Accedi Non sei ancora Registrato?
chiudi
Registrati

Iscriviti per ricevere i nostri articoli via email in tempo reale

Oops! Non è stato possibile trovare il tuo modulo.

chiudi
Chi Siamo
Portolano Cavallo concentra la propria attività nel settore TMT sin dalla sua nascita nel 2001 ed è ora riconosciuto come lo studio legale italiano leader in questo settore.
chiudi
Lo Studio
Portolano Cavallo è stato fondato nel 2001 dai soci Manuela Cavallo e Francesco Portolano. L’attività dello studio si concentra soprattutto su M&A e sul settore Media, sotto ogni aspetto.
chiudi
Blog
Ita / Eng
giu 27

Il diritto all’oblio a Lussemburgo

Nella giornata di martedì l’Avvocato generale Jääskinen ha rassegnato davanti alla Corte di giustizia dell’Unione europea le proprie conclusioni nella causa C-131/12 (Google Spain SL, Google Inc., v. Agencia Española de Protección de Datos (AEPD), Mario Costeja González). L’opinione dell’Avvocato generale rappresenta un primo, importantissimo, seppur parziale riscontro su un tema di grande momento nel contesto dell’Unione europea, che riveste a maggior ragione attualità alla luce della Proposta di Regolamento sulla protezione dei dati personali formulata lo scorso gennaio dalla Commissione. Un riscontro, tuttavia, che non pare del tutto immune da rilievi critici, sui quali occorrerà verificare la posizione della Corte di giustizia in una decisione che si annuncia dirimente per destino del progetto di riforma avviato negli ultimi mesi a livello europeo.

Il tema sul quale la Corte di giustizia è stata chiamata, con un rinvio sollevato nel 2012 dall’Audiencia Nacional spagnola, a pronunciarsi in via pregiudiziale riguarda il rapporto tra la disciplina affidata alla Direttiva 95/46/CE, che costituisce la normativa di riferimento tuttora vigente in materia di dati personali a livello dell’Unione europea, e gli Internet Service Provider che gestiscono un motore di ricerca, Google nel caso di specie. Al centro della questione è la possibilità per ogni individuo avente la cittadinanza europea di ottenere dal motore di ricerca la cancellazione, dai risultati generati dal sistema, dei collegamenti a notizie ritenute non più attuali o inesatte. In gioco è dunque il cosiddetto “diritto all’oblio”, che ha recentemente fatto la sua comparsa proprio nella proposta di Regolamento formulata dalla Commissione (precisamente all’art. 17) come diritto dell’interessato a ottenere dal responsabile (il termine responsabile è utilizzato dal diritto dell’Unione quale sinonimo del “nostro” titolare ed in questa accezione è utilizzato di seguito)  del trattamento (per esempio, il proprietario di un sito Internet) la cancellazione dei propri dati personali e l’astensione da ogni successivo trattamento, con obbligo per altri soggetti (come i provider che gestiscono motori di ricerca, per l’appunto) di cessare a loro volta ogni diffusione degli stessi.

Nel caso che ha originato il rinvio pregiudiziale, l’Agencia Española de Protección de Datos, l’autorità iberica per la protezione dei dati personali, aveva ordinato a Google di rimuovere dai risultati generati attraverso il suo motore di ricerca i collegamenti ad alcune notizie ritenute non più attuali dagli interessati. Google rifiutava di ottemperare al provvedimento allegando la sua presunta estraneità alla disciplina europea sui dati personali (e, di conseguenza, a quella spagnola) e rilevando come un intervento come quello imposto dall’Autorità potesse configurare un’indebita compromissione della libertà di espressione dei gestori di siti Internet. Piuttosto, ad avviso del motore di ricerca, solo un intervento sui siti soggetti a indicizzazione avrebbe garantito soddisfazione alla pretesa di ritorno all’anonimato da parte degli interessati. L’Audiencia Nacional, investita dell’appello contro il provvedimento dell’AEPD, sollevava pertanto un rinvio pregiudiziale, formulando tre complessi quesiti volti a verificare, in sostanza, l’applicabilità a un provider come Google della Direttiva 95/46 e la possibilità di garantire l’enforcement del diritto all’oblio da parte dei soggetti cui i dati personali si riferiscono.

L’applicabilità delle norme dell’Unione europea a Google

La prima questione formulata alla Corte di Lussemburgo riguarda la riconducibilità di un soggetto imprenditoriale con le caratteristiche di Google all’ambito di applicazione della Direttiva 95/46.

Nel caso di specie, infatti, Google eccepiva il difetto di giurisdizione della corte spagnola, indicando nella capogruppo con sede in California l’unico soggetto a effettuare il trattamento di dati personali, laddove le consociate con sede nei vari Stati membri si sarebbero limitate a svolgere un’attività meramente commerciale, senza esercitare alcun controllo sui dati personali e rivestire alcuna responsabilità.

Va ricordato che l’art. 4 della Direttiva indica le condizioni per l’applicabilità del diritto nazionale. Segnatamente, tali disposizioni si applicano anzitutto nell’ipotesi di uno stabilimento del responsabile del trattamento in uno Stato membro. Nel caso in cui il responsabile sia stabilito in più Stati membri, occorrerà osservare, da parte di ciascuno di tali stabilimenti, gli obblighi previsti dalle rispettive disposizioni nazionali (così l’art. 4, c. 1, lett. a).

In secondo luogo, il diritto nazionale può trovare applicazione quando, pur non essendo un responsabile stabilito in uno Stato membro, sia comunque soggetto alla disciplina ivi vigente in forza del diritto pubblico internazionale (art. 4, c. 1, lett. b).

Infine, il diritto nazionale degli Stati membri può applicarsi quando, pur non essendovi stabilito, il responsabile impieghi, ai fini del trattamento, strumenti (automatizzati o non) situati nel territorio di uno Stato membro, salva l’ipotesi di mero transito (art. 4, c. 1, lett. c).

La prima questione a essere affrontata dall’Avvocato generale è in realtà l’ultimo dei sotto-quesiti posti dal tribunale, con cui il giudice chiede alla Corte di giustizia se l’art. 8 della Carta europea dei diritti fondamentali, che sancisce in modo assai ampio il diritto al trattamento dei dati a carattere personale, autorizzi l’applicazione della disciplina europea nello Stato membro in cui si trovi “il centro di gravità del conflitto” e in cui sia possibile una tutela più efficace dei diritti dei cittadini dell’Unione europea.

A questo proposito, l’Avvocato generale ricorda come la Carta dei diritti fondamentali non possa determinare un ampiamento dell’ambito di applicazione delle norme del diritto dell’Unione europea. Pertanto, nemmeno una lettura congiunta dell’art. 8 e della Direttiva potrebbe condurre a un’applicazione di quest’ultima oltre l’ambito stabilito dall’art. 4. Sul tema, peraltro, già il Working Party Article 29 aveva espresso chiaramente l’idea che l’ambito di applicazione della disciplina europea potesse determinarsi utilizzando come criterio il luogo di stabilimento o quello in cui fossero ubicati gli strumenti impiegati dal responsabile del trattamento.

In base a questi rilievi, l’Avvocato esprime avviso contrario all’ipotesi di inserimento del centro di gravità del conflitto tra i criteri per definire l’ambito di applicazione territoriale della Direttiva.

Va detto, tuttavia, de jure condendo, che nella proposta di Regolamento formulata dalla Commissione l’indirizzamento dell’offerta di beni o servizi, da parte di un sito, verso soggetti residenti in uno Stato membro è considerato sufficiente a rendere applicabile la disciplina europea.

Esaurita la trattazione dell’ultimo sub-quesito, l’Avvocato torna sull’art. 4 della Direttiva.

Il giudice nazionale si interrogava sulla possibilità di applicare la disciplina europea a un soggetto avente le caratteristiche di Google. Vale a dire a un soggetto avente la sede principale negli Stati Uniti ma sedi secondarie stabilite in diversi Stati membri. Le quali, tuttavia, eserciterebbero un’attività meramente commerciale, laddove le attività consistenti nel vero e proprio trattamento dei dati personali sarebbero riconducibili esclusivamente alla società statunitense.

L’Avvocato generale, sul punto, prende atto delle difficoltà che originano dall’applicazione di una disciplina ormai datata. Suggerisce, pertanto, di guardare al modello di business che è applicato dai gestori dei motori di ricerca, basato sulla raccolta di proventi attraverso servizi di keyword advertising. Secondo Jääskinen, l’impresa che offre questo tipo di servizi è collegata a un motore di ricerca. Inoltre, tale impresa necessita di una presenza nei mercati nazionali ed è per questo che Google, per esempio, dispone di numerose consociate negli Stati membri, che costituiscono senz’altro uno “stabilimento” ai sensi dell’art. 4, c. 1, lett. a) della Direttiva. L’attività dei motori di ricerca traduce le differenze tra stato e stato nelle modalità di organizzazione dei risultati delle ricerche, poiché è il riscontro del risultato più adatto all’utente a garantirne la redditività.

Così argomentando, l’Avvocato sposa la lettura del Gruppo di lavoro Articolo 29, ponendo l’attenzione sulle modalità di business dei motori di ricerca, e ciò nella misura in cui lo stabilimento del responsabile del trattamento in uno Stato membro risulta collegato a un servizio personalizzato di vendita pubblicitaria mirato ai residenti di uno Stato membro.

Perciò, il trattamento di dati personali è da considerarsi realizzato nel contesto dallo stabilimento di un responsabile del trattamento, se quello stabilimento opera come “canale” per personalizzare e indirizzare il servizio di advertising ai cittadini di uno Stato membro, quand’anche il trattamento di dati personali sia effettuato in altri Stati membri o fuori dall’UE.

Queste considerazioni inducono l’Avvocato generale a rispondere alla prima questione pregiudiziale dichiarando che il trattamento di dati personali avviene nell’ambito dello stabilimento del responsabile del trattamento rilevante ai fini dell’art. 4, c. 1, lett. a) della Direttiva ogni volta in cui l’impresa che gestisce un motore di ricerca costituisce in uno Stato membro, al fine di promuovere e vendere spazi pubblicitari, una succursale o una filiale che sia in grado anche soltanto di personalizzare l’attività d’impresa in base alle esigenze dei cittadini di quello Stato.

Il presunto obbligo di rimozione da parte dei motori di ricerca

In secondo luogo, l’Avvocato generale si concentra sull’altra fondamentale questione posta dall’Audiencia Nacional, vale a dire la possibilità per le autorità nazionali di protezione dei dati personali di imporre ai motori di ricerca la rimozione di link a contenuti ritenuti obsoleti dagli utenti.

Jääskinen stavolta procede per gradi, affrontando nell’ordine i sotto-quesiti formulati dal giudice del rinvio.

Anzitutto il primo problema: l’attività dei motori di ricerca integra un trattamento di dati personali?

Per l’Avvocato generale, la risposta affermativa è pacifica. La conclusione non muta, peraltro, nemmeno considerando che l’attività di indicizzazione, memorizzazione e visualizzazione delle informazioni contenute su siti sorgente avviene in modo del tutto irrilevante rispetto ai contenuti e senza alcuna interazione che non sia puramente automatica.

Il punto successivo, invece, si rivela decisivo nell’economia del parere dell’Avvocato generale. La questione investe la qualificazione del gestore del motore di ricerca come responsabile del trattamento, vale a dire, ai sensi dell’art. 2 della Direttiva, “la persona fisica o giuridica […] che determina le finalità e gli strumenti del trattamento di dati personali”.

La posizione di Jääskinen, sul punto, sembra in controtendenza con gli orientamenti formulati dagli Stati membri. La Direttiva, infatti, andrebbe interpretata tenendo conto dell’evoluzione sul piano tecnologico che si è registrata in seguito alla sua emanazione.

In primo luogo, l’Avvocato generale conferisce enfasi alla circostanza che il testo della Direttiva si riferisca al trattamento di dati personali. Infatti, non c’è dubbio che un motore di ricerca come Google definisca finalità e strumenti per il trattamento di dati in relazione alle finalità che gli sono proprie. Tuttavia, secondo l’opinione dell’Avvocato, questa lettura costituisce un’interpretazione non corretta della Direttiva quando l’oggetto del trattamento sia costituito da file contenenti dati personali. La disciplina e gli obblighi previsti dalla Direttiva con riferimento al responsabile del trattamento, infatti, trovano il loro fondamento nella responsabilità che questi esercita rispetto ai dati personali trattati, nel senso che il responsabile è consapevole dell’esistenza di determinate tipologie di informazioni che costituiscono dati personali e ne effettua il trattamento con un obiettivo che è strettamente connesso alla loro natura di dati personali.

Questa tipologia di controllo “consapevole”, secondo l’Avvocato generale, è assente nel caso di un motore di ricerca, che non esercita alcun dominio sui dati personali contenuti nei siti sorgente di terzi e non possiede alcuna contezza sull’esistenza di dati personali, se non da un mero punto di vista statistico. Sulla base di queste considerazioni, l’Avvocato ritiene condivisibile l’opinione espressa dal Gruppo di lavoro Articolo 29, secondo la quale giacché la figura del responsabile del trattamento è finalizzata a garantire il rispetto delle disposizioni in tema di dati personali, il gestore di un motore di ricerca che agisce come semplice intermediario tecnico non può coincidere con il principale responsabile del trattamento di dati personali. Ad avviso dell’Avvocato generale, i gestori di motori di ricerca sono incompatibili con gli obblighi che la Direttiva pone a carico del responsabile del trattamento. Per giustificare questa posizione, Jääskinen sottolinea che, ritenendo diversamente, si assisterebbe all’assurdo per cui i gestori dei motori di ricerca sarebbero automaticamente esposti alle conseguenze derivanti da un eventuale non corretto trattamento, da parte dei proprietari dei siti indicizzati, di quelle speciali categorie di dati personali per il cui trattamento sono prescritte cautele aggiuntive.

A questo punto, però, l’Avvocato generale si sofferma su un punto che sembra mettere in discussione, a certe condizioni, l’estraneità del motore di ricerca alla nozione di responsabile del trattamento.

Egli osserva, infatti, che i gestori delle piattaforme controllano le modalità di indicizzazione dei contenuti e sono in grado di escludere la visualizzazione di alcuni risultati di ricerca tramite l’impiego di appositi codici che permettono, per esempio, di schermare siti provenienti da stati esteri. Non appare invece sotto il controllo dei provider il contenuto della memoria cache dei motori di ricerca, dal momento che anche la sua formazione fa seguito a un processo del tutto automatico.

Tuttavia, secondo l’Avvocato generale, poiché i proprietari delle pagine web possono implementare determinati codici di esclusione per impedire che i relativi contenuti formino oggetto di indicizzazione da parte dei motori di ricerca, qualora il rispettivo gestore ignori l’applicazione di questi strumenti, allora si deve ritenere che sussista sui dati personali un controllo nel senso espresso dalla Direttiva. Analogamente, secondo Jääskinen, si ha controllo allorché il gestore del motore di ricerca ometta di aggiornare il contenuto della memoria cache su richiesta del proprietario di un sito.

In questi casi, qualificandosi come un responsabile del trattamento di dati personali, il motore di ricerca soggiace invece a pieno titolo agli obblighi previsti dalla Direttiva.

L’Avvocato generale, pertanto, conclude che un’autorità nazionale non può esigere dal gestore di un motore di ricerca la rimozione di link a pagine contenenti dati personali, salvo che il proprietario del sito Internet abbia adottato strumenti volti a impedirne l’indicizzazione dei contenuti o abbia richiesto al provider di aggiornare le informazioni contenute nella memoria cache. Piuttosto, secondo Jääskinen, l’introduzione di una procedura di “notice and take down” come quella prospettata potrà essere valutata dagli Stati membri nell’esercizio della propria discrezionalità legislativa, ma su basi normative diverse da quelle in tema protezione dei dati personali.

Esiste davvero un diritto all’oblio?

Da ultimo l’Avvocato generale affronta il terzo quesito sollevato dall’Audiencia Nacional, con una risposta che dichiara essere rilevante nella misura in cui la Corte ritenesse di non condividere le soluzioni relative alle precedenti questioni.

Segnatamente, il quesito mira a verificare se l’art. 12, lett. b) della Direttiva, che sancisce il diritto dell’interessato a ottenere la cancellazione e il congelamento dei dati personali, e l’art. 14, lett. a) che attribuisce all’interessato il diritto di opposizione al trattamento, conferiscano a quest’ultimo il potere di rivolgersi ai motori di ricerca per impedire l’indicizzazione delle informazioni relative alla sua persona, pubblicate sulla pagina web di terzi, facendo valere la propria contrarietà all’ulteriore divulgazione  in Internet, ove reputi che detta divulgazione possa nuocergli o desideri che tali informazioni siano dimenticate, sebbene si tratti di informazioni pubblicate lecitamente da terzi.

Secondo l’Avvocato generale, le disposizioni evocate non attribuiscono alcun fondamento normativo al diritto all’oblio: non esiste, in altri termini, sulla base delle norme vigenti, un diritto assoluto dell’interessato a ottenere la rimozione dei dati ritenuti dannosi, che solo può aversi quando il trattamento sia difforme dai principi fissati dalla Direttiva.

Peraltro, sottolinea Jääskinen, se anche la Corte dovesse qualificare i motori di ricerca come responsabili del trattamento, gli interessati non potrebbero disporre di un diritto assoluto all’oblio; altrimenti, il ruolo del provider si trasformerebbe da intermediario a editore, dato che sarebbe costretto a verificare che la diffusione di dati personali sia conforme alla Direttiva, così assumendo gli stessi obblighi e le stesse responsabilità facenti capo al proprietario del sito.

L’Avvocato generale, tuttavia, termina il suo percorso argomentativo interrogandosi se un diritto all’oblio in favore dell’interessato non possa ricavarsi da una lettura della Direttiva alla luce della Carta dei diritti fondamentali, e dell’art. 7 in particolare, che sancisce la tutela della vita privata e familiare. Secondo le conclusioni, occorre bilanciare questo diritto con altri interessi, come la libertà di espressione, di informazione e di impresa, che fanno capo ai vari soggetti coinvolti nel trattamento; ma questo bilanciamento non può essere rimesso, caso per caso, ai gestori dei motori di ricerca, che dovrebbero altrimenti fronteggiare numerosissime richieste di verifica e rimozione di contenuti anche leciti (e diversamente da quanto prevede la Direttiva 2000/31 in materia di commercio elettronico, che prevede la rimozione dei soli contenuti illeciti) nell’ambito di procedure di “notice and take down”.

Nemmeno un’interpretazione della Direttiva suffragata dalla Carta permette quindi, secondo l’Avvocato generale, di enucleare a favore degli interessati un vero e proprio diritto all’oblio. 

Qualche motivo di riflessione

Le conclusioni rassegnate dall’Avvocato generale rappresentano senz’altro una tappa di grande momento, quantunque parziale, nel processo di riforma della normativa dell’Unione europea in tema di dati personali.

Non v’è dubbio, infatti, che la decisione che sarà consegnata dalla Corte nei prossimi mesi è destinata a influire significativamente sul disposto dell’art. 17 della proposta di Regolamento, che codifica il diritto all’oblio degli interessati e istituisce un particolare meccanismo di enforcement. Quest’ultima procedura, in particolare, prevede che l’interessato possa ottenere, al ricorrere di precise condizioni (per esempio quando l’interessato revochi il proprio consenso ovvero i dati cessino di risultare necessari alle finalità per le quali sono stati raccolti), la cancellazione dei propri dati personali e la rinuncia a ogni futura diffusione da parte del responsabile del trattamento. Quest’ultimo dovrà provvedere a comunicare la richiesta dell’interessato a tutti i soggetti che abbiano a loro volta effettuato il trattamento dei suoi dati personali, in modo da assicurare la rimozione di ogni link, copia o riproduzione.

Le conclusioni dell’Avvocato generale, di fatto, non scalfiscono la validità di questo meccanismo, ma precisano che il motore di ricerca non dovrebbe essere tenuto a provvedere alla cancellazione di collegamenti se non quando vi sia stata una richiesta in tal senso da parte del proprietario di un sito sorgente. Un’iniziativa diretta dell’interessato, dunque, quand’anche supportata dall’intervento dell’autorità nazionale, sarebbe invece inidonea se non preceduta da un coinvolgimento del proprietario del sito, unico vero e proprio responsabile del trattamento, o come si direbbe molto più incisivamente in inglese, unico controller.

Articolo inserito in: Data protection