Dalla privacy alla protezione dei dati personali: il diritto alla rettifica e all’oblio.
di Alessandra Di Giovambattista
L’evoluzione delle tecnologie dell’informazione e dei c.d. social network, richiede necessariamente che si adegui la nozione di privacy alle più attuali esigenze di tutela della sfera privata.
Vediamo prima, però, cosa si intende per social network e come forse bisognerebbe parlare più appropriatamente di siti di social network, ossia piattaforme che abilitano forme di socialità attraverso il mondo informatico, cioè online. In particolare l’espressione social network ha il significato di rete sociale, ossia di un legame di tipo sociale tra individui connessi tra loro in ragione di specifici interessi. Per dare una immagine del concetto si può pensare ai nodi della rete come ai singoli soggetti che vi partecipano e alle corde tra un nodo ed un altro come ai legami, agli interessi, che collegano i diversi individui. Sui social network l’informazione viaggia velocissima e la condivisione di essa ne determina la credibilità. Successivamente si è elaborato il concetto di siti di social network dove si hanno piattaforme online nate per agevolare e abilitare reti di relazioni sociali. Attualmente i due termini possono sovrapporsi in quanto con social network si intendono le piattaforme che abilitano pratiche sociali e relazionali (facebook, instagram, twitter). In particolare i siti di social network consentono agli interessati di creare un profilo, avere una lista di utenti con cui connettersi, ampliare le proprie conoscenze, condividere fatti, situazioni, foto, esperienze e tutto ciò che interessa. Dai social network, il passaggio ai social media è rapido: questi ultimi attivano relazioni comunicative e sociali che si basano sulla pubblicazione, ma soprattutto sullo scambio e condivisione di contenuti; è infatti la condivisione di scritti, immagini e video che alimenta i flussi di conversazioni nei social media (per approfondimenti: Vittadini, 2018, Social media studies. I social media alla soglia della maturità storia, teorie e temi).
A ben vedere, parlando di privacy, oggi non è più tanto importante andare a considerare come i social network si interessino della vita privata dei singoli, a cui si contrappone il diritto al riserbo del fatto oggetto della notizia, quanto piuttosto andare a verificare come vengono utilizzate le informazioni da parte dei gestori dei dati, per garantire e tutelare il diritto che ha ogni singolo di conoscerne l’uso. Si assiste così ad un cambiamento del modello a cui far riferimento per la tutela del diritto alla propria immagine: si passa dal diritto alla riservatezza al “diritto alla protezione dei dati personali” che si basa sulla relazione tra chi fornisce e chi utilizza i dati personali al fine di garantire il bilanciamento degli interessi tra le parti del rapporto stesso. In sostanza le informazioni raccolte e poi diffuse per formare la notizia, in alcune circostanze possono contrapporsi ai dati che il soggetto, più o meno consapevolmente, fornisce attraverso i social network e che divengono oggetto di elaborazione attraverso metodologie informatiche (come l’analisi c.d. dei big data) che restituiscono informazioni anche distorte e molto lontane dalla realtà.
Di fatto si è passati da una protezione del diritto alla propria autonomia e alla tutela della propria sfera personale, alla necessità di tutelare un diritto di tipo dinamico legato alla velocità con cui circolano i dati personali nel palcoscenico della comunicazione affidata alle strumentazioni informatiche che ormai sono alla base della moderna economia di massa e del conseguente modello sociale. Quindi si è giunti a determinare che il concetto di privacy non può essere più considerato in termini di difesa di uno spazio fisico del soggetto, bensì è da ricondurre alla nozione di protezione dei dati, al fine di controllarne l’uso e la circolazione: più che alla sfera personale occorre soffermarsi sulle attuali regole di circolazione delle informazioni. Si delinea così la fattispecie del diritto alla protezione dei dati personali: le informazioni su una persona fisica individuata o individuabile devono essere raccolte e trattate in modo lecito. Pertanto il soggetto chiamato in causa deve avere la possibilità di esercitare il controllo, anche attivo, sui dati che vengono divulgati sulla propria persona, diritto che si estende anche alla rettifica dell’informazione. Quindi, il diritto alla protezione dei dati personali si basa non già sulla riservatezza, ma sul controllo del flusso di informazioni che si riferisce al soggetto. Dal punto di vista giuridico il diritto alla protezione dei dati personali è inteso come il diritto all’autodeterminazione informativa, cioè alla scelta di ogni soggetto di autodefinirsi e determinarsi.
Il recente regolamento europeo in materia di protezione dei dati personali, ha definito la disciplina del “diritto di accesso”; con esso si definisce uno strumento che il singolo può utilizzare per ottenere la correzione, il completamento o l’eliminazione di dati raccolti attraverso i social network. Questo diritto nasce come conseguenza della violazione dei diritti di esattezza, veridicità, correttezza delle informazioni condivise sui social; in tal modo si sottolinea la dinamicità del diritto alla protezione dei dati personali in quanto derivato dalla violazione di altri diritti fondamentali. Ma c’è di più: per esercitare questo diritto non occorre adire le vie giudiziarie ordinarie, bensì esercitare un potere di controllo diretto e continuo sulle piattaforme web, anche indipendentemente dalla lesione di un diritto. Pertanto la possibilità di eliminare notizie e dati condivisi su un social network diviene una tecnica di modifica delle regole sulla circolazione delle informazioni, costantemente monitorata dai diretti interessati e finalizzata alla tutela della riservatezza e della vita privata. Peraltro il diritto alla protezione dei dati personali, mediante il diritto di accesso, va anche oltre la tutela della propria vita privata in quanto non è necessario dimostrare una violazione del diritto alla propria riservatezza affinché siano applicabili le norme sulla protezione dei dati personali e del loro trattamento. La richiesta di accesso è rivolta al titolare del trattamento - società private, professionisti, pubblica amministrazione - e il contenuto è relativo ai propri dati personali, alla conoscenza delle finalità del trattamento, alle categorie di dati, ai soggetti destinatari, al periodo di conservazione delle informazioni, all’origine dei dati, al loro trattamento mediante modalità informatiche di analisi e gestione, al trasferimento dei dati anche fuori dall’Unione europea.
In materia di tutela della riservatezza e del diritto alla privacy, la giurisprudenza ha coniato anche il “diritto alla rettifica”, già noto in ambito giornalistico; in particolare l’interessato ha il diritto di vedere rettificati i dati personali inesatti, e integrati i dati incompleti da parte del titolare del trattamento dei dati, senza ritardo. Pertanto qualora si riscontrino atti o fatti non rispondenti alla realtà o alla veridicità, il soggetto ha il diritto di modificare, dietro preventiva richiesta, i dati personali che lo riguardano.
Con la condivisione sul web di dati ed informazioni di natura strettamente personale si è venuto delineando anche il “diritto all’oblio”, nell’ambito del diritto alla protezione dei dati personali, ossia il diritto a non essere più ricordato per fatti ed atti che nel passato furono oggetto di cronaca. Tale diritto trova un bilanciamento con il diritto di cronaca: quest’ultimo deve garantire la conoscenza di un fatto ritenuto rilevante per l’interesse pubblico, ma al tempo stesso deve essere circoscritto nel tempo, in ragione dell’effettivo valore che nel momento corrente può avere l’informazione per la collettività. In termini normativi bisogna sottolineare che il regolamento UE sulla protezione dei dati personali non fornisce una chiara rappresentazione del diritto all’oblio presentando piuttosto un serie di criteri di non facile applicazione. Tra le varie motivazioni si evidenzia l’interesse del soggetto a chiedere la cancellazione delle notizie personali qualora queste non siano più indispensabili rispetto agli scopi per i quali esse erano state raccolte e trattate, così come qualora abbia revocato il consenso alla gestione dei dati o questi siano stati utilizzati in modo non opportuno fino ad arrivare a configurare la fattispecie dell’illecito. Per contro non viene riconosciuto il diritto alla cancellazione qualora la gestione dei dati sia necessaria per garantire l’esercizio di altri diritti quali ad esempio la libertà di espressione e di informazione, oppure per finalità meritorie come la ricerca storica, scientifica o culturale. È evidente che tali principi calati poi nella realtà, generano difficoltà interpretative; diviene infatti davvero difficile stabilire quando di fatto risulti necessario mantenere nel web informazioni personali che in tempi precedenti sarebbero per forza di cose cadute nell’oblio! Tuttavia spetta all’autorità garante della privacy o al giudice ordinario, decidere sulla richiesta portata all’esame dal diretto interessato affinché i dati a lui riferibili non restino visibili in modo permanente sui social network e più in generale nel web.
Tuttavia, ai fini della comprensione del contrasto tra diritto all’oblio e diritto di informazione pubblica, sono venute in soccorso alcune decisione della Corte europea dei diritti dell’uomo, della Corte di giustizia dell’Unione europea e della Corte di Cassazione in Italia; in particolare il bilanciamento tra questi due diritti influisce direttamente sul modo di concepire la democrazia. Infatti la pluralità di informazioni provenienti da diverse fonti e la loro trattazione in forma critica, sono a garanzia della libertà di informazione e di conoscenza; in tale contesto la giurisprudenza ha evidenziato che il diritto di cronaca è riconosciuto in presenza di tre condizioni: l’effettiva utilità dell’informazione per la società, la veridicità dei fatti rappresentati, la modalità corretta di esposizione della notizia al fine di escludere modalità eccessive o non civili di espressione.
La Corte di giustizia europea, con la sentenza del 13 maggio 2014 relativa al caso Google Spain, ha affermato che il motore di ricerca su Internet è il responsabile del trattamento dei dati personali anche se le notizie sono pubblicate da terze persone. In tal modo qualora effettuando una ricerca si rinvengano dati e notizie sulla propria persona che si vogliono eliminare, occorre prima di tutto rivolgersi al gestore del motore di ricerca (Google) e qualora questo non dia seguito alla domanda si potranno adire le autorità competenti per ottenere la soppressione, in presenza dei dovuti presupposti, delle notizie non più interessanti per la collettività e che confliggono con il diritto alla protezione dei dati personali.
A ridosso di tale sentenza, il gruppo di lavoro “Articolo 29” – organismo oggi sostituito dal Comitato europeo per la protezione dei dati – pubblicò delle linee guida nelle quali erano definiti dei criteri orientativi che le autorità garanti nazionali, chiamate a decidere circa le controversie in materia di protezione dei dati personali, possono utilizzare. Tra i vari criteri se ne sottolineano alcuni che: servono a specificare se il richiedente è un personaggio pubblico, se è un minorenne, a determinare la tipologia di vita professionale o personale e a prevedere la verifica di eventuali collegamenti mediante link che possono nuocere alla persona ed alla sua immagine.
In via generale, attraverso la sentenza delle sezioni Unite della Corte di Cassazione del luglio 2019 (n. 19681 del 22.07.2019) si è consolidata l’impostazione per cui la rievocazione ed il ricordo di fatti imputabili ad un soggetto sono leciti solo qualora ci si trovi di fronte ad un personaggio che susciti nel presente un’attenzione da parte del pubblico; può trattarsi di un personaggio noto, o di un soggetto pubblicamente esposto. In caso contrario prevale il diritto alla riservatezza rispetto a fatti ed eventi passati che possono nuocere alla dignità ed all’onore e per i quali la collettività non mostra più interesse.
Questi criteri guida, oltre al fattore “tempo trascorso”, sono presi a base delle decisioni che vengono sottoposte all’attenzione del Garante della privacy a cui ci si rivolge per esercitare il diritto all’oblio, dopo mancata risposta o diniego alla richiesta presentata direttamente al gestore del motore di ricerca.