Regolamento - 27/04/2016 - n. 679 art. 17 - Diritto alla cancellazione («diritto all'oblio»)

La nozione di “oblio”

Il diritto all'oblio è variamente descritto dagli interpreti, non soccorrendo, nel GDPR, una definizione formale. La mancata tipizzazione nel Regolamento costituisce senz'altro un'occasione perduta, specie alla luce degli avanzamenti giurisprudenziali e dottrinali in materia. Si è rilevato che l'oblio «è strettamente connesso alla tutela dell'identità personale, garantendo a ciascun individuo di poter “essere dimenticato” e di salvaguardare quindi il riserbo imposto dal tempo ad una notizia già di dominio pubblico che ad esso si riferisce» (Berti Suman, cit., 199-200). È stato definito come «il diritto a che i fatti, pure pubblici, attinenti ad un soggetto, con il decorso del tempo cessino di avere tale qualità» (Zeno-Zencovich, cit., pp. 934 e ss.). Sintetizzando gli apporti concettuali variamente espressi ma altresì l'elaborazione giurisprudenziale, l'oblio può essere descritto come la pretesa all'interessato di ottenere la rimozione dalla pubblica circolazione di informazioni personali che lo riguardano, ove il loro rilievo in termini di pubblico interesse attuale si sia ridotto, in funzione del tempo trascorso o per altre ragioni, in misura tale da risultare soccombente nel bilanciamento rispetto al diritto alla protezione dei dati personali. L'istituto si configura perciò, tipicamente, come una particolare forma di tutela dell'identità personale, ma può anche semplicemente rispondere a un desiderio di non apparire più, dunque a un'esigenza di riservatezza intesa quale right to be let alone (si rimanda al commento all'art. 1 GDPR). Rispetto alla tutela dell'immagine, va rilevata la cooperazione tra l'art. 17 e il 16, ossia il diritto di rettifica, posto che la richiesta di una correzione della propria propriezione pubblica si sostanzia non solo nella possibilità di ottenere la deidicizzazione dai motori di ricerca di notizie non più attuali e, rispetto ai siti d'origine, la loro relegazione in archivi di mero valore storico, dunque nell'esercizio dell'art. 17 GDPR, ma altresì nel diritto ad ottenere il loro aggiornamento ai sensi dell'art. 16 GDPR, anche negli archivi di giornale. Il diritto all'oblio inteso quale tutela dell'immagine poggia infatti su entrambe le menzionate previsioni normative. L'aggiornamento degli archivi non va inteso nel senso di una manipolazione della notizia, ma potrà essere ottenuto collegando in maniera inscindibile alla notizia storica quella più aggiornata attuale, in tal mondo lasciando inalterato il valore documentale della prima ma permettendo di leggerla, correttamente, alla luce della seconda.

Occorre precisare che il metro di valutazione, come già indicato in apertura di commento, non è puramente cronologico, come appare talvolta da semplificazioni concettuali e probabilmente anche dalla suggestione del termine “oblio”, ma logico-funzionale e tiene conto di molteplici fattori, quali, a mero titolo esemplificativo, la gravità della notizia, il peso sociale degli eventi, il suo pregio informativo, l'attualità residua, il ruolo e la posizione pubblica dell'interessato, cfr. in tal senso le linee guida elaborate dall'ex Gruppo di lavoro 29 dopo la sentenza Google Spain SL (wp 225 del 26 novembre 2014) e le più recenti linee guida EDPB n. 5/2019. Tale documento (autorevole, ma non vincolante) si concentra esclusivamente sulla deindicizzazione da parte dei fornitori dei motori di ricerca, senza affrontare le più ampie tematiche sottese all'art. 17.

Dal citato approccio funzionale potrebbe risultare una maturazione della pretesa dell'interessato in tempi assai brevi, come anche una diluizione particolarmente lenta della rilevanza della notizia e persino un riaffioramento di interesse pubblico. La relazione tra diritto all'oblio e diritto d'informazione, ossia il naturale polo antagonista, è risolta non nel segno della prevalenza dell'uno rispetto all'altro ma in un'attenta ponderazione. Il bilanciamento va tendenzialmente condotto alla stregua dell'ipotesi di cui alla lett. a) del paragrafo 3, la quale va letta a sua volta in connessione con l'art. 85, par. 2 GDPR, dunque in definitiva l'intero meccanismo giuridico è lasciato alla determinazione del legislatore nazionale e alle indicazioni della giurisprudenza. Va comunque notato che il già citato arresto Google Spain SL, C-131/12, individua, in linea di principio, la prevalenza del diritto fondamentale dell'interessato a ripristinare la propria immagine pubblica nella lista dei risultati di ricerca restituiti da un motore rispetto all'interesse pubblico ad accedere alle notizie attraverso il motore, il cui fornitore (intermediario della società dell'informazione) si pone pur sempre come un soggetto economico che per mere ragioni di business indicizza, inter alia, contenuti di valore informativo generale, e non come un'agenzia di stampa, v. infra.

Il diritto all'oblio consiste «nel diritto a non rimanere esposti, senza limiti di tempo, ad una rappresentazione non più attuale della propria persona, con pregiudizio alla reputazione ed alla riservatezza, per la ripubblicazione, a distanza di tempo, di una notizia relativa a fatti commessi in passato o a vicende nelle quali si è rimasti in qualche modo coinvolti» (Cass. n. 9147/2020).

Le Sezioni Unite della Corte di Cassazione hanno ricondotto la deindicizzazione al “diritto alla cancellazione dei dati”, nel quadro di una classificazione che considera il medesimo come una delle tre possibili declinazioni del diritto all'oblio. Le altre due sono individuate nel diritto a non vedere nuovamente pubblicate notizie relative a vicende in passato legittimamente diffuse, quando è trascorso un certo tempo tra la prima e la seconda pubblicazione e quello, connesso all'uso di internet e alla reperibilità delle notizie nella rete, consistente nell'esigenza di collocare la pubblicazione, avvenuta legittimamente molti anni prima, nel contesto attuale (cfr. Cass. n. 19681/2019).

«In tema di diffamazione a mezzo stampa, il diritto del soggetto a pretendere che proprie, passate vicende personali non siano pubblicamente rievocate (nella specie, il cd. diritto all'oblio era invocato in relazione ad un'antica militanza in bande terroristiche) trova limite nel diritto di cronaca solo quando sussista un interesse effettivo ed attuale alla loro diffusione, nel senso che quanto recentemente accaduto (nella specie, il ritrovamento di un arsenale di armi nella zona di residenza dell'ex terrorista) trovi diretto collegamento con quelle vicende stesse e ne rinnovi l'attualità, diversamente risolvendosi il pubblico ed improprio collegamento tra le due informazioni in un'illecita lesione del diritto alla riservatezza» (Cass. n. 16111/2013).

L'Autorità garante ha ritenuto esercitabile il diritto all'oblio anche partendo da dati presenti sul web che non siano il nome e il cognome dell'interessato, ove essi lo rendano identificabile, anche in via indiretta, ad esempio nella specie la qualifica di presidente di una determinata cooperativa. (GPDP, 20 giugno 2019 [9124401]). Si tratta invero di una coerente applicazione del concetto di “dato personale”, per il quale si rimanda all'art. 4.1) GDPR

«Dato che l'interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli artt. 7 e 8 della Carta, chiedere che l'informazione in questione non venga più messa a disposizione del grande pubblico [...], i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull'interesse economico del gestore del motore di ricerca, ma anche sull'interesse di tale pubblico ad accedere all'informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l'ingerenza nei suoi diritti fondamentali è giustificata dall'interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell'inclusione summenzionata, all'informazione di cui trattasi (cfr. CGUE, 13 maggio 2014, Google Spain SL, C-131-/12, § 97).

In un'ottica di bilanciamento di contrapposti diritti «La deindicizzazione dei contenuti presenti sul web rappresenta, il più delle volte, l'effettivo punto di equilibrio tra gli interessi in gioco. Essa integra, infatti, la soluzione che, a fronte della prospettata volontà, da parte dell'interessato, di essere dimenticato per il proprio coinvolgimento in una vicenda del passato, realizza il richiamato bilanciamento escludendo le estreme soluzioni che sono astrattamente configurabili: quella di lasciare tutto com'è e quella di cancellare completamente la notizia dal web, rimuovendola addirittura dal sito in cui è localizzata» (Cass. n. 3962/2022).

«I criteri di deindicizzazione definiti dal gruppo “Articolo 29” nelle linee guida sull'attuazione della sentenza della Corte di giustizia dell'Unione nella causa C-131/12 «Google Spain SL e Google Inc. contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González» possono ancora essere utilizzati dai fornitori di motori di ricerca e dalle autorità di controllo per valutare una richiesta di deindicizzazione fondata sul diritto di opposizione (articolo 17, paragrafo 1, lettera c), del RGPD). A tal proposito, la richiesta di deindicizzazione si fonderà sulla «situazione particolare» dell'interessato (ad esempio, la circostanza per cui un risultato di ricerca arreca danno a un interessato nella ricerca di un impiego o mina la sua reputazione nella vita personale) che sarà presa in considerazione nello stabilire il bilanciamento tra i diritti personali e il diritto all'informazione, in aggiunta ai criteri classici per gestire le richieste di deindicizzazione, quali:

– l'interessato non è una figura pubblica;

– le informazioni in questione non sono attinenti alla vita professionale dell'interessato, ma si ripercuotono sulla sua vita privata;

– le informazioni costituiscono incitamento all'odio, calunnia, diffamazione o analoghi reati di opinione contro l'interessato come sancito da una decisione giudiziale;

– i dati sembrano verificati, ma sono di fatto inesatti;

– le informazioni si riferiscono a un reato di gravità relativamente minore commesso molto tempo prima e arrecano pregiudizio all'interessato» (EDPB, Linee guida n. 5/2019 sui criteri per l'esercizio del diritto all'oblio nel caso dei motori di ricerca, ai sensi del RGPD, §§ 31 e 32).

Il Garante ha precisato che «l'adozione, da parte del titolare, già in periodo antecedente alla presentazione del reclamo, di specifiche misure tecniche di deindicizzazione volte a rendere inaccessibile l'articolo dai motori di ricerca esterni al sito del quotidiano può ritenersi idonea a soddisfare l'esigenza di bilanciamento tra il diritto all'oblio invocato dal reclamante e la salvaguardia delle finalità di informazione sopraindicate” e che “il diritto alla cancellazione dei dati trova un limite con riferimento ai trattamenti effettuati per le finalità di informazione sopra descritte (art. 17, par. 3 lett. a) e d) del Regolamento» (GPDP, 25 marzo 2021, [9577346]).

In un provvedimento di ottobre 2020 l'Autorità Garante ha affrontato il tema del diritto all'oblio relativamente ai defunti. In particolare si trattava di un caso in cui un erede aveva chiesto la rimozione da un sito web di un articolo scritto dal padre in un'epoca in cui, a suo dire, la sua capacità di giudizio era compromessa a causa di una malattia. Inoltre sosteneva che l'articolo risultasse lesivo della reputazione per gli altri componenti della famiglia. Il Garante, considerato che il defunto non aveva mai manifestato in vita alcuna volontà relativa alla cancellazione dell'articolo, e in considerazione della libertà di espressione dello stesso e del valore storico dello scritto, ha ritenuto infondato il reclamo relativamente alla richiesta di cancellazione dal sito web. Tuttavia, al fine di contemperare le esigenze di riservatezza degli altri membri della famiglia, ed in considerazione del tempo decorso dalla pubblicazione, ha ordinato al gestore del sito web di adottare misure idonee ad impedire l'indicizzazione dell'articolo tramite motori di ricerca esterni (cfr. GPDP 29 ottobre 2020 [9509538]).

Ipotesi nelle quali può essere richiesta la cancellazione

La cancellazione dei dati personali non può che porsi in rapporto di conseguenza rispetto alla pretesa di oblio, v. supra § 1, così come è una conseguenza rispetto alle situazioni positiva,mente elencate alle lett. a)-f) dell'art. 17, par. 1, GDPR, che pertanto si prestano a essere designate come “situazioni-presupposto” e che sono connotate da carenze del trattamento, originarie o sopravvenute, di importanza essenziale.

L'art. 17, par. 1, stabilisce un principio generale di cancellazione dei dati in sei ipotesi:

a) Esaurimento della finalità – i dati personali dell'interessato non sono più necessari rispetto alle finalità del trattamento. Il caso si colloca dalla prospettiva del titolare del trattamento, a prescindere da interventi dell'interessato, ed è collegato in particolare con l'art. 6;

b) Revoca del consenso – in questo caso l'iniziativa è dell'interessato, che fa venire meno il presupposto del trattamento;

c)  Opposizione al trattamento – come nell'ipotesi b) anche in questa il presupposto è costituito da un'azione dell'interessato diretta a rimuovere la base giuridica del trattamento;

d) Illiceità del trattamento – come nella successiva lett. e), viene qui espressamente in considerazione non l'esaurimento delle finalità o un intervento dell'interessato, ma il contrasto con disposizioni di legge. Il concetto di illiceità va interpretato tanto alla luce degli artt. 5 e 6 quanto in relazione alla normativa nazionale o unionale presupposta dal Regolamento o con esso connessa;

e) Obbligo di legge – può essere considerata una declinazione della lettera precedente, nel senso che la conservazione dei dati personali non è più possibile ex lege, con la conseguenza che il loro trattamento protratto si porrebbe in contrasto con il diritto;

f) Tutela dei minori – l'ipotesi prevede una tutela rafforzata per i minori, pur in assenza di contrarierà del trattamento alla normativa, e riguarda unicamente l'offerta di servizi della società dell'informazione ai sensi dell'art. 8, par. 1 GDPR, da collegare, per l'Italia, con l'art. 2-quinquies d.lgs. 196/03.

La cancellazione integra dunque anche un obbligo a cui è tenuto motu proprio il titolare del trattamento, ma che, in taluni casi, viene innescato da un'azione positiva dell'interessato, quale la revoca del consenso (art. 17.1.b)) o l'esercizio del diritto di opposizione, cfr. art. 17.1.c)). Può infine risultare da eventi sopravvenuti, quali l'intervenuta carenza di liceità del trattamento o la maturata conoscenza di una carenza pregressa (art. 17.1.d).

Le ipotesi sopra richiamate non registrano in linea di massima spiccate innovazioni rispetto al pregresso, giova segnalare tuttavia la novità della previsione di cui alla lett. f), che costituisce uno strumento formidabile per assicurare ampia tutela ai minori nella società dell'informazione, si pensi al trattamento massivo di dati sulle piattaforme social.

«Il RGPD modifica pertanto l'onere della prova, stabilendo una presunzione a favore dell'interessato e obbligando, al contrario, il titolare del trattamento a dimostrare l'esistenza di “motivi legittimi cogenti per procedere al trattamento” (articolo 21, paragrafo 1). Pertanto, quando un fornitore di motore di ricerca riceve una richiesta di deindicizzazione fondata sulla situazione particolare dell'interessato, è tenuto ora a cancellare i dati personali ai sensi dell'articolo 17, paragrafo 1, lettera c), del RGPD, a meno che possa dimostrare che sussiste un “motivo legittimo prevalente” per l'inclusione in un elenco dello specifico risultato di ricerca che, in combinato disposto con l'articolo 21, paragrafo 1, configuri “motivi legittimi cogenti (...) che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato”» (EDPB, Linee guida n. 5/2019 sui criteri per l'esercizio del diritto all'oblio nel caso dei motori di ricerca, ai sensi del RGPD, § 30).

«Ai sensi dell'articolo 17, paragrafo 1, lettera d), del RGPD, un interessato può ottenere la cancellazione dei dati personali che lo riguardano nel caso in cui questi siano stati trattati illecitamente. Il concetto di trattamento illecito va innanzitutto interpretato alla luce dell'articolo 6 del RGPD sulla liceità del trattamento. Gli altri principi stabiliti dal RGPD (come i principi dell'articolo 5 del RGPD o di altre disposizioni del capo II) possono contribuire a tale interpretazione» (EDPB, Linee guida n. 5/2019 sui criteri per l'esercizio del diritto all'oblio nel caso dei motori di ricerca, ai sensi del RGPD, §§ 34 e 35).

«Ai sensi dell'articolo 17, paragrafo 1, lettera e), del RGPD, un interessato può chiedere al fornitore del motore di ricerca di deindicizzare uno o più risultati di ricerca, se i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il fornitore del motore di ricerca» (EDPB, Linee guida n. 5/2019 sui criteri per l'esercizio del diritto all'oblio nel caso dei motori di ricerca, ai sensi del RGPD, § 37)

Infine, «Ai sensi dell'articolo 17, paragrafo 1, lettera f), del RGPD, un interessato può chiedere a un fornitore del motore di ricerca di deindicizzare uno o più risultati se i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione a minori, nei termini di cui all'articolo 8, paragrafo 1, del RGPD. L'articolo riguarda l'offerta diretta di servizi della società dell'informazione e nessun altro tipo di trattamento. Il RGPD non definisce i servizi della società dell'informazione, ma rimanda alle definizioni esistenti nel diritto dell'UE. Vi sono difficoltà nell'interpretazione in quanto il considerando 18 della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, fornisce una definizione ampia e ambigua del concetto di “offerta diretta di servizi della società dell'informazione”. Essa indica soprattutto che questi servizi “abbracciano una vasta gamma di attività economiche svolte in linea (on line)”, ma specifica che non si tratta esclusivamente di “servizi che portano a stipulare contratti in linea ma anche di servizi non remunerati dal loro destinatario, nella misura in cui costituiscono un'attività economica, come l'offerta di informazioni o comunicazioni commerciali in linea o la fornitura di strumenti per la ricerca, l'accesso e il reperimento di dati”, definendo poi i criteri di un'attività economica. Da quanto precede si desume che le attività dei fornitori di motori di ricerca rientrano probabilmente nell'ambito di applicazione dell'offerta diretta di servizi della società dell'informazione. Tuttavia, i fornitori di motori di ricerca non verificano se i dati personali che indicizzano riguardino o meno un minore» (EDPB, Linee guida n. 5/2019 sui criteri per l'esercizio del diritto all'oblio nel caso dei motori di ricerca, ai sensi del RGPD, §§ 39-41).

Obbligazioni del titolare nel caso di diffusione dei dati

La vera innovazione dell'art. 17 GDPR si rinviene al par. 2 ove si configura una nuova responsabilità del titolare del trattamento nel caso in cui i dati siano stati diffusi, ponendosi la questione di notiziarne i terzi che stanno trattando i dati della richiesta di cancellazione dell'interessato. Nel caso della circolazione pubblica, il titolare dovrà invece farsi carico, nei limiti di un canone di ragionevolezza che tenga conto di tecnologie disponibili e costi, di informare gli altri titolari che abbiano raccolto i dati, della richiesta dell'interessato di cancellazione di qualsiasi link ai dati stessi, come anche di qualsiasi copia o riproduzione. La norma in commento costituisce indubbiamente una disposizione lodevole, che tutela in maniera forte l'interessato, configurandosi tuttavia come potenzialmente assai onerosa per il titolare che gestisca una pluralità di trattamenti. Inoltre, la previsione in esame non differenzia gli oneri in funzione delle situazioni-presupposto che possono determinare la richiesta di cancellazione: ad esempio mutamenti di volontà dell'interessato o comportamento illecito del titolare.

«Il presente documento non tratta dell'articolo 17, paragrafo 2, del RGPD. Tale articolo impone infatti ai titolari del trattamento che hanno reso pubblici dati personali di informare i titolari che hanno successivamente riutilizzato tali dati personali mediante link, copia o riproduzione. Tale obbligo di informazione non si applica ai fornitori di motori di ricerca quando trovano informazioni contenenti dati personali pubblicate o rese disponibili su Internet da terzi, le indicizzano in maniera automatica, le memorizzano temporaneamente e infine le mettono a disposizione degli utenti di Internet secondo un determinato ordine di preferenza. Inoltre, l'articolo non impone ai fornitori di motori di ricerca, che hanno ricevuto una richiesta di deindicizzazione da parte di un interessato, di informare il terzo che ha reso pubblica tale informazione su Internet» (EDPB, Linee guida n. 5/2019 sui criteri per l'esercizio del diritto all'oblio nel caso dei motori di ricerca, ai sensi del RGPD, § 12).

«La cancellazione, in altre parole, deve raggiungere, sia pure con limiti ragionevoli, anche la filiera della circolazione» (Pelino, cit., 264-265).

«Se un interessato revocasse il proprio consenso a utilizzare i suoi dati su una particolare pagina web, l'editore originario di tale pagina web dovrebbe informare i fornitori di motori di ricerca che hanno indicizzato i dati ai sensi dell'articolo 17, paragrafo 2, del RGPD. L'interessato avrebbe comunque diritto a ottenere la deindicizzazione dei dati personali che lo riguardano, ma in tal caso ai sensi dell'articolo 17, paragrafo 1, lettera c)» (EDPB, Linee guida n. 5/2019 sui criteri per l'esercizio del diritto all'oblio nel caso dei motori di ricerca, ai sensi del RGPD, § 25).

Eccezioni al diritto di cancellazione

Il diritto alla cancellazione dei dati non è un diritto assoluto. Il paragrafo 3 dell'art. 17, infatti, traccia dei limiti, individuando quattro ipotesi in cui il diritto alla cancellazione non si applica nella misura in cui il trattamento è necessario:

a) per l'esercizio del diritto alla libertà di espressione e di informazione. La pretesa dell'interessato di deindicizzare/ cancellare informazioni che lo riguardano va bilanciata con il diritto dei terzi ad essere informati, senza applicazione di automatismi. Vi sono alcuni fattori che possono influenzare tale valutazione: ad esempio, la natura dell'informazione o il suo carattere sensibile, il ruolo pubblico o privato dell'interessato, la rilevanza della notizia, l'osservanza dei criteri che rendono lecito l'esercizio del diritto di cronaca ai sensi dell'art. 137.3 cod. priv., l'esercizio del diritto nei confronti di un motore di ricerca o di un sito di informazione giornalistica, v. supra;

b) per l'adempimento di un obbligo di legge o per l'esecuzione di un compito di pubblico interesse oppure nell'esercizio di pubblici poteri. Posta l'ampiezza delle lettere c) ed e) dell'art. 6.1 richiamate, che a loro volta si collegano al diritto presupposto nazionale o dell'Unione, l'eccezione si presenta dai contorni assai generici, laddove le limitazioni di diritti fondamentali devono essere stringenti e precise. Ciò impone di evitare applicazioni meccaniche dell'ipotesi in esame. Occorrerà una valutazione attenta, condotta alla luce dell'art. 5 GDPR e dell'art. 52 CDFUE. In ogni caso, si rende necessario un test di necessità e una perimetrazione stretta dell'eventuale limitazione, come indica del resto la precisazione “nella misura in cui”;

c) per motivi di interesse pubblico nel settore della sanità pubblica. Si possono ripetere analoghe considerazioni, non essendo i motivi di interesse pubblico, qui peraltro non altrimenti specificati, per ciò solo prevalenti;

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Il titolare in questo caso deve dimostrare che la cancellazione rischia di rendere impossibile o pregiudica gravemente le finalità in argomento, non deve cioè venire in considerazione un ostacolo minore o superabile. Si impone un test di necessità, da documentare.

e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. I dati sono necessari per esigenza di tutela dei diritti. Vale qui la generale prevalenza del diritto di difesa in giudizio sul diritto alla protezione dei dati personali. Secondo le regole generali, la deroga va tuttavia limitata ai casi di effettivo intralcio alla difesa.

Effetti

La cancellazione dei dati deve essere totale e definitiva e riguardare ogni copia o riproduzione. In luogo della distruzione dei dati si può procedere anche a un'anonimizzazione degli stessi, purché eseguita correttamente, ossia senza possibilità di re-identificazione. Infine si osserva che se gli stessi dati sono trattati da differenti titolari, l'obbligo di cancellazione può colpire anche soltanto qualcuno di essi, lasciando immuni gli altri, ciò dipendendo dal vario articolarsi delle situazioni-presupposto di cui alle lettere da a) a f) del primo paragrafo dell'art. 17. Va in ogni caso fatto salvo l'obbligo contemplato al secondo paragrafo.

Un esempio di questa tipologia di situazione è rinvenibile proprio nella vicenda che ha portato alla già ricordata sentenza Google Spain (CGUE, 13 maggio 2014, Google Spain SL, C-131-/12). In quel caso, l'editore del sito, ossia il soggetto che aveva pubblicato la pagina contenente i dati personali non più attuali, non poteva rimuoverla in quanto venivano in considerazione obblighi di pubblicità legale in materia di procedure esecutive immobiliari. L'obbligo di rimozione ha invece trovato piena applicazione nei confronti del motore di ricerca che aveva indicizzato la pagina.

Forme e modalità per l'istanza e il riscontro

Il titolare imposta un termine per la cancellazione dei dati o per la verifica periodica della sussistenza di condizioni per la conservazione (considerando 39). L'interessato, ricorrendone i presupposti, può esercitare il diritto in qualsiasi momento. Non sono previste formalità. Ove il trattamento sia effettuato con strumenti elettronici, il titolare consente l'esercizio del diritto con strumenti elettronici (es. email) (considerando 59). Verifica l'identità del richiedente domandando, ove necessario, informazioni aggiuntive (artt. 11, par. 2, 12, par. 2, 12, par. 6 GDPR). Il riscontro si attiene al principio di concisione di forma, trasparenza, intelligibilità e facile accesso, utilizzo di un linguaggio semplice e chiaro (art. 12, par. 1 GDPR), comprensibile anche da un minore, ove questi sia interessato di trattamento (considerando 58). Il rifiuto di ottemperare la richiesta (ad es. per sussistente incertezza nell'identificazione dell'interessato) deve essere motivato e reso al più tardi entro un mese dall'istanza, ai sensi dell'art. 12, par. 3.

In materia di deindicizzazione recente giurisprudenza ritiene sussistere «un onere di attivazione da parte dell'interessato, sempre che il contenuto originariamente pubblicato fosse lecito, e pure un ragionevole contributo probatorio. [...] Al di là del dato testuale, la proposizione della richiesta non richiede né formalità, né tecnicismi e non abbisogna né del ricorso a una difesa tecnica, né a consulenti di sorta e di conseguenza non genera alcun costo aggiuntivo. Al contrario, sarebbe l'imposizione ai gestori di uno scandagliamento periodico di informazioni a suo tempo legittimamente pubblicate a imporre ai gestori un onere insostenibile e gravido di conseguenze per la libertà dell'informazione» (Cass. n. 6806/2023). Conclude quindi, la citata sentenza, con il seguente principio di diritto «In tema di trattamento dei dati personali e di diritto all'oblio, [...] il gestore di un sito web non è tenuto a provvedere, a seconda dei casi, alla cancellazione, alla deindicizzazione o all'aggiornamento di un articolo di stampa, a suo tempo legittimamente pubblicato, ancorché relativo a fatti risalenti nel tempo, in difetto di richiesta dell'interessato che è la sola idonea a far scaturire in capo al gestore l'obbligo di provvedere senza indugio» (cfr. sul tema anche Cass. n. 2893/2023 e Cass. n. 6116/2023).