Dal caso Google Spain alla posizione della Corte di giustizia e del nostro Garante della privacy, di quali tutele gode chi vuole farsi cancellare dal web, e quali sono le procedure, disseminate di non poche difficoltà dal Big Data
L’ordinamento italiano tutela il diritto all’oblio, il diritto di scomparire, di essere dimenticato. Si tratta però di una costruzione della giurisprudenza, che ha portato a definizioni diverse: una definizione tradizionale, secondo la quale il diritto all’oblio è il diritto a non veder pubblicati nuovamente determinati fatti legittimamente resi noti, ma rispetto ai quali è trascorso un certo lasso di tempo; una seconda definizione che deriva dall’avvento di Internet: le informazioni non vengono ripubblicate, ma permangono in rete a seguito della loro prima pubblicazione e il diritto all’oblio diventa diritto a contestualizzare l’informazione, affinché l’identità di un soggetto non ne sia alterata; infine, il diritto all’oblio come diritto alla cancellazione o alla deindicizzazione dei dati personali su Internet, introdotto dalla Direttiva 95/46/CE del 24 ottobre 1995, interpretato dalla storica sentenza Google Spain e, da ultimo, confluito nell’articolo 17 del Regolamento UE 2016/679.
È certo che il diritto alla deindicizzazione, tra le varie accezioni del diritto all’oblio, è quello che viene più in rilievo nel moderno mondo interconnesso, non solo perché i dati vengono diffusi spontaneamente su Internet dagli stessi interessati e sono potenzialmente accessibili a chiunque, ma anche perché la deindicizzazione dei link si può richiedere direttamente da pagine web programmate ad hoc, mediante moduli di facile compilazione.
Prendiamo in considerazione, ad esempio, il modulo predisposto da Google, motore di ricerca più utilizzato al mondo.
Per rimuovere un link dai suoi risultati di ricerca è necessario aprire la pagina di Google a ciò dedicata e rispondere ad alcune domande. Innanzi tutto, viene chiesto «quale prodotto Google è oggetto della richiesta»; quindi, per proporre una domanda di deindicizzazione, va selezionata l’opzione «Ricerca Google».
A questo punto, la pagina web sottolinea i limiti e gli effetti della deindicizzazione: «anche se Google rimuove una pagina web o un’immagine dai risultati di ricerca, non è in grado di rimuovere i contenuti dai siti web su cui sono ospitati. La pagina potrebbe essere ancora presente sul sito web e ciò significa che può essere trovata tramite l’URL del sito web [Uniform Resource Locator, si tratta di una stringa alfanumerica, composta da un numero variabile di caratteri, che identifica in maniera certa e univoca una risorsa all’interno della Rete], la condivisione sui social media o altri motori di ricerca. Consigliamo di contattare il proprietario del sito web per richiedere la rimozione».
Se l’interessato vuole comunque procedere alla richiesta deve selezionare l’opzione «vorrei rimuovere le mie informazioni personali dai risultati di ricerca di Google» e poi «vorrei presentare una richiesta di rimozione di informazioni ai sensi delle leggi europee per la protezione dei dati (Diritto all’oblio)». Quindi, si apre un modulo da compilare, inserendo i propri dati personali e il link di cui si richiede la deindicizzazione. Per ogni URL bisogna motivare la richiesta.
Quanto ai dati personali da inserire nel modulo, certamente vi sono nome e cognome del soggetto interessato, perché la Corte di giustizia ha espressamente stabilito che «gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona» [Corte di giustizia UE, Grande sezione, 13 maggio 2014, C-131/12].
Google nel tempo ha utilizzato questo argomento in modo formale per respingere le richieste di deindicizzazione relative a link raggiungibili non attraverso il nome dell’interessato, ma utilizzando «qualifiche» o comunque caratteristiche riferibili all’interessato diverse dal nome proprio.
Si tratta di argomento, appunto, eminentemente formale che non convince, soprattutto laddove il termine attraverso il quale si accede al link è chiaramente riconducibile a un soggetto specifico.
Per questa ragione il 20 giugno 2019 il Garante per la protezione dei dati personali ha respinto l’impostazione del motore di ricerca, accogliendo invece una nozione «sostanziale» di soggetto interessato, che guarda alla agevole riconducibilità di una qualifica a un soggetto anche senza diretta spendita del suo nome.
Il caso sottoposto al Garante era relativo alla richiesta di deindicizzazione di un URL collegato alla espressione «Presidente della Cooperativa XX», senza espressamente indicarne il nome. Google aveva ritenuto inammissibile la richiesta, al solito, per motivi formali: da un lato, come noto, il Regolamento 2016/679 si applica alle sole persone fisiche e, dall’altro, la Corte di giustizia, nel caso Google Spain, si era riferita espressamente al «nome di una persona».
Il reclamante, invece, sosteneva che la disciplina in materia di protezione dei dati personali si dovesse applicare a tutti i soggetti chiaramente identificabili, a prescindere da una espressa spendita del nome.
Il Garante, accogliendo l’istanza, ha sottolineato come le notizie cui rimandava il link si riferissero «inequivocabilmente alla persona reclamante stante il fatto che quest’ultimo riveste la carica di presidente della Cooperativa da molti anni e come tale è ampiamente conosciuto» [Garante Privacy, 20 giugno 2019, n. 9124401].
Non solo, ma il Garante ha anche fatto presente come la sentenza Google Spain vada oggi interpretata alla luce del nuovo Regolamento in materia e, in particolare, dell’articolo 21 che disciplina il diritto di opposizione al trattamento per motivi connessi alla propria situazione particolare.
Invero, l’articolo 4 del Regolamento definisce il dato personale come «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
Evidentemente, nel caso di specie, l’espressione «Presidente della Cooperativa XX» rientra negli «elementi caratteristici dell’identità culturale e sociale dell’interessato».
Anche il caso in esame conferma come la giurisprudenza delle Autorità garanti sia molto rilevante per lo sviluppo di una prassi in materia di diritto all’oblio e spesso preceda i giudici europei e nazionali.
In Italia, nell’ultima relazione annuale dal Garante della privacy, che riassume l’attività svolta e gli orientamenti espressi nel periodo, con particolare riferimento al tema della deindicizzazione, si legge che «la maggior parte delle richieste di rimozione di URL è stata respinta, essendo stato ritenuto prevalente l’interesse del pubblico ad avere accesso alle informazioni in questione. Questo è stato, ad esempio, il caso di notizie rinvenibili sul web non particolarmente risalenti» e «relative a condanne per reati gravi, tali da poter avere riflessi sull’attività professionale svolta».
Le richieste accolte, invece, riguardano soprattutto «vicende processuali risalenti e conclusesi con l’archiviazione, o comunque per le quali l’interesse pubblico all’informazione è risultato affievolito» [Garante Privacy, Relazione sull’attività 2018].
Anche il motore di ricerca Google, nel suo rapporto sulla trasparenza, tiene il conto delle richieste di deindicizzazione ricevute dal caso Google Spain a oggi: in relazione alle oltre 936.000 richieste di rimozione in riferimento a più di 3.000.000 di URL, Google ha deindicizzato il 46,4% dei link a livello mondiale. Nel rapporto si indica per l’Italia una percentuale più bassa, pari al 38,9% [Google, Rapporto sulla trasparenza].
Non è agevole comprendere la differenza del dato italiano rispetto a quello mondiale. I primi commentatori si limitano a sottolineare la complessità della lingua italiana e la sua ridotta diffusione nel mondo, che potrebbero comportare difficoltà nella comprensione del reclamo da parte degli uffici del motore di ricerca. Si è anche ipotizzato che nel nostro paese vi sia una percezione del bilanciamento tra oblio e cronaca diversa da quella accolta a livello globale, sì che Google spesso ritiene prevalenti le ragioni della cronaca, basandosi sui parametri universalmente riconosciuti. Non sembra invece elemento di per sé decisivo quello basato sui possibili errori nella compilazione del modulo di deindicizzazione, in quanto non vi è ragione per ipotizzare che siano maggiori gli errori commessi dai compilatori di lingua italiana*.
Al di là di queste peculiarità domestiche, deve rammentarsi che l’eventuale accoglimento di una richiesta di deindicizzazione da parte dei motori di ricerca non prevede alcun contraddittorio ed è raro che, in seguito a un diniego, la persona interessata si rivolga all’autorità giudiziaria o all’autorità garante nazionale, per la complessità e i costi della procedura.
Al riguardo è stato scritto con preoccupazione che la decisione sulla richiesta di deindicizzazione rischia di diventare «una questione privata» e si è proposto di istituire, naturalmente con legge, una figura di mediatore che possa sin dall’inizio essere coinvolto dall’interessato nella presentazione e discussione del reclamo con il motore di ricerca**.
In realtà, pur tenendo conto della complessità del tema e dei problemi sempre nuovi che l’innovazione tecnologica comporta, non credo sia necessario e forse nemmeno utile introdurre ulteriori soggetti pubblici deputati al controllo della diffusione di dati personali.
Il rischio di sovraregolamentazione sembra maggiore dei possibili vantaggi derivanti da una ulteriore istanza di controllo.
Il diritto all’oblio, nelle sue varie declinazioni, è per sua natura in continua evoluzione, non racchiudibile in un «contenitore» e non definibile in modo statico.
Non a caso si tratta di fattispecie elaborata per via giurisprudenziale, che ha solo successivamente ricevuto un riconoscimento normativo, ma «tra parentesi», e forse creando più problemi di quanti non ne abbia risolti.
Non può che essere compito, in ultima analisi, della giurisprudenza seguire l’evoluzione tecnologica e trovare, nei casi concreti, soluzioni appropriate ed efficaci.
* A. BARCHIESI, La tentazione dell’oblio. Vuoi subire o costruire la tua identità digitale?, FrancoAngeli, Milano, 2016, pp. 127-129.
** S. PIETROPAOLI, Privacy e oblio. La protezione giuridica dei dati personali, in F. FAINI, S. PIETROPAOLI, Scienza giuridica e tecnologie informatiche, Giappichelli, Torino, 2017, pp. 61-62.