EnisaIn attesa della nuova regolamentazione europea in materia di privacy e protezione dei dati personali, un recente rapporto dell'ENISA, l'Agenzia europea per la sicurezza delle reti e dell'informazione, ravviva il dibattito sul diritto all'oblio (right to be forgotten) e la sua applicazione in rete.
Si tratta di un argomento molto sentito sia in Europa che in ambito nazionale. Ad esempio in Italia il disegno di legge di riforma della diffamazione a mezzo stampa recava una norma che prevedeva la facoltà di chiedere a un sito web o a un motore di ricerca di cancellare un articolo, un link, un'immagine dove i dati personali sono usati in modo da offendere la reputazione di un individuo, purché non vi sia il legittimo diritto di cronaca. La norma si presentava ambigua, al punto che poteva dare adito a problemi interpretativi, e le sanzioni applicate si riferivano allo stesso modo sia a testate giornalistiche che a siti web, realizzando una equiparazione da sempre rifiutata dalla giurisprudenza di legittimità. Comunque tale disegno di legge è naufragato al Senato.

Il diritto all'oblio, istituto di creazione giurisprudenziale, in Italia è regolamentato sopratutto in relazione alla pubblicazione di notizie, e riguarda la riproposizione di una medesima vicenda che può essere ritenuta, da un tribunale, lesiva della reputazione di una persona se al momento della riproposizione l'interesse pubblico alla vicenda non è più esistente. Questo perché la ripetizione di un fatto può essere vista come un accanimento nei confronti di quella persona. Quindi il diritto all'oblio viene visto soprattutto con riferimento al diritto di cronaca. Rilevante, sotto questo profilo, la sentenza della Cassazione numero 5525 del 2012, che distingue tra archivio e memoria della rete, precisando che in rete le informazioni non sono archiviate, ma solo memorizzate, quindi isolate, non strutturate e poste tutte al medesimo livello. Si tratta di un argomento fondamentale, come vedremo più avanti.

Il rapporto dell'ENISA, del novembre del 2012, invece, in una prospettiva più ampia si occupa della possibilità tecnica di realizzare in rete una tutela del diritto all'oblio. Partendo dalla proposta di riforma della normativa europea in materia di protezione dei dati personali, ENISA analizza la situazione attuale in rete, evidenziando le lacune giuridiche e soprattutto i limiti delle possibili tecniche disponibili.
Secondo l'Agenzia europea, in un sistema aperto e globale come internet è difficile gestire le complessità derivanti dall'esistenza di numerose giurisdizioni e dai molteplici standard. In sostanza non solo è impossibile localizzare tutti i dati personali relativi ad un soggetto, ma anche riuscire a cancellare questi dati. Infatti, qualunque soggetto può avere accesso a dati personali altrui, generalmente tramite motori di ricerca o social network, e farne delle copie anche su supporti che non possono essere controllati a distanza, come dvd o pendrive, per poi reimmettere quei dati in un secondo momento e diffonderli. Prevenire la copia delle informazioni è un compito improbo se non impossibile.
Quindi, se l'accesso, la copia non autorizzata e la distribuzione delle informazioni non può essere tenuta sotto costante controllo, qualunque tecnica (come i DRM) si voglia applicare sarà destinata al fallimento.
La conclusione dell'Agenzia è che una soluzione tecnica per assicurare il diritto all'oblio in internet è generalmente impossibile.

Però, si precisa nel rapporto, i dati non linkati da un motore di ricerca e non presenti nei social network (quindi dati non strutturati né organizzati) sono generalmente difficili da recuperare. Prevenire quindi la permanenza dei dati nei motori di ricerca e nei social network può essere una soluzione per garantire il diritto all'oblio. Gli Stati membri dell'Unione europea potrebbero, quindi, chiedere ai motori di ricerca e social network di filtrare i riferimenti ai dati da dimenticare, rendendo così molto più difficile il loro recupero pur non realizzandosi in tal modo una definitiva cancellazione delle informazioni da tutelare.

In quest'ottica, anche se ad una lettura superficiale potrebbe sembrare che l'ENISA chieda alla UE di gettare la spugna in materia di protezione dei dati personali, in realtà il rapporto dell'Agenzia si inquadra perfettamente nella proposta di riforma dell'Unione europea.
Nella riforma l'articolo che regolamenta il diritto all'oblio è il 17, e elabora le condizioni nelle quali nasce il diritto ad ottenere la cancellazione dei propri dati personali.
Quindi, ad esempio, il titolare del trattamento deve ottemperare alla richiesta di cancellazione dell'interessato (il soggetto titolare dei dati personali) quando non ha più motivo legittimo per trattare i dati in relazione allo scopo per il quale sono stati trattati. In realtà già l'attuale normativa prevede che i dati personali possono essere trattati solo per il periodo strettamente necessario in relazione allo scopo ai quali sono destinati i dati, venuto meno lo scopo i dati devono essere cancellati.
Altre ipotesi che fanno scattare l'obbligo di cancellazioni sono il ritiro del consenso, quando si tratta ovviamente di dati memorizzati in base a quel consenso, e quando i dati sono raccolti illegittimamente.
Infine, se il titolare del trattamento ha trasmesso i dati a terzi, deve riferire loro la richiesta di cancellazione dei dati, e se ha autorizzato terzi alla pubblicazione di dati personali, diventa responsabile per la loro pubblicazione.

Ovviamente, come l'articolo 17 evidenzia, il diritto all'oblio non è assoluto, ma soffre di limitazioni, in particolare la libertà di espressione, il pubblico interesse, ed anche interessi storici, statistici e di ricerca scientifica, possono consentire al mantenimento dei dati personali nonostante l'opposizione dell'interessato.

Comunque anche l'imposizione di obblighi specifici ai responsabili del trattamento, deve fare i conti con le difficoltà che sorgono dal carattere aperto di internet. In ultima analisi chiunque può copiare dati personali, conservarli su un supporto non collegato alla rete e poi reimmetterli e diffonderli massivamente.
Nulla da fare, quindi? Forse no. Uno studio realizzato da una coppia di ricercatori del MIT Technology Review, Hany SalahEldeen e Michael Nelson, evidenzia come le informazioni relative anche a fatti di cronaca importanti (ad esempio la morte di Michael Jackson, le elezioni e le proteste relative in Iran, lo scoppio del virus H1N1) subiscono un decadimento notevole, al tasso dello 0,02% al giorno. Dopo appena 2 anni e mezzo circa il 30% delle informazioni è scomparso. Lo studio non chiarisce i motivi, probabilmente alcune informazioni sono state cancellate, alcune sono state spostate, altre sono finite in archivi non direttamente accessibili e non indicizzati dai motori di ricerca.
È vero che lo studio si sofferma principalmente sulle informazioni veicolate da Twitter (notoriamente non strutturato per la conservazione delle informazioni), ma appare rilevante in relazione al diritto all'oblio. Lo studio rileva che a distanza di anni anche le informazioni più importanti tendono a scomparire, per cui potrebbe non rendersi necessario imporre una cancellazioni di dati personali, lasciando fare al naturale sviluppo della rete.
Anzi, paradossalmente in futuro potremmo avere a che fare col problema opposto, il decadimento delle informazioni online potrebbe far letteralmente scomparire la nostra storia.