Stampa l'articolo
Chiudi
IL DIRITTO ALL’OBLIO
Il diritto all’oblio a Lussemburgo
Oreste Pollicino, Professore di diritto dei media, Università Bocconi, of counsel Portolano Cavallo Studio Legale e
Marco Bassini, dottorando di ricerca in diritto costituzionale italiano ed europeo, Università di Verona
Nella giornata di martedì l’Avvocato generale Jääskinen ha rassegnato davanti alla Corte di giustizia
dell’Unione europea le proprie conclusioni nella causa C-131/12 (Google Spain SL, Google Inc., v.
Agencia Española de Protección de Datos (AEPD), Mario Costeja González). L’opinione dell’Avvocato
generale rappresenta un primo, importantissimo, seppur parziale riscontro su un tema di grande momento
nel contesto dell’Unione europea, che riveste a maggior ragione attualità alla luce della Proposta di
Regolamento sulla protezione dei dati personali formulata lo scorso gennaio dalla Commissione. Un
riscontro, tuttavia, che non pare del tutto immune da rilievi critici, sui quali occorrerà verificare la posizione
della Corte di giustizia in una decisione che si annuncia dirimente per destino del progetto di riforma
avviato negli ultimi mesi a livello europeo.
Il tema sul quale la Corte di giustizia è stata chiamata, con un rinvio sollevato nel 2012 dall’Audiencia
Nacional spagnola, a pronunciarsi in via pregiudiziale riguarda il rapporto tra la disciplina affidata alla
Direttiva 95/46/CE, che costituisce la normativa di riferimento tuttora vigente in materia di dati personali a
livello dell’Unione europea, e gli Internet Service Provider che gestiscono un motore di ricerca, Google nel
caso di specie. Al centro della questione è la possibilità per ogni individuo avente la cittadinanza europea
di ottenere dal motore di ricerca la cancellazione, dai risultati generati dal sistema, dei collegamenti a
notizie ritenute non più attuali o inesatte. In gioco è dunque il cosiddetto “diritto all’oblio”, che ha
recentemente fatto la sua comparsa proprio nella proposta di Regolamento formulata dalla Commissione
(precisamente all’art. 17) come diritto dell’interessato a ottenere dal responsabile (il termine responsabile
è utilizzato dal diritto dell’Unione quale sinonimo del “nostro” titolare ed in questa accezione è utilizzato di
seguito) del trattamento (per esempio, il proprietario di un sito Internet) la cancellazione dei propri dati
personali e l’astensione da ogni successivo trattamento, con obbligo per altri soggetti (come i provider che
gestiscono motori di ricerca, per l’appunto) di cessare a loro volta ogni diffusione degli stessi.
Nel caso che ha originato il rinvio pregiudiziale, l’Agencia Española de Protección de Datos, l’autorità
iberica per la protezione dei dati personali, aveva ordinato a Google di rimuovere dai risultati generati
attraverso il suo motore di ricerca i collegamenti ad alcune notizie ritenute non più attuali dagli interessati.
Google rifiutava di ottemperare al provvedimento allegando la sua presunta estraneità alla disciplina
europea sui dati personali (e, di conseguenza, a quella spagnola) e rilevando come un intervento come
quello imposto dall’Autorità potesse configurare un’indebita compromissione della libertà di espressione
dei gestori di siti Internet. Piuttosto, ad avviso del motore di ricerca, solo un intervento sui siti soggetti a
indicizzazione avrebbe garantito soddisfazione alla pretesa di ritorno all’anonimato da parte degli
interessati. L’Audiencia Nacional, investita dell’appello contro il provvedimento dell’AEPD, sollevava
pertanto un rinvio pregiudiziale, formulando tre complessi quesiti volti a verificare, in sostanza,
l’applicabilità a un provider come Google della Direttiva 95/46 e la possibilità di garantire l’enforcement del
diritto all’oblio da parte dei soggetti cui i dati personali si riferiscono.
L’APPLICABILITÀ DELLE NORME DELL’UNIONE EUROPEA A GOOGLE
La prima questione formulata alla Corte di Lussemburgo riguarda la riconducibilità di un soggetto
imprenditoriale con le caratteristiche di Google all’ambito di applicazione della Direttiva 95/46.
Nel caso di specie, infatti, Google eccepiva il difetto di giurisdizione della corte spagnola, indicando nella
capogruppo con sede in California l’unico soggetto a effettuare il trattamento di dati personali, laddove le
consociate con sede nei vari Stati membri si sarebbero limitate a svolgere un’attività meramente
commerciale, senza esercitare alcun controllo sui dati personali e rivestire alcuna responsabilità.
Va ricordato che l’art. 4 della Direttiva indica le condizioni per l’applicabilità del diritto nazionale.
Segnatamente, tali disposizioni si applicano anzitutto nell’ipotesi di uno stabilimento del responsabile del
trattamento in uno Stato membro. Nel caso in cui il responsabile sia stabilito in più Stati membri, occorrerà
osservare, da parte di ciascuno di tali stabilimenti, gli obblighi previsti dalle rispettive disposizioni nazionali
(così l’art. 4, c. 1, lett. a).
In secondo luogo, il diritto nazionale può trovare applicazione quando, pur non essendo un responsabile
stabilito in uno Stato membro, sia comunque soggetto alla disciplina ivi vigente in forza del diritto pubblico
internazionale (art. 4, c. 1, lett. b).
Infine, il diritto nazionale degli Stati membri può applicarsi quando, pur non essendovi stabilito, il
responsabile impieghi, ai fini del trattamento, strumenti (automatizzati o non) situati nel territorio di uno
Stato membro, salva l’ipotesi di mero transito (art. 4, c. 1, lett. c).
La prima questione a essere affrontata dall’Avvocato generale è in realtà l’ultimo dei sotto-quesiti posti dal
tribunale, con cui il giudice chiede alla Corte di giustizia se l’art. 8 della Carta europea dei diritti
fondamentali, che sancisce in modo assai ampio il diritto al trattamento dei dati a carattere personale,
autorizzi l’applicazione della disciplina europea nello Stato membro in cui si trovi “il centro di gravità del
conflitto” e in cui sia possibile una tutela più efficace dei diritti dei cittadini dell’Unione europea.
A questo proposito, l’Avvocato generale ricorda come la Carta dei diritti fondamentali non possa
determinare un ampiamento dell’ambito di applicazione delle norme del diritto dell’Unione europea.
Pertanto, nemmeno una lettura congiunta dell’art. 8 e della Direttiva potrebbe condurre a un’applicazione
di quest’ultima oltre l’ambito stabilito dall’art. 4. Sul tema, peraltro, già il Working Party Article 29 aveva
espresso chiaramente l’idea che l’ambito di applicazione della disciplina europea potesse determinarsi
utilizzando come criterio il luogo di stabilimento o quello in cui fossero ubicati gli strumenti impiegati dal
responsabile del trattamento.
In base a questi rilievi, l’Avvocato esprime avviso contrario all’ipotesi di inserimento del centro di gravità
del conflitto tra i criteri per definire l’ambito di applicazione territoriale della Direttiva.
Va detto, tuttavia, de jure condendo, che nella proposta di Regolamento formulata dalla Commissione
l’indirizzamento dell’offerta di beni o servizi, da parte di un sito, verso soggetti residenti in uno Stato
membro è considerato sufficiente a rendere applicabile la disciplina europea.
Esaurita la trattazione dell’ultimo sub-quesito, l’Avvocato torna sull’art. 4 della Direttiva.
Il giudice nazionale si interrogava sulla possibilità di applicare la disciplina europea a un soggetto avente
le caratteristiche di Google. Vale a dire a un soggetto avente la sede principale negli Stati Uniti ma sedi
secondarie stabilite in diversi Stati membri. Le quali, tuttavia, eserciterebbero un’attività meramente
commerciale, laddove le attività consistenti nel vero e proprio trattamento dei dati personali sarebbero
riconducibili esclusivamente alla società statunitense.
L’Avvocato generale, sul punto, prende atto delle difficoltà che originano dall’applicazione di una disciplina
ormai datata. Suggerisce, pertanto, di guardare al modello di business che è applicato dai gestori dei
motori di ricerca, basato sulla raccolta di proventi attraverso servizi di keyword advertising. Secondo
Jääskinen, l’impresa che offre questo tipo di servizi è collegata a un motore di ricerca. Inoltre, tale impresa
necessita di una presenza nei mercati nazionali ed è per questo che Google, per esempio, dispone di
numerose consociate negli Stati membri, che costituiscono senz’altro uno “stabilimento” ai sensi dell’art. 4,
c. 1, lett. a) della Direttiva. L’attività dei motori di ricerca traduce le differenze tra stato e stato nelle
modalità di organizzazione dei risultati delle ricerche, poiché è il riscontro del risultato più adatto all’utente
a garantirne la redditività.
Così argomentando, l’Avvocato sposa la lettura del Gruppo di lavoro Articolo 29, ponendo l’attenzione
sulle modalità di business dei motori di ricerca, e ciò nella misura in cui lo stabilimento del responsabile
del trattamento in uno Stato membro risulta collegato a un servizio personalizzato di vendita pubblicitaria
mirato ai residenti di uno Stato membro.
Perciò, il trattamento di dati personali è da considerarsi realizzato nel contesto dallo stabilimento di un
responsabile del trattamento, se quello stabilimento opera come “canale” per personalizzare e indirizzare il
servizio di advertising ai cittadini di uno Stato membro, quand’anche il trattamento di dati personali sia
effettuato in altri Stati membri o fuori dall’UE.
Queste considerazioni inducono l’Avvocato generale a rispondere alla prima questione pregiudiziale
dichiarando che il trattamento di dati personali avviene nell’ambito dello stabilimento del responsabile del
trattamento rilevante ai fini dell’art. 4, c. 1, lett. a) della Direttiva ogni volta in cui l’impresa che gestisce un
motore di ricerca costituisce in uno Stato membro, al fine di promuovere e vendere spazi pubblicitari, una
succursale o una filiale che sia in grado anche soltanto di personalizzare l’attività d’impresa in base alle
esigenze dei cittadini di quello Stato.
IL PRESUNTO OBBLIGO DI RIMOZIONE DA PARTE DEI MOTORI DI RICERCA
In secondo luogo, l’Avvocato generale si concentra sull’altra fondamentale questione posta dall’Audiencia
Nacional, vale a dire la possibilità per le autorità nazionali di protezione dei dati personali di imporre ai
motori di ricerca la rimozione di link a contenuti ritenuti obsoleti dagli utenti.
Jääskinen stavolta procede per gradi, affrontando nell’ordine i sotto-quesiti formulati dal giudice del rinvio.
Anzitutto il primo problema: l’attività dei motori di ricerca integra un trattamento di dati personali?
Per l’Avvocato generale, la risposta affermativa è pacifica. La conclusione non muta, peraltro, nemmeno
considerando che l’attività di indicizzazione, memorizzazione e visualizzazione delle informazioni
contenute su siti sorgente avviene in modo del tutto irrilevante rispetto ai contenuti e senza alcuna
interazione che non sia puramente automatica.
Il punto successivo, invece, si rivela decisivo nell’economia del parere dell’Avvocato generale. La
questione investe la qualificazione del gestore del motore di ricerca come responsabile del trattamento,
vale a dire, ai sensi dell’art. 2 della Direttiva, “la persona fisica o giuridica [!] che determina le finalità e gli
strumenti del trattamento di dati personali”.
La posizione di Jääskinen, sul punto, sembra in controtendenza con gli orientamenti formulati dagli Stati
membri. La Direttiva, infatti, andrebbe interpretata tenendo conto dell’evoluzione sul piano tecnologico che
si è registrata in seguito alla sua emanazione.
In primo luogo, l’Avvocato generale conferisce enfasi alla circostanza che il testo della Direttiva si riferisca
al trattamento di dati personali. Infatti, non c’è dubbio che un motore di ricerca come Google definisca
finalità e strumenti per il trattamento di dati in relazione alle finalità che gli sono proprie. Tuttavia, secondo
l’opinione dell’Avvocato, questa lettura costituisce un’interpretazione non corretta della Direttiva quando
l’oggetto del trattamento sia costituito da file contenenti dati personali. La disciplina e gli obblighi previsti
dalla Direttiva con riferimento al responsabile del trattamento, infatti, trovano il loro fondamento nella
responsabilità che questi esercita rispetto ai dati personali trattati, nel senso che il responsabile è
consapevole dell’esistenza di determinate tipologie di informazioni che costituiscono dati personali e ne
consapevole dell’esistenza di determinate tipologie di informazioni che costituiscono dati personali e ne
effettua il trattamento con un obiettivo che è strettamente connesso alla loro natura di dati personali.
Questa tipologia di controllo “consapevole”, secondo l’Avvocato generale, è assente nel caso di un motore
di ricerca, che non esercita alcun dominio sui dati personali contenuti nei siti sorgente di terzi e non
possiede alcuna contezza sull’esistenza di dati personali, se non da un mero punto di vista statistico. Sulla
base di queste considerazioni, l’Avvocato ritiene condivisibile l’opinione espressa dal Gruppo di lavoro
Articolo 29, secondo la quale giacché la figura del responsabile del trattamento è finalizzata a garantire il
rispetto delle disposizioni in tema di dati personali, il gestore di un motore di ricerca che agisce come
semplice intermediario tecnico non può coincidere con il principale responsabile del trattamento di dati
personali. Ad avviso dell’Avvocato generale, i gestori di motori di ricerca sono incompatibili con gli obblighi
che la Direttiva pone a carico del responsabile del trattamento. Per giustificare questa posizione,
Jääskinen sottolinea che, ritenendo diversamente, si assisterebbe all’assurdo per cui i gestori dei motori di
ricerca sarebbero automaticamente esposti alle conseguenze derivanti da un eventuale non corretto
trattamento, da parte dei proprietari dei siti indicizzati, di quelle speciali categorie di dati personali per il cui
trattamento sono prescritte cautele aggiuntive.
A questo punto, però, l’Avvocato generale si sofferma su un punto che sembra mettere in discussione, a
certe condizioni, l’estraneità del motore di ricerca alla nozione di responsabile del trattamento.
Egli osserva, infatti, che i gestori delle piattaforme controllano le modalità di indicizzazione dei contenuti e
sono in grado di escludere la visualizzazione di alcuni risultati di ricerca tramite l’impiego di appositi codici
che permettono, per esempio, di schermare siti provenienti da stati esteri. Non appare invece sotto il
controllo dei provider il contenuto della memoria cache dei motori di ricerca, dal momento che anche la
sua formazione fa seguito a un processo del tutto automatico.
Tuttavia, secondo l’Avvocato generale, poiché i proprietari delle pagine web possono implementare
determinati codici di esclusione per impedire che i relativi contenuti formino oggetto di indicizzazione da
parte dei motori di ricerca, qualora il rispettivo gestore ignori l’applicazione di questi strumenti, allora si
deve ritenere che sussista sui dati personali un controllo nel senso espresso dalla Direttiva.
Analogamente, secondo Jääskinen, si ha controllo allorché il gestore del motore di ricerca ometta di
aggiornare il contenuto della memoria cache su richiesta del proprietario di un sito.
In questi casi, qualificandosi come un responsabile del trattamento di dati personali, il motore di ricerca
soggiace invece a pieno titolo agli obblighi previsti dalla Direttiva.
L’Avvocato generale, pertanto, conclude che un’autorità nazionale non può esigere dal gestore di un
motore di ricerca la rimozione di link a pagine contenenti dati personali, salvo che il proprietario del sito
Internet abbia adottato strumenti volti a impedirne l’indicizzazione dei contenuti o abbia richiesto al
provider di aggiornare le informazioni contenute nella memoria cache. Piuttosto, secondo Jääskinen,
l’introduzione di una procedura di “notice and take down” come quella prospettata potrà essere valutata
dagli Stati membri nell’esercizio della propria discrezionalità legislativa, ma su basi normative diverse da
quelle in tema protezione dei dati personali.
ESISTE DAVVERO UN DIRITTO ALL’OBLIO?
Da ultimo l’Avvocato generale affronta il terzo quesito sollevato dall’Audiencia Nacional, con una risposta
che dichiara essere rilevante nella misura in cui la Corte ritenesse di non condividere le soluzioni relative
alle precedenti questioni.
Segnatamente, il quesito mira a verificare se l’art. 12, lett. b) della Direttiva, che sancisce il diritto
dell’interessato a ottenere la cancellazione e il congelamento dei dati personali, e l’art. 14, lett. a) che
attribuisce all’interessato il diritto di opposizione al trattamento, conferiscano a quest’ultimo il potere di
rivolgersi ai motori di ricerca per impedire l'indicizzazione delle informazioni relative alla sua persona,
pubblicate sulla pagina web di terzi, facendo valere la propria contrarietà all’ulteriore divulgazione in
Internet, ove reputi che detta divulgazione possa nuocergli o desideri che tali informazioni siano
dimenticate, sebbene si tratti di informazioni pubblicate lecitamente da terzi.
Secondo l’Avvocato generale, le disposizioni evocate non attribuiscono alcun fondamento normativo al
diritto all’oblio: non esiste, in altri termini, sulla base delle norme vigenti, un diritto assoluto dell’interessato
a ottenere la rimozione dei dati ritenuti dannosi, che solo può aversi quando il trattamento sia difforme dai
principi fissati dalla Direttiva.
Peraltro, sottolinea Jääskinen, se anche la Corte dovesse qualificare i motori di ricerca come responsabili
del trattamento, gli interessati non potrebbero disporre di un diritto assoluto all’oblio; altrimenti, il ruolo del
provider si trasformerebbe da intermediario a editore, dato che sarebbe costretto a verificare che la
diffusione di dati personali sia conforme alla Direttiva, così assumendo gli stessi obblighi e le stesse
responsabilità facenti capo al proprietario del sito.
L’Avvocato generale, tuttavia, termina il suo percorso argomentativo interrogandosi se un diritto all’oblio in
favore dell’interessato non possa ricavarsi da una lettura della Direttiva alla luce della Carta dei diritti
fondamentali, e dell’art. 7 in particolare, che sancisce la tutela della vita privata e familiare. Secondo le
conclusioni, occorre bilanciare questo diritto con altri interessi, come la libertà di espressione, di
informazione e di impresa, che fanno capo ai vari soggetti coinvolti nel trattamento; ma questo
bilanciamento non può essere rimesso, caso per caso, ai gestori dei motori di ricerca, che dovrebbero
altrimenti fronteggiare numerosissime richieste di verifica e rimozione di contenuti anche leciti (e
diversamente da quanto prevede la Direttiva 2000/31 in materia di commercio elettronico, che prevede la
rimozione dei soli contenuti illeciti) nell’ambito di procedure di “notice and take down”.
Nemmeno un’interpretazione della Direttiva suffragata dalla Carta permette quindi, secondo l’Avvocato
generale, di enucleare a favore degli interessati un vero e proprio diritto all’oblio.
QUALCHE MOTIVO DI RIFLESSIONE
Le conclusioni rassegnate dall’Avvocato generale rappresentano senz’altro una tappa di grande momento,
quantunque parziale, nel processo di riforma della normativa dell’Unione europea in tema di dati personali.
Non v’è dubbio, infatti, che la decisione che sarà consegnata dalla Corte nei prossimi mesi è destinata a
influire significativamente sul disposto dell’art. 17 della proposta di Regolamento, che codifica il diritto
all’oblio degli interessati e istituisce un particolare meccanismo di enforcement. Quest’ultima procedura, in
particolare, prevede che l’interessato possa ottenere, al ricorrere di precise condizioni (per esempio
quando l’interessato revochi il proprio consenso ovvero i dati cessino di risultare necessari alle finalità per
le quali sono stati raccolti), la cancellazione dei propri dati personali e la rinuncia a ogni futura diffusione
da parte del responsabile del trattamento. Quest’ultimo dovrà provvedere a comunicare la richiesta
dell’interessato a tutti i soggetti che abbiano a loro volta effettuato il trattamento dei suoi dati personali, in
modo da assicurare la rimozione di ogni link, copia o riproduzione.
Le conclusioni dell’Avvocato generale, di fatto, non scalfiscono la validità di questo meccanismo, ma
precisano che il motore di ricerca non dovrebbe essere tenuto a provvedere alla cancellazione di
collegamenti se non quando vi sia stata una richiesta in tal senso da parte del proprietario di un sito
sorgente. Un’iniziativa diretta dell’interessato, dunque, quand’anche supportata dall’intervento dell’autorità
nazionale, sarebbe invece inidonea se non preceduta da un coinvolgimento del proprietario del sito, unico
vero e proprio responsabile del trattamento, o come si direbbe molto più incisivamente in inglese, unico
controller.
© RIPRODUZIONE RISERVATA
P.I. 00777910159 - © Copyright Il Sole 24 Ore - Tutti i diritti riservati