di due Url, reperibili digitando il proprio nominativo, che contenevano informazioni su una vicenda giudiziaria che lo aveva visto coinvolto nel 2007 e sulla sentenza di condanna pronunciata nei suoi confronti nel 2010. Nelle pagine web però non vi era alcuna traccia della successiva riabilitazione che l’uomo aveva chiesto e ottenuto nel 2013. L’Autorità, nel giudicare fondato il reclamo, ha ordinato la deindicizzazione, sulla base della considerazione che l’ulteriore trattamento dei dati realizzato attraverso la persistente reperibilità in rete degli Url contestati, nonostante la riabilitazione e il tempo trascorso dal verificarsi dei fatti, determinasse un impatto sproporzionato sui diritti dell’interessato, peraltro non bilanciato da un attuale interesse del pubblico a conoscere la vicenda.

Vero è che l’attività di informazione presenta in molti casi profili di conflitto con il diritto alla riservatezza dei soggetti cui le notizie diffuse si riferiscono, da cui la necessità di individuare il giusto equilibrio tra i contrapposti interessi di rango costituzionale. Il diffondersi della memoria digitale e la capacità dei motori di ricerca di mettere in correlazione una molteplicità di informazioni che attengono a una medesima persona, la permanenza delle notizie diffuse tramite internet e la facilità di fruibilità da parte degli utenti del materiale divulgato, pongono sempre in nuovi termini la problematica della tutela dei dati sensibili. In questo contesto, assume rilevanza il diritto all’oblio, considerato quale peculiare espressione del diritto alla riservatezza e del legittimo interesse di ciascuno a non rimanere indeterminatamente esposto ad una rappresentazione non più attuale della propria persona derivante dalla reiterata pubblicazione di una notizia, con pregiudizio alla propria reputazione e riservatezza. A ben guardare, tali circostanze assumono un rilievo di particolare importanza se si ha a riguardo la permanenza in rete di notizie di cronaca giudiziaria, non aggiornate, potendo rappresentare altresì un ostacolo al reinserimento sociale della persona.

Ed infatti, nel caso di specie, la persistenza in rete di tali informazioni giudiziarie non aggiornate non è in linea con i principi alla base dell’istituto della riabilitazione, il quale, pur non estinguendo il reato, comporta il venir meno delle pene accessorie e di ogni altro effetto penale della condanna come misura premiale finalizzata al reinserimento sociale della persona.

L’Autorità garante per la privacy multa Rousseau, piattaforma del partito M5S

Avv. Vincenzo Colarocco

Con il provvedimento n. 83 del 9 aprile 2019 il Garante privacy offre preziosi spunti e raccomandazioni da tenere in debita considerazione per lo svolgimento della “Privacy Impact Assessment” (c.d. “PIA”, cfr. art. 35 GDPR) e per l’adozione di misure di sicurezza tecniche e organizzative idonee a garantire la protezione dei dati personali (cfr. art. 32 GDPR).

Nel caso di specie l’Autorità, chiamata a pronunciarsi in merito all’adeguatezza dei sistemi informatici riferiti alla piattaforma Rousseau e ad altri siti connessi al “Movimento 5 Stelle”, ha prescritto l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti di tali siti web conformi ai principi della disciplina in materia di protezione dei dati personali, a tal fine ingiungendo all’”Associazione Rousseau” “quale responsabile del trattamento e in tale qualità trasgressore, il pagamento entro 180 giorni dalla data di ricezione del presente provvedimento, di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento”.

L’Autorità, in particolare, ha ritenuto che, malgrado un sostanziale innalzamento dei livelli di sicurezza inizialmente previsti nell’ambito dei siti web oggetto del provvedimento n. 548 del 21 dicembre 2017, il trattamento di specie fosse comunque posto in essere in violazione della normativa vigente. Tanto in virtù dell’evidenza che il detto trattamento aveva ad oggetto anche dati particolari di cui all’art. 9 del GDPR e che la violazione si protraeva per un tempo significativo, interessando un rilevante numero di soggetti, riscontrandosi quindi una carenza di misure tecniche ed organizzative nonché l’utilizzo di sistemi e dispositivi obsoleti. Infatti, tale circostanza, unitamente a quanto rilevato in materia di auditing informatico, renderebbe evidente come le misure adottate -consistenti in procedure organizzative o comunque non basate su automatismi informatici- lasciando esposti i risultati delle votazioni ad accessi ed elaborazioni di vario tipo, non garantirebbero l’adeguata protezione dei dati personali relativi alle votazioni online.

Tanto premesso il Garante, in conformità con quanto previsto dall’art. 32 del GDPR, ha accertato il “mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiuti” nonché la “condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione delle piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai solo dati necessari nei diversi ambiti di operatività”.