Causa C-131/12, Google Spain SL, Google Inc. c. Agencia Española de Protección de Datos (AEPD), Mario Costeja González, 13 maggio 2014 (Grande Sezione)[1]
Diritto all’oblio e obblighi dei gestori di motori di ricerca in base alla direttiva 95/46
Nella sentenza oggetto di questa segnalazione la Corte di giustizia ha affermato che la direttiva 95/46 (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati)[2] trova applicazione anche ai gestori di motori di ricerca Internet. La Corte ha fornito, inoltre, delle precisazioni sull’ambito di applicazione territoriale della direttiva, nonché dei diritti che la stessa prevede in favore delle persone cui i dati personali oggetto del trattamento si riferiscono (tra cui il cd. diritto all’oblio), e dei correlativi obblighi a carico dei gestori di motori di ricerca.
La decisione fa seguito al rinvio pregiudiziale proposto dall’Audiencia Nacional, dinanzi alla quale Google Spain e Google Inc. avevano proposto ricorso avverso la decisione con la quale l’Agencia Española de Protección de Datos, accogliendo la denuncia depositata dal sig. Costeja González contro le due società, aveva ordinato a Google Inc. di adottare le misure necessarie per rimuovere dai propri indici alcuni dati personali riguardanti l’interessato e di impedire in futuro l’accesso a tali dati (in particolare, due pagine del quotidiano La Vanguardia, sulle quali figurava un annuncio, menzionante il nome del sig. Costeja González, per una vendita all’asta di immobili pignorati). A tale conclusione, l’Agencia era giunta sulla base della premessa che i gestori di motori di ricerca, effettuando un trattamento di dati per il quale sono responsabili e agendo quali intermediari della società dell’informazione, sono assoggettati alla normativa in materia di protezione dei dati. Il ricorso del sig. Costeja González non era invece stato accolto nella parte in cui chiedeva di ordinare a La Vanguardia di sopprimere o modificare le due pagine ad esso relative. L’Audiencia Nacional decideva di sospendere il procedimento e di chiedere alla Corte di giustizia di chiarire l’interpretazione di alcune disposizioni della direttiva 95/46, anche alla luce del diritto fondamentale alla tutela dei dati personali di cui all’art. 8 della Carta.
In primo luogo, la Corte ha precisato che il gestore di un motore di ricerca svolge delle attività che sono qualificate in modo esplicito e incondizionato come “trattamento di dati personali” dall’art. 2, lett. b), della direttiva[3]. Infatti, “esplorando Internet in modo automatizzato, costante e sistematico alla ricerca delle informazioni ivi pubblicate, il gestore di un motore di ricerca “raccoglie” dati siffatti, che egli “estrae”, “registra” e “organizza” successivamente nell’ambito dei suoi programmi di indicizzazione, “conserva” nei suoi server e, eventualmente, “comunica” e “mette a disposizione dei propri utenti sotto forma di elenchi dei risultati delle loro ricerche” (par. 28). Ad avviso della Corte è irrilevante che “il gestore del motore di ricerca applichi le medesime operazioni anche ad altri tipi di informazioni e non distingua tra queste e i dati personali” (ibid.), così come il fatto che i dati siano già stati pubblicati su Internet e non vengano modificati. Infatti, non solo il tenore letterale dell’art. 2, lett. b), della direttiva non richiede che vi sia una modificazione, ma soprattutto “una deroga generale all’applicazione della direttiva 95/46 in un’ipotesi siffatta priverebbe in larga parte del suo significato tale direttiva” (par. 30; cfr. anche sent. 16 dicembre 2008, causa C‑73/07, Satakunnan Markkinapörssi e Satamedia, Raccolta I-9831, paragrafi 48 e 49).
La Corte ha poi affermato che il gestore di un motore di ricerca rientra nella nozione di «responsabile del trattamento» dei dati personali rispetto alle attività di cui sopra, ai sensi dell’art. 2, lett. d), della direttiva 95/46, [4] in quanto esso determina le finalità e gli strumenti del trattamento. Inoltre, anche in questo caso la Corte ha sottolineato che l’opposta conclusione, basata, in particolare, sul fatto che il gestore di un motore non esercita alcun controllo sui dati personali pubblicati sulle pagine web di terzi, si porrebbe in contrasto non solo con il tenore letterale della direttiva, ma anche con la sua finalità, che consiste “nel garantire, mediante un’ampia definizione della nozione di «responsabile», una tutela efficace e completa delle persone interessate” (par. 34). Il trattamento svolto dai gestori dei motori di ricerca si sostanzia in una attività di organizzazione e aggregazione delle informazioni già pubblicate dagli editori di siti web, che rende accessibili agli utenti Internet una quantità maggiore di dati, e in forma strutturata. Tale trattamento riveste pertanto, carattere distinto e ulteriore rispetto all’attività svolta da tali editori e, laddove incida “in modo significativo e in aggiunta all’attività degli editori di siti web, sui diritti fondamentali alla vita privata e alla protezione dei dati personali”, il gestore del motore di ricerca è tenuto a rispettare le prescrizioni della direttiva (par. 38).
In terzo luogo, la Corte ha precisato l’ambito di applicazione territoriale della direttiva. In sostanza, la Corte ha interpretato l’art. 4 della direttiva, che si riferisce al trattamento di dati personali “effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro”. Ad avviso della Corte, questa condizione è soddisfatta quando il gestore di un motore di ricerca (nella specie, Google Inc., la cui sede sociale si trova negli Stati Uniti) apre in uno Stato membro una succursale o una filiale (Google Spain, che gode di personalità giuridica autonoma e ha la propria sede sociale a Madrid) destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro. In particolare, la Corte ha precisato che non vale ad escludere l’applicazione della direttiva la circostanza che il trattamento sia effettuato esclusivamente dal gestore del motore di ricerca, mentre la filiale svolge solo un’attività di promozione pubblicitaria dei servizi del primo. Se “il trattamento di dati personali effettuato per le esigenze del funzionamento del suddetto motore di ricerca ven[isse] sottratto agli obblighi e alle garanzie previsti dalla direttiva 95/46, [sarebbe pregiudicato] l’effetto utile di quest’ultima e la tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche che detta direttiva mira a garantire (…), segnatamente il diritto al rispetto della loro vita privata, con riguardo al trattamento dei dati personali” (par. 58; nello stesso senso, si vedano le sentenze 12 luglio 2011, Causa C-324/09, L’Oréal e a., Raccolta I-6011, paragrafi 2 e 63, e 20 maggio 2003, Cause riunite C‑465/00, C‑138/01 e C‑139/01, Österreichischer Rundfunk e a., Raccolta I-4989, par. 70).
La Corte ha poi chiarito la portata dei diritti attribuiti alla persona cui si riferiscono i dati oggetto del trattamento dagli artt. 12, lett. b), e 14, par. 1, lett. a), della direttiva, nonché i corrispondenti obblighi del gestore del motore di ricerca.[5] La Corte ha ritenuto che quest’ultimo è obbligato a sopprimere – dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona – dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona quando il bilanciamento tra i diritti di quest’ultima e l’interesse degli utenti di Internet depone nel senso della prevalenza dei primi. Nell’effettuare questa valutazione si dovrà tenere conto “[della] natura dell’informazione di cui trattasi e [del] suo carattere sensibile per la vita privata della persona suddetta, nonché [dell]’interesse del pubblico a disporre di tale informazione, il quale può variare, in particolare, a seconda del ruolo che tale persona riveste nella vita pubblica” (par. 81). Peraltro, il diritto alla cancellazione non sussiste soltanto quando l’inclusione dell’informazione arreca un pregiudizio all’interessato, ma anche quando, al momento in cui viene chiesta la cancellazione, non vi è più una giustificazione idonea a legittimare la continua accessibilità dei dati personali (diritto all’oblio; cfr. par. 96).
Se tali condizioni sono soddisfatte, allora il gestore è tenuto alla cancellazione dei link anche nel caso in cui le informazioni a cui questi conducono non vengano previamente o simultaneamente cancellati dalle pagine web, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita. Separando la posizione del gestore del motore di ricerca da quella dell’autore della pubblicazione dell’informazione, la Corte ha perseguito l’obiettivo di assicurare che la tutela fornita dalla direttiva sia efficace ed ampia. Infatti, come espressamente ammesso, la direttiva potrebbe non trovare applicazione ratione loci all’autore della pubblicazione (par. 84), ovvero questo potrebbe beneficiare di una delle deroghe previste dalla direttiva, quale ad esempio quella di cui all’art. 9, relativa alla pubblicazione effettuata “esclusivamente a scopi giornalistici” (par. 85). Inoltre, facilitando l’accesso degli utenti di Internet a molti dati relativi ad una persona, l’attività del gestore del motore di ricerca “è idonea a costituire un’ingerenza più rilevante nel diritto fondamentale al rispetto della vita privata della persona interessata che non la pubblicazione da parte dell’editore della suddetta pagina web” (par. 87).
N.L.
[1] Per il testo della sentenza, si veda:
http://curia.europa.eu/juris/document/document.jsf?text=&;docid=152065&pageIndex=0&doclang=it&mode=lst&dir=&occ=first&part=1&cid=396663.
[3] Questa disposizione recita che «[a]i fini [di tale] direttiva si intende per: (…) “trattamento di dati personali” “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione”.
[4] Tale disposizione definisce il “responsabile del trattamento” come «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali».
[5] L’articolo 12 della direttiva è intitolato «Diritto di accesso» e la lett. b) fa obbligo agli Stati membri di garantire “a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento, a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati”. L’art. 14 della direttiva è intitolato «Diritto di opposizione della persona interessata», e stabilisce alla lett. a) che gli Stati membri devono riconoscere alla persona interessata il diritto, “almeno nei casi di cui all’articolo 7, lettere e) e f), di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. In caso di opposizione giustificata il trattamento effettuato dal responsabile non può più riguardare tali dati».