Il diritto alla cancellazione dei dati personali e le problematiche transnazionali
di Armando Bonalumi
PREMESSE: VASTITÀ, UNIVERSALITÀ E PERSISTENZA DEI DATI SUL WEB
L’irrefrenabile sviluppo della rete, quale potente veicolo di informazioni e di idee, ha condotto a uno stravolgimento della filiera dei dati personali, dapprima confinati in luoghi fisici circoscritti ed entro precisi ambiti territoriali.
Con l’avvento del terzo millennio e dell’impetuoso progresso della rivoluzione digitale, la vasta e trasversale platea degli utenti della rete si è in breve tempo fatta portavoce di istanze garantiste, in assenza di puntuali discipline tutelanti.
In una realtà in evoluzione, negli ordinamenti mondiali – infatti – si è assistito alla proliferazione di diritti connessi alla rete, la cui effettiva tutela, però, è stata subordinata all’adozione di discipline consapevoli dell’assunta portata universale del dato.
L’ingresso sulla scena dei motori di ricerca ha rapidamente mutato l’approccio degli utenti alla rete, introducendo modalità di utilizzo ricche di implicazioni problematiche: su tutte l’accessibilità delle informazioni in ogni tempo e in ogni luogo, valicando i tradizionali limiti della memoria umana.
Il dato, infatti, pur strettamente connesso al tempo e al luogo a cui si riferisce, ha assunto oggi sulla rete una dimensione assoluta, decontestualizzata, atemporale e in potenza lesiva della sfera di riservatezza dell’interessato. Vastità, universalità e persistenza dei dati sulla rete hanno propiziato i natali di una nuova declinazione della persona: l’identità digitale, spesso distante dall’identità personale del soggetto nella sua dimensione attuale.
A seguito di embrionali dichiarazioni di intenti e dei primi rudimentali strumenti normativi proposti in occasione di conferenze internazionali, ruolo chiave nella produzione di una disciplina transazionale sul tema è stato assunto dalle istituzioni dell’Unione Europea. Muovendo da un concetto di privacy quale diritto a impedire indebite intrusioni nella propria sfera di riservatezza e dall’esigenza di tutelare l’identità personale, in seno all’Unione è sorta la Direttiva europea 95/46/CE, prima forma di tutela continentale, a cui ha fatto seguito l’adozione, nell’ordinamento nazionale, della leggi n. 675/1996 e del D.lgs. 196/2003, al netto delle modifiche apportate dal D.lgs. 10 agosto 2018, n. 101, che ha uniformato la disciplina interna – il c.d. Codice della privacy – al dettato normativo dell’Unione.
L’ART. 17 GDPR E IL DIRITTO ALLA CANCELLAZIONE DEI DATI PERSONALI
A distanza di un decennio dalla pionieristica disciplina comunitaria, nel 2016 è stato adottato il Regolamento generale per la protezione dei dati personali n. 2016/679, al cui art. 17 viene sancito il diritto dell’utente a ottenere l’immediata cancellazione dei dati personali che lo riguardano venute meno le finalità che ne legittimavano il trattamento, nei casi di utilizzo contra legem o per mera revoca del proprio consenso al trattamento in assenza di un diverso e ulteriore fondamento giuridico che lo legittimi, quale l’esercizio del diritto di cronaca, l’esistenza di motivi di interesse pubblico o l’adempimento di un obbligo legale. Una declinazione del diritto all’oblio, sotto il profilo delle comuni tecniche di tutela, quindi, a cui la giurisprudenza nazionale e continentale hanno progressivamente teso le braccia, con decisioni in grado di stravolgere il rapporto tra utenti e giganti del web.
Il diritto all’oblio ha radici lontane, proprie di un’epoca in cui la memoria collettiva risultava ancora confinata al documento cartaceo. La sua tutela era immediata, quasi naturale, connessa all’intrinseca propensione al deterioramento del supporto. La nascita di Internet e lo sviluppo dei motori di ricerca ha, però, indotto lo sviluppo di strumenti giuridici atti a garantirlo.
Punto di non ritorno e tappa fondamentale dell’evoluzione normativa della materia è rappresentato dalla nota pronuncia Google Spain, un vero e proprio leading case. La Corte di Giustizia UE, nella pronuncia in esame, inquadrava i motori di ricerca quali soggetti responsabili del trattamento, aggravandone la responsabilità e mutandone strutturalmente le prassi operative, inducendoli ad adottare procedure di rimozione dei contenuti lesivi dei diritti degli utenti. Tale pratica ha preso il nome di de-indicizzazione: uno strumento in grado di comportare la minor visibilità possibile di alcuni contenuti ospitati sul web, impedendone la visualizzazione agli utenti dei motori di ricerca.
A distanza di un biennio dalla pronuncia, con l’adozione del GDPR, si è passati dalla centralità del consenso per il trattamento del dato a un suo più efficace controllo, in grado al contempo di favorirne la circolazione e di rafforzare i diritti in capo all’interessato: su tutti, quello di essere a conoscenza dell’utilizzo dei propri dati e delle modalità utilizzate.
All’art. 17 della predetta disciplina, rubricato “Diritto alla cancellazione (“diritto all’oblio”)”, la disciplina UE riconosce all’interessato il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo. In capo al titolare sorge l’obbligo di cancellare tempestivamente i dati personali conservati qualora questi non siano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati, qualora l’interessato revochi il proprio consenso al trattamento o a questo si opponga, in assenza di specifici fondamenti giuridici che lo richiedano, qualora i dati personali siano stati trattati illecitamente o per ottemperare a un obbligo legale.
Pertanto, in detti casi, il titolare dovrà senza indugi procedere alla cancellazione dei dati indebitamente conservati, adottando ogni soluzione tecnica alla luce della tecnologia disponibile e dei costi di attuazione, informando della richiesta dell’interessato anche tutti coloro i quali stiano parallelamente trattando i suoi dati, impegnandosi attivamente per la rimozione di qualsiasi link, copia o riproduzione degli stessi.
Detta disciplina trova espressa deroga nelle prescrizioni di cui al comma 3 dell’art. 17, nei casi, cioè, in cui il trattamento risulti necessario. Ciò avviene per l’esercizio del diritto alla libertà di espressione e di informazione, per l’adempimento di un obbligo legale, per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, qualora la cancellazione dei dato rischi di pregiudicare il conseguimento degli obiettivi di tale trattamento o, infine, per l’espletamento di attività di natura giudiziaria. In tali ambiti, preminenti risultano gli interessi alla tutela di posizioni giuridiche costituzionalmente rilevanti, quali il diritto alla libertà di espressione e il diritto di cronaca, di cui all’art. 21 Cost., il diritto di difesa in sede giudiziaria, di cui all’art. 24 Cost.; la tutela della salute pubblica, di cui all’art. 32 Cost. Il diritto, infine, subisce una compressione anche alla presenza di adempimenti previsti dalla legge, quali la conservazione pluriennale di documentazione fiscale o contrattuale[1], o per l’esecuzione di un compito svolto nel pubblico interesse o nell’esercizio di pubblici poteri.
Al netto dell’esame dei presupposti per l’esercizio del diritto in esame e delle sue deroghe, appare utile un conciso approccio casistico. La necessità del trattamento rispetto alle finalità per cui i dati sono stati raccolti o trattati rappresenta un presupposto necessario: ad esempio, qualora un soggetto ordini un prodotto online e comunichi il proprio indirizzo e i propri dati soltanto per questo scopo, omettendo volontariamente di acconsentire a trattamenti di diversa natura, il titolare non potrà in seguito utilizzare questi dati per inviare comunicazioni di natura pubblicitaria.
LA CIRCOLAZIONE INTERNAZIONALE DEI DATI E LA SUA LEGITTIMITÀ
La portata del dato personale, al pari delle relazioni economiche che ne presuppongono lo sfruttamento, ha assunto una dimensione globale. I dati, oggi, non risultano più confinati entro precisi confini geografici o politici, ma spiegano i propri effetti in macro-aree fluide. Prendendone atto, il GDPR, a garanzia dei diritti dei cittadini dell’UE, si è premurato di disciplinare i trasferimenti dei loro dati verso Stati terzi, come tali non soggetti alle tutele comunitarie.
All’assunta portata universale del dato, infatti, non ha fatto seguito la parallela estensione dei diritti degli utenti che popolano la rete, su tutti quello di cancellazione: esaminando le diverse ricostruzioni dottrinali del concetto di privacy adottate dall’ordinamento dell’Unione e da quello degli Stati Uniti, emergono sostanziali differenze, dalle quali scaturiscono tutele disomogenee[2]. Da queste tensioni tra tutela del diritto all’informazione e diritto riservatezza hanno preso forza le istanze di un bilanciamento dei diritti su scala internazionale. Nel solco di questo dibattito si è innestato il GDPR, che con la sua disciplina mira a garantire la massima forza espansiva dei diritti dell’Unione.
Per ovviare a un sistema di tutele a due velocità, diverse sarebbero le possibili soluzioni in grado di contribuire all’universalizzazione delle tutele degli utenti: su tutte, risoluzioni sovranazionali e strumenti pattizi, la cui adozione presupporrebbe però la comune condivisione di principi e la collettiva presa di coscienza dell’insostenibilità dell’attuale condizione.
Scorrendo il Preambolo della Dichiarazione dei Diritti in Internet, redatta nel 2015 da un’apposita Commissione costituita presso la Camera dei Deputati, infatti, anche sul fronte interno si riscontra una manifesta consapevolezza del ruolo chiave giocato dalla rete, descritta come “una risorsa globale e che risponde al criterio della universalità […]; strumento essenziale per promuovere la partecipazione individuale e collettiva ai processi democratici e l’eguaglianza sostanziale”. Come affermato dal Presidente dell’Autorità Garante per la Protezione dei dati personali, la consapevolezza dei diritti nello spazio digitale è sempre di più legata alla nostra quotidianità. Tutelare i dati personali, pertanto, non può che rispondere al più ampio fine di difendere la libertà del singolo da un utilizzo inopportuno della rete.
Il repentino sviluppo della rete ha ridefinito lo spazio pubblico e privato, riorganizzando i rapporti interpersonali e interistituzionali, promuovendo una sempre maggiore democraticità e gli ideali libertà, eguaglianza, dignità e diversità di ogni persona, nonché la nascita di un nuovo spazio economico in grado di garantire costante innovazione, crescita e corretta competizione.
Con l’avvento delle innovazioni tecnologiche nel campo dell’informazione e della comunicazione, la rivoluzione della geografia globale dell’economia digitale fondata sui dati è stata repentina: i dati rappresentano il cuore pulsante dell’epoca dell’Internet of Things, con la quantità delle informazioni raccolte e il possesso degli strumenti in grado di acquisirle a determinare il potere socioeconomico degli operatori. Il mercato dei dati è oggi governato da un sistema oligopolistico delle cc.dd. imprese over the top, che si nutrono delle numerose tracce lasciate dagli utenti sul web con il prezioso supporto di soluzioni tecnologiche quali geolocalizzatori, droni e dispositivi smart che elaborano, in tempo reale, informazioni emotive e dinamiche.
Affatto indifferente a dette dinamiche e ai rischi ad esse sottesi, il GDPR ha dettato una dettagliata regolamentazione per flussi transfrontalieri dei dati personali, dedicandovi il Capo V.
Sebbene il Regolamento non detti alcuna definizione di trasferimento, pare indubbio che nella categoria di flusso transfrontaliero dei dati debba rientrarvi unicamente la comunicazione diretta a destinatari specifici, giacchè una più ampia definizione condurrebbe la norma ad assumere portata generale, coinvolgendo tutti i dati personali pubblicati sulla rete.
Mentre la circolazione dei dati all’intero dello Spazio Economico Europeo è libera, vige un generale divieto di trasferimenti extra SEE, escluso soltanto in presenza di specifiche garanzie, di cui all’art. 44 del GDPR: soltanto in presenza di adeguati livelli di protezione.
In primis, ciò avviene quando l’ordinamento del paese terzo garantisca un livello di protezione dei dati adeguato a quello europeo. La valutazione di adeguatezza è rimessa alla Commissione Europea che, di concerto con l’European Data Protection Board, potrà anche suggerire l’adozione di modifiche normative che consentano il raggiungimento di un accordo[3].
Con riferimento ai trasferimenti UE-USA, al netto del pregresso Safe Harbour, dall’agosto 2016 vige il Privacy Shield, un accordo stipulato tra Commissione Europea e Dipartimento del Commercio USA per tutelare la riservatezza dei dati dei cittadini europei in caso di loro trasferimento negli States per scopi commerciali.
All’art. 46, il GDPR prevede un’ulteriore possibilità di trasferimento dei dati personali verso nazioni terze i cui ordinamento non offrano adeguati livelli di protezione: nei suoi rapporti con imprese con sede in stati terzi, infatti, il titolare del trattamento di un’azienda UE può stipulare contrattualmente clausole in grado di offrire un sufficiente livello di protezione.
In alcune ipotesi, detti accordi non necessitano di alcuna autorizzazione dell’autorità di controllo nazionale: quando siano contenuti in uno strumento giuridicamente vincolante; quando riporti le clausole tipo di protezione dei dati adottate dalla Commissione o da un’autorità di controllo e in seguito dalla Commissione approvate (c.d. standard contractual clauses o SCCs); quando sia stato adottato e applicato un codice condotta o un meccanismo di certificazione.
In altre ipotesi, invece, l’autorizzazione dell’autorità di controllo è necessaria: in presenza di clausole ad hoc tra il titolare o il responsabile del trattamento e il destinatario dei dati personali nel paese terzo, oppure in presenza di disposizioni che confluiscono in accordi amministrativi tra enti pubblici che prevedono diritti azionabili dagli interessati.
Ulteriore e conclusiva possibilità di trasferimento extra SEE, infine, è offerta dall’adozione di norme vincolanti di impresa (c.d. binding corporate rules o BCR), che trovano esclusiva applicazione per i trasferimenti infragruppo, quando una di queste si trovi al di fuori dell’UE. Tali clausole dovranno essere sottoposte alle autorità di controllo.
Al netto della regola generale dell’adeguatezza, all’art. 49 il GDPR detta alcune deroghe espresse che permettono il trasferimento di dati all’estero: il consenso informato dell’interessato; la necessità del trasferimento per dare seguito all’esecuzione del contratto o delle misure precontrattuali; motivi di interesse pubblico riconosciuto dallo Stato membro del titolare o dal diritto dell’Unione; la necessità di accertare, esercitare o difendere un diritto in sede giudiziaria; la tutela degli interessi vitali dell’interessato o di altri, qualora questi si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; i dati siano conservati in un registro pubblico.
SOLUZIONI FUTURE E DISCIPLINE PATTIZIE
Mosse dal tentativo di scongiurare l’adozione di soluzioni draconiane, i monopolisti della rete hanno in questi anni presentato diverse proposte di autoregolamentazione, tra cui quella di istituire presso le Nazioni Unite un Global Privacy Counsel.
Arginato il rischio di affidare la regolamentazione della materia alla sensibilità degli operatori, l’avvento della disciplina UE ha rappresentato il primo tentativo di disciplina transnazionale sul tema, in grado anche – come più volte rilevato – di produrre effetti al di fuori del territorio di competenza delle istituzioni UE.
Come sovente accade, il diritto si trova a dover inseguire affannosamente i mutamenti delle materie che disciplina: un limpido esempio di dette dinamiche ci viene offerto dalla rivoluzione digitale. In un simile quadro, tra sistemi giuridici eterogeni e singoli istituti divergenti, sorge la necessità di stabilire regole comuni, che prendano atto dell’aterritorialità della rete e assicurino l’estensione dei diritti su scala globale. Sebbene la giurisprudenza, interna e sovranazionale, abbia sino ad oggi operato per colmare le lacune e le antinomie, permettendo alla disciplina di evolversi di pari passo con l’evoluzione tecnologica, demandarle la totalità dei compiti potrebbe comportare risultati in netto contrasto con gli obiettivi di universalizzazione delle tutele: tutele diverse, in tempi diversi.
La società dell’informazione, nella tenace difesa dei valori di libertà e conoscenza, rappresenta il punto di scontro tra hard law e soft law: sebbene un complesso di norme e regolamenti vincolanti offra ampie garanzie di stabilità e affidabilità, norme non vincolanti – pattizie – veicolo di principi generali e di vincoli finalistici potrebbero rappresentare oggi la più efficace soluzione ai problemi della rete, nonché un solido argine all’erosione dei diritti fondamentali. Norme, cioè, in grado di garantire ampi spazi di autonomia in vista del conseguimento degli obiettivi prefissati, garantendo la massima armonizzazione delle tutele all’interno dei singoli ordinamenti nazionali e, parimenti, la massima propensione all’adattamento alle innovazioni tecnologiche.
Sulla scia del Regolamento Europeo 679/2016 e delle citate disposizioni bilateralmente adottate per bilanciarne l’operatività negli ordinamenti terzi, con il necessario contributo delle Nazioni Unite la massima garanzia dei diritti degli utenti potrà essere in un futuro a breve termine garantita dalla stipula di una convenzione internazionale, che assicuri sistemi rapidi, flessibili e proiettati verso il futuro, in gradi di realizzare la più ampia opera di prevenzione possibile. Una disciplina, cioè, finalmente in grado di consentire – a prescindere dalle latitudini – che rivoluzione digitale e diritti fondamentali viaggino alla stessa velocità.
[1] Si pensi, ad esempio, ai termini di conservazione dei documenti a rilevanza fiscale, dettati ai sensi dell’art. 3, c. 3, del D.M. 17 giugno 2014, che a sua volta rinvia all’art. 7, c. 4 ter, del D.L. n. 357/1994, che detta termini da pochi mesi fino a dieci anni, fino a prescriverne, in alcuni casi, la conservazione illimitata. Simili disposizioni si riscontrano, ad esempio, in ambito medico e sanitario, in riferimento documenti conservati su qualsiasi tipo di supporto, siano essi analogici, quali carta, lastre o microfilm, o documenti digitali, nativi o in seguito digitalizzati, quali scansioni o fotografie. La violazione di dette prescrizioni, infine, operate da PA e Pubblici ufficiali, potrebbero persino integrare una fattispecie penalmente rilevante di cui all’art. 490 c.p. Cfr. L. Sacchetti, Privacy: nodi e scioglimenti, con particolare riferimento alla tutela dei minori, Famiglia e Diritto n. 3/1998.
[2] L. Miglietti, Il diritto alla privacy nell’esperienza giuridica statunitense ed europea, Edizioni Scientifiche Italiane, 2014. Cfr.G. Cascella, Personalità e privacy: diritto nazionale e comparato, in Persona & Danno, 2009.
[3] L’elenco delle decisioni di adeguatezza adottate dalla Commissione è consultabile sul sito internet del Garante delle Privacy, all’indirizzo: https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi#1
