SHIELD

Realtà dell'esposizione

Il diritto all'oblio: perché non funziona quasi mai

Anatomia onesta del diritto alla cancellazione GDPR — cosa copre, cosa non copre, e le alternative pragmatiche quando la cancellazione è impossibile.

Pubblicato il 16 min di lettura General

Ultima revisione:

Server di dati in file in un datacenter

Un dirigente mi chiede di far sparire un articolo di stampa del 2017. Tre mesi dopo, l’articolo è deindicizzato su Google.it. Resta visibile su Google.com, in quattro archivi, e in un dump di stampa che qualsiasi strumento OSINT risputa in trenta secondi. Il cliente era convinto di aver «vinto». Aveva soprattutto pagato per spostare il problema di qualche centimetro.

Angle de lecture

La trappola abituale

Le hanno venduto il diritto all’oblioArticolo 17 del GDPR: diritto alla cancellazione dei propri dati personali a determinate condizioni. come un pulsante rosso. Lei preme, il dato sparisce, il suo passato si cancella. È il racconto che portano avanti gli studi di reputazione online, gli articoli di stampa generalista, e buona parte delle conversazioni da bar sul GDPRRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018.. «Hai dei diritti, fai valere i tuoi diritti.» La frase è giuridicamente vera e operativamente vuota.

Il problema non è che il diritto non esista. Esiste, è codificato, il GaranteAutorità italiana per la protezione dei dati, equivalente della CNIL francese, regolatore GDPR per l'Italia. lo fa applicare, e ha già permesso rimozioni reali. Il problema è il divario tra ciò che la gente crede di aver comprato — una cancellazione definitiva, universale, pulita — e ciò che il diritto consegna davvero: una rimozione condizionata, geograficamente limitata, che agisce solo sui soggetti che la legge può raggiungere. E le vere fonti della sua esposizione non sono quasi mai quelle che la legge raggiunge.

Sarò diretto, perché nessuno in questo mestiere glielo dice chiaramente: nell’immensa maggioranza dei casi che tratto, il diritto alla cancellazione non elimina il dato. Sposta un risultato di ricerca. È utile, a volte sufficiente, ma non è ciò che le hanno promesso. E credere il contrario la porta a prendere cattive decisioni — alcune delle quali aggravano attivamente la sua situazione. Questo articolo descrive ciò che funziona, ciò che non funziona, e cosa fare quando la cancellazione è semplicemente fuori portata.

Cosa dice davvero l’articolo 17

L’articolo 17 del GDPR si chiama «diritto alla cancellazione», e la prima cosa da capire è che non è un diritto assoluto. È un diritto condizionato corredato di eccezioni abbastanza ampie da, in molti casi, inghiottire la regola. Per ottenere la cancellazione, bisogna trovarsi in una delle sei situazioni previste: il dato non è più necessario rispetto alla finalità iniziale, lei ritira il consenso e nessun altro fondamento regge, il trattamento è illecito, un obbligo legale lo impone, i dati riguardano un minore, o lei esercita il suo diritto di opposizione e nessun motivo legittimo cogente prevale.

Fin qui, sembra un diritto solido. Poi vengono le eccezioni del comma 3, ed è lì che tutto si gioca. La cancellazione non si applica quando il trattamento è necessario all’esercizio della libertà di espressione e d’informazione — in altre parole, non appena un giornalista, un media o un editore invoca l’interesse pubblico, la sua richiesta diventa una negoziazione, non un diritto opponibile. Non si applica neppure per l’adempimento di un obbligo legale, per motivi di interesse pubblico, a fini di archiviazione, ricerca o statistica, né per l’accertamento e la difesa di diritti in giudizio. Queste eccezioni non sono casi marginali: coprono la stampa, i registri legali, gli archivi pubblici, e qualsiasi contenzioso in corso o potenziale.

Seconda limitazione strutturale, più discreta ma decisiva: l’articolo 17 si rivolge solo a un titolare del trattamento identificato e soggetto al GDPR. Tutto il meccanismo poggia sull’esistenza di un interlocutore giuridicamente raggiungibile — qualcuno che decide le finalità e i mezzi di un trattamento, e che la legge europea può vincolare. Quando questo interlocutore non esiste, non è identificabile, o si trova fuori dalla portata del diritto europeo, l’articolo 17 semplicemente non ha oggetto. Non è che fallisca: non si applica. Questa sfumatura cambia tutto, perché una parte enorme della sua esposizione vive precisamente in questi angoli ciechi — presso soggetti senza stabilimento europeo, piattaforme anonime, o copie orfane senza proprietario.

Terza limitazione, geografica: la portata della deindicizzazione è stata decisa dalla CGUE nel 2019 nel caso Google contro CNIL. Il motore non è tenuto a deindicizzare su tutte le sue versioni mondiali — l’obbligo si limita alle versioni corrispondenti agli Stati membri. Concretamente, una deindicizzazione ottenuta vale per Google.it e le altre declinazioni europee, con un blocco geografico parziale, ma non per Google.com consultato da altrove. La CNIL aveva sostenuto una portata mondiale; ha perso. Ricordi la conseguenza operativa: anche un successo completo sul piano del diritto resta un successo regionale sul piano tecnico.

Il risultato in pratica è brutale. Sulle richieste di deindicizzazione ricevute da Google dalla sentenza CGUE Google Spain del 2014, il motore ne ha rifiutate una parte sostanziale — globalmente intorno alla metà degli URL, e ben di più su certe categorie sensibili come i contenuti legati a un’attività professionale, una condanna penale di interesse pubblico, o un ruolo nella vita pubblica. Il Garante, quando viene adito in seconda istanza, conferma buona parte di questi rifiuti. Capisca bene cosa significa: il diritto all’oblio non è un diritto a cancellare ciò che la disturba. È un diritto a chiedere, ad argomentare, e ad accettare che le si dica di no più spesso di quanto immagini. E anche quando le si dice di sì, il «sì» è più stretto di quanto pensi.

Cosa funziona davvero

Siamo concreti sul bicchiere mezzo pieno, perché esiste e bisogna saperlo usare prima di considerare gli approcci pesanti. Tre leve funzionano davvero, a gradi diversi.

La prima, e di gran lunga la più redditizia, è la deindicizzazione Google sullo spazio europeo tramite il modulo ufficiale. È la conseguenza diretta della sentenza Google Spain: un motore di ricerca è titolare del trattamento, e deve esaminare la sua richiesta di rimozione di un risultato associato al suo nome. Il tasso di successo è ragionevole per i contenuti antichi, senza interesse pubblico, che non riguardano la sua vita professionale attuale — un vecchio contenzioso privato chiuso, una menzione in una vicenda in cui non è mai stato chiamato in causa, un dato divenuto obsoleto. Il tempo va da qualche settimana a tre mesi. Costo: zero. È gratuito, è ufficiale, e dovrebbe sempre essere il suo primo gesto. Attenzione alla trappola maggiore: la deindicizzazione non elimina mai la pagina sorgente. Ritira il link dai risultati di ricerca sul suo nome, sulle versioni europee del motore. La pagina esiste ancora, accessibile in diretta, e resta indicizzata fuori dall’UE.

La seconda leva è la cancellazione diretta presso un editore GDPR attivo che vuole evitare la sanzione. Un sito europeo, un operatore che detiene un account a suo nome, una piattaforma che gestisce un file cliente: questi soggetti hanno un interesse razionale a trattare la sua richiesta in modo pulito, perché un rifiuto ingiustificato espone a un reclamo al Garante e a una sanzione. Quando l’interlocutore è identificato, soggetto al GDPR, e non ha alcuna ragione cogente di conservare il dato, la cancellazione reale — non la deindicizzazione, l’eliminazione — è del tutto raggiungibile. Citi l’articolo 17, sia preciso sul dato in questione, conservi una traccia scritta.

La terza leva, più parziale, è l’opt-out presso i broker di dati europei: Bisnode, la divisione UE di Intelius, Schober e qualche altro. È un lavoro ingrato, mai completo e mai definitivo, perché questi data brokerAzienda che raccoglie, aggrega e rivende dati personali su larga scala. reiniettano continuamente da fonti pubbliche. Ma sul perimetro europeo, è una riduzione di esposizione notevole. Sui broker americani senza stabilimento UE, invece, lei entra nella zona grigia — ci ritorno.

Cosa non funziona

Ecco la parte che i venditori di cancellazione passano sotto silenzio. La maggior parte della sua esposizione reale vive in zone dove il diritto all’oblio non ha alcuna presa.

I broker americani senza stabilimento europeo ignorano puramente e semplicemente la maggior parte delle richieste GDPR. Nessuno stabilimento nell’UE, nessun targeting attivo del mercato europeo ai sensi dell’articolo 3: nessun obbligo pratico di rispondere. Stimo, sui miei stessi dossier, che circa quattro richieste su cinque indirizzate a questo tipo di soggetto restino senza effetto reale — risposta automatica vuota, opt-out che si svuota da solo dopo qualche mese, o silenzio totale. Lei può scrivere, ma non costruisca la sua strategia su questo.

Gli archivi mirror sono l’altro muro. La Wayback MachineArchivio web dell'Internet Archive, che cattura le pagine dal 1996. accetta almeno una procedura di esclusione, incompleta. Ma archive.todayServizio di archiviazione web su richiesta, con snapshot permanente. non offre alcun meccanismo ufficiale di cancellazione, per progettazione — è tutto l’interesse del servizio per i suoi utenti. Una pagina archiviata lì è, in pratica, fuori dalla sua portata. Idem per le varie cache e le copie di copie.

Il forum chiuso che è migrato verso un nuovo dominio è un caso che vedo ricorrere. Il dato è stato pubblicato su una piattaforma che ha cambiato proprietà, giurisdizione, a volte esistenza legale. Non c’è più un titolare del trattamento chiaramente identificabile a cui rivolgere una richiesta, e il contenuto continua a circolare a un nuovo indirizzo. Il diritto presuppone un interlocutore; quando non ce n’è più, il diritto non morde.

I registri pubblici legali formano una categoria a parte, dove il rifiuto non è un malfunzionamento ma la legge stessa. Una menzione sulla Gazzetta UfficialePubblicazione ufficiale francese degli avvisi legali — equivalente in Italia alla Gazzetta Ufficiale per le imprese., una visura del Registro delle Imprese, una pubblicazione al registro del commercio: questi dati sono resi pubblici in esecuzione di un obbligo legale, e l’articolo 17 prevede esplicitamente che la cancellazione non si applichi quando il trattamento risponde a un tale obbligo. Lei può trovare la menzione umiliante; è nondimeno legalmente intoccabile finché la sua base giuridica regge. Chiederne la cancellazione significa chiedere all’amministrazione di violare la legge che la obbliga a pubblicare.

Infine, ed è il punto più strutturante: le copie già scaricate da terzi. Un dato che è trapelato in un dump, che è stato aspirato da un aggregatore, che dorme sul disco di qualcuno, sfugge per natura a ogni cancellazione. Lei non può cancellare ciò che non può raggiungere. I database di leak — veda l’articolo sui broker — illustrano questo punto fino all’assurdo: chiedere la cancellazione a un leak databaseServizio che indicizza i dati provenienti da violazioni pubbliche o semi-pubbliche. di tipo HIBPServizio pubblico gratuito di Troy Hunt che indicizza le email compromesse nelle violazioni pubbliche. è efficace quanto chiedere alla pioggia di risalire nella nuvola. Questi servizi indicizzano compromissioni a milioni di record; non hanno né il mandato né la capacità tecnica di ritirare una riga su richiesta, e la maggior parte lo rifiuta per principio in nome della funzione di allerta che svolgono. Il dato è uscito una volta; è uscito per sempre.

L’effetto Streisand

C’è una categoria di richieste che non solo non funziona, ma peggiora la sua situazione. È l’effetto Streisand, chiamato così dalla cantante il cui tentativo di far rimuovere una foto della sua casa ha trasformato un’immagine vista sei volte in un fenomeno visto da centinaia di migliaia di persone. Il meccanismo è meccanico: l’atto di chiedere la rimozione crea un evento, l’evento crea attenzione, e l’attenzione riproduce ciò che lei voleva far sparire.

Sul campo, prende forme precise. Una richiesta GDPR indirizzata a un giornalista risveglia la sua memoria istituzionale e, a volte, la sua voglia di scrivere un seguito sulle «pressioni alla cancellazione». Una richiesta di deindicizzazione Google innesca frequentemente una notifica all’editore della pagina sorgente, che apprende così che lei tiene a farla sparire — informazione che non aveva, e che può sfruttare. Una diffida pubblica trasforma un contenuto oscuro in oggetto di dibattito.

La disciplina qui è controintuitiva per persone abituate a «far valere i propri diritti». Non ogni diritto è buono da esercitare. Una deindicizzazione discreta su Google, che notifica al minimo, presenta un rischio di amplificazione debole. Una diffida clamorosa indirizzata a un media ne presenta uno enorme. Pesi il contenuto in questione: il suo pubblico attuale, l’interesse che avrebbe l’altra parte a parlarne, e ciò che perde se risale. A volte, la migliore azione è l’assenza di azione.

Alternative pragmatiche

Quando la cancellazione è impossibile — e lo è, il più delle volte — restano tre strategie che funzionano, a condizione di abbandonare l’idea di cancellare.

La prima è la diluizione. Lei non può ritirare il contenuto negativo, ma può produrre abbastanza contenuto neutro e controllato da respingerlo a pagina due, tre o oltre nei risultati sul suo nome. Profili professionali puliti e attivi, presenza in elenchi seri, pubblicazioni firmate su piattaforme di qualità, scheda coerente sugli spazi che lei controlla. L’obiettivo non è mentire, è saturare lo spazio visibile con del vero che lei controlla. La quasi totalità delle persone non supera mai la prima pagina di risultati. Far scendere il contenuto fastidioso a pagina tre è, in termini di esposizione reale, quasi altrettanto efficace che eliminarlo — ed è duraturo, là dove una cancellazione può essere aggirata.

La seconda è la compartimentazione proattiva, trattata in dettaglio nell’articolo dedicato. Il dato passato è uscito; lei non lo farà rientrare. Ma può decidere che le sue identità e attività future non saranno collegate a questa esposizione. Indirizzi email distinti, numeri dedicati, separazione netta tra i contesti: è una disciplina di igiene che impedisce al passato di contaminare il presente. La compartimentazioneSeparare le proprie identità per utilizzo (civile, pro pubblico, pro sensibile, operativo) per limitare la propagazione delle fughe. non ripara, isola.

La terza, la meno glamour e la più matura, è accettare e preparare la risposta. Se un contenuto sfavorevole è non eliminabile, parta dal principio che qualcuno finirà per imbattersi, e prepari un brief narrativo fattuale: contesto, ciò che è realmente successo, ciò che è cambiato da allora. Un dato fastidioso a cui lei ha una risposta calma e preparata ha molto meno potere di un dato che tenta disperatamente di nascondere. La dissimulazione crea l’impressione della colpa; la trasparenza controllata la disinnesca.

Una parola sugli strumenti, perché me lo si chiede sempre. Esistono servizi di opt-out automatizzato presso i broker — Incogni, DeleteMe, Optery e qualche altro. Sia lucido su ciò che fanno: scandagliano regolarmente da qualche decina a qualche centinaio di broker e vi depositano richieste di rimozione a suo nome. Sul perimetro dei broker cooperativi, riducono realmente l’esposizione incrementale, e le risparmiano un lavoro manuale penoso. Ma non toccano né i database di leak, né gli archivi, né i registri legali, né le copie di terzi — cioè il grosso del problema. Sono strumenti di manutenzione, non di guarigione. Pagarli credendo di risolvere la questione significa ripetere su scala di abbonamento l’illusione di partenza: confondere «meno visibile presso qualche soggetto» e «sparito». Li usi per ciò che sono, e tenga la diluizione come sua vera linea di difesa duratura.

Cosa comporta concretamente

Per lei, come persona

Il modulo Google è il suo primo strumento, gratuito ed efficace sui risultati .it. Per il resto, il realismo paga: la maggior parte dei suoi dati passati non sparirà, e la buona strategia non è né la cancellazione a tutti i costi né la negazione, ma la diluizione e la compartimentazione futura.

  1. Faccia l’inventario prima di agire — digiti il suo nome su Google, su Google.it e Google.com, ed elenchi i tre risultati più problematici. Non può trattare ciò che non ha mappato. Costo: zero, un’ora del suo tempo.
  2. Depositi le richieste di deindicizzazione ammissibili — per i contenuti antichi, senza interesse pubblico, usi il modulo ufficiale di deindicizzazione Google. Discretamente, senza rumore, senza minaccia. È gratuito ed è il suo miglior rapporto sforzo/risultato.
  3. Avvii la diluizione se il negativo è non eliminabile — crei o pulisca due o tre profili professionali che lei controlla, li alimenti regolarmente. Respingere un contenuto a pagina tre costa meno di 200 € e protegge meglio di una lettera GDPR ignorata.

Per lei, CISO / Direzione IT / dirigente

Il diritto alla cancellazione GDPR è un’obbligazione di mezzi, non di risultato. La sua responsabilità riguarda il trattamento che LEI effettua, non ciò che è trapelato presso i suoi fornitori o circola fuori dal suo perimetro. Confondere i due nei suoi processi DPO produce o paralisi, o false promesse alle persone interessate.

1. Distingua cancellazione reale e deindicizzazione nelle sue procedure. Molti team rispondono «è eliminato» quando hanno solo mascherato una visualizzazione o chiesto una deindicizzazione a un terzo. Conseguenza diretta: una risposta imprecisa a una richiesta di esercizio di diritti è una non conformità di per sé, sanzionabile indipendentemente dal dato stesso.

2. Mappi i suoi responsabili del trattamento esterni e la loro reale capacità di cancellazione. Una cancellazione presso di lei che lascia copie vive presso un responsabile esterno non è una cancellazione. Conseguenza diretta: i suoi contratti di trattamento devono prevedere un’obbligazione di cancellazione a cascata verificabile, altrimenti lei porta un rischio che non controlla.

3. Tenga un registro delle richieste e dei loro seguiti, rifiuti inclusi. Un rifiuto motivato ai sensi delle eccezioni dell’articolo 17 è legittimo, ma deve essere documentato. Conseguenza diretta: di fronte a un controllo del Garante, è la tracciabilità del suo ragionamento — non il risultato — che dimostra la sua conformità.

Errori che si vedono di continuo

  • Chiedere la cancellazione a un database di leak come HIBPServizio pubblico gratuito di Troy Hunt che indicizza le email compromesse nelle violazioni pubbliche. o un dump: rifiuto sistematico, è un archivio di compromissione, non un titolare del trattamento cooperativo.
  • Inviare una lettera GDPR non motivata, senza citare la condizione dell’articolo 17 invocata: rifiuto per mancato rispetto delle condizioni, e tempo perso.
  • Confondere deindicizzazione europea e cancellazione mondiale: la pagina sorgente resta online e indicizzata fuori dall’UE.
  • Lanciare una diffida pubblica senza valutare l’effetto Streisand: rischio reale di amplificare esattamente ciò che si voleva seppellire.
  • Tentare di ripulire archive.todayServizio di archiviazione web su richiesta, con snapshot permanente.: nessun meccanismo ufficiale, sforzo a fondo perduto.
  • Credere che un registro legale — tipo Gazzetta UfficialePubblicazione ufficiale francese degli avvisi legali — equivalente in Italia alla Gazzetta Ufficiale per le imprese., Registro delle Imprese — sia cancellabile: questi dati sono di obbligo legale, fuori dal campo della cancellazione.
  • Misurare il successo con «niente più su Google» mentre il dato circola ancora in accesso diretto e presso i broker.

Checklist azionabile

  • N1 Identificare i 3 risultati più problematici sul proprio nome nella ricerca Google (.it e .com)
  • N1 Inviare una richiesta di deindicizzazione Google per i casi ammissibili, senza rumore
  • N2 Per i contenuti su siti GDPR attivi: inviare una richiesta di cancellazione formale citando l'articolo 17
  • N2 Valutare il rapporto rischio/amplificazione (effetto Streisand) prima di qualsiasi azione giuridica pubblica
  • N3 Avviare una strategia di diluizione (contenuto positivo controllato) se il negativo è non eliminabile

Per approfondire

Il testo di riferimento è l’articolo 17 del GDPR(opens in a new tab) stesso, il cui comma 3 sulle eccezioni merita una lettura attenta — è lì che si gioca l’essenziale. La sentenza CGUE Google Spain(opens in a new tab) pone il quadro della deindicizzazione e spiega perché la rimozione di un risultato non è l’eliminazione di una pagina. Per la procedura pratica sul versante italiano, la scheda del Garante sul diritto all’oblio(opens in a new tab) descrive l’iter da seguire e i ricorsi. E per capire perché la cancellazione fallisce strutturalmente sul dato già diffuso, legga gli articoli vicini sui dati già pubblici e sui broker di dati.

Fonti e approfondimenti

Articoli correlati