Il 7 Luglio 2020 L’European Data Protection Board (Comitato europeo per la protezione dei dati: l’organo dell’UE incaricato dell’applicazione del Regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018) ha adottato le Linee guida 5/2019 sui criteri del diritto all’oblio nei casi riguardanti i motori di ricerca (per visualizzare il documento clicca su: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-52019-criteria-right-be-forgotten-search-engines_it.
Il diritto all’oblio coincide storicamente con la nascita del diritto alla privacy ed alla riservatezza, cioè con il diritto di essere lasciati in pace concepito nel 1890 da Warren e Brandeis, due giovani avvocati bostoniani.
Ma è con il World Wide Web, i Social Network e, in generale, le reti di comunicazione elettronica, che il diritto all’oblio acquisita in tempi recenti un significato estremamente più profondo e dirompente: infatti pretendere oggi che le proprie informazioni personali vengano sottratte alla pubblica circolazione non è agevole come poteva essere in passato, quando si poteva pretendere che le informazioni che ci riguardano non venissero ristampate, essenzialmente su carta, e diffuse ulteriormente.
Le pronunce dei giudici nazionali ed europei non sono mancate nel corso del tempo, ma l’anno della svolta, quello che ha inciso nella pietra questo diritto è il 2018, l’anno del GDPR.
Il diritto all’oblio si colloca nell’ambito della disciplina giuridica della protezione dei dati personali che, negli ultimi vent’anni, è stata oggetto della Direttiva UE n. 46/95, ma occorre attendere il 2016 per avere definitivamente una norma apposita sul diritto all’oblio con la nuova disciplina europea sulla privacy, il Regolamento UE n. 679/2016 (GDPR), in vigore da maggio 2018.
Il diritto all’oblio, come concepito dal GDPR, è in realtà “il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale”.
Sebbene, dunque, il GDPR abbia fornito un quadro empiricamente chiaro di quando, come e perché è possibile esercitare o limitare l’esercizio del diritto alla cancellazione/oblio, la concreta applicabilità di questa norma continua ad essere resa complessa dai delicati rapporti con altri diritti di pari rango e da una certa dose di impermeabilità delle nuove tecnologie alle regole del diritto: Internet non dimentica, anche se la legge dice che dovrebbe farlo.
Il ruolo di sciogliere quest’intricata matassa, di bilanciare sapientemente diritti contrapposti e di valutare la concreta efficacia delle misure poste a tutela del diritto alla cancellazione/oblio è assegnato ancora una volta ai giudici, nazionali e sovranazionali.
Di conseguenza, le aziende titolari che decidono di sfruttare servizi in outsourcing, in Cloud, devono tenere in considerazione come viene svolto il trattamento dei loro dati, i modelli di deployment, nonché la tipologia di Cloud utilizzato. Difatti, gli adempimenti relativi alla cancellazione dei dati devono essere calati negli accordi tra titolare e responsabile (nella nomina), tenendo conto dei modelli di Cloud di cui si può usufruire (SaaS, Iaas, PaaS).
In generale, quanto più il provider di un servizio Cloud si allontana dalla gestione e dal trattamento dei dati, tanto più sarà sgravato da responsabilità e adempimenti.
Per approfondimenti: https://www.garanteprivacy.it/regolamentoue/oblio.
