Diritto all’oblio e Pubblica amministrazione

Come noto, il Regolamento UE 2016/679 (c.d. GDPR: General Data Protection Regulation)  prevede all’articolo 17 il diritto all’oblio, ossia il diritto alla cancellazione dei propri dati personali. Questo diritto prevede l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato, ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione gli altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).

In tema di Pubblica Amministrazione questa disciplina va coordinata con le linee guida emanate dall’Autorità Garante nel maggio 2014 (provv. n. 243 del 15.05.2014) in materia di trattamento di dati personali (che siano contenuti anche in atti e documenti amministrativi), trattamento effettuato sul web per finalità di pubblicità e trasparenza da soggetti pubblici e da altri enti obbligati.

Secondo questa disciplina la Pubblica Amministrazione, anche nelle ipotesi di pubblicazione di atti o documenti ai sensi del D.Lgs n.33/2013, deve  rispettare i principi in tema di protezione dei dati personali, tra cui il principio di necessità, in base al quale il soggetto pubblico è tenuto a pubblicare i soli dati necessari per raggiungere le specifiche finalità di trasparenza perseguite con la pubblicazione on line dei documenti e degli atti amministrativi.

Il rispetto dei principi c.d “privacy” e il coordinamento della disciplina regolamentaria in tema di diritto all’oblio con i provvedimenti amministrativi dettati dall’Autorità Garante per la protezione dei dati personali sono, da soli, elementi tali che consentono di comprendere la ratio legis dell’obbligatorietà del c.d. Data Protection Officer per i soggetti pubblici.

Come noto, ai sensi dell’articolo 37, paragrafo 1, lettera a) GDPR, il titolare del trattamento designa sistematicamente un responsabile della protezione dei dati (c.d. D.P.O) ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali.

Competenza, professionalità, conoscenza della normativa “privacy” e del settore in cui trova applicazione sono alcune delle skills che connotano la figura del D.P.O. Si pensi, a titolo esemplificativo, all’articolo 17 in tema di diritto all’oblio; quest’ultimo ha un campo di applicazione più ampio di quello di cui all’art. 7, comma 3, lettera b), del Codice Privacy (D.Lgs 196/2003), poiché  l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo la revoca del consenso al trattamento.

In questi termini l’articolo 17, paragrafo 1, lettera b), secondo cui l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento.

In conclusione, anche la Pubblica Amministrazione dovrà adottare un approccio “data protection by default and by design” nella pubblicazione di atti o documenti amministrativi per finalità di trasparenza, ossia dovrà   configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento  e tutelare i diritti degli interessati.

In altri termini, significa in primis effettuare una valutazione di impatto privacy su cosa pubblicare e poi su come pubblicare e solo una figura particolarmente competente potrà garantire il rispetto della disciplina e tutelare il titolare del trattamento da possibili sanzioni.

Consigliamo la lettura di

Diritto all’oblio: responsabilità e risarcimento del danno

Attraverso i contributi della giurisprudenza nazionale ed europea, l’opera ricostruisce i contorni del diritto all’oblio e delle relative forme di tutela, responsabilità e risarcimento del danno.Di taglio pratico, il testo garantisce all’operatore i mezzi necessari per l’esercizio di un diritto di non ancora facile definizione, illustrando gli strumenti di tutela dei dati personali presenti in rete.Il volume è completato da un’appendice normativa, una ricca rassegna di giurisprudenza nazionale ed europea, dalla raccolta dei provvedimenti significativi del Garante per la protezione dei dati personali e da indicazioni operative su come cancellare i dati dall’indicizzazione automatica dei principali motori di ricerca.Andrea Sirotti GaudenziÈ avvocato e docente universitario. Patrocina davanti alla Corte europea dei Diritti dell’Uomo e alla Corte di Giustizia dell’Unione europea, innanzi alle quali ha ottenuto alcuni significativi provvedimenti. È chiamato a svolgere attività di insegnamento presso vari Atenei. Dirige il “Notiziario giuridico telematico” ed è responsabile di INFCON (Istituto Nazionale per la Formazione Continua), dell’ADISI di Lugano e di altri enti scientifici. È autore di numerosi volumi, tra cui “Il nuovo diritto d’autore”, “Trattato pratico del risarcimento del danno”, “Codice della proprietà industriale”. È presidente del Cesdet, Centro Studi di Diritto Europeo delle Telecomunicazioni. Collabora a diverse testate ed è editorialista della rivista “Guida al Diritto del Sole 24 Ore”.

Andrea Sirotti Gaudenzi | 2017 Maggioli Editore

25.00 €  23.75 €

Marco Soffientini

Scrivi un commento

Accedi per poter inserire un commento