di Luigi Montuori
Commissione europea – Proposta relativa al nuovo Regolamento Europeo in materia di protezione dei dati – 25 gennaio 2012
SECONDA PARTE.L’entrata in vigore di questo Regolamento permetterà che la medesima disciplina sia contemporaneamente in vigore in tutti i paesi della UE, codificata in un unico testo. Una delle questioni più delicate del testo del nuovo regolamento in materia di protezione di dati personali, allo stato attuale, è l’applicabilità della normativa comunitaria e italiana alle società stabilite fuori dalla UE che offrono servizi online. Il principio generale che si è formato per consuetudine è quello del cosiddetto “contatto” o “collegamento”, in base al quale lo Stato può intervenire quando è ravvisabile un qualche collegamento tra il comportamento posto in essere dal soggetto straniero e lo Stato territoriale o i suoi cittadini.
Il dibattito ultra decennale che ha diviso dottrina e giurisprudenza sul tema della giurisdizione e della competenza in materia di protezione dei dati personali sui soggetti aventi la sede principale in un paese extra comunitario e che trattano dati personali di cittadini residenti nella U.E., di cui si era accennato nella prima parte del presente contributo(1), ha avuto finalmente soluzione.
È intervenuta infatti da poche settimane la decisione della Corte di giustizia di Strasburgo del 13 maggio 2014, sul più volte già citato caso “Google Spain vs Agencia Española de Protección de Datos (AEPD) e Mario Costeja González”, che ha costretto lo scrivente a modificare parzialmente il testo già dato alla Redazione in occasione della pubblicazione della prima parte.
La sentenza ha definitivamente sancito la titolarità del trattamento dei dati in capo alla società americana con una decisione che, a parere dello scrivente, appare logica, lineare e per nulla sorprendente, per certi versi anche scontata in termini di puro diritto come si cercherà di dimostrare in seguito.
1- L’occasione della sentenza CGCE del 13 maggio 2014 e i principali quesiti affrontati
Tutto ha avuto inizio nel 2010 quando il sig. Mario Costeja González, ha presentato all’Agencia Española de Protección de Datos un reclamo contro l’editore di un quotidiano largamente diffuso in Spagna, nonché contro Google Spain e Google Inc. L’interessato sosteneva che, allorché il proprio nome veniva introdotto nel motore di ricerca del gruppo Google («Google Search»), l’elenco di risultati rimandava a delle pagine del quotidiano del 1998 che annunciavano una vendita all’asta di immobili per un pignoramento effettuato per la riscossione coattiva di crediti previdenziali nei suoi confronti, procedura definita da anni e la cui menzione era divenuta priva di qualsiasi rilevanza.
L’Autorità spagnola ha ritenuto lecita la pubblicazione effettuata dall’editore in quanto prevista come forma di pubblicità dalla legge, ma al contempo, ha ordinato a Google di adottare le misure necessarie per rimuovere i dati dai loro indici. Il provvedimento dell’Autorità spagnola è stato impugnato da Google innanzi al Tribunale civile “Audiencia Nacional” il quale lo ha rimesso alla Corte di giustizia dell’Unione europea (Cgce), con la Causa C-131/12 – Google Spain SL, Google Inc./ Agencia Española de Protección de Datos, Mario Costeja González – con un rinvio pregiudiziale al fine di chiarire l’interpretazione della direttiva 95/46/Ce, a partire dall’ambito territoriale dell’applicazione della normativa comunitaria.
La decisione della Corte di giustizia investe però altri punti di estrema importanza oggetto di dispute interpretative da almeno quindici anni tra operatori economici, professionisti del settore ed istituzioni europee e statunitensi.
Le domande più interessanti a cui la sentenza pare aver dato risposta sono: può essere considerato trattamento di dati l’attività svolta da Google consistente nel localizzare, indicizzare, memorizzare ed infine mettere a disposizione di chiunque informazioni messe sul web da terzi? Per tale attività la società americana può essere considerata titolare del trattamento? È possibile per l’interessato esercitare i diritti previsti dalla direttiva 95/46/Ce (cancellazione, congelamento, opposizione) nei confronti dell’americana Google, quindi con lo stabilimento principale al di fuori del territorio della UE, relativamente al trattamento da questi operato per il servizio del motore di ricerca? Sono competenti (chiaramente nell’ambito e nei limiti delle rispettive competenze e funzioni) l’Autorità nazionale di protezione dati ed il Giudice ordinario sull’attività svolta dalla società americana anche attraverso il motore di ricerca? Può essere ordinata o comunque in vario modo imposta con provvedimento autoritativo (vincolante e coercibile, giudiziale o del Garante) la rimozione di dati personali dagli indici?
2- Le conclusioni dell’Avvocato Generale nel procedimento Google Inc. Spain
Sulla questione della giurisdizione e della competenza sui titolari del trattamento con la sede principale in un paese extra comunitario, meritano attenzione le conclusioni formulate nel maggio del 2013, già un anno prima della sentenza in questione, dall’avvocato generale il quale ha ricordato che Google Inc. è una società statunitense con filiali in vari Stati Membri dell’UE e che la medesima nega la configurabilità di un trattamento di dati personali effettuato in Spagna mediante il suo motore di ricerca, eccependo peraltro che la filiale spagnola, appunto Google Spain, ha soltanto compiti di rappresentanza commerciale per le funzioni pubblicitarie. Lo stesso avvocato ha proposto un peculiare approccio al tema della giurisdizione e ha affrontato la questione dell’applicabilità territoriale dal punto di vista del modello imprenditoriale, evidenziando l’aspetto dell’unicità dell’operatore economico che non si può scomporre in base alle singole attività di trattamento di dati personali o alle diverse categorie di interessati ai quali tali attività possono riferirsi.
In tale prospettiva, il giudice comunitario è chiamato a chiarire anzitutto se il trattamento di dati personali può ritenersi svolto nel contesto delle attività di uno “stabilimento” (da intendersi come stabile organizzazione) del titolare(2), qualora l’impresa crei in un Paese Membro, anche al solo fine di promuovere e vendere spazi pubblicitari sul motore di ricerca (proprio come nel caso di Google), un ufficio o una filiale che ne orienta le attività con riguardo agli abitanti di tale Stato Membro.
3- Il decisum della sentenza CGCE
La sentenza della Corte di Giustizia concorda con il ragionamento dell’avvocato generale in quanto evidenzia come le attività della società sono inscindibilmente connesse e pone in risalto proprio il fatto che la stessa visualizzazione dei risultati è accompagnata da pubblicità correlata agli stessi. Questo aspetto, ad avviso dello scrivente, è il più rilevante dell’intera sentenza, in quanto consente di affermare e argomentare l’applicabilità della normativa comunitaria su soggetti con sede legale fuori dalla UE, con evidenti effetti nello scenario della protezione dei dati personali, in attesa della nuova disciplina che verrà apportata con il previsto Regolamento europeo sulla protezione dei dati personali. L’interpretazione della CGCE sul concetto di “stabilimento” probabilmente porterà argomenti al dibattito aperto anche in altri campi del diritto, si pensi a quello tributario.
Ma tornando al nostro tema preme sottolineare come la rilevanza di questo punto non pare sia stata colta appieno nei vari commenti a caldo della sentenza che si sono soffermati più su aspetti, certamente rilevanti, ma non di pari importanza in quanto sicuramente collegati ma solo conseguenti sotto il profilo logico-giuridico, mi riferisco al tema del diritto all’oblio.
Altra questione di rilievo affrontata e decisa dalla CGCE riguarda la qualificabilità di Google come titolare dei trattamenti svolti tramite i motori di ricerca. La Corte di Giustizia, andando al di là anche della tesi dell’Avvocato Generale, ha risposto positivamente, affermando che la società americana tratta in autonomia i dati personali contenuti nelle notizie pubblicate rispetto ai siti web sorgente, in quanto «estrae», «registra» e «organizza» tali dati nell’ambito dei suoi programmi di indicizzazione, prima di «conservarli» nei suoi server e, eventualmente, di «comunicarli» e di «metterli a disposizione» dei propri utenti sotto forma di elenchi di risultati, così come ha potere decisionale autonomo nell’individuare mezzi, finalità e modalità di trattamento nonché nei criteri di indicizzazione delle notizie.
Ebbene, una volta accertata la norma applicabile, chiarito che le operazioni compiute configurano un trattamento, che tale attività è svolta da un soggetto in qualità di titolare non può che scaturire quale logico corollario, si potrebbe dire, persino ovvio, che l’interessato ha diritto di esercitare direttamente nei confronti di quest’ultimo i diritti riconosciuti dalla direttiva, e quindi dalle varie normative nazionali di diretta derivazione, come il nostro d.lgs. 196/2003 (in particolare v. art. 7 ss). In particolare, il Giudice comunitario statuisce che il gestore di un motore di ricerca, in qualità di titolare del trattamento, è obbligato a dare seguito alle richieste degli interessati, e qualora ne sussistono i presupposti, a eliminare il riferimento dall’elenco di risultati che appare a seguito di una ricerca, i link verso pagine web pubblicate da terzi e contenenti informazioni relative alla persona interessata, anche nel caso in cui tali informazioni non vengano previamente o simultaneamente cancellate dalle pagine web dei siti sorgente, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita.
Qualora il titolare non dia seguito alle richieste degli interessati, come stabilisce la CGCE, la persona interessata può adire l’autorità di controllo o l’autorità giudiziaria affinché queste effettuino le verifiche necessarie e ordinino al medesimo titolare l’adozione di misure precise conseguenti.
4- Interessanti precedenti della giurisprudenza nazionale su Google
È interessante notare come, recentemente, sull’annosa questione era intervenuta anche l’autorevole orientamento della Cassazione italiana, in particolare con la terza sezione civile, nel 2012 (sentenza n. 5525). Tale sentenza, spesso citata perché riconosce un vero e proprio diritto soggettivo all’aggiornamento della notizia, stabilisce che le testate online devono dotare i loro archivi di “un sistema idoneo a segnalare (nel corpo o nel margine) la sussistenza di un seguito o di uno sviluppo della notizia e quale esso sia stato […] consentendone il rapido e agevole accesso da parte degli utenti ai fini del relativo e adeguato approfondimento”.
La Cassazione, però, differentemente dalla CGCE, canalizza i diritti degli interessati nei confronti degli editori o comunque dei titolari dei siti sorgente delle notizie. La Suprema Corte, infatti, nella citata sentenza, nel richiamare un precedente del 2011(3), afferma che “Google è notoriamente un motore di ricerca, che si limita a offrire ospitalità sui propri server a siti internet gestiti dai relativi titolari in piena autonomia, i quali negli stessi immettono e memorizzano le informazioni oggetto di trattamento”. Secondo la S.C., il motore di ricerca non svolge dunque un ruolo attivo, avendo però il potere-dovere di impedire la indicizzazione ed il posizionamento delle notizie una volta venuto a conoscenza del contenuto illecito delle medesime contenute nei siti sorgente, con una responsabilità che in concreto quindi si presenta solo eventuale e sussidiaria.
5- Critiche alla sentenza
Ciò detto, si deve notare come la recente sentenza del giudice comunitario abbia ricevuto diffusi apprezzamenti ma, al contempo, abbia suscitato anche perplessità e critiche, neanche tanto velate (si è parlato persino di diritto “novecentesco”(4)).
Oltre alle critiche evidenziate nella prima parte dell’articolo pubblicato nel precedente numero di questa rivista, è stato contestato che Google possa essere ritenuta titolare del trattamento se poi non può rispettare gli obblighi puntualmente previsti e disciplinati dalla normativa in materia di protezione dei dati, come per informativa e consenso. In vero, su tale ultima osservazione, si fa presente che nel caso già citato dell’intervento del Garante in merito ai dati personali trattati tramite il servizio Google Street view tali critiche non furono sollevate in virtù del fatto che il provvedimento del 2010 conteneva le risposte e le soluzioni anche agli aspetti di informativa e consenso.
Ancora, i primi commenti hanno talora parlato persino di attentato, da parte della recente sentenza CGCE, alla libertà di espressione e manifestazione del pensiero, è stato citato anche il primo emendamento degli Stati Uniti e si è rilevato come la normativa comunitaria in materia sia stata piegata alle esigenze di tutela degli interessati. Tali critiche e perplessità sono chiaramente legittime e rispettabili tuttavia, ad avviso dello scrivente, prevalgono gli aspetti condivisibili, per quanto già accennato sopra nonché per quanto si verrà a dire di seguito.
6- Ragioni di condivisibilità della sentenza CGCE
La sentenza della CGCE pare senz’altro condivisibile anche alla luce dell’elementare, ma fondamentale, principio del diritto, già noto nel diritto romano, cosidetto “cuius commoda eius incommoda”, per cui non si può dissociare gli effetti e le responsabilità svantaggiosi, dai vantaggi di una medesima attività, come quella imprenditoriale, e secondo cui gli oneri devono essere a carico di chi gode dei benefici di un bene o di un’attività, come nel caso dei servizi offerti da Google.
Inoltre, a parere dello scrivente, va evidenziato che la pronuncia de qua non richiede a Google un impraticabile e dispendioso controllo preventivo e generalizzato sui dati presenti nel sistema, ma un controllo successivo sui risultati della sua operatività, in questo caso peraltro a seguito della lamentela del soggetto interessato. Si tratta di un controllo eventuale e selettivo che non pare in grado di snaturare la logica e la funzionalità del servizio di motore di ricerca né tanto meno poter violare la liberta di pensiero, di cui all’art. 21 della nostra Costituzione. Aspetto interessante in proposito, da mettere bene in rilievo, è che tanti soggetti della rete, e Google è tra questi, da anni intervengono prontamente quando ricevono richieste di rimozione se motivate da violazione al copyright, tema questo ben più temuto oltreoceano.
Soprattutto val la pena evidenziare che la sentenza ha conseguenze importanti non solo per la possibilità di chiedere l’eliminazione di collegamenti nel motore di ricerca, ma anche per ulteriori profili di rilevante carattere sistematico:
anzitutto può fondarsi in alcuni casi l’applicabilità del diritto nazionale sulla protezione dei dati ad altri titolari del trattamento che abbiano la sede principale al di fuori dell’UE;
può affermarsi l’applicabilità dei concetti, e della disciplina, di «trattamento dei dati» e «titolare» per quanto riguarda l’elaborazione delle informazioni e dei dati personali da parte di un motore di ricerca;
emerge inoltre la necessità di interpretare pienamente ed applicare la direttiva alla luce degli articoli 7 e 8 della CEDU e di garantire effettività concretizzare al diritto fondamentale alla protezione dei dati anche su Internet, al fine di tutelare anche il diritto alla c.d identità personale in rete (o meglio “identità digitale”), peraltro – si badi bene! – sempre più ricorrente anche nell’ambito del diritto delle nuove tecnologie nonché nei programmi dei governi nazionali, come quello italiano;
emerge ancora, quale principio generale, l’esigenza di dar priorità, nell’ambito del necessario bilanciamento dei diritti cui sono chiamate non solo le DPA ma anche i giudici nazionali, alla protezione dei diritti delle persone interessate.
In definitiva può essere corretto affermare che l’importanza della sentenza sia data dal fatto che la CGCE ha riconosciuto che, anche sulla base dell’articolo 7 della direttiva 95/46/Ce, l’interesse economico del «controller» del motore di ricerca, non può ritenersi prevalente sugli interessi e sui diritti delle persone interessate e che tale maggiore tutela è riconosciuta anche sull’interesse degli utenti di Internet e del pubblico ad accedere a tali dati personali, ferme restando, chiaramente, le ipotesi in cui l’interessato sia un personaggio pubblico e comunque l’esigenza di graduare la tutela dell’ordinamento a seconda della natura dei dati coinvolti.©
NOTE
- Già pubblicato nel precedente numero di Questa Rivista.
- V. Articolo 4(1), lettera a, della direttiva 95/46.
- Trib.Milano, 24/3/2011 ha accolto il ricorso cautelare, promosso da un utente del web, ordinando a Google di rimuovere dal proprio software Suggest l’associazione tra il nome del ricorrente e le parole “truffa” e “truffatore”.
- “Sentenza Corte di Giustizia UE su Google: diritto novecentesco”, articolo del 13 maggio 2014, in www.istitutoitalianoprivacy.it. ◊
