Nelle ultime settimane il web, e i social network in particolare, sono finiti sotto accusa in seguito a tragici fatti di cronaca, all’esito dei quali si è rinforzato il dibattito sulle possibili misure da prendere nei confronti di violazioni della riservatezza, della dignità e della reputazione che siano compiute tramite internet.
Il problema è certamente complesso ed ha a che fare con cultura ed educazione; le misure repressive o censorie avranno sempre il fiato corto, finché mancherà la consapevolezza che anche quella vista attraverso un social network è una persona, e che non c’è nulla di virtuale nel proprio comportamento su internet e negli effetti che questo può avere.
Ciò detto, cogliamo l’occasione per fare il punto sulla tutela dei diritti della personalità sul web attualmente prevista dal nostro ordinamento, peraltro nei giorni in cui è stato approvato alla Camera il discusso disegno di legge sul cyberbullismo, ora nuovamente all’esame del Senato. Nella consapevolezza che, come ha dichiarato il Garante per la protezione dei dati personali Antonello Soro, in una recente intervista al quotidiano La Stampa: “Possiamo parlare della maggiore o minore efficacia degli strumenti, della lentezza dei giudici o degli organi di controllo, però bisogna anche essere onesti: la tutela di una persona che finisce in un meccanismo del genere è praticamente impossibile”.
Il diritto all’oblio e i valori in gioco.
Con questo termine ci si riferisce alla possibilità di ottenere, in certi casi, la deindicizzazione e la cancellazione dei propri dati personali da internet, al fine di ottenere una rappresentazione corretta e attuale della propria personalità.
Il diritto all’oblio si è sviluppato in una dimensione sovranazionale, nell’ambito di quello che può essere definito come diritto all’informazione in rete e che, per sua natura, impone difficili bilanciamenti con diritti della personalità come riservatezza, reputazione, onore e tutela dei propri dati. Suo presupposto è che tra i diritti della personalità vi sia anche quello all’identità personale, che comprende a sua volta l’identità digitale.
Frutto di elaborazione della giurisprudenza, sia di legittimità che costituzionale, il diritto all’identità personale ha confini incerti, ma può essere definito in via di prima approssimazione come diritto del soggetto ad essere rappresentato, nella vita di relazione, con la sua vera identità ed a non vedere modificato od offuscato all’esterno il proprio patrimonio intellettuale, ideologico, etico, o professionale. In altre parole – pur se in senso più ampio – è il diritto ad essere sé stessi. Come corollario, l’identità digitale può essere definita come quella che il soggetto impiega nelle attività informatiche e nelle numerose applicazioni di internet.
Nessun dubbio sussiste circa la possibile tutela risarcitoria nei confronti di condotte che ledano la propria identità personale (anche digitale) mediante la pubblicazione di contenuti in rete. A tal proposito si può citare la sentenza del 25 ottobre 2011 della Grande Sezione della Corte di Giustizia dell’Unione Europea (cause riunite C-509/09 e C-161/10), la quale ha riconosciuto tutela risarcitoria, tenendo presente che i contenuti internet possono essere consultati da un numero indefinito di persone, ovunque nel mondo e al di fuori del controllo del loro emittente. Per questo la Corte europea ha stabilito che il danneggiato può adire alternativamente i giudici dello Stato membro del luogo di stabilimento del soggetto che ha emesso i contenuti o quelli dello Stato membro in cui si trova il proprio centro d’interessi.
La tutela specifica, ossia la cancellazione dei contenuti da internet, tocca profili più complessi perché richiede un bilanciamento tra diritto all’identità personale, diritto all’oblio e libertà di manifestazione del pensiero (sovente nelle forme del diritto di cronaca). Ad esempio, alcuni fatti di cronaca che vedano coinvolti personaggi noti potrebbero assumere il rango di fatti storici, cosicché il loro mantenimento in rete sarebbe giustificato. Anche in questi casi, però, si deve comunque dar luogo a contestualizzazione ed aggiornamento dei dati, potendo arrivare, se del caso, anche alla loro cancellazione, al fine di tutelare non solo l’identità sociale del soggetto coinvolto, ma anche la completezza dell’informazione per i cittadini (cfr. ad esempio Cass. civ., Sez. III, sent. n. 5525/2012). Da notare come il diritto all’identità personale possa essere leso anche senza ingiurie o diffamazione: è il caso dell’attrice famosa che ha chiesto ed ottenuto i danni per la pubblicazione da parte di un quotidiano della notizia (falsa) della sua sottoposizione ad interventi di chirurgia estetica. In ogni caso, va ricordato che il diritto all’oblio non può trovare applicazione quando – sempre in tema di pubblicazione di notizie – il dato mantiene rilevanza storica o scientifica, pur se non più strettamente attuale, come ha avuto modo di rilevare anche il Garante della privacy in alcuni provvedimenti (si pensi ad esempio alla condanna penale lontana nel tempo di un candidato ad una carica elettiva).
Come si può notare, gli interessi in gioco in quest’ambito del diritto sono rilevantissimi e al tempo stesso mancano espresse previsioni di legge; la normativa a tutela della privacy, infatti, se è vero che consente la revoca del consenso al trattamento dei dati personali, difficilmente può essere applicata a vecchie notizie contenute in giganteschi archivi web.
L’intervento della Corte di Giustizia UE nei confronti di Google.
Importanti segnali arrivano, però, dalla giurisprudenza europea. Il caso più significativo è stato deciso nella sentenza del 13 maggio 2014 dalla Grande Sezione della Corte di Giustizia dell’Unione Europea (Causa C-131/12), all’esito di una controversia che ha visto contrapposti un cittadino spagnolo e Google Spain. La vicenda rende l’idea dei diritti in gioco: il cittadino aveva chiesto all’autorità spagnola per la protezione dei dati personali la rimozione da un sito web e poi da Google di un articolo di giornale che lo riguardava e che non era più attuale. Il garante della privacy spagnolo aveva ordinato a Google di rimuovere i dati dai risultati generati attraverso il motore di ricerca e di impedirne l’accesso per il futuro, ma il colosso informatico si era rifiutato, adducendo che l’intervento dell’autorità spagnola rappresentasse un’indebita compressione della libertà di espressione dei gestori di siti internet. Il caso era così finito davanti alla Corte Suprema spagnola che a sua volta ha interpellato in via pregiudiziale la Corte di Giustizia UE. Quest’ultima, nell’interpretare la direttiva 95/46/CE sulla protezione dei dati personali, ha concluso che “l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali»” per la normativa sovranazionale. Determinando le finalità e gli strumenti del trattamento, il gestore del motore di ricerca è inevitabilmente il responsabile del trattamento medesimo, ai sensi della normativa europea.
Di conseguenza, è il gestore del motore di ricerca che deve garantire il rispetto delle prescrizioni europee in materia di privacy, stante l’importanza che la sua attività ha sulla vita privata delle persone. Del resto, osserva la Corte “l’organizzazione e l’aggregazione delle informazioni pubblicate su Internet, realizzate dai motori di ricerca allo scopo di facilitare ai loro utenti l’accesso a dette informazioni, possono avere come effetto che tali utenti, quando la loro ricerca viene effettuata a partire dal nome di una persona fisica, ottengono attraverso l’elenco di risultati una visione complessiva strutturata delle informazioni relative a questa persona reperibili su Internet, che consente loro di stabilire un profilo più o meno dettagliato di quest’ultima.”. La conseguenza, per la Corte, è che ciascun soggetto può chiedere direttamente al gestore del motore di ricerca la rimozione dei propri dati; se questo, valutata la fondatezza della richiesta, si rifiuta, il soggetto potrà adire l’autorità di controllo nazionale o quella giudiziaria. Queste potranno ordinare al motore di ricerca la cancellazione “dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita.”.
La rimozione dei dati, però, non può avvenire in modo indiscriminato solo perché il soggetto ha ritenuto che da essi gli derivi un pregiudizio. Infatti, ha stabilito la Corte, i diritti della personalità dell’individuo prevalgono sugli interessi economici del motore di ricerca e su quelli del pubblico alla conoscibilità della notizia solo laddove non si possa dire “per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell’inclusione summenzionata, all’informazione di cui trattasi.”.
La tutela in Italia.
Pur in assenza di una normativa definita, la sentenza della Corte UE ha aperto la strada ad una tutela effettiva degli interessati. Lo scorso anno, infatti, l’Autorità garante della privacy ha deciso una cinquantina di ricorsi di soggetti che avevano visto la loro richiesta di de-indicizzazione respinta da Google. Ovviamente non tutte sono state accolte: il bilanciamento tra diritto all’identità personale e diritto di cronaca porta all’ordine di cancellazione dei dati solo se i link riguardano fatti ritenuti non più di interesse pubblico e lesivi della sfera privata.
Le richieste di rimozione dei dati spesso sono strettamente legate a vicende giudiziarie a cui il soggetto coinvolto non vuole più essere collegato. È questo, ad esempio, il caso deciso dalla Sezione I del Tribunale di Roma con la sentenza del 3.12.2015. Facendo applicazione dei principi emersi in sede europea, il Tribunale ha respinto la domanda dell’interessato, ritenendo che il suo diritto all’oblio debba soccombere innanzi al persistente interesse pubblico per una vicenda giudiziaria recente. Come è stato osservato, il diritto all’oblio non può servire a ripulire il profilo pubblico di un soggetto in vista, perché in questi casi prevale il diritto all’informazione.
Inoltre, la Sezione I della Corte di Cassazione, con la sentenza n. 13161/2016, è intervenuta sul diritto all’oblio precisandone i confini in presenza di richieste di risarcimento del danno da soggetti che asseriscono di aver subito un illecito trattamento di dati personali su internet. Nel caso deciso dalla Cassazione, i soggetti interessati, in seguito a diffida inviata ad una testata giornalistica online per la rimozione del riferimento ad una risalente vicenda giudiziaria, avevano ottenuto la condanna del direttore e dell’editore. La Corte conferma la ricostruzione del giudice di merito, ritenendo che “l’illecito trattamento di dati personali è stato dal Tribunale specificamente ravvisato non già nel contenuto e nelle originarie modalità di pubblicazione e diffusione dell’articolo di cronaca sul fatto accaduto […] né nella conservazione e archiviazione informatica di esso […], ma nel mantenimento del diretto ed agevole accesso a quel risalente servizio giornalistico […] e della sua diffusione sul Web, quanto meno a fare tempo dal ricevimento della diffida […] per la rimozione di questa pubblicazione dalla rete”. Insomma, se la vicenda è risalente nel tempo ed è venuto meno l’interesse pubblico alla sua conoscenza, il gestore del sito che non rimuova i dati in seguito ad apposita diffida deve anche rispondere dei danni cagionati agli interessati per violazione del loro diritto alla riservatezza.
Da segnalare che a livello europeo il recente Regolamento (UE) 2016/679 relativo alla protezione dei dati personali delle persone fisiche, che ha abrogato la precedente direttiva 95/46/CE, ha tipizzato nuovi diritti ed obblighi che consentano all’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo. La cancellazione può avvenire se sussistono una serie di motivazioni previste all’art. 17 del Regolamento medesimo (ad esempio se i dati non sono più necessari, se sono stati trattati illecitamente o se sono stati forniti da un minore). Interessante la previsione per cui se il titolare del trattamento ha reso pubblici i dati personali, lo stesso è obbligato non solo a cancellarli ma, tenendo conto della tecnologia disponibile e dei costi di attuazione, anche ad avvertire tutti i soggetti che trattano i medesimi dati di cancellare qualsiasi loro link, copia o riproduzione. Infine, il già citato art. 17 prevede che il diritto all’oblio non possa essere riconosciuto in alcune situazioni, alcune delle quali già elaborate dalla giurisprudenza: quando è escluso da una norma di legge, per motivi di interesse pubblico, ricerca scientifica, fini statistici o per pubblico interesse nel settore della sanità pubblica, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per l’esercizio del diritto alla libertà di espressione e di informazione.
Cosa bolle in pentola: cyberbullismo e oltre.
La ricerca di una normativa che tuteli le fasce più deboli di età di fronte al cattivo uso che viene fatto degli strumenti digitali sta passando in questi giorni dalla discussione parlamentare della Legge sul c.d. cyberbullismo. Approvata all’unanimità al Senato, modificata a maggioranza dalla Camera e adesso nuovamente all’esame del Senato, la norma è uscita profondamente snaturata rispetto alla sua concezione originaria, essendone stato ampliato l’ambito applicativo anche ai maggiorenni.
Se il diritto all’oblio riguarda la corretta rappresentazione dell’identità personale e digitale della persona, il cyberbullismo viene definito come l’atteggiamento aggressivo o la molestia ripetuta a danno di una vittima in grado di provocarle ansia, isolarla o emarginarla, attraverso vessazioni, violenze fisiche o psicologiche, minacce o ricatti, furti o danneggiamenti, offese o derisioni che siano compiute attraverso strumenti informatici. Il disegno di legge prevede che chiunque si senta vittima di simili atti possa chiedere al gestore del sito internet o del social network di rimuovere, oscurare o bloccare il contenuto diffuso in rete, anche senza che tale contenuto possa dare origine a reati quali ingiuria o diffamazione. In mancanza di intervento entro 48 ore, il soggetto può rivolgersi al garante per la privacy, che provvede nelle 48 ore successive. In caso di mancato adeguamento al disposto del Garante, possono essere irrogate sanzioni fino ad € 180.000,00. L’oscuramento può essere chiesto anche dal bullo stesso, in una sorta di ravvedimento operoso.
Inoltre, similmente a quanto avviene nella normativa sullo stalking, il disegno di legge prevede che, per reati non procedibili d’ufficio, fino alla presentazione della denuncia o querela, il Questore possa convocare il responsabile della condotta illecita, ammonendolo oralmente e invitandolo rispettare la legge. Se l’ammonito è minorenne dovrà essere accompagnato dal genitore.
Viene anche istituito un tavolo tecnico per la prevenzione e contrasto del fenomeno presso la Presidenza del Consiglio, con il compito di elaborare un piano d’azione integrato e realizzare una banca dati specifica. Il Ministero dell’Istruzione dovrà poi elaborare linee di orientamento per combattere il fenomeno nelle scuole, attraverso la formazione del personale scolastico, misure di sostegno e rieducazione dei minori coinvolti e l’istituzione, in ogni istituto, di un docente con funzioni di referente per le iniziative contro bulli e cyberbulli. Ai singoli istituti viene demandata l’educazione alla legalità e all’uso consapevole di internet.
Interessante notare che il disegno di legge si discosta in modo significativo dall’evoluzione giurisprudenziale sul diritto all’oblio, poiché esclude dalla definizione di gestore, che è il fornitore del servizio su internet, gli access provider, i cache provider ma soprattutto i motori di ricerca.
Viene infine aggravata la pena per lo stalking online, che prevede anche contorni meglio definiti.
Era ora! O forse no?
Non esiste persona che non ritenga necessaria una normativa in grado di tutelare al meglio gli utenti di internet, soprattutto se appartenenti a fasce d’età più deboli. Tuttavia, nell’attesa di scoprire quale sarà il testo di legge definitivo, non si può fare a meno di registrare l’esistenza di molte voci critiche nei confronti del testo approvato dalla Camera, se è vero che anche la senatrice che ha presentato la legge ha espresso contrarietà alle modifiche intervenute in quella sede.
Da un lato, le perplessità riguardano i pericoli per la libertà di manifestazione del pensiero, poiché l’oscuramento o la rimozione dei dati web non è fondata su alcun parametro oggettivo. Basta sentirsi offesi o sottoposti ad ansia per mettere in moto il meccanismo di rimozione o di sanzione per il gestore del sito. Questo può inevitabilmente portare ad un uso distorto della normativa anche in favore di chi è tutto fuorché vittima di bullismo (c’è chi ha fatto l’esempio del ristoratore che si dice sottoposto a stress da una recensione negativa sul suo locale), con inevitabili pericoli per la libertà di manifestazione del pensiero e il diritto di critica.
Dall’altro lato, vi è chi accusa il testo modificato dalla Camera di scarsa tutela proprio nei confronti dei minori, che dovrebbero essere oggetto di attenzione principale in una normativa contro il cyberbullismo. La normativa così congeniata, infatti, finirebbe per non funzionare, dato l’ingolfamento che si potrebbe creare presso il Garante della privacy per le troppe richieste ricevute. Vi è anche chi ha sostenuto la totale inutilità di una normativa che si sovrappone a strumenti di tutela della riservatezza già esistenti.
Del resto, il testo che il Senato aveva approvato all’unanimità, ancorava la rimozione dei dati alla possibile sussistenza di reati quali stalking, diffamazione, minacce o molestie, con possibilità per il minore di età superiore a 14 anni di inoltrare personalmente la richiesta al gestore del sito. Come aveva dichiarato all’epoca la senatrice del PD Elena Ferrara, prima firmataria del disegno di legge: “Non possiamo, né vogliamo delegare alle aziende il monitoraggio sui comportamenti digitali, se non su precisa e puntuale richiesta. Pensare di controllare internet non comporta necessariamente limiti alla libertà di tutti. Dobbiamo infatti fare leva sulla scelta nelle mani dei nostri ragazzi e promuovere l’utilizzo responsabile di quello che rimane pur sempre uno strumento”.