GDPR: Quando si applica il diritto all’oblio (Guida al GDPR 3.3)

Il diritto all’oblio, inizialmente riconosciuto soltanto a livello giurisprudenziale sia in campo europeo che nazionale, con l’entrata in vigore del nuovo Regolamento Generale sulla Protezione dei Dati Personali (RGPD) riceve finalmente un’espressa regolamentazione che ne indica portata e limiti.

Questo diritto, che non ha carattere assoluto in quanto dev’essere inevitabilmente contemperato con altri interessi (primo fra tutti il diritto alla libertà di espressione e di informazione), può essere definito come l’interesse di un singolo ad essere dimenticato. La sua esplicazione consiste infatti nella cancellazione dei propri dati personali e nella pretesa che tali informazioni non vengano più fatte oggetto di trattamento: in particolare, qualora si rientro nell’ambito di un trattamento on line, tale diritto si realizza attraverso la rimozione dei contenuti, dalle varie pagine web, di precedenti informazioni relative ad un interessato.

Il tema, prima della sua esplicita regolamentazione, è stato più volte portato all’attenzione dei giudici e, prima la Corte di Giustizia a livello europeo, poi la Cassazione a livello nazionale, ne avevano già delineato limiti e portata, tracciando, a grandi linee, la stessa disciplina che adesso si rinviene all’interno del RGPD.

Il diritto all’oblio oggi riceve dunque un’espressa e precisa regolamentazione nell’art. 17 (intitolato “Diritto alla cancellazione («diritto all’oblio»), secondo il quale: “1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1. 2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. 3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario: a) per l’esercizio del diritto alla libertà di espressione e di informazione; b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3; d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”),che ne specifica la portata, i presupposti e le limitazioni.

In primo luogo, questo diritto si configura come diritto alla cancellazione dei dati personali: in sostanza, al ricorrere di una delle condizioni previste dal GDPR, i soggetti interessati potranno esigere la cancellazione dei propri dati personali da parte del titolare del trattamento, sul quale ricade l’obbligo di attivarsi in tal senso senza ritardo.

Ad esempio, l’interessato può richiedere la cancellazione dei dati personali che lo riguardano quando:

  • i dati non sono più necessari rispetto alle finalità per le quali furono raccolti o trattati: ad esempio, se ordino un prodotto online e comunico il mio indirizzo soltanto per questo scopo, il titolare non potrà poi utilizzare questo dato per inviarmi dei dépliant pubblicitari. Qualora lo faccia, potrò chiedere che proceda a cancellare tali informazioni, non essendo più legittimato a conservarne traccia;
  • l’interessato ha revocato il consenso e non sussiste altro fondamento giuridico per il trattamento. Anche in questo caso la situazione è semplice: se prima acconsento, ad esempio, all’invio di materiale pubblicitario e poi cambio idea, oppure se non ha più efficacia un contratto precedentemente in essere, il titolare non può legittimamente continuare a trattare i miei dati e io posso chiederne la cancellazione;
  • l’interessato si oppone al trattamento dei dati (sul tema si invita a leggere l’apposito approfondimento a seguire) e non sussiste alcun motivo legittimo prevalente per proseguire tale trattamento;
  • dati sono stati trattati illecitamente: in presenza di una qualsiasi violazione della normativa in tema di protezione di dati personali, il titolare non può continuare ad utilizzare tali informazioni e ciascun interessato può chiederne quindi la cancellazione;

A questo diritto si associa, ovviamente, l’obbligo in capo al titolare del trattamento di cancellare i dati, ma anche, e questo può risultare problematico, di comunicare la richiesta di cancellazione agli altri titolari che stiano trattando quelle informazioni. Si capisce, infatti, che se l’obiettivo è quello di interrompere definitivamente ogni trattamento relativo a quei dati (e abbiamo visto che sostanzialmente l’interessato può farlo quando mancano i presupposti per un trattamento legittimo) ed impedirne un futuro utilizzo, è necessario che sia eliminato qualsiasi link, copia o riproduzione dei dati oggetto della richiesta. Diversamente il diritto dell’interessato potrebbe essere agevolmente eluso dai vari titolari in possesso di quelle informazioni.

Il diritto all’oblio non può peraltro essere esercitato in modo assoluto: come precisato infatti in alcune ipotesi eccezionali risulteranno prevalenti altri diritti. L’esercizio di tale diritto potrà, in particolare, essere limitato o impedito nel caso in cui il trattamento dei dati sia necessario:

  • per l’esercizio del diritto alla libertà di espressione e di informazione;
  • per l’esercizio del diritto di difesa in sede giudiziaria;
  • per motivi di interesse pubblico generale di tutela della salute pubblica;
  • per l’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse o nell’esercizio di pubblici poteri.

Si intuisce già che i problemi principale, come verificatosi finora, anche in assenza di espressa previsione, si presenteranno per effettuare un bilanciamento tra il diritto all’oblio e il diritto all’informazione. Resterà sul punto da vedere come questa norma verrà applicata concretamente dalle Autorità nazionali: è probabile, peraltro, che un grosso aiuto verrà da un’interpretazione complessiva dei principi a fondamento del GDPR, in particolare dal rispetto dei principi di esattezza dei dati e di liceità del trattamento. Una violazione di tali norme spingerà infatti verso una prevalenza della protezione di dati personali, in quanto il trattamento effettuato sarà da considerare illegittimo.

Infine, un’altra ipotesi specifica prevista dal GDPR al ricorrere della quale il diritto all’oblio è destinato a soccombere si verifica quando i dati siano necessari a fini di archiviazione, di ricerca storica o scientifica o di analisi statistica: si noti, però, che in questo caso i dati potranno essere utilizzati una volta resi anonimi.

Come previsto poi dall’art. 19 (“Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda”), il titolare del trattamento dovrà comunicare l’avvenuta cancellazione dei dati personali anche ai destinatari ai quali tali dati siano stati trasmessi, a meno che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Inoltre, se c’è la richiesta dell’interessato, il titolare del trattamento gli dovrà comunicare informazioni relative a tali destinatari per rendere possibile un controllo diretto ed una verifica particolare da parte dello stesso interessato.

 Fonte: dirittodellinformatica.it

Related Articles