Il diritto all’oblio: dal bilanciamento di interessi alla blockchain

Cos’è il diritto all’oblio e come viene implementato nell’ambiente digitale contemporaneo?

Il diritto alla cancellazione dei dati, c.d. diritto all’oblio, garantito dall’acquis comunitario, viene sottoposto ad un test sugli interessi coinvolti che va fatto tramite una valutazione da compiersi caso per caso tenendo conto degli elementi contestuali e degli specifici interessi dei soggetti coinvolti. In quest’articolo viene fatto un breve excursus sulle recenti pronunce giurisprudenziali in materia e sui possibili scenari che vedono l’avvento della blockchain e di sistemi decentralizzati sempre più trasparenti in grado di garantire una tutela più efficace ed immediata dei diritti degli utenti.

Indice degli argomenti:

  1. Introduzione
  2. Il diritto all’oblio nella giurisprudenza europea
  3. Gli strumenti di identity management per la gestione del diritto all’oblio
  4. Conclusioni

Introduzione

Internet never forgets. Nella nostra era digitale, è impossibile dimenticare. Il web ha la capacità di “portare a galla”, attraverso l’inserimento anche di una sola parola, dati e fatti riferiti ad eventi verificatisi anche molti anni addietro oppure pubblicati su quotidiani che hanno, ad oggi, digitalizzato i loro archivi. Sostanzialmente, sulla rete non può esserci una dimenticanza perfetta. Si possono cancellare dal web i dati una volta inseriti? Cos’è il diritto all’oblio e come viene implementato nell’ambiente digitale del XXI secolo?

È bene partire dal dato normativo. Già il Regolamento 2016/679 (“GDPR”), all’articolo 17, stabilisce che l’interessato ha il diritto di ottenere, in alcuni specifici casi, la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo tali dati personali. Viene previsto, quindi, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali da cancellare, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2 del GDPR). Tale diritto ha un campo di applicazione più esteso di quello già previsto dal Codice della Privacy all’art. 7, comma 3, lettera b), poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, paragrafo 1 del GDPR).

In questo scenario, è evidente che i motori di ricerca rivestono fondamentale importanza quali intermediari dell’informazione. Essi sono dei veri e propri meta-strumenti della conoscenza digitale. Invero, nel momento in cui viene inserita una parola nel campo di ricerca di un motore, tutte le informazioni pertinenti appaiono sullo schermo in ordine metodico. La quantità di informazioni così raccolte e accumulate dai motori di ricerca è strabiliante (e può essere pericolosa) e per questo il legislatore, europeo e domestico, ha dovuto far ordine fra il caos. Infatti, nel profondo mare della conoscenza del web è probabile che alcuni fatti lesivi della dignità di un soggetto vengano fuori dopo molto tempo ed è suo diritto richiederne la cancellazione. In tale contesto entra in gioco il bilanciamento degli interessi con la libertà di espressione e con il diritto all’informazione.

Il diritto all’oblio nella giurisprudenza europea

Negli ultimi anni, la questione di come i motori di ricerca debbano bilanciare i diritti alla privacy con la libertà di informazione, ha suscitato l’interesse di giuristi e giudici e le sentenze della Corte di Giustizia Europea, della Corte Europea dei Diritti dell’Uomo così come le importanti pronunce delle Corti Costituzionali nazionali.

Nel 2014 la Corte di Giustizia Europea nel caso Google Spain ha stabilito che i cittadini europei avevano il diritto di richiedere ai motori di ricerca, come Google e Bing, di rimuovere i risultati “inaccurati, inadeguati, irrilevanti o eccessivi” collegati al loro nome. Nella fattispecie, la Corte GUE confermò una sentenza del Tribunale spagnolo che aveva ordinato a Google di rimuovere i collegamenti agli articoli di giornale sul cittadino spagnolo Costeja Gonzalez che in particolare operavano un collegamento con procedure concorsuali relative ai debiti di varia natura risalenti alla fine degli anni ‘90. Google ottemperò eliminando parzialmente i risultati di ricerca sui suoi domini.

In seguito all’iniziale riconoscimento del diritto alla deindicizzazione (c.d. delisting), con la sentenza Google Spain – che ha investito i motori di ricerca di un ruolo para-costituzionale nel delicato bilanciamento tra il diritto alla protezione dei dati e il diritto del pubblico a ottenere informazioni in relazione a eventi di rilevanza generale (ruolo che non era mai stato imposto ai prestatori di servizi, i quali – anzi – beneficiano di una generale esenzione di responsabilità ai sensi della Direttiva CE 2000/31, la cosiddetto direttiva e-commerce) – la Corte GUE nuovamente investita della questione se il diritto all’oblio potesse estendersi anche al di fuori dei confini continentali, rispondeva negativamente.

Invero, con la recente sentenza nella causa C-507/17 (24 settembre 2019) tra Google e la Commission nationale de l’informatique et des libertés (CNIL), i giudici di Lussemburgo hanno di fatto negato all’individuo la tutela al diritto di rimozione già accordata dal CNIL dei dati presenti online e negativi per la reputazione di un imprenditore francese sulla base della circostanza per cui molti Stati esterni all’Unione europea non riconoscono il diritto al delisting, così considerando che “il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

Da ultimo, la Corte europea dei diritti dell’uomo (Corte EDU) ha deciso nel 2018 con il caso Apollonia che la Germania aveva giustamente negato a due persone il loro diritto di essere dimenticati in relazione agli archivi stampa relativi a un omicidio del 1991. La Corte EDU confermò la decisione della Corte suprema tedesca poiché ritenne che la stessa avesse correttamente applicato il test di bilanciamento relativo al diritto all’oblio. In questo caso, la Corte EDU si basò principalmente sull’articolo 8 della Convenzione europea sui diritti umani, applicato in relazione al bilanciamento tra i due diritti ai sensi dell’articolo 10 della stessa Convenzione.

Ciò posto, è chiaro l’arduo compito del gestore del motore di ricerca, a cui spetta garantire che i dati personali di un individuo siano lecitamente trattati per finalità determinate, esplicite e legittime, che siano adeguati, pertinenti e non eccedenti rispetto alle suddette finalità, che siano esatti, aggiornati e che siano conservati per un arco di tempo non superiore a quello necessario al conseguimento delle suddette finalità.

In questo scenario, si inserisce la sentenza della corte di Lussemburgo (caso Manni) che ha permesso di svelare i rapporti tra i tempi di conservazione e di cancellazione dei dati. Invero, tale operazione deve esser guidata da un’attenta “valutazione da compiersi caso per caso” che tenga conto degli elementi contestuali e degli specifici interessi di terzi potenzialmente coinvolti.[1]

Gli strumenti di identity management per la gestione del diritto all’oblio

Alla luce di ciò, gli strumenti di legal tech e AI[2] sarebbero congegni utili per determinare la veridicità e l’accuratezza di un dato personale. I motori di ricerca, come Google, hanno adottato una serie di soluzioni per gestire le richieste degli user per l’eliminazione di informazione non veritiere o non accurate. È notevole come il Google Advisory Council – nominato appositamente per definire gli aspetti operativi dell’esercizio del diritto all’oblio – ha concordato che falsità e inaccuratezza della notizia contribuiscono a spostar l’ago della bilancia verso un rafforzamento della privacy del soggetto piuttosto che verso l’interesse pubblico diffuso alla conoscenza. In tale contesto, l’onere della prova per dimostrare l’inaccuratezza dei dati per i quali si richiede il delisting, ricade sul soggetto interessato. Ovviamente, l’ingente numero di richieste a cui è necessario dar seguito con rapidità aumenta le probabilità di errori umani ed espone i soggetti interessati e i terzi portatori di interesse a situazioni pregiudizievoli. Per questo motivo, a supporto di tale processo, gli stessi strumenti che definiscono la privacy potrebbero essere utili proprio al suo medesimo rafforzamento, permettendo ad ogni utente di personalizzare la protezione della propria identità prevenendo lesioni del diritto alla riservatezza e allo stesso tempo aiutare titolari e responsabili a mantenere aggiornati ed esatti i dati personali dei soggetti interessati. Tutto ciò a portata di algoritmo! Già adesso gli strumenti di identity management permettono agli user di visualizzare e modificare i dati personali che il titolare tratta.

Il problema rimane nella gestione delle richieste di delisting. Se i motori di ricerca automatizzassero del tutto il processo (come già hanno fatto diversi operatori) l’algoritmo sarebbe in grado di garantire l’effettiva implementazione del diritto all’oblio? A parere di chi scrive, per continuare a gestire un’ingente mole di dati personali garantendo allo stesso tempo la tutela del diritto all’oblio in ambiente digitale nel rispetto di tutti gli altri diritti ed interessi coinvolti, rimarrà necessaria una forte componente umana nel giudizio di bilanciamento, come anche affermato anche dalle Corte europea. Tale test di bilanciamento non è probabilmente trasponibile in algoritmo.

Conclusioni

Con ogni probabilità, la soluzione sta dietro l’angolo. Senza dubbio, con l’avvento della blockchain e di sistemi decentralizzati sempre più trasparenti, per i motori di ricerca potrebbe essere più facile garantire una tutela più efficace ed immediata dei diritti degli utenti, attivando quell’ancora lontano principio di “responsabilizzazione” del titolare del trattamento previsto dal GDPR. A questo proposito, è bene evidenziare alcune problematicità quando blockchain[3] e diritto all’oblio siedono allo stesso tavolo. Invero, come si coniuga il diritto all’oblio con la natura immodificabile di una blockchain? Una delle soluzioni potrebbe essere la possibilità di immettere i dati in una blockchain solo come collegamento esterno, lasciando quindi il dato fuori dalla catena. Così facendo, però, il dato non potrebbe più essere utilizzato in maniera sicura e sarebbe soggetto a modifiche potenzialmente indiscriminate. Un’altra soluzione potrebbe essere l’anonimizzazione che, tuttavia, presenta, a sua volta, diverse problematiche. In una blockchain, tutto è crittografato, quindi, i dati dovrebbero essere protetti. Ma la crittografia, per quanto sicura, non è infallibile e può essere violata.

Probabilmente, in un futuro non molto lontano riusciremo a risolvere molte delle questioni aperte tra l’introduzione di un sistema basato sulla blockchain e l’applicazione delle norme del GDPR.

Nel frattempo, iniziamo a ragionare sulle importanti questioni emerse intorno al diritto all’oblio e al suo contemperamento con diritti fondamentali concorrenti. 


[1] Paragrafo 64, sentenza Manni.

[2] Se vuoi approfondire il tema del delicato equilibrio tra privacy e AI clicca qui: https://www.dirittoconsenso.it/2020/05/02/il-gdpr-e-intelligenza-artificiale/#_ftn2

[3] Se vuoi approfondire il tema del rapporto tra privacy e blockchain clicca qui: https://www.legaltechitalia.eu/blockchain-privacy/

Fonti:

Questo contributo è stato redatto da un articolista di Legaltech Italia, partner di Dirittoconsenso.it.

UNISCITI A NOI!
Se vuoi dirci la tua e rimanere aggiornato sul mondo legaltech unisciti alla community Telegram! 
Clicca qui per partecipare!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *