Home
Responsabilità civile
RIDARE

Tutela della Privacy e del diritto all’oblio nella normativa europea ed italiana

07 Dicembre 2021

Il nuovo Regolamento UE 2016/679 del 27 aprile 2016 del Parlamento europeo e del Consiglio relativo alla libera circolazione e alla protezione dei dati personali – pubblicato nella Gazzetta Ufficiale dell'Unione europea n. 119 del 4 maggio 2016 ed entrato in vigore il 25 maggio 2018 in tutti i paesi membri – ha abrogato e sostituito la Direttiva 95/46/CE, ed ha apportato numerose e rilevanti novità in materia di trattamento dei dati personali e, più in generale, in materia di diritti della personalità...
Inquadramento

Il nuovo Regolamento UE 2016/679 del 27 aprile 2016 del Parlamento europeo e del Consiglio relativo alla libera circolazione e alla protezione dei dati personali – pubblicato nella Gazzetta Ufficiale dell'Unione europea n. 119 del 4 maggio 2016 ed entrato in vigore il 25 maggio 2018 in tutti i paesi membri – ha abrogato e sostituito la Direttiva 95/46/CE, ed ha apportato numerose e rilevanti novità in materia di trattamento dei dati personali e, più in generale, in materia di diritti della personalità.

Queste novità possono così sintetizzarsi:

  • rafforzamento del ruolo delle autorità amministrative di controllo;
  • mutamento di prospettiva nella tutela dei dati personali;
  • nozione di «accontability» dei titolari e dei responsabili del trattamento;
  • codici di condotta a cui devono uniformarsi i soggetti titolari e i responsabili;
  • rafforzamento della tutela dei diritti dell'interessato.

Nel territorio nazionale, il GDPR è stato attuato con il d.Lgs. 101 del 10 agosto 2018 – pubblicato il 4 settembre sulla G.U. n. 205/2018 e in vigore dal 19 settembre 2018 – che ha adeguato la normativa nazionale in materia di protezione dei dati personali e ha provveduto, per un verso, ad abrogare le disposizioni del d.lgs. n.196/2003 non più compatibili con il GDPR e, per altro verso, ad introdurne di nuove conformi alla normativa europea.

Il Regolamento Europeo 679/2018 – GDPR

L'art. 1 del Regolamento 2016/679 “stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. 2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

L'art. 1 del c.d. Codice Privacy (come modificato dal D.lgs. 101/2018) all'art. 1 significativamente prevede che “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.

In ragione della peculiare natura del diritto alla protezione dei dati personali e delle caratteristiche dei diritti potenzialmente con esso confliggenti, accade sovente che, in conseguenza di un trattamento dei dati, si verifichi sia una lesione del diritto alla protezione dei detti dati sia una lesione del diritto all'onore, alla reputazione o all'immagine.

Ai fini di comprendere l'intero impianto della tutela dei dati concepita dal legislatore europeo è necessario muovere dalle definizioni importanti contenuti nell'art. 4 del GDPR.

Art. 4 Regolamento Europeo 679/2016

Definizioni

Ai fini del presente regolamento s'intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (C26, C27, C30)

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro; (C67)

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; (C24, C30, C71-C72);

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; (C26, C28-C29);

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico; (C15)

7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; (C74)

8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento; (C31)

10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; (C32, C33)

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; (C85)

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; (C34)

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; (C51)

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; (C35)

16) «stabilimento principale»: (C36, C37).

La tutela dei dati personali, diversa dalla tutela della privacy in senso ampio intesa genericamente come riservatezza, è prevalentemente incentrata sul rafforzamento del ruolo dei titolari e responsabili del trattamento che oggi sono chiamati ad adottare codici di condotta conformi alle norme del Regolamento, volti a garantire che ogni operazione di “trattamento” soddisfi canoni di correttezza, liceità e trasparenza nei confronti dell'interessato, previsti dall'art. 5 («liceità, correttezza e trasparenza»).

Diventa, dunque, centrale nell'impianto normativo del Regolamento europeo la nozione di “accontability” per la quale il titolare del trattamento risponde in tutti i casi in cui non adegua la propria attività di trattamento ai canoni di correttezza, di privacy by default e privacy by design, non adempie l'obbligo di compiere valutazioni d'impatto sui rischi noti o evidenziabili, e non adotta misure tecniche e organizzative (anche di sicurezza) adeguate a mitigare i rischi.

Nella nuova era digitale fatta di “dati” trattati da vari soggetti, il sistema di tutela non è più contrassegnato da una relazione bilaterale esclusiva tra l'interessato del dato e colui che lo tratta. Infatti è necessario che il titolare del trattamento tratti il dato dell'interessato sempre in maniera corretta, lecita e sicura secondo i canoni dettati dall'art. 5 e 6 (Liceità del trattamento) del Regolamento, operando una valutazione costante del rischio, e ciò anche nel rapporto concorrenziale con gli altri soggetti commerciali, in maniera in qualche modo uniforme in tutto il territorio unionale, con facoltà delle autorità di controllo di intervenire ogni qualvolta tale trattamento diventi abusivo.

L'impianto normativo europeo, ancora, rafforza il ruolo dell'interessato e la tutela dei diritti: decisivi a riguardo sono le norme dedicate, per un verso, alle modalità di prestazione del consenso, all'informativa e al diritto di accesso e, per altro verso, alla tutela dei diritti nel caso di violazione.

Il consenso dell'interessato costituisce uno dei canoni di liceità del trattamento, non deve essere necessariamente prestato per iscritto, salvo che per i dati “sensibili”, o meglio “categorie particolari di dati personali”, per i quali il consenso deve essere “esplicito” ovvero deve essere giustificato dalla ricorrenza dei presupposti previsti dall'art. 9. Il consenso deve, parimenti, essere esplicito per le decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). Con riguardo al consenso manifestato dai minori, questo è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale, in Italia è stato individuato in 14 anni); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

In ogni caso il consenso deve essere libero, specifico, informato ed inequivocabile, non è ammesso il consenso tacito o presunto, deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”.

La disciplina dei diritti dell'interessato è contenuta dettagliatamente negli artt. 12 e ss. tra i quali, particolare importanza rivestono: il diritto di accesso, con il quale l'interessato ha diritto di accedere ai dati raccolti dal titolare; e il diritto all'oblio, ovvero alla cancellazione dei dati personali. Questi elementi devono essere indicati tutti nell'informativa, la quale deve indicare anche il periodo di conservazione previsto ovvero, se ciò non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

Diritto all'oblio

Il diritto all'oblio è definibile come “il diritto ad essere dimenticati” ed a non vedere il proprio nome associato a fatti e vicende lontane nel tempo.

L'art. 17 del GDPR, ancorché la rubrica rechi tale locuzione, tuttavia, contiene una disciplina dedicata più specificatamente al diritto dell'interessato ad ottenere la cancellazione dei dati personali nei casi di illecito trattamento. Il diritto così delineato nel Regolamento è una forma di tutela certamente ridotta rispetto al tenore molto più ampio e complesso dell'oblio.

Art. 17 Regolamento Europeo 679/2016

Diritto alla cancellazione («diritto all'oblio») (C65, C66)

1. L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a), o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2;

d) i dati personali sono stati trattati illecitamente;

e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1.

2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

a) per l'esercizio del diritto alla libertà di espressione e di informazione;

b) per l'adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i), e dell'articolo 9, paragrafo 3;

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento.

Il diritto all'oblio ha conformazione e caratteri diversi e più ampi in ragione delle conseguenze di un trattamento illecito dei dati, che può generare sia una lesione del diritto alla protezione di detti dati che una lesione del diritto all'onore, alla reputazione o all'immagine.

Quando si prospetta la lesione di un diritto diverso da quello di un illecito trattamento dei dati, si pone sempre il problema del contemperamento tra beni giuridici protetti dalla costituzione: il diritto alla persona, alla libertà di stampa e alla manifestazione del pensiero.

Sennonché, l'era digitale e la costante veicolazione dei dati della persona in tempi rapidissimi in correlazione con un trattamento legato a forme di profilazione sempre più frequenti e meno controllabili e l'esigenza di tutele rafforzate hanno determinato un graduale e progressivo mutamento della gerarchia dei valori. Questo mutamento ha posto al centro la necessità di interventi incisivi ad opera, da un canto, delle autorità amministrative di controllo, il cui ruolo è stato fortemente rafforzato su tutto il territorio unionale, attraverso la creazione di una rete di coordinamento operante a livello europeo ed attribuzione di forti poteri di conformazione, inibitori e sanzionatori e, dall'altro canto, delle Autorità giudiziarie.

In passato La Corte di Cassazione aveva, in più occasioni (si veda Cass. 16236/2010), evidenziato che sia la stampa che la privacy sono entrambi beni costituzionali, ma la tutela della stampa prevale sulla tutela della riservatezza. La tutela della privacy, infatti, vale come «eccezione» rispetto «al diritto insopprimibile e fondamentale della libertà di informazione e di critica», diritto che garantisce l'esplicazione della «sovranità popolare». La Corte espressamente aveva affermato che: «l'attività di informazione è chiaramente prevalente rispetto ai diritti personali della reputazione e della riservatezza, nel senso che questi ultimi, solo ove sussistano determinati presupposti, ne configurano un limite».

Il bilanciamento svolto fra i diritti confliggenti ha poi effetto anche sulla scelta dei rimedi applicabili, poiché il giudice si troverà vincolato in primo luogo ad una scelta derivante dall'individuazione del bene protetto (cfr. Cass. S.U. 23469/2016), in secondo luogo ad individuare quale fra i rimedi disponibili può rispondere in modo efficace e proporzionale alla violazione sofferta e allo stesso tempo evitare ulteriori compressioni rispetto al diritto fondamentale soccombente nel bilanciamento.

Questo aspetto appare evidente nel caso della tutela del diritto all'oblio, in cui si presenta un conflitto fra diritto alla protezione dei dati e libertà di espressione del pensiero.

Per tali motivi, non solo il diritto all'oblio, ma anche tutti i diritti di carattere “personale ed individuale”, subiscono restrizioni allorquando venga in rilievo l'esercizio della libertà di informazione; tant'è che, in questo caso, il consenso dell'interessato non è considerato necessario per poter pubblicare i suoi dati personali.

Sul punto, tuttavia, è necessario precisare che la libertà di informazione prevale sul diritto alla privacy, e dunque non può trovare applicazione l'oblio, solo se la stessa risponda ai canoni: della veridicità della notizia; dell'essenzialità del trattamento dei dati personali al fine di informare il pubblico delle modalità del racconto obiettivo, non suggestivo o iperbolico, rispetto al fine informativo perseguito, in conformità a quanto previsto nel «Codice di deontologia relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica»; unitamente all'ulteriore presupposto dell'attualità dell'interesse pubblico all'informazione, e cioè nel fatto che vi sia realmente un interesse pubblico attuale a conoscere la notizia che coinvolge il trattamento dei dati personali in questione.

Per converso, può dunque affermarsi che il diritto all'oblio fa arretrare il diritto di cronaca (che dovrebbe essere esercitato mediante l'utilizzo di dati personali), quando esso involge eventi attuali o comunque ancora rilevanti nel presente: in questi casi non può trovare applicazione la deroga prevista dall'art. 17 III comma del GDPR.

A riprova dell'assunto la recente giurisprudenza di legittimità a Sezioni Unite ha confermato i parametri alla stregua dei quali procedere al relativo bilanciamento, ancorché la pronuncia limiti l'ambito alle sole ipotesi di notizie riferite a fatti di cronaca del passato, per i quali vi possa essere solo un interesse di tipo storiografico.

______________________________________________________________________________________________________

In evidenza

Cassazione civile, S.U. 22/07/2019, n. 19681

Diritto all'oblio: bilanciamento tra diritto di cronaca, diritto di rievocazione storica e diritto di riservatezza

In tema di rapporti tra il diritto alla riservatezza (nella sua particolare connotazione del c.d. diritto all'oblio) e il diritto alla rievocazione storica di fatti e vicende concernenti eventi del passato, il giudice di merito - ferma restando la libertà della scelta editoriale in ordine a tale rievocazione, che è espressione della libertà di stampa e di informazione protetta e garantita dall'art. 21 Cost. - ha il compito di valutare l'interesse pubblico, concreto ed attuale alla menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti. Tale menzione deve ritenersi lecita solo nell'ipotesi in cui si riferisca a personaggi che dèstino nel momento presente l'interesse della collettività, sia per ragioni di notorietà che per il ruolo pubblico rivestito; in caso contrario, prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell'onore e dei quali si sia ormai spenta la memoria collettiva (nella specie, un omicidio avvenuto ventisette anni prima, il cui responsabile aveva scontato la relativa pena detentiva, reinserendosi poi positivamente nel contesto sociale).

______________________________________________________________________________________________

Deve, pertanto, confermarsi che la locuzione di “diritto all'oblio” sottende una molteplicità di tutele dal contenuto ben più ampio ed esteso rispetto alla mera cancellazione dei dati tra i quali il fondamentale diritto alla deindicizzazione (c.d. delinsting) ad opera dei motori di ricerca di Internet dei contenuti considerati illeciti, il diritto alla anonimizzazione del dato (che così perde la sua qualifica di personale) e il diritto all'esatta contestualizzazione del dato non più attuale che sia messo a disposizione del pubblico (questione appunto presa in esame dalla sentenza delle SS.UU. 19681/2019.

Il diritto all'oblio e la responsabilità del motore di ricerca nella giurisprudenza europea

Nella materia in esame, per ovvie ragioni legate alla connotazione della rete internet, priva di confini spazio–temporale, ruolo fondamentale nella tutela della privacy assumono: il legislatore, da un canto, nella sua opera regolatoria e conformativa delle tutele nel territorio unionale; e il giudice europeo, dall'altro canto, nella funzione di delineare gli ambiti di efficacia di tale impianto normativo rispetto a comportamenti abusivi dei grandi colossi multinazionali.

Deve, a riguardo, premettersi che si intende per “deindicizzazione” non già semplicemente la rimozione della pubblicazione, ma impedire che il contenuto della stessa venga reperito tramite motori di ricerca esterni al sito ove si trova quella pubblicazione.

Nel panorama della giurisprudenza europea una pronuncia fondamentale che ha contrassegnato l'evoluzione giurisprudenziale nazionale è certamente la sentenza della CGE 13/05/2014, n. 131 (il caso c.d. Google Spain) in cui la CGUE ha affrontato la questione posta della Audiencia national nel caso del conflitto tra un cittadino spagnolo e il motore di ricerca Google. Il caso concerneva un ricorso contro la decisione dell'Autorità nazionale per la protezione dei dati secondo, la quale veniva ordinato al gestore del motore di ricerca di eliminare dall'elenco dei risultati, visualizzati dal motore di ricerca a seguito di una ricerca effettuata in base al suo nome, i link a pagine web pubblicate da terzi e contenenti informazioni che la riguardano.

La sentenza della Corte assume particolare importanza sia in ordine alla corretta enucleazione del ruolo dei gestori dei motori di ricerca sia quanto all'affermazione dell'effettività dei diritti dell'interessato ad ottenere la totale cancellazione (o meglio il “delisting”) in tutte le pagine web riportanti il dato personale quando, anche in ragione del tempo trascorso, la notizia non riveste più alcuna utilità pubblica: "il trattamento dei dati […] effettuato dal gestore di un motore di ricerca può pregiudicare in modo significativo i diritti fondamentali alla privacy e alla protezione dei dati personali quando la ricerca mediante tale motore è effettuata sulla base del nome di una persona, poiché tale trattamento consente a qualsiasi utente di Internet di ottenere attraverso l'elenco dei risultati una panoramica strutturata delle informazioni relative a tale persona che si possono trovare su Internet - informazioni che potenzialmente riguardano un gran numero di aspetti della sua vita privata e che, senza il motore di ricerca, non avrebbero potuto essere interconnesse o avrebbero potuto esserlo solo con grandi difficoltà - e quindi di stabilire un profilo più o meno dettagliato di lui. Inoltre, l'effetto dell'interferenza con tali diritti dell'interessato è accentuato dall'importante ruolo svolto da Internet e dai motori di ricerca nella società moderna, che rendono ubiquitarie le informazioni contenute in un siffatto elenco di risultati".

La Corte conclude pertanto che le autorità di vigilanza o giudiziarie possono ordinare al gestore del motore di ricerca di eliminare dall'elenco dei risultati visualizzati a seguito di una ricerca effettuata sulla base dei link nominativi di una persona a pagine web pubblicate da terzi contenenti informazioni relative a tale persona. I link possono essere rimossi senza che un'ordinanza in tal senso presupponga la precedente o simultanea rimozione di tale nome e informazioni – di propria iniziativa dell'editore o su ordine di una di tali autorità – dalla pagina web in cui sono stati pubblicati. Per la Corte, tale diritto di essere cancellato dall'elenco si fonda sul principio di effettività, in quanto "la facilità con cui le informazioni pubblicate su un sito web possono essere replicate su altri siti e il fatto che i responsabili della loro pubblicazione non sono sempre soggetti alla legislazione dell'Unione europea, una protezione efficace e completa degli utenti dei dati non potrebbe essere realizzata se questi ultimi dovessero ottenere prima o parallelamente la cancellazione delle informazioni che li riguardano dagli editori di siti web".

In determinate circostanze, e in particolare a seguito di un bilanciamento di diritti, l'interessato ha il diritto di essere cancellato dall'elenco dei risultati visualizzati da un motore di ricerca per l'unica ragione che, dato il tempo trascorso dalla pubblicazione, le informazioni che lo riguardano non dovrebbero più essere fornite, a meno che dato il ruolo svolto dall'interessato in materia di vita pubblica, tale interferenza con i diritti fondamentali appaia giustificata dall'interesse preponderante di accesso del pubblico alle informazioni in questione.

In ultimo, il tema è stato affrontato dalle due recentissime decisioni delle CGE del 24 settembre 2019, che si sono occupate riguardo al ruolo del motore di ricerca, destinatario di un ordine di deindicizzazione emesso da un giudice nazione di uno stato europeo.

In un caso, la Corte ha affermato:

Nell'ambito di una domanda di deindicizzazione, dev'essere effettuato un bilanciamento tra i diritti fondamentali del richiedente la deindicizzazione e quelli degli utenti di Internet potenzialmente interessati a tali informazioni”. Nella sua odierna sentenza, la Corte ricorda che, nei limiti in cui l'attività di un motore di ricerca può incidere, in modo significativo e in aggiunta all'attività degli editori di siti Internet, sui diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, il gestore di tale motore di ricerca in quanto soggetto che determina le finalità e gli strumenti di detta attività deve garantire, nell'ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che detta attività soddisfi le prescrizioni del diritto dell'Unione, affinché le garanzie previste da quest'ultimo possano spiegare pienamente i loro effetti e possa essere realizzata una tutela efficace e completa delle persone interessate, in particolare del loro diritto al rispetto della loro vita privata… La Corte conclude quindi che il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione riguardante un link verso una pagina Internet nella quale sono pubblicati dati sensibili del genere, deve – sulla base di tutte le circostanze pertinenti della fattispecie e tenuto conto della gravità dell'ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali – verificare se l'inserimento di detto link nell'elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina Internet mediante una ricerca siffatta” (sentenza CGE causa C 136/17).

Quindi, ancora una volta, il motore di ricerca viene annoverato tra i soggetti tenuti a dare esecuzione ad un ordine di deindicizzazione, sul presupposto delle necessità che possano essere cancellati tutti i link pubblicati che, in qualche modo, sono riferibili al nominativo di quella persona che si vuol tutelare. I divieti o le restrizioni riguardanti il trattamento di categorie particolari di dati personali si applicano anche al gestore di un motore di ricerca nell'ambito delle sue responsabilità, competenze e possibilità, quale responsabile del trattamento. La sentenza in esame assume effetti dirompenti nella misura in cui attribuisce direttamente al gestore il compito di organizzare le stesse notizie in modo da mostrare un quadro della situazione giudiziaria attuale del soggetto, privilegiando dunque gli articoli aggiornati e lasciando per ultimo quelli più risalenti nel tempo.

La sentenza, nel solco già tracciato dalla Google Spain conferma la tendenza ad una responsabilizzazione dei motori di ricerca, ma anche degli hosting provider i quali vengono deputati a decidere, anche in prima istanza, le richieste di delisting (a riguardo significativa è la sentenza del 3.10.2019 - causa C-18/2018 che ha confermato analogo obbligo in capo a Facebook) ed a effettuare quell'opera di bilanciamento tra diritti fondamentali (informazione e dignità persona/privacy) fino ad ora riservata all'autorità pubbliche e agli organi giudiziari.

Di contro, più restrittiva la seconda decisione della CGE che ha limitato al solo territorio europeo l'efficacia di un ordine di deindicizzazione con ciò ridimensionando la portata innovativa della sentenza Google Spain: “La Corte conclude quindi che, allo stato attuale, non sussiste, per il gestore di un motore di ricerca che accoglie una richiesta di deindicizzazione presentata dall'interessato, eventualmente a seguito di un'ingiunzione di un'autorità di controllo o di un'autorità giudiziaria di uno Stato membro, un obbligo, derivante dal diritto dell'Unione, di effettuare tale deindicizzazione su tutte le versioni del suo motore. Il diritto dell'Unione obbliga tuttavia il gestore di un motore di ricerca a effettuare tale deindicizzazione nelle versioni del suo motore di ricerca corrispondenti a tutti gli Stati membri e ad adottare misure sufficientemente efficaci per garantire una tutela effettiva dei diritti fondamentali della persona interessata” (CGE in causa 507/2017).

La tutela dell'interessato: tra autorità garante e autorità giudiziaria

Il trattamento dei dati personali può, dunque, essere: (a) lecito o (b) illecito. Rispetto a ciascuna di tali evenienze (condensate, sostanzialmente, nell'elencazione contenuta nell'art. 17 del GDPR), l'interessato che si trovi nell'Unione Europea ha, a propria disposizione, una scala crescente di tutele che si affiancano a strumenti di tipo regolamentare o inibitorio (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione), altri di natura tipicamente risarcitoria.

In proposito, va anzitutto evidenziato come la tutela riconosciuta in favore dell'interessato corra lungo un binario doppio, nel senso che questi può procedere tanto in sede extragiudiziaria – innanzi all'Autorità di controllo nazionale (in Italia si tratta dell'Autorità Garante, secondo quanto previsto dal'art. 141 del D. Lgs. 20 giugno 2003, n. 196, come novellato dall'art. 13, comma 1, lett. c, del D.Lgs. 4 settembre 2018, n. 101) – quanto in sede giurisdizionale (chiara, in tal senso, la formulazione tanto dell'art. 79, comma 1, del Codice privacy per cui “fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo ai sensi dell'articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento”), quanto dell'art. 140-bisdel cod. privacy, alla cui stregua “qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, l'interessato può proporre reclamo al Garante o ricorso dinanzi all'autorità giudiziaria”).

Le due forme di tutela sono, però, in posizione di reciproca esclusione, giacché il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l'Autorità giudiziaria come, del pari, la presentazione del reclamo al Garante rende improponibile un'ulteriore domanda dinanzi all'Autorità giudiziaria tra le stesse parti e per il medesimo oggetto (cfr. l'art. 140-bis, commi 2 e 3, del D.lgs. n. 193 del 2003). Cionondimeno, le decisioni dell'Autorità Garante sono impugnabili innanzi al G.O., come evincibile dal combinato disposto degli artt. 152 del Codice Privacy e 10, commi 2 e ss. del D.Lgs. 1 settembre 2011, n. 150 (cd. decreto semplificazione dei riti).

Esulano da tale regime di incompatibilità incrociata tra le due forme di tutela: a) la domanda nei confronti del titolare o del responsabile del trattamento illecito dei dati personali, avente ad oggetto il risarcimento dei danni, per la quale l'Autorità Garante è priva di competenza (cfr. anche gli artt. 78 e 82 del G.D.P.R. e 10, comma 10 – già comma 6 – del D.Lgs. n. 150); b) l'ipotesi (cfr. l'art. 10, comma 4, del D.Lgs. n. 150) di decorso del termine massimo per la decisione da parte del Garante sul reclamo proposto, non potendosi impedire il ricorso all'A.G. ove il Garante non addivenga ad una decisione né, tampoco, potendosi obbligare il reclamante a proporre un giudizio avverso il silenzio; c) il caso in cui la domanda proposta al garante sia inammissibile.

Da ultimo, la non sovrapponibilità tra le due sfere (amministrativa e giurisdizionale) è cristallizzata da due recenti precedenti della Suprema Corte, che escludono l'efficacia di giudicato, in sede contenziosa, del provvedimento assunto dal Garante nell'ambito delle proprie competenze.

IN EVIDENZA

Cassazione civile sez. I, 17/09/2014, n. 19534

La tutela risarcitoria è rimessa in via esclusiva all'autorità giudiziaria ordinaria, sia alla luce dell'abrogato D.Lgs. n. 196 del 2003, art. 152, comma 12 sia alla stregua del D.Lgs. n. 150 del 2011, art. 10, vigente comma 6.

Cassazione civile sez. I, 18/06/2018, n. 16061

Il provvedimento del Garante per la protezione dei dati personali, che abbia accertato l'illegittimità della raccolta e della diffusione di determinati dati personali, ha natura amministrativa ed è dunque inidoneo al giudicato, né possono trovare applicazione nel relativo giudizio di opposizione in unico grado innanzi al tribunale, ai sensi degli artt. 151 e 152 del d.lgs. n. 196 del 2003, i principi processuali che governano la cognizione in grado di appello.

Cassazione civile sez. III, 25/05/2017, n. 13151

Il provvedimento del Garante per la protezione dei dati personali, che abbia accertato l'illegittimità della raccolta e della diffusione di determinati dati personali e che non sia stato opposto ai sensi degli artt. 151 e 152 del d.lg. n. 196 del 2003 (cd. “codice della privacy”), mai può acquistare un'efficacia (equiparabile a quella) di cosa giudicata nel separato giudizio che l'interessato abbia successivamente instaurato, dinanzi all'autorità giudiziaria ordinaria, per ottenere il risarcimento dei danni asseritamente provocatigli dalla lesione del diritto alla riservatezza ed alla protezione di quei dati, atteso che la natura amministrativa dell'organo e del relativo procedimento non pone il Garante in una posizione di terzietà assimilabile a quella assicurata dal giudice nel processo.

Cassazione civile sez. I, 17/09/2014, n. 19534

La tutela risarcitoria è rimessa in via esclusiva all'autorità giudiziaria ordinaria, sia alla luce dell'abrogato D.Lgs. n. 196 del 2003, art. 152, comma 12 sia alla stregua del D.Lgs. n. 150 del 2011, art. 10, vigente comma 6.

Cassazione civile sez. I, 18/06/2018, n. 16061

Il provvedimento del Garante per la protezione dei dati personali, che abbia accertato l'illegittimità della raccolta e della diffusione di determinati dati personali, ha natura amministrativa ed è dunque inidoneo al giudicato, né possono trovare applicazione nel relativo giudizio di opposizione in unico grado innanzi al tribunale, ai sensi degli artt. 151 e 152 del d.lgs. n. 196 del 2003, i principi processuali che governano la cognizione in grado di appello.

Cassazione civile sez. III, 25/05/2017, n. 13151

Il provvedimento del Garante per la protezione dei dati personali, che abbia accertato l'illegittimità della raccolta e della diffusione di determinati dati personali e che non sia stato opposto ai sensi degli artt. 151 e 152 del d.lg. n. 196 del 2003 (cd. “codice della privacy”), mai può acquistare un'efficacia (equiparabile a quella) di cosa giudicata nel separato giudizio che l'interessato abbia successivamente instaurato, dinanzi all'autorità giudiziaria ordinaria, per ottenere il risarcimento dei danni asseritamente provocatigli dalla lesione del diritto alla riservatezza ed alla protezione di quei dati, atteso che la natura amministrativa dell'organo e del relativo procedimento non pone il Garante in una posizione di terzietà assimilabile a quella assicurata dal giudice nel processo.

Giurisdizione e competenza

Gli artt. 79, comma 2 e 82 del Reg. 679/2016 dettano le regole necessarie ad individuare l'Autorità dotata di giurisdizione e competenza in caso di azione conseguente all'illecito trattamento dei dati personali.

Art. 79, comma 2, Regolamento Europeo 679/2016

Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del

trattamento o del responsabile del trattamento

2. Le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica di uno Stato membro nell'esercizio dei pubblici poteri.

Art. 82 Regolamento Europeo 679/2016

Diritto al risarcimento e responsabilità

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile.

4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato.

5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l'intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.

6. Le azioni legali per l'esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all'articolo 79, paragrafo 2.

Il principio generale che si ricava dalle norme che precedono è, dunque, quello per cui, per le azioni in questione, la giurisdizione interna all'Unione va individuata con riferimento: (a) alle Autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento; ovvero (b) in alternativa, alle autorità giurisdizionali dello Stato membro in cui l'interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica di uno Stato membro nell'esercizio dei pubblici poteri.

Nell'ordinamento interno, tale normativa è stata recepita dal novellato art. 152 del cod. privacy, il cui comma 1 dispone che “tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli 78 e 79 del Regolamento e quelli comunque riguardanti l'applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell'articolo 82 del medesimo regolamento, sono attribuite all'autorità giudiziaria ordinaria.

Quanto, poi, alla competenza, l'art. 152, comma 1-bis del D.Lgs. n. 196 del 2003 dispone che le controversie di cui al comma 1 sono disciplinate dall'art. 10 del decreto legislativo 1settembre 2011 n. 150 (cd. decreto semplificazione dei riti), il quale, a propria volta, dispone che è competente il Tribunale del luogo in cui ha sede il titolare del trattamento dei dati, ovvero il tribunale del luogo di residenza dell'interessato. Trattasi, dunque, di fori alternativi, in ossequio a quanto previsto dall'art. 79, comma 2, del GDPR.

Diversamente, quando il trattamento illecito si inserisce in un rapporto consumeristico,il luogo di residenza abituale dell'interessato/consumatore assurge a rango di foro esclusivo, in applicazione dell'art. 33 del D.Lgs. 6 settembre 2005, n. 206 (cfr. Cass. 5658/2017).

In evidenza

Cassazione civile sez. VI, 07/03/2017, n. 5658

Foro del consumatore in materia di trattamento dei dati personali invocato nell'ambito di un rapporto di consumo

In tema di competenza per territorio, il foro previsto dall'art. 10 del d.lgs. n. 150 del 2011 in materia di trattamento dei dati personali nei confronti del titolare del trattamento non trova applicazione nell'ambito di un rapporto di consumo, come tale soggetto al foro speciale della residenza o del domicilio del consumatore, fissato dall'art. 33, comma 2, lett. u), del d.lgs. n. 206 del 2005, quando il trattamento si inserisce in modo qualificato all'interno del detto rapporto. Resta, quindi, esclusa la prevalenza del foro da ultimo indicato quando l'illecito ipotizzato dal consumatore non risulta direttamente connesso ad un rapporto di consumo, per una qualche forma di responsabilità diretta del professionista, costituendo soltanto l'occasione per fare emergere un pregresso trattamento da parte dei terzi.

Il rito

Per effetto di quanto disposto dall'art. 152, comma 1-bis del D.Lgs. n. 196 del 2003, le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli 78 e 79 del GDPR e quelli comunque riguardanti l'applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell'art. 82 del medesimo Regolamento, sono disciplinate dall'articolo 10 del D.Lgs. n. 150 del 2001 e, dunque – in virtù di quanto previsto dal comma 1 di tale ultima norma – soggette al rito lavoro (come parzialmente modificato dall'art. 2 del medesimo decreto n. 150), ove non diversamente disposto.

Art. 2 d. lgs. 1° settembre 2011, n. 150

Disposizioni comuni alle controversie disciplinate dal rito del lavoro

1. Nelle controversie disciplinate dal Capo II, non si applicano, salvo che siano espressamente richiamati, gli articoli 413, 415, settimo comma, 417, 417-bis, 420-bis, 421, terzo comma, 425, 426, 427, 429, comma 3, 431, dal primo al quarto comma e sesto comma, 433, 438, secondo comma, e 439 del codice di procedura civile.

2. L'ordinanza prevista dall'art. 423, comma 2, c.p.c. può essere concessa su istanza di ciascuna parte. 3. L'articolo 431, quinto comma, si applica alle sentenze di condanna a favore di ciascuna delle parti. 4. Salvo che sia diversamente disposto, i poteri istruttori previsti dall'art. 421, comma 2, c.p.c. non vengono esercitati al di fuori dei limiti previsti dal codice civile.

Le controversie sono decise dal Tribunale in composizione monocratica, con sentenza non appellabile e, dunque, ricorribile unicamente per cassazione, con la quale il giudice può prescrivere le misure necessarie anche in deroga al divieto di cui all'articolo 4 della l. n. 2248 del 1865, allegato E, anche in relazione all'eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché disporre il risarcimento del danno (cfr. art. 10, ult. comma).

Sebbene regolate dal rito del lavoro, poi, le cause aventi ad oggetto la protezione dei dati personali sono soggette alla sospensione feriale dei termini, poiché l'esclusione prevista dall'art. 3 della l. n. 742 del 1969 per le controversie di lavoro si riferisce alla natura della causa e non al rito da cui è disciplinata (Cass. n. 22389/2015).

Infine, nei giudizi diversi da quelli di opposizione a provvedimenti (in specie, in quelli di carattere risarcitorio) il Garante non riveste il ruolo di parte necessaria del processo, con conseguente esclusione del litisconsorzio necessario (chiara, in termini, Cass. n. 20890/2015).

In evidenza

Cassazione civile sez. III, 15/10/2015, n. 20890

Nel giudizio risarcitorio conseguente all'illecita lesione del diritto alla riservatezza il Garante per la protezione dei dati personali, quale estraneo alla pretesa, non riveste il ruolo di litisconsorte necessario, diversamente dal caso del giudizio che consegue all'impugnazione di un proprio provvedimento.

Cionondimeno, il comma 9 dell'art. 10 abilita il Garante, nei giudizi in cui non sia parte, alla presentazione di osservazioni, da rendere per iscritto o in udienza, sulla controversia in corso con riferimento ai profili relativi alla protezione dei dati personali (svolgendo, dunque, la funzione di amicus curiae). Al medesimo Garante, poi, il successivo art. 154-ter Cod. privacy, riconosce la legittimazione ad agire in giudizio, per il tramite dell'Avvocatura dello Stato (e, solo nel caso di conflitto di interessi, per il tramite di avvocati del libero foro), nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali.

Tutela cautelare

L'art. 10 del d.lgs. n. 150 del 2011, prevede che “l'efficacia esecutiva del provvedimento impugnato può essere prevista secondo quanto previsto dall'articolo 5”: la norma disciplina espressamente, dunque, la sola ipotesi di cautela avanzata rispetto all'efficacia del provvedimento adottato dell'Autorità Garante, rinviando alla generale disciplina della sospensione del provvedimento impugnato, ai sensi del precedente art. 5 del medesimo decreto.

È tuttavia chiaro che essa non esaurisce la congerie dei rimedi cautelari a favore dell'interessato leso dall'illecito trattamento di dati personali, nelle ipotesi in cui il giudizio abbia ad oggetto uno degli altri diritti in materia di privacy, non ultimo quello al risarcimento del danno. Sicché esigenze diverse da quella ipotizzata dal legislatore (quali, ad esempio, l'oscuramento, la rimozione o il blocco di dati personali relativi a minori, ex lege n. 71 del 2017 ovvero la cifratura o cripta tura di dati sensibili) abilitano la parte al ricorso alla tutela cautelare “ordinaria”, tipica (ad esempio, attraverso i sequestri) ovvero atipica, ex art. 700 c.p.c. (ad esempio, mediante l'adozione di provvedimenti inibitori).

Il risarcimento del danno

Tra le azioni esperibili dal danneggiato, rilievo primario riveste quella di carattere risarcitorio, considerato che: (a) non solo che gli interventi a tutela delle violazione della privacy (intesa nel senso ampio di cui si è detto) spesso sopraggiungono allorché il pregiudizio si è già prodotto e non è utilmente emendabile: (b) ma anche che, essendo l'Autorità Garante priva di potestà in materia, anche in ipotesi di provvedimento favorevole (di carattere preventivo, inibitorio ovvero conformativo) o, comunque, non opposto, l'interessato che intenda ottenere il risarcimento del danno subito necessariamente deve rivolgersi al'A.G. (Cass. n. 13151/2017).

In proposito, l'originaria formulazione dell'art. 15 del D.Lgs. n. 196 del 2003 disponeva che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11”; la norma è stata, tuttavia, abrogata dal D.Lgs. n. 101 del 2018, sicché, allo stato, l'unica disposizione di riferimento è rappresentata dal citato art. 82 del GDPR. Essendo destinata a trovare applicazione in tutto il territorio dell'Unione, la norma, evidentemente, non si impegna sulla natura della responsabilità, sebbene la sua formulazione rinvii indirettamente a quella dell'art. 2050 c.c.

Non si è mancato di rilevare, però, che, imponendo la norma al titolare ed al responsabile specifichi obblighi di comportamento, il cui inadempimento è posto alla base della rispettiva responsabilità, la relativa violazione determini una forma di responsabilità riconducibile, piuttosto, a quella contrattuale da inadempimento di obblighi legali.

Sono, infine, risarcibili tanto i danni patrimoniali, quanto quelli non patrimoniali (benché il Regolamento discorra di “danni materiali ed immateriali”), gli uni e gli altri da provare a cura di chi lamenti un pregiudizio, giovando l'inversione dell'onere della prova prevista dalla norma ai soli fini dell'imputazione della lesione a carico del titolare ovvero del responsabile (per ulteriori approfondimenti sul punto si veda P. Spera, Profili di responsabilità civile nel trattamento dei dati, in G. Ziccardi, P. Perri, Tecnologia e Diritto, Vol. II, Giuffrè Francis Lefebvre, 2019).

Casistica giurisprudenziale

Responsabilità e tutela della privacy nell'era digitale

Bilanciamento tradiritti fondamentali

“Nell'ambito dei servizi della società dell'informazione, la responsabilità del cd. caching, prevista dall'art. 15 d.lg. n. 70 del 2003, sussiste in capo al prestatore dei servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti, pur essendogli ciò stato intimato dall'ordine proveniente da un'autorità amministrativa o giurisdizionale” (Cassazione civile sez. I - 19/03/2019, n. 7709).

“In tema di diritto alla riservatezza, dal quadro normativo e giurisprudenziale nazionale (artt. 2 Cost., 10 c.c. e 97 della l. n. 633 del 1941) ed europeo (artt. 8 e 10, comma 2, della CEDU e 7 e 8 della c.d. "Carta di Nizza"), si ricava che il diritto fondamentale all'oblio può subire una compressione, a favore dell'ugualmente fondamentale diritto di cronaca, solo in presenza dei seguenti specifici presupposti: 1) il contributo arrecato dalla diffusione dell'immagine o della notizia ad un dibattito di interesse pubblico; 2) l'interesse effettivo ed attuale alla diffusione dell'immagine o della notizia (per ragioni di giustizia, di polizia o di tutela dei diritti e delle libertà altrui, ovvero per scopi scientifici, didattici o culturali); 3) l'elevato grado di notorietà del soggetto rappresentato, per la peculiare posizione rivestita nella vita pubblica del Paese; 4) le modalità impiegate per ottenere e nel dare l'informazione, che deve essere veritiera, diffusa con modalità non eccedenti lo scopo informativo, nell'interesse del pubblico, e scevra da insinuazioni o considerazioni personali, sì da evidenziare un esclusivo interesse oggettivo alla nuova diffusione; 5) la preventiva informazione circa la pubblicazione o trasmissione della notizia o dell'immagine a distanza di tempo, in modo da consentire all'interessato il diritto di replica prima della sua divulgazione al pubblico. (Nella specie la S.C. ha cassato con rinvio la sentenza della corte d'appello che aveva respinto la domanda di risarcimento del danno avanzata da un noto cantautore, a seguito della trasmissione su una rete televisiva, ad oltre cinque anni dall'accaduto, delle immagini relative al suo rifiuto di rilasciare un'intervista accompagnate da commenti denigratori)” (Cassazione civile sez. I, 20/03/2018, n.6919).

Modalità di prestazione del consenso

“In tema di consenso al trattamento dei dati personali, la previsione dell'art. 23 del d.lgs. n. 196 del 2003, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito internet, il quale somministri un servizio fungibile cui l'utente possa rinunciare senza gravoso sacrificio (nella specie servizio di "newsletter" su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell'indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti” (Cassazione civile sez. I - 02/07/2018, n. 17278).

Giurisprudenza di merito

“Il c.d. "diritto all'oblio", inteso quale proiezione dinamica del diritto della persona a che certe vicende della propria vita, che non presentino più i caratteri dell'attualità e dunque non siano più suscettibili di soddisfare un interesse apprezzabile della collettività a conoscerle, non trovino più diffusione nel pubblico va escluso qualora tra fatti da cui la vicenda si origina ed il momento finale della vicenda medesima sia trascorso un intervallo breve, innegabilmente insufficiente ad affievolirne l'interesse collettivo alla conoscenza e divulgazione” (Trib. Lucca 19.1.2019 n. 96).

“In tema di esercizio dell'attività giornalistica, il carattere diffamatorio di uno scritto non può essere escluso sulla base di una lettura atomistica delle singole espressioni in esso contenute, dovendosi, invece, giudicare la portata complessiva del medesimo con riferimento ad alcuni elementi, quali: l'accostamento e l'accorpamento di notizie, l'uso di determinate espressioni nella consapevolezza che il pubblico le intenderà in maniera diversa o contraria al loro significato letterale, il tono complessivo e la titolazione dell'articolo” (Trib. Milano 13.6.2019).

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Il Regolamento Europeo 679/2018 – GDPR
Diritto all'oblio
Il diritto all'oblio e la responsabilità del motore di ricerca nella giurisprudenza europea
La tutela dell'interessato: tra autorità garante e autorità giudiziaria