Come già precisato nell'articolo pubblicato la settimana scorsa, a partire dal 25 maggio il GDPR 679 del 2016 sarà pienamente operativo. Tra le grandi novità introdotte dallo stesso regolamento, troviamo da un lato il principio di accountability da parte del titolare dei dati, dall'altro il riconoscimento del diritto all'oblio, che può essere esercitato da chi è il naturale titolare di dati personali.

Riteniamo doveroso precisare che si tratta di un regolamento che riguarda tutti coloro (persone fisiche e persone giuridiche) che in qualche modo trattano dati sensibili (in vario modo) della persona.

Quindi, invitiamo anche e soprattutto gli Enti di terzo settoree alle Piccole e medie Imprese a provvedere tempestivamente all'adeguamento delle procedure e modalità di trattamento, conservazione e trasmissione di dati appartenenti a persone che a vario titolo sono in contatto con l'ente stesso al fine di evitare severe sanzioni!!

In cosa consiste il diritto all'oblio?

Il diritto all’oblio di cui all’art. 17 del GDPR è, in realtà, in il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale.

Esso, da un lato, conferma e adegua al mondo digitale punti fermi del diritto alla cancellazione dei dati quando essi non sono più necessari alle finalità per cui sono stati raccolti, o quando viene revocato il consenso e i dati non possono essere trattati dal titolare su una base giuridica diversa.

A questi due punti fermi, classici e fondamentali del diritto dell’interessato alla cancellazione dei propri dati il nuovo GDPR aggiunge anche il diritto di opposizione dell’interessato, a condizione che non sussista alcun interesse legittimo prevalente del titolare (art. 21, paragrafo1), oppure l’opposizione abbia come riferimento i dati trattati per finalità di marketing diretto.

Si aggiunge, inoltre, il diritto alla cancellazione in casi previsti esplicitamente da leggi degli Stati, ex art. 6, paragrafo 1, o il caso dei dati trattati in base all’art. 9, paragrafo 2, lettera a), che riguarda i dati un tempo detti “sensibili” che richiedono un consenso che l’interessato ha dato a suo tempo e che ora revoca.

Infine, la norma precisa anche che la cancellazione è obbligatoria quando i dati siano stati raccolti in base all’art.8, paragrafo 1, e cioè rispetto a servizi offerti dalla società dell’informazione a minori di anni 16 (o dell’età che ciascun Stato potrà fissare purché non inferiore a 13 anni) senza il consenso di chi ha la responsabilità genitoriale.

Alcune doverose precisazioni sul diritto all'oblio

La vera novità riferita a questo fondamentale diritto che viene riconosciuto al cittadino, è il dovere specifico posto a carico del titolare che riceva una richiesta di cancellazione quando i dati che ne sono oggetto siano stati “resi pubblici” dal titolare stesso.

L’art. 17 paragrafo 2 impone al titolare non solo di cancellare i dati (sempre ovviamente che ritenga la richiesta legittima per quanto lo riguarda). Egli deve anche, “tenuto conto della tecnologia disponibile e dei costi di attuazione”, adottare “misure ragionevoli, anche tecniche” per informare della richiesta che gli è pervenuta anche gli altri eventuali titolari che stanno utilizzando i dati a lui resi pubblici.

Questo obbligo, ovviamente, sussiste quando la richiesta dell’interessato abbia ad oggetto la cancellazione di “qualsiasi link, copia o riproduzione dei suoi dati personali”.

La norma, infatti, pone a carico del titolare in questione, l’obbligo di diventare in “intermediario necessario” tra l’interessato e chiunque stia trattando i dati di questo.

Ciò ovviamente se i dati oggetto della richiesta sono stati resi pubblici dal titolare stesso, ed egli è a conoscenza che altri titolari li stiano trattando.

L’obbligo di segnalazione scatta sempre quanto l’interessato non si sia limitato a chiedere solo la cancellazione dei suoi dati da parte del titolare a cui si rivolge, ma domanda la cancellazione di “qualsiasi immagine, copia o riproduzione dei suoi dati personali”.

Quindi va innanzitutto valutato l’oggetto della richiesta dell’interessato.

In secondo luogo, occorre che il titolare sia a conoscenza di quali sono gli altri titolari che stanno trattando i dati sulla base del fatto che lui li ha “resi pubblici”.

In terzo luogo, il titolare destinatario della richiesta sembra avere solo il dovere di segnalazione, lasciando ovviamente alla responsabilità degli altri titolari valutare se essa debba o no essere accolta anche da loro, tenendo conto della base giuridica specifica in virtù della quale ciascuno di essi operando.

La norma sembra porre implicitamente anche altre limitazioni rispetto al dovere del titolare che ha reso pubblici i dati.

Egli infatti sembrerebbe non essere tenuto a comunicare all’interessato di aver ottemperato all’obbligo di segnalazione ad altri titolari, anche se forse il principio di trasparenza dell’art. 12 e l’accountability dell’art.5 paragrafo 2, potrebbero far ritenere che il dovere di informativa debba essere in qualche modo tenuto in conto.

Inoltre, il titolare a cui è stata rivolta la richiesta ha solo il dovere di segnalazione, non anche quello di accertarsi del comportamento degli altri titolari e di informare di questo l’interessato.

Infine, anche il dovere di segnalazione trova un limite nella tecnologia disponibile e dei costi di attuazione ragionevoli.

Come si vede l’art. 17 non riguarda dunque tanto il diritto all’oblio come generalmente inteso ma contiene una innovazione estremamente importante, legata direttamente alla società digitale, ferme restando le esenzioni contenute nel paragrafo 3 e che meriterebbero una trattazione a parte.

La vera novità, che consente anche di parlare in senso lato di “diritto all’oblio”, consiste dunque nel dovere del titolare, che abbia reso pubblici i dati, di diventare un “tramite obbligato” anche verso gli altri titolari che, a sua conoscenza, stanno trattando i dati oggetto della istanza di cancellazione, sempre che si richieda anche la delinkizzazione o la cessazione di ogni copia o diffusione.

Il salto in avanti nella tutela dei diritti dell’interessato è molto forte.

In una società che promuove la trasparenza e la conoscenza degli atti, delle delibere e di ogni altra in formazione utile ai cittadini da parte delle pubbliche amministrazioni e che, anche ai sensi dell’art. 12, è ispirata al principio di trasparenza, i casi in cui un titolare renda pubblici dati di un interessato sono destinati a crescere a dismisura. La stessa pubblicità del dato comporta che esso possa essere trattato da altri, che assumono così la veste di titolari.

È chiaro che se l’interessato chiede non solo la cancellazione, ma anche la delinkizzazione e la cessazione dalla diffusione del dato o di sue copie, la richiesta non può essere adeguatamente soddisfatta solo dal titolare al quale è rivolta.

Di qui l’obbligo di informare della richiesta anche chiunque stia trattando gli stessi dati.

Un obbligo limitato dal fatto che non tocca a lui verificare quale sarà il comportamento degli altri titolari, anche tenendo conto che la richiesta dell’interessato deve essere valutata da ciascun titolare al fine di valutare se per lui sussiste o meno il dover di accoglierla (si pensi ai casi di trattamenti basati sul legittimo interesse). Inoltre l’obbligo del titolare è limitato dalla tecnologia a sua disposizione e dai costi che l’adempimento può comportare.

Va sempre tenuto in conto, dunque, che l’ampiezza dell’obbligo di segnalazione può variare, almeno per quanto riguarda le modalità di attuazione, anche sulla base della tecnologia a disposizione.

È evidente che la norma pone problemi enormi che toccherà alle Autorità di controllo e al Gruppo europeo di protezione dati aiutare a risolvere. Né mancherà lo svilupparsi di una ampia giurisprudenza negli Stati membri, prima, e della Corte di giustizia dell’Unione, poi.

Quello che conta segnalare è che quando ci si riferisce al diritto all’oblio ai sensi del nuovo GDPR si parla di cosa estremamente complessa, che va molto oltre il diritto all’oblio applicato al motore di ricerca e alle notizie diffuse attraverso i mezzi della società dell’informazione.

Infine una sottolineatura importante: la portata innovativa dell’art. 17 si capisce bene se si tiene sempre presente che obiettivo primo del GDPR è tutelare e proteggere i dati per rafforzare la fiducia dei cittadini nella società digitale.

Siamo a disposizione per una consulenza e per aiutarvi a predisporre la documentazione e gli strumenti necessari all'adeguamento ai sensi del GDPR 679/2016

Puoi contattarci su studiolegalenelsociale@gmail.com

www.studiolegalenelsociale.com