Diritto all'oblio: evoluzione della giurisprudenza nei contesti digitali

Il “Diritto all’oblio” (RTBF) è diventato uno degli aspetti più importanti e dibattuti della legge sulla protezione dei dati dell’UE, in particolare nel contesto dei motori di ricerca, della reputazione online e della libertà di espressione. Radicato nel Regolamento generale sulla protezione dei dati (GDPR) e articolato per la prima volta dalla Corte di giustizia dell’Unione europea (CGUE) nel 2014, il diritto si è evoluto da allora attraverso sia la giurisprudenza storica sia l’applicazione da parte dei tribunali nazionali.

Questo articolo si concentra sulla decisione della CGUE nel caso Google contro CNIL (C-507/17), un caso cardine che ha definito l’ambito geografico del RTBF, ed esplora come i tribunali e le autorità di regolamentazione nazionali stanno interpretando e applicando il diritto in contesti digitali e transfrontalieri.

Origini: Google Spain (C-131/12)

Il moderno RTBF è emerso dal caso Google Spain, in cui la CGUE ha stabilito che i motori di ricerca sono responsabili del trattamento dei dati ai sensi della legge dell’UE e devono prendere in considerazione le richieste degli individui di deindicizzare i collegamenti a informazioni personali obsolete, irrilevanti o eccessive, anche se il contenuto originale rimane online.

Questo caso ha stabilito che:

• Gli individui hanno il diritto di richiedere la dereferenziazione dei risultati di ricerca a determinate condizioni.
• I motori di ricerca devono bilanciare il diritto alla privacy con la libertà di informazione e l’interesse pubblico.

Google contro CNIL (C-507/17): Limiti territoriali della dereferenziazione

Nel caso Google contro Commission nationale de l’informatique et des libertés (CNIL), la CGUE ha considerato se Google fosse tenuta a rimuovere i collegamenti a livello globale, o solo all’interno dell’UE/SEE, quando risponde alle richieste RTBF.

Fatti:

• L’autorità francese per la protezione dei dati (CNIL) ha multato Google per non aver rimosso i collegamenti da tutte le versioni del dominio (ad esempio, google.com) dopo aver accettato di deindicizzarli dai domini dell’UE (ad esempio, google.fr, google.de).
• CNIL ha sostenuto che limitare la deindicizzazione ai domini dell’UE rendeva il diritto inefficace.

Sentenza della CGUE:

• La Corte ha stabilito che la dereferenziazione globale non è richiesta ai sensi del diritto dell’UE.
• Tuttavia, il diritto dell’UE consente alle autorità degli Stati membri di richiedere una dereferenziazione più ampia, a seconda delle circostanze e dei test di bilanciamento giuridico locali.

Implicazioni:

• Il RTBF è territorialmente limitato all’UE/SEE, ma deve essere efficace all’interno di tale ambito, anche attraverso misure di geo-blocking per prevenire l’elusione.
• Le autorità di regolamentazione nazionali conservano il potere di richiedere una dereferenziazione più ampia, soggetta ai principi di proporzionalità e diritto internazionale.

Seguito nazionale e tendenze giurisprudenziali

Francia

A seguito della sentenza della CGUE, CNIL ha rivisto le sue pratiche di applicazione:

• Google e altre piattaforme ora utilizzano tecniche di geo-fencing per limitare la visibilità dei contenuti dereferenziati agli utenti dell’UE.
• I tribunali francesi hanno continuato a far rispettare le richieste RTBF con un’enfasi sul bilanciamento con la libertà di stampa, in particolare quando si tratta di personaggi pubblici o documenti giudiziari.

Germania

I tribunali tedeschi e il Commissario federale per la protezione dei dati (BfDI) hanno sostenuto la dereferenziazione per i reportage obsoleti dei media che danneggiano in modo sproporzionato la reputazione degli individui.

• In un caso di alto profilo, un imprenditore è riuscito a far deindicizzare i risultati di ricerca relativi a una condanna di vecchia data ai sensi dell’articolo 17 del GDPR.
• I tribunali tedeschi spesso soppesano pesantemente la libertà di espressione, ma tendono alla dereferenziazione quando è in gioco la riabilitazione o la reintegrazione personale.

Spagna

La Spagna, il luogo di nascita della giurisprudenza RTBF, continua a registrare un elevato volume di richieste.

• L’Agenzia spagnola per la protezione dei dati (AEPD) ordina regolarmente ai motori di ricerca di dereferenziare contenuti che non sono di interesse pubblico, soprattutto nel caso di privati o reati minori.
• I tribunali sostengono il potere discrezionale dell’AEPD, ma sottolineano la necessità di un bilanciamento caso per caso con il diritto dei media di fare reportage.

Considerazioni legali attuali per i fornitori di servizi ISS

1. Ambito degli obblighi
   I motori di ricerca e le piattaforme devono essere in grado di attuare la dereferenziazione in tutti i domini dell’UE e applicare il geo-blocking ove tecnicamente fattibile.
2. Bilanciamento dei diritti
   Le decisioni devono soppesare i diritti alla privacy rispetto all’interesse pubblico, alla natura del contenuto, al ruolo dell’individuo e al trascorrere del tempo.
3. Responsabilità
   I titolari del trattamento devono documentare il loro ragionamento giuridico per accettare o rifiutare le richieste RTBF ed essere pronti a giustificare le decisioni alle autorità di regolamentazione.
4. Trasparenza e diritto di ricorso
   Gli interessati devono essere informati degli esiti delle loro richieste e avere accesso a meccanismi di ricorso dinanzi ai tribunali nazionali o alle autorità per la protezione dei dati.

Guardando avanti: il ruolo del Digital Services Act (DSA)

Sebbene il GDPR rimanga la pietra angolare per il RTBF, il Digital Services Act (DSA) introduce obblighi complementari per le piattaforme in materia di moderazione dei contenuti, trasparenza e diritti degli utenti, compresi i meccanismi di ricorso e procedure più chiare per la rimozione di contenuti illegali. Pur non sostituendo i diritti RTBF basati sul GDPR, il DSA rafforza il quadro per la gestione e la documentazione delle decisioni di rimozione.

Conclusione

Il diritto all’oblio continua a evolversi in contesti digitali, soprattutto man mano che i tribunali ne perfezionano l’ambito e l’applicabilità. La sentenza Google contro CNIL ha apportato un’importante chiarezza sui limiti territoriali della dereferenziazione, ma ha anche affermato che gli Stati membri possono imporre obblighi più ampi ove giustificato.

Per le piattaforme digitali, i motori di ricerca e i fornitori di servizi ISS, la sfida consiste nel navigare in un complesso mosaico di approcci nazionali, bilanciando privacy, conformità legale e libertà di informazione in ogni giurisdizione in cui operano.

Hai bisogno di consigli su come gestire le richieste RTBF, bilanciare i diritti concorrenti o preparare la tua strategia di conformità?

Il nostro team di protezione dei dati e servizi digitali può aiutarti a creare politiche, formare i tuoi team di moderazione e rispondere con sicurezza alle richieste delle autorità di regolamentazione.