⚖️ Diritto all’oblio GDPR, cos’è e come si esercita

Il diritto all’oblio si riferisce alla facoltà di richiedere la rimozione dei propri dati personali, diritto riconosciuto all’individuo nelle ipotesi previste dall’articolo 17 del Regolamento Generale sulla Protezione dei Dati (GDPR).

Questo diritto si innesta nel più ampio contesto del consenso al trattamento dei dati personali: l’assenza di un consenso esplicito impone di procedere con l’eliminazione dei dati relativi all’individuo in questione.

Al di là della sua definizione tecnica, il diritto all’oblio si configura come una manifestazione del diritto alla riservatezza, che si concretizza nella possibilità di far rimuovere informazioni potenzialmente dannose per la reputazione di un soggetto.

Originato negli anni ’70, ben prima dell’avvento di Internet, il diritto all’oblio ha richiesto un adeguamento normativo con l’introduzione del GDPR, soprattutto per rispondere alle esigenze di una società profondamente mutata, dove il web rappresenta il principale vettore informativo. Il legislatore e le autorità per la protezione dei dati personali hanno dunque rafforzato il diritto alla cancellazione dei dati, in risposta alle nuove sfide poste dal contesto digitale.

Nel presente articolo analizziamo la natura del diritto all’oblio, le sue evoluzioni in seguito all’entrata in vigore del GDPR e le disposizioni specifiche contenute nell’articolo 17 del suddetto regolamento.

Cos’è il diritto all’oblio?

Il diritto all’oblio, così come delineato dal Regolamento Generale sulla Protezione dei Dati (GDPR), rappresenta il diritto di un individuo di richiedere la cancellazione dei propri dati personali da qualsiasi archivio o database di enti che sono soggetti al GDPR.

Questo comprende non solo la presenza di informazioni su internet, come siti web o piattaforme di social media, ma anche registri e archivi fisici detenuti da aziende, istituzioni pubbliche e altre organizzazioni sia nel settore privato che in quello pubblico.

I dati personali comprendono tutte quelle informazioni che permettono di identificare un soggetto in maniera univoca – quali nome, cognome, numero di telefono, indirizzo e-mail, numero di targa del veicolo, caratteristiche fisiche distintive, e altri ancora. La qualifica di “personali” si applica a queste informazioni a prescindere dalla loro natura pubblica o privata: anche se i dati sono accessibili al pubblico, il loro trattamento è legittimo solo se si ha il consenso dell’individuo a cui si riferiscono.

La richiesta di cancellazione può essere esercitata quando i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti, quando il consenso al loro trattamento è stato revocato e non esistono altri fondamenti legali per il loro trattamento, o quando i dati sono stati trattati illecitamente, per citare alcune delle condizioni previste dall’articolo 17 del GDPR.

Grazie al GDPR, se ad esempio in passato hai lasciato un commento su un forum o i tuoi dati sono stati pubblicati su una pagina web senza il tuo permesso, hai il diritto di chiedere che questi vengano cancellati. Questo vale anche per i dati che un tempo hai condiviso volontariamente, come vecchie foto su un social network o un vecchio profilo su un sito di incontri, che ora non ritieni più opportuno mantenere pubblici.

Il diritto all’oblio però non è assoluto. Ci sono delle eccezioni, come quando si tratta di informazioni che hanno una rilevanza pubblica, ad esempio nei casi di politici o personaggi pubblici, o quando questi dati sono necessari per la libertà di espressione e informazione o per motivi di ricerca storica, scientifica o statistica.

Il diritto all’oblio, quindi, ti permette di chiedere che informazioni che ti riguardano siano cancellate dai risultati di una ricerca online o dai database di organizzazioni e aziende, ma sempre bilanciando il tuo diritto alla privacy con altri diritti e interessi pubblici. È un modo per assicurarti che la tua storia digitale sia più in linea con chi sei oggi e con come vuoi essere visto nel mondo online.

Le tappe storiche del diritto all’oblio, dalla giurispridenza al diritto all’oblio GDPR

Facciamo un breve viaggio attraverso le evoluzioni del diritto all’oblio per capire come esso si sia intrecciato con le disposizioni del GDPR.

Esploriamo le pietre miliari nella storia del diritto all’oblio, delineando un percorso che ci porta dai suoi esordi fino all’integrazione nel contesto del GDPR.

Origini Giurisprudenziali: Il concetto di diritto all’oblio ha cominciato a prendere forma nella seconda metà del XX secolo. In quel periodo, con un sistema mediatico principalmente basato su stampa e trasmissioni televisive, il diritto all’oblio mirava a proteggere gli individui dalla permanenza indefinita delle informazioni relative al loro passato, soprattutto quelle di natura giudiziaria.

Primi Interventi normativi in Italia: Ancor prima del GDPR, il legislatore italiano aveva già iniziato a riconoscere la necessità di cancellare i dati personali inutilizzati. Il codice della privacy italiano del 2003 prevedeva l’obbligo di eliminare i dati che consentivano l’identificazione dell’interessato quando questi superavano il periodo di conservazione necessario rispetto alle finalità del loro trattamento.

Decisione del Garante per la Privacy (2005): Un passo significativo fu compiuto quando il Garante per la Privacy intervenne sull’esercizio del diritto all’oblio online. Stabilì che, dopo un adeguato periodo di tempo, informazioni compromettenti non dovessero essere facilmente reperibili tramite i motori di ricerca generalisti, pur rimanendo accessibili direttamente tramite URL.

Sentenza Google Spain (2014): La Corte di Giustizia Europea, con la sentenza nel caso Google Spain, ha affermato il diritto degli individui di chiedere ai motori di ricerca come Google di rimuovere i link a pagine web che contengono informazioni personali non più rilevanti o obsolete, segnando così un momento decisivo per il diritto all’oblio a livello europeo.

L’Introduzione del GDPR (2016): Con l’entrata in vigore del GDPR nel 2016, il diritto all’oblio ha ricevuto un’enorme spinta. Il regolamento ha ampliato significativamente la portata di questo diritto, non limitandolo alla sola presenza di informazioni online ma estendendolo a tutti gli ambiti del trattamento dei dati personali.

In questa progressione storica, vediamo come il diritto all’oblio sia passato da una nozione marginale e di difficile attuazione a un principio fondamentale nella tutela della privacy dei cittadini europei, riconosciuto e applicabile attraverso strumenti legali chiari e diretti.

Oggi definiamo due ambiti differenti del diritto all’oblio.

• Il principio generale: in merito ad una determinata notizia, il diritto all’oblio può essere fatto valere solo nel momento in cui viene meno l’interesse pubblico alla notizia.

• Con riferimento al GDPR: il diritto all’oblio e GDPR si esprime attraverso il diritto alla cancellazione dei dati personali, con un ambito di applicazione diverso e più ampio rispetto a quello di origine giurisprudenziale.

Il diritto all’oblio nel GDPR: un bilanciamento tra privacy e diritto all’informazione

Il GDPR, entrato in vigore nel 2018, ha imposto una nuova disciplina sulla protezione dei dati personali, introducendo il diritto all’oblio come cardine della privacy in rete per gli individui. Questa normativa ha consolidato il potere degli utenti di controllare la propria presenza digitale, assicurando che i dati personali possano essere rimossi dai database e dai motori di ricerca quando non sono più rilevanti o necessari.

Campo di applicazione del GDPR

Importante è sottolineare che il GDPR tutela unicamente le persone fisiche, lasciando fuori dal suo raggio d’azione la protezione della reputazione delle imprese. Pertanto, le aziende non possono invocare il diritto all’oblio per rimuovere informazioni che le riguardano dalla rete.

Come il GDPR incarna il diritto all’oblio, l’art.17

La normativa ha ridefinito il concetto di diritto all’oblio, ampliandone le possibilità di applicazione ben oltre le previsioni preesistenti. L’articolo 17 del GDPR è la pietra miliare che consacra tale diritto, stabilendo chiare linee guida per la cancellazione dei dati:

• La rimozione deve avvenire “senza ingiustificato ritardo”.
• Il titolare dei dati ha l’onere di informare i vari responsabili del trattamento dell’avvenuta cancellazione.
• È fatto obbligo ai responsabili del trattamento di agire prontamente per rimuovere i dati.

Diritto all’oblio: quando e come si applica

1. Fine della finalità di trattamento: una volta che il motivo per il quale i dati sono stati raccolti viene meno, i dati devono essere cancellati. Non è necessaria una richiesta esplicita da parte dell’interessato se le condizioni sono soddisfatte.
2. Revoca del consenso: l’individuo ha il diritto di revocare in qualsiasi momento il consenso precedentemente accordato per il trattamento di dati particolarmente sensibili o per finalità specifiche.
3. Opposizione al trattamento: il diritto all’opposizione è esercitabile specialmente contro il trattamento dei dati per finalità di marketing diretto, incluso la profilazione, o quando il trattamento si basa su interessi legittimi.
4. Trattamento non conforme al GDPR: in caso di trattamento illecito dei dati, questi devono essere eliminati, e in caso di mancato adempimento, sono previste sanzioni da parte dell’autorità garante.

Nella pratica, il GDPR ha reso più semplice per gli individui in Europa far valere il loro diritto all’oblio, costringendo le organizzazioni a rispettare le richieste di cancellazione dei dati in modo tempestivo, a meno che non prevalgano ragioni legittime per conservarli.

Limiti e eccezioni al diritto all’oblio GDPR

Il diritto alla cancellazione non è illimitato. Esso deve confrontarsi e a volte cedere di fronte a

• diritto all’informazione,
• interesse pubblico in campo sanitario,
• ricerca storica, scientifica o statistica,
• diritto alla libertà di espressione e informazione.

Il GDPR stabilisce un equilibrio tra il diritto alla privacy individuale e le esigenze di un ambiente digitale aperto e informativo, assicurando che il diritto all’oblio sia garantito ma senza sovrastare altri diritti fondamentali e interessi pubblici.

Diritto alla cancellazione dati personali acquisiti per finalità di marketing

Il diritto di ogni individuo di far rimuovere i propri dati personali dalle basi di dati delle aziende, in particolare quando questi sono stati raccolti per attività di marketing, è una prerogativa esplicitamente riconosciuta e tutelata dal GDPR.

Questo regolamento allarga il perimetro d’azione del diritto all’oblio, tradizionalmente inteso come diritto di impedire la diffusione di informazioni potenzialmente dannose per la propria reputazione.

All’interno del contesto di marketing, il GDPR conferisce agli individui la facoltà di richiedere la cancellazione dei propri dati in modo semplice e immediato, senza la necessità di fornire motivazioni o giustificazioni per tale azione. Questo aspetto si distacca nettamente dalle condizioni che regolano l’esercizio del diritto all’oblio in altri ambiti, in quanto non sussiste alcun obbligo di bilanciare il diritto alla privacy con il diritto alla libertà di informazione.

Inoltre, il principio di minimizzazione dei dati, fondamentale nel GDPR, impone ai titolari del trattamento l’obbligo di eliminare le informazioni personali non appena esse cessano di essere necessarie per gli scopi per i quali sono state inizialmente raccolte. Ciò significa che, in linea con il regolamento, i dati raccolti per fini di marketing dovrebbero essere gestiti seguendo il criterio della loro effettiva utilità, e dovrebbero essere cancellati automaticamente una volta esaurita la loro funzione, senza che sia necessario un intervento esplicito da parte dell’interessato.

Diritto all’oblio e GDPR: le conclusioni di Legal for Digital

Il diritto all’oblio, interpretato nel contesto del GDPR come espressione del diritto alla riservatezza, rappresenta un caposaldo imprescindibile del Regolamento Europeo del 2016. La sua effettiva implementazione si traduce in una sfida che obbliga le imprese di ogni dimensione, dalle piccole realtà alle grandi multinazionali, a rivedere e aggiornare i propri protocolli di gestione dei dati.

Il GDPR, infatti, trova applicazione universale in ogni situazione in cui si proceda al trattamento di dati personali, sia che si tratti di clienti, di dipendenti o di fornitori, rendendo così la normativa rilevante per ogni tipo di attività commerciale e professionale.

Nella nostra analisi in Legal for Digital, categorizziamo l’applicazione del GDPR in due ampie sezioni:

• La sfera offline, che comprende tutti i dati personali gestiti in forma cartacea;
• La sfera online, che si focalizza specificatamente sui dati raccolti attraverso il sito web e altri canali digitali.

Per chi desidera una comprensione più approfondita di come il GDPR possa essere adattato e utilizzato all’interno della propria organizzazione, e per esplorare le modalità con cui gli individui possono avvalersi del loro diritto all’oblio, il nostro studio offre consulenze specialistiche, finalizzate a fornire orientamento e supporto su misura.

Brunella Martino

Avvocato specializzato in privacy e proprietà intellettuale con 15 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, segretario dell'Aiga sezione Lucca e componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie

Altri articoli in gdpr che potrebbero interessarti

Visualizza tutti gli articoli

Telemedicina in Italia: gestione dei dati personali e privacy

15 Aprile 2023

La Telemedicina viene intesa dal legislatore come uno strumento utile nei casi in cui la pratica tradizionale della medicina non possa essere svolta in uno spazio fisico.

In questo articolo vediamo insieme le caratteristiche principali della Telemedicina e proponiamo alcune riflessioni dedicate alla normativa sulla Telemedicina in Italia.

Leggi altro

⚖️ Cookie di profilazione: identificazione e conformità al GDPR

22 Marzo 2022

Sicuramente sai che la presenza di soli cookie tecnici e analitici, o la presenza anche di cookie di profilazione è determinante per l’adeguamento del sito web al GDPR.
Come si fa a riconoscere i cookie tecnici, analitici e i cookie di profilazione?

Leggi altro

Privacy officer, chi è e quando occorre nominarlo

1 Febbraio 2024

Il privacy officer, detto anche responsabile privacy dell’azienda o privacy manager, è una figura professionale nominata dalle imprese per garantire che il trattamento dei dati personali sia conforme al GDPR.

Leggi altro