Il tema della sicurezza informatica è diventato, specialmente in relazione alla protezione dei dati bancari, di estrema attualità portando, di conseguenza, non solo a una crescita dell’interesse pubblico verso questo argomento ma anche a una evoluzione del relativo sistema normativo, sia a livello nazionale che europeo.

Una tendenza, quella di adottare un sistema di regole più chiaro e meno “generalista”, che si è consolidata nel corso del tempo e che, per quanto concerne la legislazione italiana, ha trovato espressione nella direzione assunta dal Garante per la Protezione dei Dati Personali, sempre più volta da un lato alla semplificazione delle procedure e dall’altro all’adozione di provvedimenti specifici per determinati settori di mercato che, in virtù della loro stessa funzione, sono maggiormente esposti ad attacchi con conseguenze molto più pervasive per i cittadini.

In quest’ottica uno dei provvedimenti di maggiore interesse nell’ambito della protezione dei dati bancari è senza dubbio rappresentato dal Provvedimento del Garante per la protezione dei dati personali in materia di tracciamento degli accessi ai dati bancari (Provvedimento n°192/2011), pubblicato nella Gazzetta Ufficiale n.127 del 3 giugno 2011 (Provvedimento del Garante per la protezione dei dati personali in materia di tracciamento degli accessi ai dati bancari).

Protezione dei dati bancari: di cosa si tratta

Il Provvedimento n.192/2011 ha lo scopo di fornire delle regole di condotta volte a garantire la riservatezza e la sicurezza dei dati bancari (relativamente non solo alla movimentazione di denaro ma anche alla sola consultazione), custoditi e trattati dalle banche, incluse quelle facenti parte di gruppi, da società che, sebbene diverse dalle banche, siano comunque parte di tali gruppi, e da Poste Italiane S.p.a.

Nel definire il contenuto del provvedimento, il Garante ha tenuto conto di una serie di istanze pervenute, al seguito delle quali è stata avviata un’attività ispettiva su tutti i soggetti precedentemente nominati, al fine di accertare l’effettivo indebito accesso a dati personali dei clienti.

Le segnalazioni e i reclami giunti al Garante da parte di singoli cittadini avevano infatti denunciato l’accesso illecito ai propri dati personali perpetrato da alcuni dipendenti delle banche con le quali avevano sottoscritto un rapporto contrattuale. Sempre stando ai reclami, i dati sarebbero stati comunicati a soggetti terzi i quali li avrebbero utilizzati per scopi e finalità personali, con particolare attenzione alla loro utilizzazione “giuridica” ( come nei casi di separazioni, pignoramenti etc.).

L’attività ispettiva svolta dal Garante aveva anche portato a una collaborazione con l’Associazione Bancaria Italiana (ABI), scaturita nella realizzazione di un questionario anonimo il cui obiettivo era quello di accertare lo stato delle scelte organizzative adottate dalle singole banche, coinvolgendo nell’indagine “340  tra banche e gruppi bancari, che fanno complessivamente riferimento a 441 banche operanti sul territorio italiano”.

Protezione dei dati bancari: circolazione dei dati e rapporto tra banca e gestore dei sistemi informatici

A seguito dell’attività istruttoria condotta, erano emersi alcuni chiarimenti in merito a molti aspetti chiavi come la circolazione delle informazioni tra le banche appartenenti a uno stesso gruppo e la circolazione delle informazioni tra le banche e i soggetti incaricati della gestione dei sistemi informatici contenenti i dati bancari dei clienti.

In merito al primo aspetto, si era evidenziato come la circolazione dei dati potesse essere ricondotta a tre tipologie principali, vale a dire la comunicazione dei dati tra filiali dello stesso gruppo, la circolazione dei dati tra filiali della stessa banca e, infine, la circolazione dei dati all’interno di una stessa filiale. Relativamente alle prime due tipologie, si era potuto accertare come esistessero delle sostanziali differenze tra le singole realtà bancarie, mentre solo relativamente alla terza “categoria” si era potuto verificare una certa omogeneità di scelta.

In relazione, invece, ai rapporti tra le banche e i soggetti addetti alla gestione dei sistemi informatici, due erano i sistemi organizzativi principali (individuati anche dall’ABI); gestione interna del sistema informatico ad opera di una società facente parte del gruppo bancario stesso (configurata come soggetto terzo Responsabile o Titolare del trattamento dei dati personali) e gestione esterna, affidata quindi a una società “terza” (outsourcer) designata come “responsabile del trattamento”.

Le molte diversità evidenziate rese necessaria la formulazione di alcune prescrizioni, indirizzate principalmente alla trasmissione dei dati dalla banca o dal gruppo bancario alla società incaricata della gestione del sistema informatico di archiviazione e gestione dei dati stessi.

Sebbene l’esternalizzazione dei sistemi informatici venisse considerata come una libera scelta delle banche, era indispensabile accertare che i soggetti terzi che avrebbero gestito questi dati (senza distinzione tra soggetti interni e soggetti esterni), potessero effettivamente essere considerati come autonomi titolati o se dovessero invece essere designati come “responsabili” del trattamento.

Oltre a individuare con maggior precisione la “funzione” dell’outsourcer, il Garante sottolineava come fosse indispensabile adottare delle ulteriori misure indirizzate a informare in maniera tempestiva l’interessato di operazioni di trattamento illecito dei propri dati e a fornire una informativa con precise indicazioni sulla circolazione dei dati stessi.

In caso di violazioni accertate, sia accidentali che illecite, le banche avrebbero inoltre dovuto informare il Garante.

Protezione dei dati bancari: tracciamento delle operazioni

Relativamente, invece, al tema degli accessi informatici da parte dei dipendenti di una banca ai dati dei clienti, il Garante aveva evidenziato come anche su questo punto esistessero diverse soluzioni adottate dai singoli istituti bancari.

Questi ultimi, infatti, potevano agire con un certo margine di discrezionalità nel dare attuazione a quanto previsto nelle “Disposizioni di vigilanza per le banche in materia di conformità alle norme (compliance)” adottate dalla Banca d’Italia nel 2007.

Tali disposizioni andavano a definire il ruolo e la responsabilità dei vertici delle banche, consideravano la funzione di compliance come parte integrante dei sistemi di controllo interni e ne stabilivano i compiti principali, mentre la disciplina della stessa rientrava in apposite istruzioni emanate dalla Banca d’Italia stessa, in particolare le Istruzioni di vigilanza in materia di “Organizzazione e controlli interni”.

Queste chiedevano alle banche di dotarsi di appositi sistemi di monitoraggio dei rischi, di verificare la sicurezza dei sistemi informativi e di prevedere degli indicatori di anomalie (alert), senza indicare, invece, obblighi relativamente alla tracciabilità delle operazioni bancarie.

Si era, quindi, accertato come la maggior parte degli istituti bancari avesse previsto un sistema di controllo relativamente alle operazioni dispositive, mentre solo una minima parte aveva implementato anche un sistema di tracciabilità in relazione invece alle operazioni di consultazione (si sottolineava inoltre che anche nei pochi casi riscontrati la breve conservazione dei file di log non permetteva di individuare l’accesso a determinati dati da parte di un incaricato).

La situazione evidenziata aveva quindi portato il Garante a formulare l’adozione di determinate misure, indirizzate al tracciamento degli accessi ai dati bancari dei clienti, al tempo di conservazione dei file di log e all’implementazione degli alert, indispensabili per accertare intrusioni o trattamenti illeciti dei dati.

Protezione dei dati bancari: le misure necessarie

Tenendo conto dei risultati dell’indagine ispettiva, ampiamente riassunta nelle premesse del Provvedimento n.192/2011, il Garante ha quindi prescritto una serie di misure indirizzate a tutti i soggetti precedentemente citati, misure il cui scopo è quello di portare a un miglioramento sia sul piano organizzativo che su quello tecnologico.

Tra le misure necessarie citate all’interno del provvedimento rientra in primo luogo la “designazione dell’outsourcer” come responsabile del trattamento dei dati, mentre le banche sono da considerarsi come i titolari unici del trattamento.

In secondo luogo, relativamente al tracciamento delle operazioni, il Garante dispone l’adozione di soluzioni informatiche volti al “controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database”, comprendenti una registrazione in un apposito file log di tutte le informazioni relative a operazioni bancarie su specifici dati (sono quindi escluse le consultazioni in forma aggregata che non sono quindi riconducibili a un solo cliente).

Fondamentale per il Garante è anche incrementare i tempi di conservazione dei file di log, la cui durata deve essere pari ad almeno 24 mesi, e implementare il sistema degli alert per i quali il testo del provvedimento prevede l’adozione da parte delle banche di specifici alert volti a segnalare comportamenti anomali o di rischio.

Nel Provvedimento n.192/2011 tra le misure necessarie si elencano anche la necessità di far confluire i file log negli strumenti di business intelligence, e di redigere con cadenza annuale un rapporto sulla gestione dei dati bancari da parte dei titolari del trattamento.

Sempre in relazione all’audit interno di controllo, nel provvedimento si chiarisce anche la necessità di un controllo da parte di una società o di un personale diverso rispetto a quello a cui è affidato il trattamento, oltre a verifiche a posteriori e a campione su alerting, integrità dei dati, legittimità degli accessi e corretta conservazione dei file di log.

Protezione dei dati bancari: le misure opportune

Nel testo del Provvedimento n.192/2011, il Garante non manca poi di indicare alcune misure opportune tra le quali rientrano l’informativa dell’interessato (ex art. 13 del Codice Privacy), l’informazione tempestiva a quest’ultimo di operazioni di trattamento illecite effettuate sui suoi dati, e di comunicazione tempestiva al Garante nel caso di violazioni accertate e da considerarsi di particolare rilevanza.

Protezione dei dati bancari: i chiarimenti del Garante

Il Garante aveva stabilito che tutti i soggetti interessati avrebbero dovuto dare applicazione alle misure previste entro 30 mesi dalla pubblicazione del provvedimento in Gazzetta Ufficiale (quindi entro il 3 dicembre 2013).

Le banche e gli altri istituti interessati hanno riscontrato degli ostacoli interpretativi e delle difficoltà attuative del provvedimento, richiedendo così tramite l’ABI dei chiarimenti e una proroga dei tempi di attuazione.

Il Garante ha così risposto con il provvedimento n.357 (“Chiarimenti in ordine alla Delibera n.192/2011) fornendo dei chiarimenti sia relativamente al quadro operativo che all’ambito di applicazione del provvedimento 192/2011.

In relazione alle operazioni oggetto delle misure indicate nel Provvedimento, il Garante ha chiarito che sono incluse tutte le operazioni bancarie in senso stretto (con esclusione delle banche depositarie e delle società di assicurazione), mentre per quanto riguarda i dati bancari  sono ricompresi “quelli contenuti negli estratti conto, quelli afferenti alle movimentazioni bancarie, le informazioni relative alle operazioni attive e passive e le operazioni effettuate sul conto corrente del cliente, nonché le operazioni richieste dal cliente nell’ambito di prestazioni ed attività connesse ai rapporti contrattuali”.

Infine, l’Autorità Garante ha esteso con i chiarimenti i tempi di adeguazione al provvedimento il cui termine ultimo era stato prorogato al 3 giugno 2014.

E’ capitato a tutti, almeno una volta, di ricevere nella propria casella di posta elettronica una email pubblicitaria di uno specifico prodotto o servizio e di non ricordarsi di aver autorizzato quella determinata azienda a inviarci offerte e promozioni.

Lo spam, vale a dire la ricezione di posta indesiderata, è ormai un fenomeno capillare e pervasivo che riguarda tutti e contro i quali i filtri anti-spam dei principali servizi di posta elettronica sembrano riuscire a fare davvero poco per prevenirlo totalmente.

Al di là del fastidio di vedere la propria casella di posta letteralmente invasa da email pubblicitarie esiste un altro problema, molto più importante, sul quale è necessario interrogarsi; chi ha autorizzato queste società a utilizzare i nostri dati personali? Esiste un modo per difendere la propria privacy in un epoca in cui i nostri dati sono sempre più spesso esposti al rischio di sottrazione o di uso illecito? C’è una legge sulle email pubblicitarie grazie alla quale difendersi?

Una questione spinosa, della quale non ha mancato di occuparsi il Garante per la protezione dei dati personali, nel corso degli anni “travolto” da una serie di segnalazioni e di reclami di utenti stanchi di vedere indebitamente utilizzati i propri indirizzi email per finalità pubblicitarie e promozionali.

Legge sulle email pubblicitarie: le premesse

Nel 2003, a seguito delle numerose denunce di cittadini, il Garante per la protezione dei dati personali, e l’allora presidente  Prof. Stefano Rodotà, decise di prendere posizione sulla questione adottando un testo, “Spamming. Regole per un corretto invio delle e-mail pubblicitarie” con il quale si è cercato di fare chiarezza sulla questione e di stabilire alcuni principi di base.

Il testo espone innanzitutto le premesse che hanno portato alla sua definizione, cercando di delineare le diverse casistiche dei reclami pervenuti nel tempo allo stesso Garante. Questi ultimi riguardavano in primo luogo la ricezione da parte degli utenti di email pubblicitarie, promozionali, di informazione commerciale o di vendita diretta, senza che gli interessati avessero espresso precedentemente il proprio consenso.

Non solo, gli utenti segnalavano anche come qualunque tentativo di cancellazione del proprio indirizzo email da questi “elenchi promozionali” fosse stato vano, lamentando, di conseguenza, una serie di disagi ulteriori come la ricezione costante di messaggi analoghi, di messaggi anonimi ( o prive dell’indicazione di un indirizzo), o di email delle quali era impossibile accertare la veridicità delle informazioni fornite.

Sempre nel preambolo del testo si legge di come il Garante abbia avviato un’attività di assistenza per i cittadini colpiti da questo fenomeno, impegnandosi al contempo ad adottare specifici divieti e  ad applicare le relative sanzioni amministrative (con trasmissione degli atti all’autorità giudiziaria penale nel caso in cui era possibile configurare un reato) in seguito all’accettazione dei ricorsi.

Un “servizio” di assistenza e di tutela che l’Autorità ha ampliato prevedendo anche dei controlli, in collaborazioni con le forze di polizia, presso fornitori di servizi e altri titolari del trattamento, al fine di accertare l’esistenza di eventuali violazioni, come la non rispondenza dei trattamenti dei dati alla normativa.

Una serie di “misure” importanti ma non sufficienti contro un fenomeno sempre più dilagante che portò quindi il Garante all’adozione di un provvedimento generale nel quale si davano precise indicazioni agli operatori del settore, al fine di consentire loro di conformarsi alla disciplina generale sull’uso dei dati personali, con particolare riferimento al comparto delle comunicazioni.

Legge sulle email pubblicitarie: quando la pubblicità è lecita

Nel testo del provvedimento, il Garante cerca innanzitutto di fare chiarezza sull’invio lecito di email pubblicitarie, precisando subito come questo tipo di comunicazione sia da considerarsi possibile e legittima solo nel caso in cui il destinatario abbia fornito precedentemente il proprio consenso “libero, specifico e informato”.

Le email, infatti, contengono dati personali che possono essere tratti solo nel rispetto della normativa vigente in materia.

Questo significa che, sebbene gli indirizzi di posta elettronica siano oggi facilmente reperibili in rete, questi non possono essere utilizzati a scopi promozionali o pubblicitari senza specifico consenso.

In questa “casistica” rientrano numerosi esempi di “reperimento” di indirizzi di posta elettronica, dalla partecipazione a forum o blog di discussione alle “liste anagrafiche” di abbonati a un Internet provider, senza dimenticare gli indirizzi email pubblicati su un sito internet ( o quelli che è possibile reperire consultando gli elenchi di tutti coloro che hanno registrato un dominio).

Tutti gli indirizzi di questo tipo possono essere utilizzati solo per le specifiche e relative attività per le quali l’utente li ha inseriti e non possono in alcun modo senza consenso essere impiegati per email pubblicitarie, promozionali o di vendita.

Il Garante fa notare come l’uso illecito degli indirizzi di posta elettronica causi “una lesione ingiustificata dei diritti dei destinatari”, lesione configurabile non solo nel tempo impiegato per selezionare i messaggi attesi da quelli indesiderati, ma anche nell’adozione di sistemi di filtri più scrupolosi, capaci anche di riscontrare la presenza di virus, senza contare il rallentamento del servizio di posta causato, ad esempio, dalla ricezione di numerose email di grandi dimensioni.

Legge sulle email pubblicitarie: il principio del consenso

Nell’ambito del provvedimento, il Garante fornisce importanti chiarimenti anche in relazione al principio del consenso, evidenziato innanzitutto come la legge stabilisca i casi in cui tale consenso è necessario e i casi in cui è invece possibile prescinderne (artt. 10, 11, 12 e 20 legge 675).

Nel dettaglio l’autorità chiarisce come, ai sensi degli articoli sopracitati, il consenso non sia necessario solo nei casi di “pubblico registro, elenco, atto o documento conoscibile da chiunque perché vi è una specifica disciplina che ne impone la conoscibilità indifferenziata da parte del pubblico”.

Ne consegue, dunque, che tutti gli indirizzi email reperibili in rete per condizioni di mera opportunità, come la raccolta su portali web, le mailing-list, l’utilizzo di software per la reperibilità degli indirizzi, non possano rientrare nelle disposizioni per l’esclusione del consenso, in quanto non sono soggetti a un regime giuridico di piena riconoscibilità da parte di tutti.

Nel provvedimento si ribadisce quindi che le email, in quanto contenenti dati personali, possano essere utilizzate a fini pubblicitari solo con consenso documentato per iscritto, espresso in maniera libera, esplicita e differenziata in relazione “alle finalità e alle categorie di servizi e prodotti offerti”.

Su questa scia, quindi, il Garante promuove e incoraggia l’attività di tutte quelle aziende che ottengono in maniera lecita e valida il consenso degli utenti, inoltrando anche una comunicazione volto a ribadire la “volontà” dell’utente e ad annunciare il successivo inoltro delle email pubblicitarie.

Per tutti quei casi in cui, invece, il consenso non è stato espresso, l’autorità prefigura un trattamento illecito dei dati che in base ai singoli casi comporta l’adozione di sanzioni amministrative pecuniarie.

Sempre in relazione al consenso, nel testo si chiarisce che il consenso ha “un connotato autorizzato positivo”, il che significa che un eventuale silenzio dell’interessato non può essere considerato come tacito assenso all’invio di messaggi pubblicitari (non vale quindi la regola del silenzio-assenso).

Legge sulle email pubblicitarie: messaggi a propri clienti e per conto terzi

Il Garante non manca poi di affrontare la questione relativa all’invio di messaggi pubblicitari da parte di aziende con le quali un utente ha già stabilito un rapporto di vendita sia di prodotti che di servizi.

In questa ipotesi si ritiene possibile l’invio di email volte a pubblicizzare altri prodotti, chiarendo però che è necessario informare tempestivamente il cliente e offrirgli la possibilità, sia al momento della raccolta dei dati che in occasione dell’invio di ogni messaggio, di rifiutare a priori l’uso “commerciale” dei propri dati (con la possibilità di obiettare anche in seguito).

Per quanto riguarda invece l’invio di email pubblicitarie per conto di terzi da parte di società specializzate che usano dei propri database, il Garante chiarisce come queste aziende (titolari o contitolari del trattamento) debbano conformarsi alle disposizioni relative all’informativa e al consenso esplicito.

Stesso discorso vale nel caso di acquisto di banche dati da parte di terzi i quali, prima di utilizzare gli indirizzi email contenuti, sono tenuti a verificare che ogni utente abbia chiaramente e validamente espresso il proprio consenso all’invio di materiale pubblicitario, inviando anche, al momento di registrazione dei dati, un messaggio che chiarisca al destinatario tutte le informazioni rese al momento della raccolta (art. 10 della legge 675).

Legge sulle email pubblicitarie: i diritti dei titolari dei dati

Di estrema importanza sono anche i chiarimenti che il Garante fornisce in relazione ai “diritti degli interessati” ai quali deve essere garantito in ogni momento la possibilità di esercitare i diritti che gli sono riconosciuti per legge (il diritto a sapere chi tratta i dati, il diritto a ottenere gratuitamente l’interruzione dell’uso dei dati per fini promozionali etc.).

Per quanto concerne la possibilità di far valere i diritti sopracitati, il Garante mette a disposizione un modello da inoltrare all’indirizzo del titolare o del responsabile del trattamento dei dati, mentre nel caso di email anonime il Garante chiarisce come sia già configurabile un uso illecito dei dati, essendo i mittenti obbligati a indicare in maniera chiara l’indirizzo, il soggetto, la fonte di provenienza del messaggio e l’oggetto della email, chiarendo che si tratta di una email pubblicitaria o commerciale.

Relativamente alla possibilità di redigere degli elenchi di utenti che hanno espresso il proprio consenso, l’Autorità ritiene positiva, se correttamente eseguita, la pratica di realizzare degli elenchi “settoriali” per le diverse tipologie di messaggi pubblicitari, auspicando però l’inserimento diretto degli stessi utenti del proprio indirizzo email in queste liste, oltre alla possibilità di cancellarsi dagli elenchi in qualunque momento.

Legge sulle email pubblicitarie: le email dall’estero

Una situazione particolare è rappresentata dalle email pubblicitarie provenienti dall’estero per le quali non è possibile applicare la legge italiana.

In questi casi, il Garante sottolinea come sia comunque possibile per i destinatari richiedere una verifica alle competenti autorità nazionali o rivolgersi, nel caso ad esempio di stati federali, alle competenti autorità pubbliche.

Nel testo si mette inoltre l’accento sul fatto che spesso queste email possano essere utilizzate anche per perpetrare dei reati; in questi casi si ritiene che il reato sia stato commesso in territorio italiano, anche se la violazione è avvenuta all’estero, nel caso in cui le conseguenze che ne derivano si verificano in Italia.

Legge sulle email pubblicitarie: le conclusioni

Alla luce di quanto chiarito all’interno del provvedimento, il Garante giunge a due fondamentali “conclusioni”.

In primo luogo viene fatto divieto di utilizzare i dati personali per finalità promozionali, commerciali o di vendita diretta, applicando questa disposizione anche alle ricerche di mercato, nei casi in cui tali comunicazioni vengano effettuate nel non rispetto delle norme precedentemente citate.

In secondo luogo, l’autorità segnala a tutti i titolari del trattamento dei dati la necessità di adeguarsi ai principi richiamati nel testo del provvedimento.

Con questo provvedimento il Garante ha quindi cercato di fornire una tutela a tutti gli utenti, mettendo in campo delle disposizioni e una legge sulle email pubblicitarie chiare e abbastanza vincolanti, nel tentativo di arginare un fenomeno sempre più pervasivo e che impone di trovare un bilanciamento tra il diritto alla privacy e le nuove forme di comunicazione della rete.

L’evoluzione tecnologica che ha interessato il mondo negli ultimi decenni ha portato numerosi cambiamenti che, nella maggior parte dei casi, si sono tradotti in nuove opportunità, nuove modalità di comunicazione e di “vicinanza” tra i singoli individui.

Un universo sempre connesso, nel quale le barriere fisiche hanno perso la loro importanza, si traduce nella possibilità di comunicare con chiunque in qualsiasi momento, di lavorare da remoto, di eseguire qualunque tipo di operazione (dalla prenotazione di viaggi alle transizioni economiche, dallo shopping alla ricerca di informazioni) senza doversi spostare di casa, semplicemente utilizzando una connessione e un pc.

Cambiamenti significativi che hanno modificato i nostri stili di vita portando, però, in molti casi a dimenticare che, come in tutte le cose, esiste anche un “rovescio della medaglia”, altrettanto importante soprattutto perché in gioco ci sono i nostri dati personali. Delle nuove minacce si sono quindi configurate cosìcché appare lecito interrogarsi sull’esistenza e sulla validità di norme in grado di tutelare i diritti dei cittadini, soprattutto relativamente alla possibilità di sparire dalla rete grazie a una apposita legge sul diritto all’oblio.

Un argomento spinoso che solleva non poche perplessità, specialmente se si considera che molte delle norme esistenti in materia sono state formulate in relazione alle tecnologie “tradizionali” (stampa, TV) e quindi possono risultare incomplete e incapaci di rispondere alle nuove esigenze di tutela dettate dalle nuove tecnologie.

Legge sul diritto all’oblio: che cos’è

Il diritto all’oblio è il diritto spettante a ogni cittadino a essere dimenticato e a non essere più ricordato per eventi che sono stati oggetto di cronaca in passato, eventi che, trascorso un certo lasso di tempo, ritornano a far parte della sfera privata dell’individuo stesso.

Il diritto all’oblio, dunque, è il diritto a non restare esposti a tempo indeterminato ai danni (personali e di immagine) che la reiterata pubblicazione di una notizia può comportare all’onore e alla reputazione del soggetto interessato. In quest’ottica, la ri-publicazione della notizia, e quindi la conseguente attenzione del pubblico, viene ritenuta lecita sono nell’ipotesi in cui si verifichi un nuovo evento che riporti di attualità il fatto precedente, giustificando, quindi, il rinnovato interesse pubblico all’informazione.

In passato, prima dell’avvento della rete, questa norma offriva una buona tutela agli individui (con un bilanciamento tra diritto di cronaca e tutela della privacy), ma con l’affermarsi di internet la situazione è notevolmente cambiata e, spesso, ottenere il diritto a essere dimenticati è diventato difficile.

Le cause sono numerose e vanno innanzitutto ricercate nel processo di digitalizzazione dei propri archivi avviato dai media tradizionali che, in sostanza, ha reso disponibile in rete tutto lo storico dei mezzi di comunicazione tradizionale.

Legge sul diritto all’oblio e indicizzazione

La digitalizzazione in sé non è “pericolosa” mentre lo è senza dubbio l’indicizzazione di questi contenuti da parte dei motori di ricerca. Senza indicizzazione, infatti, sarebbe stato possibile reperire determinate informazioni su un individuo solo effettuando una ricerca mirata all’interno degli archivi digitali di un giornale o di un altro organo di informazione, mentre con i motori di ricerca è sufficiente digitare un nome e un cognome per ottenere tutte le notizie che la rete ha a disposizione su quel determinato individuo.

Questo significa che l’identità di una persona si lega indissolubilmente a un fatto di cui è stato protagonista e questa “associazione” è sempre di pubblico dominio, con tutte le conseguenze che ne derivano per il soggetto interessato, anche se la vicenda si è ormai conclusa (poco importa se con la condanna o con l’assoluzione del protagonista).

La lesione del diritto di protezione dei dati personali di un cittadino si riscontra, dunque, non  nella pubblicazione di una notizia, ma nella permanenza in rete a tempo indeterminato di specifiche informazioni (legate a casi di cronaca e non solo) lesive della dignità personale  e che non dovrebbero più essere di dominio pubblico, in quanto trascorso un periodo di tempo sufficiente a non giustificare più l’esigenza del pubblico stesso a essere informato.

Chiaramente quanto detto vale non solo per le notizie di carattere giudiziario, ma anche per tutte quelle informazioni che possono arrecare danni alla dignità personale, a prescindere dalla loro valenza giuridica.

Legge sul diritto all’oblio: la legislazione italiana

Il diritto all’oblio è legato sicuramente alla tutela della privacy ma in un certo senso va anche oltre e mira sostanzialmente al diritto spettante a un individuo a essere dimenticato, a vedere salvaguardato il proprio riserbo, trascorso un certo periodo di tempo dalla pubblicazione della notizia stessa.

Alla base del diritto all’oblio si trovano alcune disposizioni contenute nel Codice della Privacy che stabiliscono come il trattamento dei dati personali non possa essere considerato lecito se questi stessi dati (che ovviamente consentono l’identificazione degli interessati) siano conservati in una forma che li renda disponibili per un periodo di tempo superiore allo “scopo” per il quali sono stati raccolti o trattati.

Ne consegue che chiunque ha il diritto di sapere chi detiene i propri dati personali e come li utilizza, avendo anche la possibilità di opporsi al trattamento degli stessi e di chiederne, in determinati casi, la cancellazione, la trasformazione, il blocco, la rettificazione, l’aggiornamento e l’integrazione (art. 7 d.lgs n. 196/2003). In quest’ottica, il diritto all’oblio sembra una logica conseguenza della corretta applicazione del diritto di cronaca che, in pratica, considera come lesiva la diffusione di una notizia già acquisita e non più da considerare di interesse pubblico.

Legge sul diritto all’oblio e Web

Se per i media tradizionali la legge sul diritto all’oblio risulta di semplice applicazione lo stesso non può dirsi per la rete dove le informazioni vengono scambiate e archiviate in “luoghi virtuali” diversi per i quali esistono differenti titolari dei trattamenti dei dati. Spesso, poi, questi dati sensibili sono conservati e gestiti al di fuori dei confini nazionali ed europei, creando non pochi problemi vista l’inesistenza di una omogeneità normativa.

Per quanto concerne la legislazione italiana ci sono stati diversi precedenti che hanno portato alla definizione di una serie di principi. Innanzitutto, il trattamento dei dati personali per finalità giornalistiche è regolamentato dal Codice della Privacy ( art. 136 e ss.) che stabilisce una deroga al consenso da parte del soggetto interessato quando i dati vengono utilizzati “nell’esercizio della professione giornalistica“, stabilendo però che il trattamento dei dati anche senza consenso deve rispettare una serie di principi quali il principio di proporzionalità, non eccedenza, indispensabilità, veridicità e di interesse del pubblico a essere informato.

In relazione alla circolazione, alla diffusione e alla conservazione dei dati sensibili in rete si è poi stabilito che, vista l’accessibilità planetaria a queste informazioni, sia indispensabile bilanciare l’uso di questi dati per finalità giornalistiche con il diritto all’oblio dell’interessato, inteso come il diritto del singolo a non vedere a tempo indefinito presenti in rete informazioni personali che riguardano un evento passato ormai concluso e la cui costante riproposizione determina una lesione di quei diritti salvaguardati dallo stesso Codice della Privacy all’art. 2 (“il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali“).

L’Autorità Garante è ulteriormente intervenuta sulla questione, interessandosi questa volta della conservazione dei dati personali all’interno degli archivi storici online di giornali e quotidiani. Con il provvedimento “Archivi storici online dei quotidiani e reperibilità dei dati dell’interessato mediante motori di ricerca esterni” (aprile 2009) ha sostanzialmente accolto il ricorso di un cittadino che si opponeva alla presenza in rete di informazioni, risultanti da ricerche su browser web, che continuavano ad associare il proprio nome a un articolo non più di interesse pubblico, con tutte le conseguenze per il singolo in termini di reputazione e di danni di immagine.

In quello specifico caso, quindi, il Garante impose all’editore del sito web interessato di adottare “ogni misura tecnicamente idonea a evitare che le generalità della ricorrente contenute nell’articolo pubblicato online oggetto del ricorso siano rinvenibili direttamente attraverso l’utilizzo dei comuni motori di ricerca esterni al proprio sito internet “. In sostanza, l’Autorità chiedeva che la pagina web contenente i dati personali del soggetto fosse “sottratta” all’indicizzazione sui motori di ricerca, cercando in questo modo di giungere a un valido compromesso tra diritto all’oblio e reperibilità delle informazioni, viste che queste sarebbero comunque presenti negli archivi dei quotidiani online.

Legge sul diritto all’oblio: la sentenza della Corte di Cassazione

Uno scostamento significativo dalla linea tracciata dall’Autorità vi è stato con una sentenza del 2012 della Corte di Cassazione che più che escludere l’indicizzazione di determinati contenuti sui motori di ricerca, ha puntato alla contestualizzazione dei fatti stessi nel corso del tempo.

In pratica, la Corte di Cassazione ha stabilito che anche in rete il singolo abbia il diritto di avere una “proiezione genuina e attuale della propria identità“, esercitando quindi un’attività informativa che tenga conto anche degli eventi successivi e che sia quindi in grado di garantire al lettore una visione veritiera e attuale. Il soggetto a cui si riferiscono i dati personali ha quindi secondo la Corte il diritto al rispetto della propria identità personale e a non vedere “travisato o alterato all’esterno il proprio patrimonio  intellettuale, politico, sociale, religioso, ideologico, professionale” (Cass., n. 7769/1985).

La sentenza della Corte di Cassazione è stato un precedente importante che ha portato l’Autorità ad allinearsi, aprendo anche la strada ad altre sentenze storiche come quella del Tribunale di Milano dell’aprile 2013 che ha addirittura disposto la rimozione dall’archivio online di un giornale di un articolo che era apparso sulla versione cartacea nel 1984.

Legge sul diritto all’oblio: il nuovo diritto comunitario

Con la Sentenza del 13 maggio 2014 la Corte di Giustizia delle comunità europee aveva stabilito che un soggetto poteva richiedere che una specifica informazione disponibile sul web non fosse più disponibile per il pubblico, decaduto l’interesse pubblico a quella determinata informazione. La Corte di Giustizia, quindi, introduceva per la prima volta il diritto del singolo ad essere de-indicizzato dal motore di ricerca, imponendo quindi a Google di accogliere le relative richieste degli interessati.

L’indomani della sentenza le diverse autorità garanti della privacy nazionali si attivarono per cercare di stabilire dei criteri comuni con i quali gestire i reclami dei cittadini, avviando quindi un processo di armonizzazione delle procedure, da utilizzare soprattutto nel caso di rigetto della richiesta da parte del motore di ricerca.

Il 25 maggio 2015 è stato fatto un ulteriore passo in avanti a livello europeo con l’entrata in vigore del nuovo regolamento comunitario sulla protezione dei dati (Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE ). Pubblicato nella Gazzetta Ufficiale dell’Unione Europa il 4 maggio 2016 (n.119), il nuovo Regolamento sarà operativo nei singoli stati membri a partire dal 25 maggio 2018, concedendo quindi due anni di tempo agli ordinamenti nazionali per adattare l’ordinamento interno alle nuove disposizioni (in Italia il nuovo regolamento andrà a sostituire il Codice Privacy).

Legge sul diritto all’oblio: le novità del regolamento

Le novità contenute nel regolamento europeo attengono soprattutto al diritto all’oblio. Nel Preambolo, infatti, si stabilisce che un individuo ha il diritto a ottenere la rettifica dei dati personali e il diritto all’oblio nel caso in cui la conservazione violi le disposizioni del regolamento o degli Stati membri(n.65), mentre per rafforzare lo stesso diritto all’oblio in rete si stabilisce che il diritto alla cancellazione debba essere esteso sino ad obbligare il titolare del trattamento che ha pubblicato i dati a cancellare ogni copia, riproduzione o link che richiami ai suddetti dati personali (n.66).

Da queste disposizione è quindi scaturito un vero diritto alla cancellazione (o all’oblio), secondo quanto disposto dal comma 1 “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali“.

Al paragrafo 2 si fissano poi le modalità di cancellazione, che devono tenere conto delle tecnologie disponibili e dei costi, mentre al paragrafo 3 si individuano i “casi” in cui il diritto all’oblio non può essere contemplato. Nello specifico, questo viene escluso nel caso in cui sussista l’esercizio del diritto alla libertà di espressione e di informazione, nel caso in cui si debba adempiere a un obbligo legale, nel contesto dell’esecuzione di un dovere per interesse pubblico o nell’ambito dell’esercizio di pubblici poteri, nel caso in cui si debbano diffondere informazioni di interesse pubblico nel comparto sanitario pubblico, nell’ipotesi di archiviazione di notizie nel pubblico interesse (ricerche storiche, statistiche, scientifiche) e per l’accertamento, l’esercizio e la difesa di un diritto in sede giudiziaria.

Sempre in relazione alla protezione dei dati personali, interessante è anche l’art.20 del Regolamento che va in pratica a fissare delle misure relativamente alla profilazione. Il Regolamento stabilisce un divieto generale alla profilazione, precisando che questa risulta ammissibile solo con l’esplicito consenso degli interessati nel settore privato mentre in ambito pubblico risulterà rilevante l’autorizzazione legale. In pratica è necessario un consenso esplicito da parte dell’interessato che in questo modo si cerca di tutelare da pratiche oggi abbastanza diffuse come, ad esempio, la creazione in rete di profili falsi.

Legge sul diritto all’oblio: come esercitarlo

Nel Rapporto sulla Trasparenza (Rapporto Trasparenza Google ), Google ha reso disponibile una serie di informazioni relative alla richiesta di cancellazione di URL da parte degli utenti, riportando il numero delle richieste pervenute, quelle accetta e quelle rifiutate, oltre ad una serie di esempi “pratici”.

Il numero totale delle richieste esaminate dal motore di ricerca è pari a 1.881.369 URL, di cui il 56,7% sono state respinte e il restante 43,3% accettate. Su circa l’8% delle richieste esaminate i siti maggiormente interessati sono Facebook (URL rimossi: 15944), Profileengine (URL rimossi: 10436), Annuaire.118712.fr (URL rimossi: 8983) e Youtube (URL rimossi: 8107).

Legge sul diritto all’oblio: come richiedere la cancellazione a Google

Per richiedere la cancellazione a Google di determinate URL è necessario compilare un apposito modulo (reperibile a questa pagina) fornendo una serie di informazioni. In primo luogo, bisogna indicare il paese, il nome del richiedente (con scansione della carta di identità), l’indirizzo e-mail e il nome utilizzato per la ricerca. Al richiedente viene poi chiesto di segnalare le URL che si vuole rimuovere, indicando anche il motivo ( contenuto irrilevante, obsoleto, discutibile).

Viene poi evidenziato da Google come ogni richiesta pervenuta viene analizzata con attenzione, nell’intento di bilanciare il diritto alla privacy con il diritto di diffondere le informazioni. Questo significa che ogni link per il quale si richiede la rimozione sarà valutato nell’intento di capire se effettivamente rimanda a informazioni obsolete e non più rilevanti o se, al contrario, si richiama ancora a dati di interesse pubblico.

Ogni richiesta viene poi valutata singolarmente da un team di esperti che conservano un certo grado di discrezionalità nella valutazione dei contenuti, mentre i tempi non hanno una lunghezza definita, in quanto i fattori che possono influire sulle valutazioni sono numerosi.

E’ bene sottolineare, quindi, che la cancellazione non è automatica e immediata e che, se anche la richiesta viene accolta, con conseguente de-indicizzazione della notizia, questo non significa che la stessa non apparirà più su altri motori di ricerca o all’interno di forum o blog che, pur non essendo indicizzati, possono comunque essere raggiungi direttamente dagli utenti.

“Cancellare” una notizia dai risultati di ricerca di Google non significa quindi cancellarla dal Web. A tal proposito alcuni hanno sollevato delle perplessità, rilevando come le disposizioni manchino di una certa proiezione verso il futuro. Non si può escludere, infatti, che tra alcuni anni si assista all’affermazione di altri motori di ricerca, alla pari in termini di importanza con Google, ai quali bisognerà chiedere singolarmente la cancellazione, magari riferendosi ai singoli referenti nei singoli paesi.

Legge sul diritto all’oblio e gli altri motori di ricerca

Sebbene Google, data la sua posizione dominante, sia il principale “protagonista” delle norme e della legge sul diritto all’oblio, anche altri motori di ricerca come Bing e Yahoo hanno attivato delle procedure molto simili.

Per Bing è necessario collegarsi alla pagina dedicata , inserendo le informazioni del richiedente, il paese, una scansione del documento di identità, il nome per il quale si richiede il blocco e un indirizzo e-mail. Nella seconda parte del modulo viene poi chiesto di specificare il proprio ruolo nella comunità, indicando se si ricopre un ruolo pubblico o un ruolo che comporta “comando, fiducia o sicurezza“. Si passa, poi, a indicare le URL per le quali si chiede il blocco, descrivendo dettagliatamente le ragioni della propria richiesta e selezionando tra le opzioni valide per il blocco (inattese o false, incomplete o inadeguate, non aggiornate o non più pertinenti, eccessive o improprie) quella pertinente al proprio caso con una adeguata motivazione.

Lo stesso procedimento si ha per Yahoo (qui il modulo) che come Google e Bing mantiene una certa discrezionalità, valutando ogni singola richiesta e cercando sempre di trovare il giusto equilibrio tra la protezione della privacy e il diritto all’informazione.