Dati sensibili riservatezza e oblio

Scritto da: Federica Resta

Aggiornato al: 30/04/2019

Il punto della situazione


La vicenda Cambridge Analytica: dalla profilazione commerciale a quella politico-elettorale

Dal punto di vista del diritto alla protezione dei dati personali, il 2018 si è caratterizzato per le rivelazioni sulla vicenda Facebook-Cambridge Analytica, relativa all’utilizzo, da parte di questa società, dei dati personali di un quantitativo enorme (circa 87 milioni) di utenti Fb (e, parrebbe, anche di meri visitatori delle pagine del social network) a loro sostanziale insaputa, per costruirne profili psicografici utili alla verifica dell’efficacia della propaganda durante la campagna elettorale per le presidenziali statunitensi (e, probabilmente, non solo).

Veicolo di questa raccolta a strascico di dati inerenti posizione geografica, like, interessi, pagine seguite, sarebbe stata un’app elaborata dalla società, che avrebbe acquisito tramite la registrazione i dati degli utenti Fb registrati e dei loro “amici”.

L’inchiesta (condotta, negli Usa, anche dalla Commissione parlamentare esercente il controllo politico sui servizi di intelligence) che ne sarebbe seguita avrebbe, poi, rivelato interferenze di potenze straniere (in particolare russe) sulle elezioni americane, attraverso propaganda mirata e “dark ads”, ovvero messaggi occulti volti a orientare in vario modo il consenso elettorale.

A seguito della diffusione delle rivelazioni sul caso, è stata avviata un’istruttoria congiunta delle Autorità di protezione dati europee, tuttora in corso, volta a chiarire meglio i contorni della vicenda e ad accertare le responsabilità delle parti coinvolte.

Ma soprattutto, la conoscenza di questa vicenda ha promosso una generale consapevolezza dell’importanza di proteggere i propri dati personali, esigendo condizioni contrattuali chiare e verificando compiutamente la portata dei consensi resi, spesso in maniera superficiale se non addirittura irriflessa, rispetto al trattamento dei nostri dati.

La vicenda Ca-Fb ha reso evidente come i dati personali siano lo strumento su cui si esercita il potere, privato e pubblico, oggi.

Attraverso il possesso delle informazioni sulle attitudini dei cittadini, le loro propensioni e i loro bisogni si propongono messaggi politici altamente personalizzati, rendendo così possibile la manipolazione del consenso e, in ultima analisi, un pesantissimo condizionamento del risultato elettorale, laddove come in questo caso il microtargeting sia utilizzato rispetto alle scelte politiche.

Dalla profilazione dell’utente ai fini della pubblicità mirata di prodotti e servizi si è passati alla profilazione del cittadino potenziale elettorale, per predirne e orientarne le scelte, con un salto sicuramente immaginabile ma comunque non meno dirimente su istituzioni democratici fondativi.

Il metodo è sempre lo stesso: con il monitoraggio continuo della rete si mappa puntualmente la totalità delle esigenze di ciascuno, per elaborare contenuti personalizzati anche nell’offerta elettorale, selezionando ogni messaggio per renderlo sempre più affine a quello che gli algoritmi decifrano delle inclinazioni del suo destinatario.

Se, però, la profilazione a fini commerciali già comporta di per sé una rilevante compressione della libertà (anche di scelta), dell’autonomia, in una parola dell’autodeterminazione di ciascuno, la profilazione a fini elettorali e la manipolazione del consenso hanno effetti dirompenti sulla tenuta della democrazia, sui quali si deve riflettere.

Se CA avesse condizionato tutti gli utenti di FB (che contano più degli abitanti di un continente), le sorti della politica mondiale sarebbero state decise attraverso questo sistema distorsivo e poche impese oligopoliste avrebbero potuto orientare scelte collettive di primaria importanza.

La caduta delle quotazioni in borsa di FB a seguito di questa vicenda - a prescindere dalle sue reali responsabilità- dimostra che dalle modalità di gestione dei dati personali dipende, più di ogni altra cosa, la reputazione, l’affidabilità di un’azienda. La protezione dati allora, oltre che ineludibile presupposto di libertà, è anche una risorsa reputazionale preziosa.

Il nuovo quadro giuridico


Il dato maggiormente significativo per il periodo concerne il definitivo completamento del quadro giuridico in materia di protezione dati, con l’applicabilità, dal 25 maggio 2018, del Regolamento generale sulla protezione dei dati (GDPR: (UE) 2016/679) l’entrata in vigore, il 19 settembre scorso, del d.lgs. 101/18, di adeguamento dell’ordinamento interno al Regolamento stesso e, l’8 giugno, del d.lgs. 51/2018, di recepimento della direttiva (UE) 2016/680, relativa al trattamento di dati personali per fini di polizia e giustizia penale.

E’ questa la cornice normativa in cui si iscrive oggi (e probabilmente per il prossimo futuro) il rapporto tra persona e tecnica.

La disciplina di protezione dati è infatti la pietra angolare attorno a cui si può e si deve tentare di governare il cambiamento cogliendo le straordinarie opportunità offerte dalla tecnica, senza però perdere di vista la gerarchia assiologia su cui si fonda lo Stato di diritto e la democrazia, in particolare una democrazia personalista quale la nostra (e in un ordinamento, quale quello dell’Ue, la cui Carta dei diritti si apre enunciando il diritto di ciascuno alla dignità e quindi il valore della persona).

La disciplina di protezione dati è dunque il terreno su cui costruire un’alleanza tra la tecnica e la persona, l’innovazione e il diritto, la scienza e l’autodeterminazione, in quanto è il ramo del diritto che disciplina l’elemento costitutivo della società digitale, ovvero i dati (che come vedremo sono sempre più personali, per effetto di una lettura evolutiva e garantista della nozione di dato personale, offerta dal Gdpr).

La lungimiranza e al tempo stesso la centralità della protezione dati nel contesto sociale attuale è resa evidente dal nuovo quadro giuridico, che introduce innovazioni importanti, sotto vari profili.

Il nuovo quadro giuridico è composto – come si accennava - dalla direttiva 680, che riguarda i settori della polizia e della giustizia penale, mentre il Gdpr è definito generale perché si applica a ogni trattamento, ad eccezione di quelli, appunto, previsti dalla direttiva e di quelli in settori sottratti alla competenza dell’Ue come l’intelligence, anche se come vedremo appunto il legislatore italiano ha scelto di continuare nella tradizione già invalsa da noi di disciplinare anche le garanzie rispetto a questo tipo di trattamenti.

Il regolamento si applica anche alla giustizia non penale, rompendo dunque sotto questo profilo l’unità della girisdizione, in quanto il settore penale resta disciplinato dalla direttiva. Naturalmente nel merito le differenze non sono così radicali ma indubbiamente vi sono anche soltanto rispetto allo strumento giuridico che introduce tale disciplina.

La differenza essenziale tra i due strumenti giuridici consiste nella diretta efficacia e immediata applicabilità del Gdpr, con efficacia dunque anche orizzontale che radica posizioni giuridiche soggettive, mentre la direttiva ha efficacia verticale, limitata dunque all’imposizione agli Stati di obblighi di risultato.


Il GDPR


Tra le principali innovazioni, generali, del Regolamento si segnalano:


1) il passaggio da una normativa di armonizzazione a una di uniformazione con il regolamento (rispetto a cui il dlgs 101/18 interviene come norma meramente interstiziale, di integrazione delle norme del Gdpr nei soli ambiti dallo stesso consentito);


2) l’ applicabilità extra Ue della disciplina, a titolari che offrano beni o servizi a persone che si trovino nell’Ue o ne monitorino il comportamento, così di fatto estendendo l’applicabilità della normativa Ue anche oltreoceano e, in particolare, ai titani del web;


3) il radicamento della disciplina su una base giuridica, quale l’art. 16 TFUE, volta alla tutela di questo diritto fondamentale, laddove la direttiva 95/46 si fondava sulla competenza in materia di mercato interno. Il che naturalmente ha una serie di implicazioni in ordine alle scelte di tutela, assai rilevanti. Va comunque chiarito che il diritto alla protezione dati è comunque, anche all’interno del nuovo quadro giuridico, oggetto di costante bilanciamento con gli altri interessi confliggenti, tra i quali l’esigenza di garanzia della libera circolazione dei dati.


Tra le principali innovazioni, nel merito, apportate dal Regolamento, si segnalano:

L’approccio preventivo che caratterizza l’impiego di cautele volte a prevenire rischi di violazione del diritto alla privacy, mediante alcune specifiche misue, tra le quali:

privacy by design e by default, tecniche che mirano cioè a incorporare misure a tutela della privacy negli stessi dispositivi, come configurazione o impostazione predefinita,;

estensione generalizzata della comunicazione al Garante (e in alcuni casi agli stessi interessati) delle violazioni di dati personali (data breach), volta a consentire l’attivazione, da parte dell’Autorità, dei propri poteri a tutela degli interessati;

  • valutazione d’impatto privacy dei trattamenti caratterizzati da un grado significativo di rischio per i diritti e le libertà degli interessati, secondo quell’approccio basato sul rischio che connota l’intero Gdpr;
  • responsabilizzazione del titolare, tenuto non alla mera, quasi burocratica, di singole misure a tutela della privacy, ma all’adozione di una complessiva strategia aziendale di tutela dei dati personali, simile a quei compliance programs previsti dalla disciplina della responsabilità da reato degli enti di cui al d.lgs. 231/2001. Sono in senso lato riconducibili all’”accountability” del titolare anche l’adesione a codici i condotta o sistemi di certificazione, che rileva anche ai fini sanzionatori in termini naturalmente favorevoli all’agente;
  • nomina (obbligatoria per gli enti pubblici e per i trattamenti più significativi) del responsabile della protezione dati, con funzione consultiva e di supporto al titolare, ai fini della migliore gestione dei trattamenti.

Rilevante è anche l’estensione della nozione di dato personale, estesa anche a informazioni parziali che, se combinate, possano rendere identificabile l’interessato, secondo un paradigma ripreso anche nell’ambito della revisione della Convenzione 108 del Consiglio d’Europa.

Importante anche il rafforzamento del ruolo del Garante (di cui tra l’altro si deve acquisire obbligatoriamente il parere anche sugli atti legislativi), inserito in una rete europea dai contorni sempre più definiti nel senso di una cooperazione tanto forte quanto rispettosa dell’indipendenza delle singole Autorità di protezione dei dati.

Il profilo sanzionatorio amministrativo è decisamente rafforzato, con sanzioni che secondo i criteri della giurisprudenza della Cedu devono definirsi para-penali, sebbene la risposta punitiva sia comunque diversificata, affiancandosi alle sanzioni pecuniarie anche misure di tipo correttivo che potranno integrare o sostituire le prime, ove sia sufficiente anche la sola tutela in forma specifica.

Il risarcimento del danno si delinea secondo un modello di responsabilità semioggettiva (dunque particolarmente favorevole al danneggiato), già noto all’ordinamento italiano.

Il diritto alla protezione dati conosce poi nuovi e importanti corollari. Anziutto, il diritto all’oblio, nella forma della cancellazione dei dati per il cui trattamento venga meno uno dei presupposti o si configuri, anche solo in ragione del tempo trascorso, come sproporzionato. Si disciplina inoltre il diritto alla portabilità dei dati, che consente di trasferire da un titolare all’altro i propri dati personali, contrastando così anche situazioni oligopolistiche o comunque anticoncorrenziali.


Il decreto di adeguamento al GDPR


Il d.lgs. 101 del 2018 ha introdotto alcune importanti disposizioni di adeguamento dell’ordinamento al Gdpr, negli spazi consentitigli dalla stessa fonte europea. Anzitutto, in linea generale (e nell’esercizio di una delega sostanzialmente conservativa), si sono mantenuti gli istituti della disciplina previgente, non incompatibili con il Regolamento, che hanno dato migliore prova di sé, mutandone la forma ove necessario, anche al fine di rendere meno traumatico, per i cittadini, il passaggio dalla vecchia alla nuova disciplina. E in ragione anche dell’innovatività e lungimiranza del Codice in materia di protezione dei dati personali, che ha già 15 anni fa introdotto norme all’avanguardia in molti settori. Così per i codici deontologici che, nelle materie rimesse agli interventi integrativi degli Stati (si pensi al giornalismo), pur con diversa denominazione mantengono la loro natura di soft-law, costituendo parametri integrativi della legittimità del trattamento.

Si confermano le garanzie, già introdotte dalla disciplina previgente e libere da vincoli europei (non essendo la materia di competenza dell’Ue), rispetto al trattamento di dati personali per fini di intelligence, con una scelta significativa proprio perché volta ad accordare ai cittadini alcune tutele essenziali anche in un contesto, quale appunto quello della sicurezza nazionale, tradizionalmente caratterizzato dalla recessività degli interessi individuali rispetto a quelli pubblici.

La sanzione penale, nel rispetto del ne bis in idem e del principio di frammentarietà, è riservata a condotte caratterizzate da un disvalore maggiore, lesive della privacy individuale o del corretto esercizio delle funzioni del Garante (quale bene giuridico alla prima strumentale) e pertanto meritevoli della particolare efficacia preventiva di tale sanzione.

Si è mantenuto il meccanismo premiale per il pagamento in misura ridotta delle sanzioni amministrative pecuniarie, alle quali si affiancheranno (in alcuni casi anche in funzione vicaria), le misure “correttive”, di natura inibitoria, interdittiva, prescrittiva.

Importante anche la scelta di fissare la soglia del consenso del minore a un’età- 14 anni – coerente con altre norme dell’ordinamento che, a quell’età, ammettono una parziale capacità di agire del minore (ad esempio per le istanze di rimozione di contenuti lesivi, in materia di cyberbullismo), ma soprattutto aderente a una realtà sociale che non si può ignorare con lo schermo, spesso velleitario perché facilmente eludibile, della rappresentanza genitoriale. Ciò non vuol dire, naturalmente, che i minori debbano essere lasciati soli nell’esercizio di questa libertà, ma che devono essere educati a comprendere opportunità e insidie di una realtà, quale quella digitale, che sempre più assorbe ogni dimensione della vita.

Di particolare rilievo è, poi, la scelta discrezionale (tanto del d.lgs. 101 quanto di quello di recepimento della direttiva 680) di imporre, anche per gli uffici giudiziari, un responsabile della protezione dei dati, nella consapevolezza dell’importanza del contributo che può fornire ai titolari


Il decreto di recepimento della direttiva su polizia e giustizia penale


Il decreto n. 51 del 2018 ha introdotto le norme di recepimento della direttiva 680 sul trattamento di dati personali per fini di polizia e giustizia penale, volta a introdurre una cornice essenziale di garanzie per i cittadini i cui dati siano trattati, appunto, dall’autorità di pubblica sicurezza o dall’autorità giudiziaria in sede penale.

Le scelte più significative del legislatore nazionale concernono:

  • la nomina obbligatoria del responsabile della protezione dei dati anche per l’autorità giudiziaria nell’esercizio delle sue funzioni (laddove la direttiva consentiva anche di prescinderne);
  • il rinvio a uno specifico decreto del Presidente della Repubblica della previsione, nel dettaglio, dei singoli trattamenti svolti per fini di polizia e giustizia penale, con la disciplina puntuale dei termini di conservazione, delle modalità di accesso, ecc.,
  • la previsione di fattispecie sanzionatorie amministrative modulate (quanto a condotta e criteri applicativi) su quelle del Regolamento, sia pur con cornici edittali meno elevate;
  • l’ individuazione del Garante per la protezione dei dati personali quale autorità di controllo nazionale unica, salvo per i trattamenti svolti dall’autorità giudiziaria nell’esercizio delle sue funzioni. Relativamente a questi trattamenti si è preferito non indicare un’autorità altra, ma rimettere il controllo di legittimità alla stessa sede processuale, con gli strumenti del processo, secondo la soluzione percorsa dal legislatore tedesco;
  • l’introduzione del diritto di “chiunque” (dunque anche del terzo) di richiedere la rettifica, cancellazione o limitazione dei suoi dati contenuti in atti giudiziari o indagini, anche in sede processuale (norma particolarmente importante anche ai fini dei dati captati in sede intercettativa);
  • la previsione di una specifica fattispecie delittuosa modellata sulla falsariga dell’abuso di ufficio e del trattamento illecito di dati personali (con dolo di danno o di profitto ed evento consistente nel nocumento causato all’interessato) volta a colpire le forme di abuso del potere di trattamento in danno del cittadino, realizzate in violazione di alcune norme particolarmente rilevanti (quelle sulla profilazione fondata su dati sensibili o quella sui presupposti di liceità del trattamento).


Le intercettazioni


Le garanzie previste dal decreto 51, in particolare in ordine al diritto di “chiunque” a richiedere la cancellazione, limitazione o rettifica dei dati risultano particolarmente importanti anche alla luce della sostanziale sospensione dell’efficacia della riforma Orlando della disciplina delle intercettazioni (d.lgs. 216/2017), disposta con decreto-legge 25 luglio 2018, n. 91, recante proroga di termini previsti da disposizioni legislative, convertito, con modificazioni, dalla legge n. 108 del 2018.

Infatti, il canone di stretta indispensabilità sancito dalla riforma per l’utilizzo delle intercettazioni, tanto nell’an (le sole rilevanti) quanto nel quomodo (le sole parti necessarie), si trarrebbe anche dai principi di minimizzazione e proporzionalità enunciati dal d.lgs. 51, sebbene in assenza delle sue implicazioni strettamente processuali (ad esempio sull’anticipazione dell’udienza filtro ecc.).

Importante risulta, come si accennava, anche la previsione del diritto di chiunque (anche del terzo) di chiedere la rettifica, la cancellazione o la limitazione dei propri dati personali contenuti in atti processuali, ponendo così rimedio alle non infrequenti inesattezze o citazioni sovrabbondanti di dati irrilevanti.

Trasposto sul piano delle intercettazioni, questo rimedio dovrebbe consentire, in particolare (ma non solo) al terzo di richiedere, con maggiore efficacia rispetto alla procedura delineata dall’art. 269 cpp, l’eliminazione di proprie conversazioni irrilevanti a fini probatori.


La data retention


Con il decreto legislativo n. 51/18 non si è, tuttavia, colta l’occasione per rivedere la disciplina della conservazione dei tabulati (dati di traffico telefonico e telematico) ai fini dell’acquisizione nei procedimenti penali, la cui durata, con la legge europea del 2017 (n. 167/2017), è stata portata a sei anni dai dodici mesi (o ventiquattro, ovvero trenta giorni, in ragione della tipologia del dato) previsti in precedenza.

Tale disciplina contrasta, in più punti, con l’ordinamento e con la giurisprudenza dell’Unione europea. Proprio in ordine al tema della data retention, infatti, la Corte di giustizia- con la sentenza Digital Rights del 2014 e, quindi, con la Tele2 Sverige del 2016- ha inaugurato una giurisprudenza particolarmente garantista, volta a limitare la discrezionalità del legislatore nella previsione del termine di conservazione dei dati, in conformità al principio di proporzionalità tra esigenze investigative e privacy. L’affermazione del principio è stata così forte da indurre la Corte ad annullare l’intero testo della direttiva europea (n. 2006/24) sulla conservazione dei dati di traffico, in quanto legittimava la conservazione dei tabulati per un periodo (due anni) ritenuto eccessivo.

La sorveglianza non può mai essere generalizzata e massiva ma – lo precisa la Corte di giustizia nella recente sentenze Tele2- deve fondarsi su requisiti individualizzanti, rivolgendosi cioè nei confronti di soggetti coinvolti, in qualche misura, in attività criminose ovvero limitandosi a specifici luoghi nei quali emergano esigenze investigative relative, sempre, a gravi reati e previa adeguata delimitazione temporale della durata della conservazione.

La normativa italiana risulta dunque difficilmente compatibile con i principi affermati dalla Corte; ragione per la quale, proprio in sede di recepimento della direttiva 680, sarebbe stato quantomai opportuno procedere – sia pur con un’interpretazione estensiva dei criteri direttivi della delega legislativa – a un’ampia e radicale revisione della disciplina interna sulla conservazione dei dati di traffico. Il Garante aveva suggerito tale modifica tanto in sede di parere sullo schema di decreto legislativo, quanto in sede di audizione dinanzi alla Commissione parlamentare speciale per gli atti urgenti del Governo. Tuttavia, come anticipato, la richiesta del Garante è rimasta inascoltata, in base all’argomento della non riconducibilità della materia ai limiti della delega legislativa.


Privacy e intelligence


Particolarmente importante risulta il rinnovo (in data 6 ottobre 2017) del protocollo d’intenti tra Autorità Garante e il Dipartimento informazioni per la sicurezza della Repubblica (infra: Dis), che rilancia le linee dell’intesa istituzionale avviata nel 2013, riferendola anche al nuovo quadro giuridico tanto in materia di protezione dei dati quanto in materia di cybersecurity.

Si tratta di uno strumento importante per consentire l’effettività del controllo del Garante anche in un ambito, quale quello dei trattamenti di dati personali per fini di sicurezza nazionale, tradizionalmente caratterizzato dalla recessività della tutela dei diritti individuali rispetto alle esigenze collettive.

Tale strumento è stato anche oggetto di apprezzamento da parte dell’Agenzia europea per i diritti fondamentali, in quanto esempio particolarmente positivo di esercizio dei poteri di controllo delle Autorità di protezione dati nei settori rispetto ai quali maggiore è la discrezionalità del legislatore nazionale.



Oltre l’oblio: il diritto al “ridimensionamento della propria visibilità mediatica”


Con la sentenza n. 7846 del 5 settembre 2018, il Tribunale di Milano ha chiarito, sia pur in via incidentale, come il diritto alla deindicizzazione sussista anche rispetto a notizie soltanto inesatte, ancorché in assenza del decorso di un tempo sufficiente a integrare i presupposti del “diritto all’oblio”.

La decisione accoglie il ricorso avvero un provvedimento del 21.12.17 con cui il Garante ha ordinato la deindicizzazione “globale” (dunque anche dalle versioni extraeuropee di Google) di 26 url inerenti post su blog o brevi articoli anonimi pubblicati nel luglio 2017.

Tali post attribuivano all’interessato – residente all’estero e iscritto all’AIRE - la responsabilità per una “opera seriale di diffamazione nei confronti di docenti, università, studenti e donne” in Italia e Usa, condotta dal sito presto.news di cui egli sarebbe stato gestore, peraltro asseritamente fingendosi professore di diverse università. Gli si attribuivano anche reati quali molestie sessuali, stalking, cyberbullismo, grooming, insinuandosi anche sia affetto da infermità mentale. Nessuno di questi post conteneva elementi circostanzianti tali presunte attività illecite. A sostegno dell’ istanza, oltre alla pretesa falsità delle imputazioni attribuitegli, il ricorrente adduceva anche la ricezione di un’email proveniente da persona riconducibile al sito su cui sono stati pubblicati molti dei post in questione, con la quale e-mail gli veniva richiesta una ingente somma di denaro per la rimozione dei post stessi. Da ricerche condotte dal ricorrente, il gestore di tale sito sarebbe stato condannato per estorsione per fatti analoghi.

Il Garante ha accolto il ricorso relativamente alla richiesta di deindicizzazione globale dei post, in considerazione dell’impatto sproporzionatamente negativo, sulla dignità dell’interessato, della perdurante reperibilità degli articoli/post in questione (citandosi anche un punto delle Linee guida del WP 29, che introduce una sorta di presunzione di meritevolezza dell’accoglimento delle istanze per la deindicizzazione in presenza di “campagne personali contro un determinato soggetto, sotto forma di “rant”, esternazioni negative “a ruota”)”. L’adesione all’istanza di deindicizzazione globale –all’esame della Corte di giustizia su rinvio francese- è stata motivata in base all’esigenza “di rendere effettiva la tutela assicurata al ricorrente nel caso di specie, tenuto conto anche che quest´ultimo ha dichiarato di risiedere al di fuori dell´Unione europea, occorra estendere l´attività di rimozione degli URL in questione anche alle versioni extraeuropee del motore di ricerca”.

Il provvedimento è stato impugnato da Google tanto rispetto alla deindicizzazione globale (contestando dunque la carenza di attribuzione del Garante in ordine a un ambito territoriale secondo la direttiva 95/46 e il Codice, allora vigenti, sottrattogli) quanto rispetto al merito, sostenendo che la causa petendi, in quanto riconducibile all’onore, fosse sottratta alla competenza del Garante e rimessa all’esclusiva competenza dell’a.g.o..

La sentenza non affronta la questione della deindicizzazione globale, ritenendola assorbita dai profili di merito e ribadendo la necessità di attendere la valutazione della Corte di giustizia sul rinvio pregiudiziale.

L’accoglimento del ricorso è tutto fondato sul merito del ricorso e sulla correttezza ed esattezza dei dati contenuti nei post deindicizzati, desunte da elementi probatori emersi successivamente alla pronuncia del Garante.

L’interessato è infatti stato oggetto, nei primi mesi dell’anno, di alcune inchieste giornalistiche essendosi egli candidato alle politiche nelle circoscrizioni Centro e Nord America, quale rappresentante degli italiani all’estero, sebbene si stia accertando la presunta falsità della firma notarile apposta sui documenti presentati al Ministero dell’intero all’atto della registrazione della sua lista. I servizi giornalistici avrebbero anche confermato la veridicità del contenuto di gran parte dei post deindicizzati.


La conclusione del Tribunale è stata, dunque, di ritenere corrette, esatte, aggiornate, pertinenti e meritevoli di interesse pubblico le informazioni contenute nei post, relativamente peraltro a un personaggio da ritenersi pubblico in quanto candidato alle scorse politiche.

Tale conclusione – giocata tutta su profili di merito ed elementi probatori ignoti al Garante – sottende tuttavia, implicitamente, la conferma della correttezza della linea interpretativa adottata dal Garante, volta ad ammettere la deindicizzazione non solo nei casi di oblio stricto sensu intesi (legati cioè al decorso del tempo di una notizia in passato degna di interesse pubblico), ma anche nei casi di inesattezza dei dati trattati.

Il Tribunale ammette infatti che- pur non potendo naturalmente il Garante sindacare la diffamatorietà di determinati contenuti, rimessa alla competenza del giudice.- egli possa certamente valutare la liceità del trattamento realizzato con la diffusione dei dati in questione, ammettendosi espressamente la possibilità che si verifichino “sia una lesione del diritto al corretto trattamento dei dati personali sia una lesione del diritto all’onore, alla reputazione, all’immagine”. In tali casi, il Garante esamina la questione inerente l’onore solo come “conseguenza della lesione dell’identità personale (realizzata con un illecito trattamento di dati personali)”.

Lo stesso motore di ricerca – precisa il tribunale – non può essere chiamato che a rispondere della correttezza del trattamento realizzato con l’indicizzazione e non già della diffamatorietà dei contenuti diffusi da terzi, spettando il bilanciamento tra il diritto all’onore e il diritto alla libertà di espressione non certo al gestore, ma al giudice.

Ricorda infatti il Tribunale che “chi invoca la tutela del diritto all’onore e alla reputazione deve agire il giudice ordinario e, prima di ottenere un provvedimento che limiti il diritto di espressione, tutelato ex art. 21 Cost., deve attendere una pronuncia almeno esecutiva e irretrattabile dell’effettiva violazione del diritto individuale all’onore e alla reputazione (cfr., in tal senso, Cass., SSUU 23469/2016); spetta al giudice ordinario e non al motore di ricerca operare il bilanciamento tra diritto all’onore o alla reputazione e diritto alla libertà di manifestazione del pensiero (che come da tempo affermato dalla Corte costituzionale rappresenta il “più alto, forse, dei diritti primari e fondamentali della Costituzione: Corte cost., 168/1971).

Il Tribunale sembra dunque ammettere la deindicizzazione a tutela del “diritto alla dis-associazione del proprio nome da un dato risultato di ricerca”, ritenendo che “il c.d. ridimensionamento della propria visibilità telematica rappresenta un aspetto “funzionale” del diritto all’identità personale, diverso dal diritto ad essere dimenticato, che coinvolge e richiede una valutazione di contrapposti interessi: quello dell’individuo a non essere (più) trovato on line e quello del motore di ricerca”.

Il Tribunale sembra, dunque, ammettere la deindicizzazione anche a tutela dell’esattezza dei dati trattati (in funzione di garanzia del diritto all’identità personale), in casi nei quali il decorso del tempo (elemento costitutivo dell’oblio) non rileva, come affermato dal Garante nelle decisioni più recenti. Soluzione sostenuta, del resto, dal combinato disposto degli artt. 5, par.1, lett.a e d) e 17, par.1, lett. d) del GDPR.

Quanto, infine, al tema – come detto, nella sentenza non esaminato nel merito - della deindicizzazione globale, va ricordato che nella controversia Google, Inc. v. Equustek Solutions, Inc.., la Corte suprema del Canada, nel 2017, ha ammesso la deindicizzazione globale, sebbene poi la United States District Court (Northern District of California[) abbia negato efficacia nel territorio statunitense alla pronuncia, invocando l’articolo 230 del Communication Decency Act del 1996, che esime piattaforme quali Google, che ospitano i contenuti di siti terzi, da responsabilità, per prevenire quel “chilling effect” su cui si fonda una consolidata giurisprudenza della Corte suprema. Tale indirizzo sarà verosimilmente destinato a soccombere con l’applicazione del GDPR, che come noto esplica efficacia anche rispetto a titolari stabiliti al di fuori del territorio dell’Ue, i quali offrano beni o prestino servizi ovvero monitorino il comportamento di quanti si trovino in Europa.