Il diritto all’oblio: definizione ed esempi

Il “diritto all’oblio” è una componente centrale del Regolamento generale sulla protezione dei dati (GDPR). L’idea di base è quella di proteggere le persone i cui dati sono trattati online o altrove. Il diritto all’oblio consente di cancellare i dati personali digitali a determinate condizioni.

Che cos’è il diritto all’oblio?

“The right to be forgotten” – in italiano “diritto all’oblio” – è uno degli strumenti più importanti a disposizione dei consumatori per proteggere i propri dati personali e la propria privacy. Consente agli interessati di richiedere la cancellazione definitiva dei dati personali da parte delle aziende o dei responsabili del trattamento. In questo caso, non fa differenza se le aziende raccolgono, conservano o semplicemente rendono disponibili al pubblico i dati.

Come si è arrivati al diritto all’oblio ai sensi del GDPR?

L’origine della direttiva GDPR si trova nella “sentenza sul diritto all’oblio e Google” o “sentenza Google”, emessa dalla Corte di giustizia europea il 13 maggio 2014. Il cuore della sentenza è: a determinate condizioni, gli interessati possono richiedere la cancellazione di link che rimandano a informazioni obsolete o irrilevanti sui medesimi. Nella sentenza della Corte di giustizia, l’obbligo di cancellazione su richiesta si riferisce ai motori di ricerca che rendono pubblicamente accessibili i dati personali. Inoltre, la sentenza si riferisce principalmente ai privati, ma sottolinea che quando si cancellano informazioni su persone pubbliche o negli archivi della stampa, i diritti degli interessati devono essere ponderati con il diritto all’informazione.

Dov’è definito giuridicamente il diritto all’oblio?

Con la “sentenza Google”, la Corte di giustizia europea ha applicato le direttive UE esistenti in materia di protezione dei dati, che si sono concretizzate nel 2016 nel GDPR europeo. Il diritto all’oblio è disciplinato all’art. 17 sotto la voce “Diritto alla cancellazione”. Le parole “diritto all’oblio” sono aggiunte tra parentesi.

Diritto all’oblio e diritto alla cancellazione ai sensi del GDPR

Il diritto all’oblio può essere inteso come un’estensione del diritto alla cancellazione previsto dal GDPR. Pertanto, l’art. 17 del GDPR disciplina principalmente gli obblighi di cancellazione dei responsabili del trattamento che trattano o rendono accessibili direttamente i dati personali. Ciò include, ad esempio, gli editori o le aziende che trattano e conservano direttamente i dati delle persone. Se si ritiene che i requisiti per la cancellazione siano soddisfatti, i responsabili del trattamento dei dati devono rimuovere immediatamente i link o i record di dati corrispondenti su richiesta.

Il diritto all’oblio è previsto specificamente dall’articolo 17, paragrafo 2, del GDPR e si applica anche a terzi che non raccolgono direttamente i dati personali ma li rendono pubblicamente disponibili, come Google o altri motori di ricerca. Con questa disposizione, gli interessati possono non solo richiedere direttamente la cancellazione ai responsabili del trattamento, ma anche richiedere la cancellazione o la rimozione dei dati personali a terzi.

Quali condizioni si applicano al diritto all’oblio?

Se i dati devono essere cancellati dai responsabili del trattamento e dalle terze parti coinvolte, devono essere soddisfatti requisiti specifici. Questi includono:

• Per quanto riguarda le finalità originarie della raccolta e dell’elaborazione dei dati, non è più necessaria la conservazione e l’accessibilità dei dati personali.
• Gli interessati hanno revocato il consenso al trattamento e alla conservazione dei propri dati.
• Non esiste una base giuridica diversa o prevalente per la conservazione dei dati.
• I dati personali sono stati raccolti e trattati senza base giuridica e/o consenso.
• I responsabili del trattamento dei dati sono soggetti all’obbligo legale previsto dal GDPR di rispettare il diritto alla cancellazione e il diritto all’oblio.
• I dati personali si riferiscono a minori e sono stati raccolti per servizi online e offerte internet.

Se gli interessati possono dimostrare la loro richiesta, le aziende responsabili e le terze parti devono attuare la cancellazione “senza indebito ritardo”. Di norma, i responsabili del trattamento devono informare gli interessati delle misure adottate o degli eventuali motivi di rifiuto entro un mese dalla richiesta.

Caso di studio per il diritto all’oblio

Il diritto all’oblio è uno strumento importante per proteggere la reputazione, l’immagine e la privacy di individui e aziende. Nella pratica viene applicato, ad esempio, quando le informazioni relative a un’insolvenza, a una condanna o ad atti “imbarazzanti” sono ancora reperibili sui motori di ricerca, come Google, dopo 10 o 20 anni. Anche la riabilitazione delle persone condannate svolge un ruolo importante, soprattutto nel caso di reati minori. Applicando la cancellazione legale dei dati, gli individui e le aziende non solo proteggono i propri diritti personali, ma anche le opportunità di carriera e l’immagine professionale e aziendale.

Come cancellare o rimuovere i dati personali?

Il GDPR non definisce un metodo chiaro per effettuare la cancellazione. Tuttavia, il fattore decisivo è il successo dimostrabile e immediato della cancellazione. I metodi possibili possono essere:

• Distruzione e smaltimento corretto dei supporti fisici di dati da parte di esperti.
• Sovrascrittura professionale delle posizioni di archiviazione rilevanti che portano in modo dimostrabile alla rimozione o all’inutilizzabilità dei record di dati.
• Eliminazione di link correlati, collegamenti, voci di ricerca, termini di ricerca e codifica.
• Cancellazione e rimozione dagli algoritmi dei motori di ricerca.

Quali sono le eccezioni al diritto all’oblio?

In certi casi, la cancellazione dei dati personali su richiesta può entrare in conflitto con l’obbligo di conservazione e la libertà di informazione. Sebbene il GDPR garantisca alle persone il diritto a una maggiore privacy, condizioni ed eccezioni specifiche garantiscono che i dati critici non possano essere semplicemente cancellati se sono ancora soggetti a obblighi di conservazione o se sono di interesse pubblico, medico, fiscale o di sicurezza. Tuttavia, soprattutto nel caso di obblighi di conservazione più lunghi, è importante notare che i dati personali non più trattati, ma che devono ancora essere conservati, sono soggetti a una maggiore protezione dell’accesso.

Riepilogo delle eccezioni concrete al diritto all’oblio

• I dati personali sono ancora necessari per finalità di trattamento dimostrabili.
• Le persone interessate hanno acconsentito al trattamento dei dati ancora necessario.
• Il diritto alla libertà di espressione e di informazione prevale sul diritto alla cancellazione e all’oblio.
• I dati sono ancora necessari per l’adempimento di obblighi pubblici e legali di aziende o persone.
• Il trattamento dei dati è effettuato nel pubblico interesse.
• Il trattamento dei dati viene effettuato nel contesto dell’archiviazione, della ricerca o per la raccolta statistica di dati di interesse pubblico.
• I dati hanno un ruolo dimostrabile per le rivendicazioni legali.

Come rivendicare il diritto all’oblio?

Prima di poter richiedere la cancellazione e la rimozione dei tuoi dati, devi essere a conoscenza dell’esistenza di questi dati. In questo contesto, è utile il diritto di accesso previsto dall’art. 15 del GDPR. Questo ti consente di richiedere alle aziende che trattano i tuoi dati personali informazioni sui dati che hanno memorizzato ed elaborato. Sulla base del diritto di accesso, puoi presentare richieste di cancellazione e oblio per iscritto o per e-mail al responsabile.

Non esiste un modulo precompilato per la domanda. Tuttavia, per poter dimostrare che la richiesta è stata fatta, la procedura dovrebbe sempre essere eseguita per iscritto. Su internet puoi trovare dei modelli indicativi per formulare tale richiesta. Da tenere presente per evitare lunghe indagini o un rifiuto: l’identità della persona che presenta la richiesta, il riferimento ai dati interessati e la rivendicazione legale devono essere chiaramente indicati nella richiesta.

Esercizio del diritto all’oblio presso Google

Aziende come Google o Facebook offrono i loro moduli web gratuiti con cui è possibile presentare la domanda. La pagina di supporto di Google fornisce informazioni sulla procedura e sui dati richiesti. Per rimuovere risultati da Google, dovrai fornire le seguenti informazioni:

• URL pertinenti con il contenuto della ricerca da rimuovere.
• Prove della rilevanza dei dati per l’utente e motivi della rimozione.
• Query di ricerca da rimuovere che portano a contenuti rilevanti (ad esempio il tuo nome).
• Indirizzi e-mail che portano a risultati di ricerca rilevanti.
• Prove e contesto che dimostrino che l’applicazione della cancellazione e la rimozione dei contenuti sono giustificate.

Non esiste un diritto generalizzato alla privacy e alla cancellazione dei dati

A prima vista, il diritto all’oblio può dare l’impressione che i dati personali non possano essere resi accessibili contro la propria volontà. Tuttavia, quando le persone acconsentono al trattamento dei dati nella vita digitale di tutti i giorni, non esiste inizialmente un diritto generale alla cancellazione dei dati. Ciò è dimostrato non solo dai requisiti che si applicano a un diritto legale, ma anche dal fatto che una cancellazione ingiustificata potrebbe persino essere considerata una violazione della protezione dei dati. Questo vale soprattutto se ci sono obblighi di conservazione e se i dati sono di natura critica. A questo proposito, va ricordata la cancellazione non autorizzata di dati effettuata per occultare attività criminali di singoli individui o entità pubbliche.

L’anonimizzazione dei dati è abbastanza?

Un’alternativa alla cancellazione può essere l’anonimizzazione completa dei dati. I dati, una volta elaborati e memorizzati, vengono anonimizzati a tal punto da non poter più essere considerati come dati personali in senso stretto. Le linee guida sulla protezione dei dati secondo il GDPR non sono quindi più direttamente applicabili, se i dati vengono adeguatamente anonimizzati per analisi statistiche o scopi di ricerca.

Ciò si applica, ad esempio, quando nessuna parte è in grado di stabilire un legame con le persone e tra set di dati correlati o non correlati. I metodi di anonimizzazione includono randomizzazione, generalizzazione e prevenzione del collegamento. La base giuridica per l’anonimizzazione come alternativa alla cancellazione si trova nell’articolo 4 del GDPR.

Che ruolo ricopre il diritto all’oblio per le aziende?

Le normative europee sulla protezione dei dati, come il GDPR o il regolamento ePrivacy, svolgono un ruolo importante per le aziende per quanto riguarda la protezione dei dati e il diritto all’oblio. Ad esempio, il GDPR stabilisce che le aziende non possono raccogliere dati indiscriminatamente e che il trattamento dei dati può avvenire solo previo consenso scritto. Il regolamento ePrivacy stabilisce inoltre che le persone devono consentire esplicitamente all’uso di cookie e tracker sui siti web.

Poiché il marketing online e il commercio elettronico sono intrinsecamente legati al trattamento dei dati personali, è consigliabile adottare fin dall’inizio le opportune precauzioni per la protezione e la sovranità dei dati. Queste includono:

• Dichiarazioni sulla privacy chiare, accessibili e in conformità con il GDPR sui siti web.
• Strumenti e strategie per verificare e attuare le richieste di cancellazione dei dati personali.
• Un’attuazione conforme alla legge delle notifiche riguardanti i cookie e le attività di tracciamento.
• Misure legali relative all’elaborazione e al trasferimento dei dati da parte dei responsabili della protezione dei dati e dell’ufficio legale IT (in particolare se i dati vengono trasferiti negli Stati Uniti dopo la cessazione dell’accordo Privacy Shield tra l’UE e gli USA).

Ti preghiamo di osservare la nota legale relativa a questo articolo.