CONCLUSIONI DELL’AVVOCATO GENERALE
NIILO JÄÄSKINEN
presentate il 25 giugno 2013 ( 1 )
Causa C‑131/12
Google Spain SL
Google Inc.
contro
Agencia Española de Protección de Datos (AEPD)
Mario Costeja González
[domanda di pronuncia pregiudiziale proposta dalla Audiencia Nacional (Spagna)]
«World Wide Web — Dati personali — Motore di ricerca su Internet — Direttiva 95/46 sulla protezione dei dati — Interpretazione degli articoli 2, lettere b) e d), 4, paragrafo 1, lettere a) e c), 12, lettera b), e 14, lettera a) — Ambito di applicazione territoriale — Nozione di stabilimento nel territorio di uno Stato membro — Ambito di applicazione ratione materiae — Nozione di trattamento dei dati personali — Nozione di responsabile del trattamento di dati personali — Diritti di cancellazione e congelamento dei dati — “Diritto all’oblio” — Carta dei diritti fondamentali dell’Unione europea — Articoli 7, 8, 11 e 16»
I – Introduzione
1. |
Nel 1890, nel loro storico articolo sulla Harvard Law Review intitolato «The Right to Privacy» ( 2 ), Samuel D. Warren e Louis D. Brandeis denunciavano che «[i]nvenzioni e tecniche commerciali recenti», come «le fotografie e i giornali [, avevano] invaso i sacri recinti della vita privata e domestica». In quello stesso articolo i due autori facevano riferimento ai «passi da intraprendere per la tutela della persona». |
2. |
Al giorno d’oggi, la protezione dei dati personali e della vita privata degli individui è divenuta sempre più importante. Qualsiasi tipo di contenuto che comprenda dati personali, che si tratti di testi o di materiali audiovisivi, può essere reso accessibile, all’istante e in maniera permanente, in formato digitale in tutto il mondo. Internet ha rivoluzionato le nostre vite rimuovendo le barriere tecniche e istituzionali alla diffusione e alla ricezione delle informazioni ed ha creato una piattaforma per numerosi servizi della società dell’informazione. Tali servizi vanno a beneficio dei consumatori, delle imprese e della società in generale. Ciò ha dato origine a situazioni senza precedenti, nelle quali occorre trovare un equilibrio tra più diritti fondamentali, come la libertà di espressione, la libertà di informazione e la libertà di impresa, da un lato, e la tutela dei dati personali e della riservatezza degli individui, dall’altro lato. |
3. |
Per quanto riguarda Internet, vanno distinte tre situazioni relative ai dati personali. La prima è la pubblicazione di dati personali su una qualsiasi pagina web di Internet ( 3 ) (la «pagina web source») ( 4 ). La seconda riguarda il caso in cui un motore di ricerca su Internet fornisca risultati di ricerca che indirizzano l’utente di Internet verso la pagina web source. La terza situazione, meno evidente, ricorre quando un utente di Internet effettua una ricerca utilizzando un motore di ricerca su Internet e alcuni dei suoi dati personali, come l’indirizzo IP dal quale la ricerca viene effettuata, vengono automaticamente trasferiti al fornitore di servizi di motore di ricerca su Internet ( 5 ). |
4. |
Per quanto riguarda la prima situazione, nella sentenza Lindqvist la Corte ha già dichiarato che le è applicabile la direttiva 95/46/CE ( 6 ) (in prosieguo: la «direttiva sulla protezione dei dati personali» o la «direttiva»). La terza situazione non è oggetto di discussione nella presente causa e sono in corso procedimenti amministrativi promossi da autorità nazionali competenti per la protezione dei dati allo scopo di chiarire agli utenti di motori di ricerca su Internet l’ambito di applicazione delle norme dell’Unione in materia di protezione dei dati ( 7 ). |
5. |
L’ordinanza di rinvio nella presente causa riguarda la seconda situazione. Essa è stata formulata dall’Audiencia Nacional (Corte suprema, Spagna) nell’ambito di una controversia tra Google Spain SL e Google Inc. (in prosieguo, individualmente o congiuntamente: «Google»), da un lato, e l’Agencia Española de Protección de Datos (in prosieguo: l’«AEPD») e il signor Mario Costeja González (in prosieguo: la «persona interessata» o l’«interessato»), dall’altro lato. Il procedimento verte sull’applicazione della direttiva sulla protezione dei dati personali ad un motore di ricerca su Internet che Google gestisce come fornitore di servizi. Nel procedimento nazionale è assodato che alcuni dati personali relativi alla persona interessata sono stati pubblicati da un giornale spagnolo in due delle sue edizioni cartacee nel 1998, entrambe ripubblicate successivamente in versione elettronica disponibile su Internet. La persona interessata ritiene oggi che tali informazioni non dovrebbero più essere visualizzate nei risultati di ricerca presentati dal motore di ricerca su Internet gestito da Google nel momento in cui viene effettuata una ricerca del suo nome e cognome. |
6. |
Le questioni deferite alla Corte si suddividono in tre gruppi ( 8 ). Il primo gruppo di quesiti [la prima questione] si riferisce all’ambito territoriale di applicazione delle norme dell’Unione sulla protezione dei dati. Il secondo gruppo [la seconda questione] tratta della posizione giuridica di un fornitore di servizi di motore di ricerca su Internet ( 9 ) alla luce della direttiva, segnatamente in relazione al suo ambito di applicazione ratione materiae. Infine, la terza questione verte sul cosiddetto diritto all’oblio e sulla questione se le persone interessate possano chiedere che tutti o parte dei risultati di ricerca che le riguardano non siano più accessibili attraverso il motore di ricerca. Tutti i suddetti quesiti, che sollevano anche problemi importanti relativi alla tutela dei diritti fondamentali, sono una novità per la Corte. |
7. |
Questa sarebbe la prima causa in cui la Corte è chiamata ad interpretare la direttiva con riferimento ai motori di ricerca su Internet; una questione, a quanto pare, di attualità per le autorità nazionali competenti per la protezione dei dati e per i giudici degli Stati membri. Difatti, il giudice di rinvio ha dichiarato di essere investito di molte cause analoghe. |
8. |
Il più importante precedente sottoposto alla Corte nel quale sono stati affrontati problemi relativi alla protezione dei dati e a Internet è la controversia che ha dato luogo alla sentenza Lindqvist ( 10 ). Tale causa, però, non verteva sui motori di ricerca su Internet. La direttiva stessa è stata oggetto di interpretazione in una serie di cause. Tra queste, le cause Österreichischer Rundfunk e a. ( 11 ), Satakunnan Markkinapörssi e Satamedia ( 12 ) e Volker und Markus Schecke e Eifert ( 13 ) sono particolarmente importanti. Inoltre, il ruolo dei motori di ricerca su Internet in relazione ai diritti di proprietà intellettuale e alla competenza giurisdizionale sono stati esaminati dalla Corte nelle cause Google France e Google, Portakabin, L’Oréal e a., Interflora e Interflora British Unit, e Wintersteiger ( 14 ). |
9. |
Dopo l’adozione della direttiva, una disposizione sulla protezione dei dati personali è stata inserita nell’articolo 16 TFUE e nell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»). Inoltre, nel 2012 la Commissione ha presentato una proposta di regolamento generale sulla protezione dei dati ( 15 ) da sostituire alla direttiva. La presente causa, tuttavia, dev’essere decisa sulla base del diritto vigente. |
10. |
La domanda pregiudiziale in esame è caratterizzata dal fatto che, nel momento in cui è stata elaborata la proposta di direttiva della Commissione nel 1990, Internet nell’attuale significato del World Wide Web non esisteva né esistevano motori di ricerca. All’epoca in cui la direttiva è stata adottata, nel 1995, Internet era appena stato lanciato e cominciavano ad apparire i primi rudimentali motori di ricerca, ma nessuno avrebbe potuto prevedere quanto profondamente tutto questo avrebbe cambiato il mondo. Oggigiorno praticamente chiunque possegga uno smartphone o un computer può essere considerato svolgere attività su Internet alle quali sarebbe applicabile la direttiva. |
II – Contesto normativo
A – La direttiva sulla protezione dei dati personali
11. |
Ai sensi dell’articolo 1 della direttiva, gli Stati membri garantiscono, conformemente alle disposizioni della direttiva stessa, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali. |
12. |
L’articolo 2 definisce, tra le altre, la nozione di «dati personali» e di «persona interessata», di «trattamento di dati personali», di «responsabile del trattamento» e di «terzi». |
13. |
Ai sensi dell’articolo 3, le disposizioni della direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché, in certe situazioni, al trattamento non automatizzato. |
14. |
Ai sensi dell’articolo 4, paragrafo 1, gli Stati membri applicano le disposizioni nazionali adottate per l’attuazione della direttiva al trattamento di dati personali effettuato là dove vi sia uno stabilimento del responsabile del trattamento nel loro territorio o, se il responsabile non è stabilito nell’Unione, nei casi in cui egli ricorra, ai fini del trattamento di dati personali, a strumenti situati nel territorio degli Stati membri. |
15. |
L’articolo 12 della direttiva attribuisce alle persone interessate un «diritto di accesso» ai dati personali trattati dal responsabile del trattamento e l’articolo 14 un «diritto di opporsi» al trattamento di tali dati in alcune situazioni. |
16. |
L’articolo 29 della direttiva istituisce un Gruppo di lavoro consultivo indipendente composto, inter alia, da autorità degli Stati membri per la protezione dei dati (in prosieguo: il «Gruppo di lavoro Articolo 29»). |
B – Diritto nazionale
17. |
La legge organica n. 15/1999 sulla protezione dei dati ha trasposto la direttiva nel diritto spagnolo ( 16 ). |
III – Fatti e questioni pregiudiziali
18. |
Agli inizi del 1998, un giornale di ampia diffusione in Spagna pubblicava nella sua edizione cartacea due annunci relativi ad un’asta di beni immobili collegata ad un procedimento esecutivo derivante da debiti contratti con il sistema previdenziale. La persona interessata era menzionata come proprietario degli immobili. Successivamente, l’editore rendeva disponibile online una versione elettronica del giornale. |
19. |
Nel novembre 2009 la persona interessata contattava l’editore del giornale facendo valere che, inserendo il suo nome e cognome nel motore di ricerca Google, compariva un riferimento che rinviava alle pagine del giornale contenenti gli annunci relativi all’asta immobiliare. Egli affermava che il procedimento esecutivo per debiti con il sistema previdenziale si era concluso e risolto da vari anni e che attualmente era irrilevante. L’editore ribatteva che non era appropriato eliminare i dati che riguardavano l’interessato, in quanto la pubblicazione era stata fatta per ordine del Ministero del Lavoro e della Previdenza sociale. |
20. |
Nel febbraio 2010 la persona interessata contattava Google Spain e chiedeva che, in caso di inserimento del suo nome e cognome nel motore di ricerca Google, i risultati della ricerca non mostrassero più i link verso il giornale. Google Spain inoltrava la richiesta a Google Inc., la cui sede sociale è in California (Stati Uniti), considerando che fosse quest’ultima l’impresa fornitrice del servizio di ricerca Internet. |
21. |
Successivamente, la persona interessata presentava reclamo dinanzi all’AEPD chiedendo di ordinare all’editore la rimozione o la modifica dell’informazione pubblicata, in modo che non comparissero più i suoi dati personali, oppure di utilizzare gli strumenti forniti dai motori di ricerca per tutelare i suoi dati personali. Egli chiedeva inoltre di ordinare a Google Spain o a Google Inc. di eliminare o occultare i suoi dati, in modo che non comparissero più tra i risultati della ricerca né mostrassero più links al quotidiano. |
22. |
Con decisione del 30 luglio 2010, il direttore dell’AEPD accoglieva il reclamo della persona interessata nei confronti di Google Spain e di Google Inc., invitando tali imprese ad adottare le misure necessarie per ritirare i dati dal loro indice e impedire l’accesso futuro ai medesimi, ma respingeva il reclamo nei confronti dell’editore. La motivazione era che la pubblicazione dei dati sulla stampa era legalmente giustificata. Google Spain e Google Inc. hanno proposto ciascuna impugnazione dinanzi al giudice del rinvio, chiedendo l’annullamento della decisione dell’AEPD. |
23. |
Il giudice nazionale ha sospeso il procedimento e sottoposto alla Corte le seguenti questioni pregiudiziali:
|
24. |
Osservazioni scritte sono state presentate da Google, dai governi di Spagna, Grecia, Italia, Austria e Polonia nonché dalla Commissione europea. Tranne il governo polacco, tutti, compresa la persona interessata, hanno preso parte all’udienza del 26 febbraio 2013 ed hanno presentato osservazioni orali. |
IV – Osservazoni preliminari
A – Rilievi introduttivi
25. |
Il problema principale di cui alla presente causa è sapere come debba essere interpretato il ruolo svolto dai fornitori di servizi di motore di ricerca su Internet alla luce dei vigenti strumenti giuridici dell’Unione in materia di protezione dei dati, in particolare alla luce della direttiva. È pertanto utile iniziare con alcune osservazioni riguardanti lo sviluppo della protezione dei dati, Internet e i motori di ricerca su Internet. |
26. |
Quando la direttiva è stata negoziata e adottata nel 1995 ( 17 ), le è stato attribuito un ampio ambito di applicazione ratione materiae. Ciò perché gli sviluppi tecnologici avevano consentito ai responsabili del trattamento di dati un trattamento maggiormente decentrato rispetto ai sistemi di archiviazione basati sulle tradizionali banche dati centralizzate, che comprendeva altresì nuovi tipi di dati personali, come le immagini, e di tecniche di trattamento, come le ricerche testuali libere ( 18 ). |
27. |
Nel 1995, l’accesso generalizzato a Internet era un fenomeno nuovo. Oggi, a distanza di quasi due decenni, il volume dei contenuti digitali disponibili online è esploso. È possibile accedervi facilmente, consultarli e diffonderli tramite i social media, così come scaricarli su diversi apparecchi, come tablet, smartphone e computer portatili. Tuttavia, è evidente che il legislatore comunitario non aveva previsto che Internet si sarebbe evoluto in un deposito completo e globale di informazioni, accessibile e consultabile dappertutto. |
28. |
Al centro del presente rinvio pregiudiziale è il fatto che Internet amplifica e facilita in modo inedito la diffusione di informazioni ( 19 ). Come l’invenzione della stampa nel XV secolo ha consentito di riprodurre un numero illimitato di copie che prima dovevano essere scritte a mano, così caricare materiali su Internet permette un accesso di massa a informazioni che prima potevano essere reperite solo dopo faticose ricerche e in posti fisicamente limitati. L’accesso universale all’informazione online è possibile ovunque, con l’eccezione di quei paesi le cui autorità hanno limitato l’accesso a Internet con diversi mezzi tecnici (come i firewall elettronici) o nei quali l’accesso alle telecomunicazioni è controllato o scarso. |
29. |
A causa di queste evoluzioni, l’ambito di applicazione potenziale della direttiva nel mondo moderno è divenuto sorprendentemente ampio. Si pensi ad un professore di diritto europeo che abbia scaricato sul suo portatile la giurisprudenza essenziale della Corte dal sito della stessa. A termini della direttiva, questo professore potrebbe essere considerato un «responsabile del trattamento» di dati personali provenienti da un soggetto terzo. Il professore è in possesso di file contenenti dati personali trattati automaticamente a scopo di ricerca e di consultazione nell’ambito di attività che non sono puramente personali o domestiche. In realtà, chiunque oggi legga un giornale su un tablet o segua un social media su uno smartphone apparentemente effettua un trattamento di dati personali tramite strumenti automatizzati e potrebbe teoricamente rientrare nell’ambito di applicazione della direttiva nella misura in cui tale attività si svolga al di fuori della sua stretta sfera privata ( 20 ). Per di più, l’ampia interpretazione che la Corte ha dato del diritto fondamentale alla vita privata nell’ambito della protezione dei dati personali sembra esporre qualunque comunicazione umana effettuata tramite mezzi elettronici ad essere esaminata alla luce di tale diritto. |
30. |
Nella situazione attuale, le ampie definizioni delle nozioni di dati personali, trattamento dei dati personali e responsabile del trattamento sono atte a coprire una serie mai così ampia di nuove situazioni di fatto legate all’evoluzione tecnologica. Ciò è dovuto alla circostanza che la maggior parte, se non la totalità, dei siti Internet e dei file accessibili loro tramite contengono dati personali, come i nomi di persone fisiche viventi. Questo impone alla Corte di applicare una regola di ragionevolezza, ossia il principio di proporzionalità, nell’interpretare l’ambito della direttiva, al fine di evitare conseguenze giuridiche irrazionali ed eccessive. La Corte ha già seguito questo approccio moderato nella sentenza Lindqvist, nella quale ha respinto un’interpretazione che avrebbe potuto portare ad attribuire un ambito di applicazione di ampiezza ingiustificata all’articolo 25 della direttiva, relativo al trasferimento di dati personali verso paesi terzi nell’ambito di Internet ( 21 ). |
31. |
Pertanto, nella presente causa bisognerà trovare un equilibrio corretto, ragionevole e proporzionato tra la protezione dei dati personali, l’interpretazione coerente degli obiettivi della società dell’informazione e gli interessi legittimi degli operatori economici e degli utenti di Internet in senso ampio. Sebbene la direttiva non abbia subito modifiche da quando è stata adottata nel 1995, la sua applicazione a situazioni nuove è stata inevitabile. Si tratta di un campo complesso in cui si confrontano il diritto e le nuove tecnologie. I pareri del Gruppo di lavoro Articolo 29 forniscono, al riguardo, analisi di grande utilità ( 22 ). |
B – I motori di ricerca su Internet e la protezione dei dati personali
32. |
Nell’analisi della posizione giuridica di un motore di ricerca su Internet alla luce delle norme sulla tutela dei dati personali è necessario porre in evidenza i seguenti elementi ( 23 ). |
33. |
In primo luogo, nella sua forma di base, un motore di ricerca su Internet non crea, in linea di principio, contenuti autonomi nuovi. Nella sua forma più semplice, esso si limita a indicare dove può essere reperito un contenuto già esistente, messo a disposizione da terzi su Internet, fornendo un hyperlink verso il sito web contenente i termini di ricerca. |
34. |
In secondo luogo, i risultati visualizzati da un motore di ricerca su Internet non sono basati su una ricerca istantanea dell’intero World Wide Web, ma sono raccolti dal contenuto che il motore di ricerca su Internet ha precedentemente trattato. Questo significa che il motore di ricerca su Internet ha recuperato contenuti dai siti web esistenti ed ha copiato, analizzato e indicizzato tali contenuti sui propri dispositivi. Questi contenuti recuperati includono dati personali se le pagine web source ne contengono a loro volta. |
35. |
In terzo luogo, per consentire un utilizzo più funzionale dei risultati di ricerca, i motori di ricerca su Internet visualizzano spesso contenuti addizionali a fianco del link verso il sito web originale. Può trattarsi di estratti di testi, di audiovisivi o di istantanee di pagine web source. Queste anteprime di informazione possono essere, almeno in parte, recuperate dai dispositivi del fornitore di servizi di motore di ricerca su Internet e non estratte istantaneamente dal sito web originale. Di conseguenza, il fornitore di servizi detiene effettivamente le informazioni così visualizzate. |
C – Regolamentazione dei motori di ricerca su Internet
36. |
L’Unione europea ha attribuito grande importanza allo sviluppo della società dell’informazione. In tale ambito, è stato trattato anche il ruolo degli intermediari della società dell’informazione. Questi intermediari assicurano un collegamento tra i fornitori di contenuti e gli utenti di Internet. La specificità del loro ruolo è stata riconosciuta, per esempio, nella direttiva sulla protezione dei dati personali (considerando 47), nella direttiva 2000/31 sul commercio elettronico ( 24 ) (articolo 21, paragrafo 2, e considerando 18) nonché nel parere n. 1/2008 del Gruppo di lavoro Articolo 29. Il ruolo dei fornitori di accesso a Internet è stato ritenuto fondamentale per la società dell’informazione e la loro responsabilità per i contenuti di terzi da essi trasferiti e/o immagazzinati è stata limitata per agevolarne le attività legittime. |
37. |
Il ruolo e la posizione giuridica dei fornitori di servizi di motore di ricerca su Internet non sono stati oggetto di regolamentazione specifica nel diritto dell’Unione. In quanto tali, i «servizi di motori di ricerca» sono prestati a distanza, per via elettronica e su richiesta individuale di un destinatario di servizi, e corrispondono quindi ad un servizio della società dell’informazione consistente nel fornire strumenti per la ricerca, l’accesso e il reperimento di dati. Tuttavia, i fornitori di servizi di motore di ricerca su Internet come Google, i quali non prestano un servizio retribuito dagli utenti di Internet, non rientrerebbero, in questa loro qualità, nell’ambito di applicazione della direttiva 2000/31 sul commercio elettronico ( 25 ). |
38. |
Malgrado ciò, è necessario esaminarne la posizione alla luce dei principi giuridici che stanno alla base delle limitazioni di responsabilità dei fornitori di accesso a Internet. In altri termini, in quale misura le attività svolte da un fornitore di servizi di motore di ricerca su Internet siano analoghe, sotto il profilo dei principi sulla responsabilità, ai servizi elencati nella direttiva 2000/31 sul commercio elettronico [trasporto, semplice memorizzazione temporanea («caching»), stoccaggio («hosting»)] o ai servizi di trasmissione menzionati nel considerando 47 della direttiva, e in quale misura il fornitore di servizi di motore di ricerca su Internet agisca come fornitore autonomo di contenuto. |
D – Il ruolo e la responsabilità degli editori di pagine web source
39. |
Nella sentenza Lindqvist la Corte ha dichiarato che «l’operazione consistente nel far comparire in una pagina Internet dati personali va considerata come un trattamento [di dati personali]» ( 26 ). Inoltre, «far apparire delle informazioni in una pagina Internet impone, secondo i procedimenti tecnici e informatici attualmente applicati, di realizzare un’operazione di caricamento di questa pagina su un server nonché le operazioni necessarie per rendere questa pagina accessibile a coloro che si sono collegati ad Internet. Tali operazioni vengono effettuate, almeno in parte, in modo automatizzato». La Corte ha concluso che «l’operazione consistente nel fare riferimento, in una pagina Internet, a diverse persone e nell’identificarle vuoi con il loro nome, vuoi con altri mezzi»«costituisce un “trattamento di dati personali interamente o parzialmente automatizzato” ai sensi dell’articolo 3, paragrafo 1, della [direttiva]». |
40. |
Dalle citate affermazioni contenute nella sentenza Lindqvist emerge che l’editore di pagine web source contenenti dati personali è un responsabile del trattamento di dati personali ai sensi della direttiva. In quanto tale, l’editore è vincolato dalla serie di obblighi che la direttiva impone ai responsabili del trattamento. |
41. |
Le pagine web source vengono conservate su server «host» connessi a Internet. L’editore di pagine web source può avvalersi di «codici di esclusione» ( 27 ) per il funzionamento dei motori di ricerca su Internet. I codici di esclusione avvisano i motori di ricerca di non indicizzare o archiviare una pagina web source o di non visualizzarla nei risultati di ricerca ( 28 ). Il loro utilizzo indica che l’editore non vuole che certe informazioni sulle pagine web source vengano reperite per essere diffuse attraverso i motori di ricerca. |
42. |
Pertanto, l’editore può tecnicamente inserire nelle proprie pagine web codici di esclusione che limitino l’indicizzazione e l’archiviazione della pagina, rafforzando in tal modo la protezione dei dati personali. Al limite, l’editore potrà ritirare la pagina dal server host, ripubblicarla senza i dati personali in questione ed esigere l’aggiornamento della pagina nelle memorie cache dei motori di ricerca. |
43. |
Di conseguenza, la persona che pubblica il contenuto di una pagina web source è responsabile, in quanto responsabile del trattamento, dei dati personali pubblicati sulla pagina e dispone di diversi mezzi per adempiere i suoi obblighi al riguardo. Questa regolazione della responsabilità giuridica è coerente con i principi consolidati sulla responsabilità dell’editore nell’ambito dei media tradizionali ( 29 ). |
44. |
Tuttavia, questa responsabilità dell’editore non garantisce che i problemi di protezione dei dati personali possano essere risolti unicamente rivolgendosi ai responsabili del trattamento delle pagine web source. Come sottolineato dal giudice del rinvio, è possibile che gli stessi dati personali siano stati pubblicati su un numero incalcolabile di pagine, cosa che renderebbe difficile, se non impossibile, rintracciare e contattare tutti gli editori interessati. Per di più, l’editore potrebbe risiedere in uno Stato terzo e le pagine web di cui trattasi potrebbero sfuggire all’ambito di applicazione delle norme di diritto dell’Unione relative alla protezione dei dati personali. Potrebbero inoltre sussistere ostacoli giuridici simili a quelli del caso di specie, in cui il mantenimento della pubblicazione originale su Internet è stato considerato legittimo. |
45. |
In realtà, l’accessibilità universale delle informazioni su Internet dipende dai motori di ricerca, dato che trovare informazioni rilevanti senza di essi sarebbe troppo complicato e difficile e produrrebbe risultati limitati. Come osservato giustamente dal giudice del rinvio, ottenere informazioni sugli annunci relativi alla vendita forzata dell’immobile della persona interessata avrebbe richiesto altrimenti una visita agli archivi del giornale. Ora queste informazioni possono essere acquisite inserendo il suo nome in un motore di ricerca su Internet e questo rende la diffusione di tali dati molto più efficiente, ma allo stesso tempo molto più importuna per la persona interessata. I motori di ricerca su Internet possono essere utilizzati per ottenere un profilo completo degli individui tramite la ricerca e la raccolta dei loro dati personali. Orbene, proprio i timori legati alla profilazione degli individui sono stati il motivo che ha ispirato gli sviluppi della moderna legislazione in materia di protezione dei dati personali ( 30 ). |
46. |
Per questi motivi è importante esaminare la responsabilità dei fornitori di servizi di motore di ricerca su Internet relativamente ai dati personali pubblicati su pagine web source di terzi accessibili tramite i loro motori di ricerca. In altri termini, nel presente caso la Corte si trova di fronte al problema della «responsabilità secondaria» di questa categoria di prestatori di servizi della società dell’informazione, problema analogo a quello da essa affrontato nelle sue decisioni in materia di marchi e di mercati online ( 31 ). |
E – Attività di un fornitore di servizi di motore di ricerca su Internet
47. |
Un fornitore di servizi di motore di ricerca su Internet può svolgere più tipi di attività. La natura e la valutazione delle suddette attività può variare sotto il profilo della protezione dei dati. |
48. |
Un fornitore di servizi di motore di ricerca su Internet può acquisire in modo automatico dati relativi ai suoi utenti ( 32 ), vale a dire relativi alle persone che inseriscono termini di ricerca nel motore di ricerca. Questi dati automaticamente trasmessi possono comprendere i loro indirizzi IP, le preferenze (lingua, ecc.) e naturalmente gli stessi termini di ricerca che, in caso di «egosurfing» (ricerche compiute da un utente inserendo il proprio nome), rivelano facilmente l’identità dell’internauta. Inoltre, per quanto riguarda soggetti che hanno un proprio account utente e quindi si sono registrati, i loro dati personali come nome, indirizzo di posta elettronica e numeri di telefono, finiscono quasi invariabilmente nelle mani del fornitore di servizi di motore di ricerca su Internet. |
49. |
A remunerare il fornitore di servizi di motore di ricerca su Internet non sono gli utenti che inseriscono termini nel motore di ricerca, ma gli inserzionisti che acquistano termini di ricerca come parole chiave, in modo che il loro annuncio pubblicitario venga visualizzato contemporaneamente ai risultati delle ricerche di chi utilizza quella parola chiave ( 33 ). Ovviamente, i dati personali relativi ai clienti degli inserzionisti entrano in possesso del fornitore di servizi. |
50. |
La presente domanda pregiudiziale verte tuttavia sull’attività esercitata da Google come semplice fornitore di servizi di motore di ricerca su Internet in relazione a dati, compresi i dati personali, pubblicati su Internet in pagine web source di terzi e trattati e indicizzati dal suo motore di ricerca. Pertanto, i problemi degli utenti e dei clienti degli inserzionisti, ai dati dei quali la direttiva è senza dubbio applicabile con riferimento ai loro rapporti con Google, non hanno rilievo sull’analisi del secondo gruppo di questioni pregiudiziali. Nondimeno, per quanto riguarda i problemi di competenza sollevati dal primo gruppo di questioni pregiudiziali, le suddette categorie di clienti possono essere rilevanti. |
V – Il primo gruppo di quesiti, relativo all’ambito territoriale di applicazione della direttiva
A – Introduzione
51. |
Il primo gruppo di quesiti pregiudiziali verte sull’interpretazione dell’articolo 4 della direttiva con riferimento ai criteri per stabilire l’ambito territoriale di applicazione della normativa nazionale di trasposizione. |
52. |
Il giudice del rinvio ha suddiviso la questione pregiudiziale relativa all’ambito territoriale di applicazione della normativa spagnola in materia di protezione dei dati in quattro quesiti. Il primo verte sulla nozione di «stabilimento» ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva, mentre il secondo riguarda i casi in cui è fatto «ricorso a strumenti situati nel territorio di detto Stato membro [la Spagna]» ai sensi dell’articolo 4, paragrafo 1, lettera c). Con il terzo quesito il giudice nazionale chiede se sia possibile considerare ricorso a strumenti lo stoccaggio temporaneo delle informazioni indicizzate dai motori di ricerca su Internet e, in caso di soluzione affermativa, se possa ritenersi adempiuto tale criterio di collegamento nel caso in cui l’impresa rifiuti di rivelare il luogo in cui archivia i suddetti indici. Con il quarto quesito si chiede se, alla luce dell’articolo 8 della Carta, debba essere applicata la normativa nazionale di attuazione dello Stato membro in cui si situa il centro di gravità della controversia e nel quale è possibile una tutela più efficace dei diritti dei cittadini dell’Unione europea. |
53. |
Mi occuperò in primo luogo dell’ultimo quesito, che il giudice nazionale ha proposto «a prescindere dalla risposta ai precedenti quesiti, e specialmente nel caso in cui la [Corte] ritenesse inapplicabili i criteri di collegamento previsti all’articolo 4, paragrafo 1, della direttiva». |
B – Il centro geografico di gravità della controversia non è di per sé sufficiente a rendere applicabile la direttiva
54. |
Ai sensi del suo articolo 51, paragrafo 2, la Carta non estende l’ambito di applicazione del diritto dell’Unione al di là delle competenze dell’Unione né introduce competenze nuove o compiti nuovi per l’Unione o modifica le competenze e i compiti definiti nei trattati ( 34 ). Tale principio si applica anche all’articolo 8 della Carta sulla protezione dei dati personali. Pertanto, l’interpretazione della direttiva conformemente alla Carta non può aggiungere alcun nuovo elemento che faccia scattare l’applicazione territoriale della normativa nazionale di attuazione della direttiva a quelli indicati dall’articolo 4, paragrafo 1, della direttiva stessa. Naturalmente, si deve tener conto dell’articolo 8 della Carta nell’interpretare le nozioni di cui all’articolo 4, paragrafo 1, della direttiva, ma i criteri di collegamento definiti dal legislatore dell’Unione non possono essere integrati da un criterio completamente nuovo attraverso un riferimento al suddetto diritto fondamentale ( 35 ). |
55. |
Il Gruppo di lavoro Articolo 29 ha giustamente sottolineato che l’ambito di applicazione territoriale della direttiva e della normativa nazionale di attuazione della stessa dipendono o dal luogo di stabilimento del responsabile del trattamento o, quando il responsabile del trattamento sia stabilito al di fuori del SEE, dall’ubicazione dei mezzi e degli strumenti utilizzati. Non sono decisivi la cittadinanza o il luogo di residenza abituale dell’interessato né l’ubicazione fisica dei dati personali ( 36 ). |
56. |
Il Gruppo di lavoro Articolo 29 ha proposto che nella futura legislazione venga elaborato un approccio orientato ai destinatari del servizio quando i responsabili del trattamento non sono stabiliti nell’Unione ( 37 ). Nella Proposta della Commissione per un regolamento generale sulla protezione dei dati (2012) ( 38 ) l’offerta di beni o la prestazione di servizi a interessati residenti nell’Unione europea costituirebbe un fattore di applicazione della normativa dell’Unione in tema di protezione dei dati a responsabili del trattamento stabiliti in paesi terzi. Simile approccio, che collega l’applicabilità territoriale della legislazione UE al pubblico cui ci si rivolge, è coerente con la giurisprudenza della Corte in materia di applicabilità della direttiva 2000/31 sul commercio elettronico ( 39 ), del regolamento n. 44/2001 ( 40 ) e della direttiva 2001/29 ( 41 ) a situazioni transfrontaliere. |
57. |
Per contro, il criterio del pubblico cui ci si rivolge, nel caso presente gli utenti spagnoli del motore di ricerca su Internet di Google, ai cui occhi la reputazione della persona interessata ha potuto essere compromessa a seguito degli annunci pubblicitari controversi, non appare decisivo per l’applicabilità territoriale della direttiva e della corrispondente normativa nazionale di attuazione. |
58. |
Pertanto, il centro di gravità della controversia in Spagna non può essere aggiunto ai criteri indicati nell’articolo 4, paragrafo 1, della direttiva che, a mio parere, armonizza pienamente la portata territoriale di applicazione delle normative degli Stati membri in materia di protezione dei dati. Ciò vale a prescindere se detto centro di gravità sia costituito dalla cittadinanza o dalla residenza degli interessati, dall’ubicazione dei dati personali controversi nel sito web del giornale o dal fatto che il sito web spagnolo di Google sia diretto specificamente al pubblico spagnolo ( 42 ). |
59. |
Per i suddetti motivi propongo alla Corte, per il caso in cui essa consideri necessario rispondere alla prima questione, di apportare una risposta negativa al quarto quesito. |
C – L’applicabilità del criterio dello «stabilimento nell’Unione» al fornitore di servizi di motore di ricerca su Internet di un paese terzo
60. |
Ai sensi dell’articolo 4, paragrafo 1, della direttiva, il fattore principale che comporta l’applicazione territoriale della normativa nazionale in materia di protezione dei dati è che il trattamento dei dati personali venga effettuato nell’ambito delle attività di uno stabilimento del responsabile del trattamento sito sul territorio dello Stato membro. La legislazione di detto Stato membro si applica, inoltre, nel caso in cui il responsabile del trattamento non sia stabilito nel territorio dell’Unione ma ricorra a mezzi o strumenti ( 43 ) situati nel territorio dello Stato membro ai fini del trattamento dei dati personali, a meno che detti mezzi o strumenti non vengano impiegati soltanto per il transito sul territorio dell’Unione. |
61. |
Come già sottolineato, la direttiva e il suo articolo 4 sono stati adottati prima che iniziasse la fornitura su larga scala di servizi online su Internet. Inoltre, sotto questo profilo la formulazione letterale non è coerente e completa ( 44 ). Non sorprende che esperti in materia di protezione dei dati personali abbiano avuto difficoltà notevoli nell’interpretarla con riferimento a Internet. I fatti di cui alla presente causa illustrano questi problemi. |
62. |
Google Inc. è una società californiana che possiede controllate in numerosi Stati membri dell’Unione. Le sue attività europee sono, in certa misura, coordinate dalla sua controllata irlandese. Attualmente, essa dispone di centri dati quanto meno in Belgio e in Finlandia. Le informazioni sull’esatta posizione geografica delle funzioni relative al suo motore di ricerca non sono pubbliche. Google sostiene che nessun trattamento di dati personali connesso con il suo motore di ricerca viene effettuato in Spagna. Google Spain agisce in quanto rappresentante commerciale di Google per le sue attività pubblicitarie. In quanto tale, essa ha assunto la responsabilità per il trattamento dei dati personali relativi ai suoi clienti inserzionisti spagnoli. Google nega che il suo motore di ricerca effettui operazioni sui server host delle pagine web source o che raccolga informazioni tramite cookies di utenti non registrati del suo motore di ricerca. |
63. |
In questo contesto di fatto, il dettato dell’articolo 4, paragrafo 1, della direttiva non è molto utile. Google possiede numerosi stabilimenti nel territorio dell’Unione. Secondo un’interpretazione letterale, ciò escluderebbe l’applicabilità del criterio riguardante gli strumenti di cui all’articolo 4, paragrafo 1, lettera c), della direttiva. D’altro canto, non è chiaro fino a che punto e dove il trattamento dei dati personali di interessati residenti nell’Unione avvenga nell’ambito delle attività delle sue controllate stabilite nell’Unione. |
64. |
A mio avviso, la Corte dovrebbe affrontare la questione dell’applicabilità territoriale prendendo in considerazione il modello economico dei fornitori di servizi di motore di ricerca su Internet. Come ho indicato, questo modello si basa di solito sulla pubblicità mediante parole chiave, che costituisce la fonte del reddito e che, in quanto tale, è la ragione per la fornitura di uno strumento gratuito di localizzazione dell’informazione nella forma di un motore di ricerca. L’entità che si occupa della pubblicità mediante parole chiave (denominata nella giurisprudenza della Corte «prestatore di un servizio di posizionamento» ( 45 )) è collegata al motore di ricerca su Internet. Tale entità deve essere presente sui mercati pubblicitari nazionali. Per questo motivo Google ha stabilito controllate in molti Stati membri, le quali chiaramente costituiscono stabilimenti ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva. Google inoltre fornisce domini web nazionali come google.es o google.fi. L’attività del motore di ricerca tiene conto di questa diversificazione nazionale in vari modi nella visualizzazione dei risultati della ricerca, dato che il normale modello di finanziamento della pubblicità tramite parole chiave segue il principio del prezzo per click [pay‑per‑click] ( 46 ). |
65. |
Per questi motivi ritengo di dover concordare con le conclusioni del Gruppo di lavoro Articolo 29 secondo le quali dev’essere tenuto in considerazione il modello economico di un fornitore di servizi di motore di ricerca su Internet nel senso che il suo stabilimento ha un ruolo significativo nel trattamento dei dati personali se è collegato ad un servizio implicato nella vendita di pubblicità mirata agli abitanti di tale Stato membro ( 47 ). |
66. |
Inoltre, anche se, per quanto riguarda le sue disposizioni sostanziali, l’articolo 4 della direttiva si basa su un’unica nozione di responsabile del trattamento, ritengo che, per decidere sulla questione preliminare dell’applicabilità territoriale, un operatore economico debba essere considerato come una entità singola e che pertanto, in questa fase dell’analisi, non debba guardarsi alle sue singole attività relative al trattamento di dati personali o ai differenti gruppi di interessati ai quali queste si riferiscono. |
67. |
In conclusione, il trattamento di dati personali avviene nell’ambito di uno stabilimento del responsabile del trattamento se tale stabilimento funge da collegamento per il servizio di posizionamento per il mercato pubblicitario di tale Stato membro, anche se le operazioni tecniche di trattamento dei dati hanno luogo in altri Stati membri o in paesi terzi. |
68. |
Per questi motivi propongo alla Corte di rispondere al primo gruppo di quesiti pregiudiziali nel senso che il trattamento di dati personali avviene nel contesto delle attività di uno «stabilimento» del responsabile del trattamento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva, quando l’impresa che fornisce il motore di ricerca apra in uno Stato membro, ai fini della promozione e della vendita di spazi pubblicitari sul motore di ricerca, un ufficio o una controllata che orienti le proprie attività verso gli abitanti del suddetto Stato. |
VI – Il secondo gruppo di quesiti, relativo alla portata di applicazione ratione materiae della direttiva
69. |
Il secondo gruppo di quesiti verte sulla posizione giuridica, alla luce delle disposizioni della direttiva, di un fornitore di servizi di motore di ricerca su Internet che offre accesso ad un motore di ricerca su Internet. Il giudice nazionale ha formulato i suddetti quesiti riferendoli alle nozioni di «trattamento» dei dati personali (quesito 2.1) e di «responsabile del trattamento» (quesito 2.2), alle competenze dell’autorità nazionale per la protezione dei dati di impartire ordini direttamente al fornitore di servizi di motore di ricerca su Internet (quesito 2.3) e all’eventuale esclusione della protezione dei dati personali da parte del fornitore di servizi di motore di ricerca su Internet riguardo ad informazioni legalmente pubblicate da terzi su Internet (quesito 2.4). Gli ultimi due quesiti sono rilevanti solo nel caso in cui si possa considerare che il fornitore di servizi di motore di ricerca su Internet tratta dati personali su pagine web source di terzi ed è il responsabile del loro trattamento. |
A – Il trattamento di dati personali ad opera di un motore di ricerca su Internet
70. |
Il primo quesito del presente gruppo verte sull’applicabilità delle nozioni di «dati personali» e di «trattamento» ad un fornitore di servizi di motore di ricerca su Internet come Google, intendendo per dati personali non quelli di utenti o di inserzionisti, bensì quelli pubblicati su pagine web source di terzi e trattati da un motore di ricerca su Internet gestito dal fornitore di servizi. Nella descrizione del giudice nazionale, il trattamento consiste nel localizzare le informazioni pubblicate o immesse in Internet da terzi, indicizzarle automaticamente, archiviarle temporaneamente e infine metterle a disposizione degli utenti di Internet in base ad un particolare ordine di preferenza. |
71. |
A mio avviso, una risposta affermativa al presente quesito non richiede una lunga discussione. La nozione di dati personali viene definita in maniera ampia nella direttiva e tale definizione ampia è stata applicata dal Gruppo di lavoro Articolo 29 e confermata dalla Corte ( 48 ). |
72. |
Per quanto riguarda la nozione di «trattamento», le pagine web source su Internet possono contenere, e spesso contengono, nomi, immagini, indirizzi, numeri di telefono, descrizioni e altre indicazioni per mezzo delle quali una persona fisica può essere identificata. Il fatto che la loro natura di dati personali rimanga «sconosciuta» al fornitore di servizi di motore di ricerca su Internet, il cui motore di ricerca funziona senza intervento umano sui dati raccolti, indicizzati e visualizzati per la ricerca, non modifica questa osservazione ( 49 ). Lo stesso vale per il fatto che la presenza di dati personali nelle pagine web source è in un certo senso casuale per il fornitore di servizi di motore di ricerca su Internet, in quanto per quest’ultimo, o più precisamente per le funzioni di esplorazione, analisi e indicizzazione del motore di ricerca, che riguardano tutte le pagine web accessibili su Internet, può non esserci alcuna differenza tecnica o operativa tra una pagina web source contenente dati personali ed un’altra che non ne contiene ( 50 ). Tuttavia, a mio avviso queste circostanze dovrebbero influire sull’interpretazione della nozione di «responsabile del trattamento». |
73. |
La funzione di esplorazione del motore di ricerca di Google, denominata «googlebot», perlustra Internet in modo costante e sistematico e, procedendo da una pagina web source all’altra sulla base di hyperlink tra le pagine, chiede ai siti visitati di inviarle una copia delle pagine visitate ( 51 ). Le copie di queste pagine web source vengono analizzate dalla funzione di indicizzazione di Google. Le sequenze di segni (parole chiave, termini di ricerca) trovate sulle pagine vengono registrate nell’indice del motore di ricerca ( 52 ). Il complesso algoritmo di ricerca di Google valuta inoltre la rilevanza dei risultati della ricerca. Le combinazioni di queste parole chiave con gli indirizzi URL, quando è possibile trovarle, formano l’indice del motore di ricerca. Le ricerche lanciate dagli utenti vengono eseguite all’interno dell’indice. Ai fini dell’indicizzazione e della visualizzazione dei risultati della ricerca, la copia delle pagine viene registrata nella memoria cache del motore di ricerca ( 53 ). |
74. |
Una copia della pagina web source ricercata, immagazzinata nella memoria cache, può essere visualizzata dopo che l’utente ha effettuato la ricerca. L’utente, tuttavia, può accedere alla pagina originale se, per esempio, vuole visualizzare immagini nella pagina web source. La memoria cache viene aggiornata frequentemente, ma può accadere che la pagina visualizzata dal motore di ricerca non corrisponda più alle pagine web source presenti nel server host a seguito di modifiche o soppressione ( 54 ). |
75. |
Va da sé che le operazioni descritte nei paragrafi precedenti rientrano nel «trattamento» di dati personali sulle pagine web source copiate, indicizzate, immesse nella memoria cache e visualizzate dal motore di ricerca. Più in particolare, tali operazioni comprendono la raccolta, la registrazione, l’organizzazione e la conservazione di questi dati personali e possono comportarne l’impiego, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione e l’interconnessione ai sensi dell’articolo 2, lettera b), della direttiva. |
B – La nozione di «responsabile del trattamento»
76. |
Ai sensi dell’articolo 2, lettera d), della direttiva, per «responsabile del trattamento» ( 55 ) si intende «la persona fisica o giuridica (…) che, da sol[a] o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali». A mio avviso, il problema fondamentale nel presente caso è se, e in quale misura, un fornitore di servizi di motore di ricerca su Internet rientri in tale definizione. |
77. |
Tutte le parti, con l’eccezione di Google e del governo ellenico, propongono di dare una risposta affermativa a tale questione, che potrebbe facilmente essere difesa come conclusione logica di un’interpretazione letterale, e forse persino teleologica, della direttiva, dato che le definizioni di base della direttiva sono state formulate in maniera ampia per farvi rientrare i nuovi sviluppi. A mio avviso, tuttavia, un simile approccio rappresenterebbe un metodo che trascura totalmente il fatto che, quando la direttiva è stata redatta, non era possibile prevedere l’emersione di Internet e dei diversi fenomeni connessi. |
78. |
Quando la direttiva è stata adottata, il World Wide Web era una realtà appena comparsa e i motori di ricerca su Internet erano ancora agli inizi. Le disposizioni della direttiva semplicemente non tengono conto del fatto che masse ingenti di documenti e di file elettronici ospitati in maniera decentralizzata sono accessibili da qualsiasi parte del mondo e che i loro contenuti possono essere copiati, analizzati e diffusi da persone che non hanno alcuna relazione con i rispettivi autori o con quanti li hanno caricati in un server host connesso a Internet. |
79. |
Ricordo che nella sentenza Lindqvist la Corte non ha seguito l’approccio massimalista suggerito dalla Commissione riguardo all’interpretazione della nozione di trasferimento di dati verso paesi terzi. La Corte ha dichiarato che, «[t]enuto conto, da una parte, dello stato dello sviluppo di Internet all’epoca dell’elaborazione della [direttiva] e, dall’altra, della mancanza, nel suo capo IV, di criteri applicabili all’uso di Internet, non si può presumere che il legislatore comunitario avesse l’intenzione di includere prospettivamente nella nozione di “trasferimenti verso un paese terzo di dati personali” l’inserimento, da parte di una persona che si trovi nella situazione della [signora] Lindqvist, di dati in una pagina Internet, anche se questi sono così resi accessibili alle persone di paesi terzi in possesso dei mezzi tecnici per consultarli» ( 56 ). Questo implica, a mio parere, che, al fine di ottenere un risultato equilibrato e ragionevole, nell’interpretare la direttiva alla luce dei nuovi fenomeni tecnologici debbono essere tenuti in considerazione il principio di proporzionalità, gli obiettivi della direttiva e gli strumenti in essa previsti per il loro raggiungimento. |
80. |
A mio avviso, una questione fondamentale nel presente caso è stabilire se rilevi che, nella definizione del responsabile del trattamento, la direttiva si riferisca al soggetto che «determina le finalità e gli strumenti di trattamento di dati personali» (il corsivo è mio). Le parti che considerano Google come responsabile del trattamento fondano questa valutazione sul fatto innegabile che il fornitore di servizi che gestisce un motore di ricerca su Internet determina le finalità e i mezzi del trattamento dati alla luce degli scopi che persegue. |
81. |
Dubito, tuttavia, che una simile analisi porti a un’interpretazione fedele della direttiva quando il trattamento verte su file che combinano dati personali e altri tipi di dati in maniera non sistematica, indiscriminata e aleatoria. Il professore di diritto europeo che ho citato nell’esempio del paragrafo 29 delle presenti conclusioni determina forse le finalità e i mezzi del trattamento dei dati personali figuranti nelle sentenze della Corte da lui scaricate sul proprio portatile? L’osservazione del Gruppo di lavoro Articolo 29 secondo cui «[a]nche gli utenti del motore di ricerca potrebbero essere considerati a rigor di termini responsabili del trattamento» rivela l’irrazionalità della cieca interpretazione letterale della direttiva nell’ambito di Internet ( 57 ). La Corte non dovrebbe accogliere un’interpretazione che renda responsabile del trattamento di dati personali pubblicati su Internet virtualmente qualsiasi persona in possesso di uno smartphone o di un tablet o di un computer portatile. |
82. |
A mio avviso, l’economia generale della direttiva, la maggior parte delle sue versioni linguistiche e gli obblighi individuali da essa imposti al responsabile del trattamento si basano sull’idea della responsabilità del responsabile del trattamento riguardo ai dati personali trattati, nel senso che il responsabile del trattamento è consapevole dell’esistenza di una categoria definita di informazioni che corrispondono a dati personali e intende trattare tali informazioni proprio in quanto dati personali ( 58 ). |
83. |
Il Gruppo di lavoro Articolo 29 osserva giustamente che «[i]l concetto di responsabile del trattamento è funzionale, finalizzato cioè all’attribuzione di responsabilità laddove intervenga un’influenza effettiva: si basa quindi su un’analisi fattuale piuttosto che formale» ( 59 ). Il Gruppo prosegue affermando che «il responsabile del trattamento de[ve] determinare quali dati debbano essere trattati per la finalità o le finalità previste» ( 60 ). Le disposizioni sostanziali della direttiva, più in particolare gli articoli 6, 7 e 8, si basano, a mio avviso, sulla premessa che il responsabile del trattamento sappia quel che fa riguardo ai dati personali considerati, nel senso che è consapevole di quale tipo di dati personali sta trattando e perché. In altri termini, il trattamento dei dati deve apparirgli come un trattamento di dati personali, ossia «informazion[i] concernent[i] una persona fisica identificata o identificabile» in una maniera semanticamente rilevante, e non un semplice codice informatico ( 61 ). |
C – Un fornitore di servizi di motore di ricerca su Internet non è un «responsabile del trattamento» di dati personali su pagine web source di terzi
84. |
Il fornitore di servizi di motore di ricerca su Internet che offre semplicemente uno strumento di localizzazione delle informazioni non esercita alcun controllo sui dati personali contenuti in pagine web di terzi. Il fornitore di servizi è «consapevole» dell’esistenza di dati personali unicamente nel senso che, sotto un profilo statistico, è probabile che le pagine web contengano dati personali. Durante il trattamento delle pagine web source a scopo di esplorazione, di analisi e di indicizzazione, i dati personali non si manifestano in quanto tali in alcun modo particolare. |
85. |
È questo il motivo per cui considero adeguato l’approccio del Gruppo di lavoro Articolo 29, in quanto esso tenta di tracciare una linea tra le funzioni interamente passive e di intermediazione dei motori di ricerca e le situazioni in cui la loro attività rappresenta un effettivo controllo sui dati personali trattati ( 62 ). Per amor di completezza, occorre aggiungere che stabilire se i dati personali siano divenuti pubblici ( 63 ) o siano stati legalmente diffusi su pagine web source di terzi non è rilevante ai fini dell’applicazione della direttiva ( 64 ). |
86. |
Il fornitore di servizi di motore di ricerca su Internet non ha alcun rapporto con il contenuto delle pagine web source di terzi su Internet in cui possono comparire dati personali. Inoltre, dato che il motore di ricerca lavora sulla base di copie di pagine web source che il crawler ha estratto e copiato, il fornitore di servizi non ha mezzi per cambiare le informazioni sui server host. Fornire uno strumento di localizzazione di informazioni non implica alcun controllo sul contenuto. Né tale attività mette il fornitore di servizi di motore di ricerca su Internet in condizione di distinguere tra i dati personali ai sensi della direttiva, ossia i dati che si riferiscono ad una persona fisica identificata e identificabile, e gli altri dati. |
87. |
In questa fase, farei leva sul principio enunciato nel considerando 47 della direttiva. In esso si afferma che il responsabile del trattamento di messaggi contenenti dati personali trasmessi tramite telecomunicazioni o posta elettronica è colui che ha emanato il messaggio e non la persona che presta i servizi di trasmissione. Questo considerando, così come le deroghe alla responsabilità previste nella direttiva 2000/31 sul commercio elettronico (articoli 12, 13 e 14), si basa sul principio giuridico secondo il quale i rapporti automatizzati, tecnici e passivi relativi ad un contenuto archiviato o trasmesso elettronicamente non implicano alcun controllo o responsabilità sullo stesso. |
88. |
Il Gruppo di lavoro Articolo 29 ha sottolineato che la nozione di responsabile del trattamento serve a determinare in primissimo luogo chi risponde dell’osservanza delle norme relative alla protezione dei dati e ad assegnare tale responsabilità a chi esercita un’influenza effettiva ( 65 ). Secondo il Gruppo di lavoro, «[i]l principio di proporzionalità comporta che, nella misura in cui interviene esclusivamente come intermediario, il provider di motori di ricerca non deve essere considerato il responsabile principale del trattamento con riguardo al trattamento di dati personali in questione. In questo caso, i responsabili principali del trattamento sono i fornitori di informazioni» ( 66 ). |
89. |
A mio avviso, il fornitore di servizi di motore di ricerca su Internet non può, né in diritto né in fatto, adempiere gli obblighi del responsabile del trattamento previsti dagli articoli 6, 7 e 8 della direttiva in relazione ai dati personali contenuti in pagine web source ospitate su server di terzi. Pertanto, un’interpretazione ragionevole della direttiva esige che il fornitore di servizi non sia considerato, in generale, rivestire tale posizione ( 67 ). |
90. |
Un’opinione contraria implicherebbe che i motori di ricerca su Internet sono incompatibili con il diritto dell’Unione, conclusione secondo me assurda. In particolare, se i fornitori di servizi di motore di ricerca su Internet fossero considerati responsabili del trattamento dei dati personali contenuti su pagine web source di terzi e se in una di queste pagine vi fossero «categorie particolari di dati», ai sensi dell’articolo 8 della direttiva (ossia dati personali che rivelano opinioni politiche e convinzioni religiose o dati relativi alla salute e alla vita sessuale degli individui), l’attività del fornitore di servizi di motore di ricerca su Internet diventerebbe automaticamente illegale, quando le rigorose condizioni dettate nel suddetto articolo per il trattamento di tali dati non siano rispettate. |
D – Circostanze in cui il fornitore di servizi di motore di ricerca su Internet è un «responsabile del trattamento»
91. |
È evidente che il fornitore di servizi di motore di ricerca su Internet controlla l’indice del motore di ricerca che collega le parole chiave agli indirizzi URL pertinenti. Il fornitore di servizi stabilisce il modo in cui l’indice è strutturato e può tecnicamente bloccare alcuni risultati di ricerca, per esempio non mostrando indirizzi URL provenienti da taluni paesi o domini ( 68 ). Inoltre, il fornitore di servizi di motore di ricerca su Internet controlla il proprio indice, nel senso che decide se i codici di esclusione ( 69 ) su pagine web source debbano essere rispettati o meno. |
92. |
Per contro, i contenuti della memoria cache del motore di ricerca su Internet non si possono considerare come rientranti sotto il controllo del fornitore di servizi, in quanto la cache è il risultato di processi totalmente tecnici e automatizzati che producono un’immagine specchio dei dati testuali delle pagine web esplorate, con l’eccezione dei dati esclusi dall’indicizzazione e dall’archiviazione. È interessante che alcuni Stati membri risultano prevedere speciali deroghe orizzontali riguardo alla responsabilità dei motori di ricerca analoghe a quelle previste nella direttiva 2000/31 sul commercio elettronico per alcuni prestatori di servizi della società dell’informazione ( 70 ). |
93. |
Tuttavia, per quanto riguarda i contenuti della memoria cache, a mio avviso la decisione di non rispettare i codici di esclusione ( 71 ) su una pagina web implica la responsabilità del provider, ai sensi della direttiva, per il trattamento di tali dati personali. Lo stesso vale nel caso in cui il fornitore di servizi di motore di ricerca su Internet non aggiorni una pagina web nella propria memoria cache nonostante il sito web gliene abbia fatto richiesta. |
E – Gli obblighi di un fornitore di servizi di motore di ricerca su Internet in quanto «responsabile del trattamento»
94. |
È evidente che, se e quando può essere considerato «responsabile del trattamento», il fornitore di servizi di motore di ricerca su Internet è tenuto ad adempiere gli obblighi previsti dalla direttiva. |
95. |
Per quanto riguarda i criteri che rendono legittimo il trattamento dei dati in mancanza del consenso della persona interessata [articolo 7, lettera a), della direttiva], appare evidente che la prestazione di servizi di motori di ricerca su Internet persegue, in quanto tale, interessi legittimi [articolo 7, lettera f), della direttiva], ossia (i) facilitare l’accesso alle informazioni per gli utenti di Internet; (ii) migliorare l’efficacia della diffusione delle informazioni caricate su Internet; e (iii) consentire diversi servizi della società dell’informazione offerti dal fornitore di servizi di motore di ricerca su Internet che sono accessori al motore di ricerca, come l’offerta di pubblicità tramite parole chiave. Questi tre obiettivi si rapportano, rispettivamente, a tre diritti fondamentali tutelati dalla Carta, vale a dire la libertà di informazione e la libertà di espressione (sancite entrambe all’articolo 11) e la libertà d’impresa (articolo 16). Pertanto, un fornitore di servizi di motore di ricerca su Internet persegue interessi legittimi, ai sensi dell’articolo 7, lettera f), della direttiva, quando tratta dati, compresi dati personali, messi a disposizione su Internet. |
96. |
In quanto responsabile del trattamento, un fornitore di servizi di motore di ricerca su Internet è tenuto a soddisfare i requisiti previsti dall’articolo 6 della direttiva. In particolare, i dati personali debbono essere adeguati, pertinenti e non eccedenti rispetto alle finalità perseguite, ed aggiornati, vale a dire non obsoleti per i fini per i quali sono rilevati. È necessario inoltre ponderare gli interessi del «responsabile del trattamento», o dei terzi a vantaggio dei quali il trattamento viene effettuato, e quelli delle persone considerate. |
97. |
Nel procedimento principale, la persona interessata chiede il ritiro dall’indice di Google dell’indicizzazione del suo nome e del suo cognome assieme agli indirizzi URL delle pagine del giornale in cui sono visualizzati i dati personali che vuole far sopprimere. Infatti, i nomi delle persone vengono utilizzati come termini di ricerca e sono registrati come parole chiave negli indici dei motori di ricerca. Orbene, di solito un nome non è di per sé sufficiente per un’identificazione diretta di una persona fisica su Internet, poiché a livello globale esistono molte o addirittura migliaia o milioni di persone che hanno lo stesso nome o la stessa combinazione di uno o più determinati nomi e cognomi ( 72 ). Tuttavia, ritengo che nella maggior parte dei casi la combinazione di un dato nome e cognome come termine di ricerca permetta l’identificazione indiretta di una persona fisica ai sensi dell’articolo 2, lettera a), della direttiva, quando i risultati nell’indice di un motore di ricerca rivelano un numero così ristretto di link da consentire ad un utente di Internet di distinguere tra persone che hanno lo stesso nome. |
98. |
Un indice di motore di ricerca collega i nomi e gli altri identificativi che sono utilizzati come termini di ricerca ad uno o più link verso determinate pagine web. Nei limiti in cui il link è adeguato, nel senso che i dati corrispondenti al termine di ricerca compaiono realmente o sono comparsi sulle pagine web linkate, l’indice – a mio avviso – risponde ai criteri di adeguatezza, pertinenza, proporzionalità, esattezza e completezza elencati nell’articolo 6, lettere c) e d), della direttiva. Per quanto riguarda gli aspetti temporali di cui all’articolo 6, lettere d) ed e) (i dati personali debbono essere aggiornati e non debbono essere conservati più a lungo di quanto necessario), occorre esaminare anche questi problemi dal punto di vista del trattamento de quo, ossia la prestazione di un servizio di localizzazione delle informazioni, e non come una questione relativa al contenuto delle pagine web source ( 73 ). |
F – Conclusione sul secondo gruppo di quesiti
99. |
Sulla base di questo ragionamento ritengo che un’autorità nazionale per la protezione dei dati non possa imporre a un fornitore di servizi di motore di ricerca su Internet di ritirare alcune informazioni dal suo indice, salvo i casi in cui tale fornitore di servizi non abbia rispettato i codici di esclusione ( 74 ) o non abbia soddisfatto una richiesta di aggiornamento della memoria cache proveniente dal sito web. Questo scenario non appare rilevante per il presente rinvio pregiudiziale. Un’eventuale procedura di «notifica e rimozione» ( 75 ) relativa a link verso pagine web source a contenuto illecito o inappropriato è una questione di diritto nazionale in materia di responsabilità per danni fondata su motivi diversi dalla protezione dei dati personali ( 76 ). |
100. |
Per i suddetti motivi propongo alla Corte di rispondere al secondo gruppo di quesiti nel senso che, nelle circostanze indicate nella domanda pregiudiziale, un fornitore di servizi di motore di ricerca su Internet «tratta» dati personali ai sensi dell’articolo 2, lettera b), della direttiva. Tuttavia, il fornitore di servizi non può essere considerato «responsabile del trattamento» di tali dati personali ai sensi dell’articolo 2, lettera d), della direttiva, fatta salva l’eccezione sopra illustrata. |
VII – La terza questione, relativa all’eventuale «diritto all’oblio» della persona interessata
A – Osservazioni preliminari
101. |
La terza questione pregiudiziale ha rilevanza solo qualora la Corte respinga la conclusione cui sono pervenuto poc’anzi, secondo la quale, in linea generale, Google non va considerata come «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva, oppure convenga con me che in taluni casi a un fornitore di servizi di motore di ricerca su Internet, come Google, può essere riconosciuto un tale status. In ogni altra ipotesi, la sezione che segue è superflua. |
102. |
Ad ogni modo, con la sua terza questione il giudice nazionale chiede se il diritto di ottenere la cancellazione e il congelamento dei dati, previsto all’articolo 12, lettera b), della direttiva, e il diritto di opposizione, previsto all’articolo 14, lettera a), della direttiva, consentano alla persona interessata di contattare essa stessa i fornitori di servizi di motore di ricerca su Internet affinché non indicizzino le informazioni che la riguardano personalmente e che sono state pubblicate su pagine web di terzi. Ciò facendo, l’interessato cerca di impedire che informazioni potenzialmente nocive vengano a conoscenza degli utenti di Internet o esprime il desiderio che le stesse siano dimenticate, anche se sono state pubblicate da terzi legalmente. In altri termini, il giudice nazionale chiede, in sostanza, se dagli articoli 12, lettera b), e 14, lettera a), della direttiva possa essere derivato un «diritto all’oblio». Questo è il primo punto che occorre esaminare nell’analisi qui di seguito esposta, la quale è fondata sul tenore letterale e sugli obiettivi delle summenzionate disposizioni. |
103. |
Se giungerò alla conclusione che gli articoli 12, lettera b), e 14, lettera a), della direttiva, in se stessi e per se stessi, non offrono siffatta protezione, procederò allora a valutare se una simile interpretazione sia compatibile con la Carta ( 77 ). Sarà quindi necessario considerare il diritto alla protezione dei dati personali, di cui all’articolo 8, il diritto al rispetto della vita privata e familiare, sancito all’articolo 7, le libertà di espressione e di informazione, come tutelate dall’articolo 11 (entrambe con riferimento alla libertà di espressione degli editori di pagine web e alla libertà degli utenti di Internet di ottenere informazioni), e la libertà di impresa, prevista all’articolo 16. Infatti, i diritti delle persone interessate previsti agli articoli 7 e 8 debbono essere ponderati con i diritti, garantiti agli articoli 11 e 16, di quanti intendono diffondere i dati o avervi accesso. |
B – Se i diritti alla rettifica, alla cancellazione, al congelamento e all’opposizione previsti nella direttiva corrispondano a un «diritto all’oblio» della persona interessata
104. |
Il diritto alla rettifica, alla cancellazione e al congelamento dei dati previsto all’articolo 12, lettera b), della direttiva, riguarda i dati il cui trattamento non è conforme alle disposizioni della direttiva, in particolare a causa della loro incompletezza o inesattezza (il corsivo è mio). |
105. |
Nell’ordinanza di rinvio si riconosce che le informazioni apparse sulle pagine web di cui trattasi non possono essere considerate incomplete o inesatte. Tanto meno si sostiene che siano inesatti o incompleti l’indice di Google o i contenuti della sua memoria cache comprendenti tali dati. Pertanto, il diritto alla rettifica, alla cancellazione o al congelamento, ex articolo 12, lettera b), della direttiva, sorgerà solo nel caso in cui il trattamento da parte di Google dei dati personali provenienti da pagine web source di terzi sia incompatibile con la direttiva per ragioni diverse. |
106. |
Ai sensi dell’articolo 14, lettera a), della direttiva, gli Stati membri debbono garantire alla persona interessata il diritto di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. Ciò vale in particolare nei casi di cui all’articolo 7, lettere e) e f), della direttiva, vale a dire nei casi in cui il trattamento è necessario per un interesse pubblico o per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure di terzi. Inoltre, ai sensi dell’articolo 14, lettera a), «il trattamento effettuato dal responsabile» non può più riguardare i dati controversi in caso di obiezione giustificata. |
107. |
Nei casi in cui i fornitori di servizi di motore di ricerca su Internet sono considerati responsabili del trattamento di dati personali, l’articolo 6, paragrafo 2, della direttiva impone loro di contemperare gli interessi del responsabile del trattamento, o dei terzi a vantaggio dei quali il trattamento viene effettuato, con quelli della persona interessata. Come osservato dalla Corte nella sentenza ASNEF e FECEMD, ai fini di questo contemperamento è rilevante se i dati di cui trattasi figurino già, o meno, in fonti accessibili al pubblico ( 78 ). |
108. |
Tuttavia, come sostenuto da quasi tutte le parti che hanno presentato osservazioni scritte nella presente causa, ritengo che la direttiva non preveda un diritto generale all’oblio nel senso che una persona interessata abbia il diritto di limitare o di porre fine alla diffusione di dati personali che consideri nocivi o contrari ai propri interessi. Sono lo scopo del trattamento e gli interessi da esso tutelati, confrontati con quelli della persona interessata, e non le preferenze di quest’ultima, i criteri da applicare allorché i dati vengono trattati senza il consenso della stessa. Di per sé, una preferenza soggettiva non costituisce un motivo preminente e legittimo ai sensi dell’articolo 14, lettera a), della direttiva. |
109. |
Quand’anche la Corte dovesse dichiarare che i fornitori di servizi di motore di ricerca su Internet sono responsabili in quanto «responsabili del trattamento», quod non, dei dati personali presenti su pagine web source di terzi, la persona interessata non avrebbe comunque un «diritto all’oblio» assoluto da invocare nei loro confronti. Tuttavia, il prestatore di servizi dovrebbe calarsi nella posizione dell’editore della pagina web source e verificare se la diffusione di dati personali sulla pagina web possa, in quel momento, essere considerata legale e legittima ai sensi della direttiva. In altri termini, il fornitore di servizi dovrebbe smettere di mediare tra l’utente e l’editore ed assumere la responsabilità del contenuto della pagina web source e, se necessario, censurarlo impedendo o limitando l’accesso alla stessa. |
110. |
Per amore di completezza ricordo che la Proposta della Commissione per un regolamento generale sulla protezione dei dati prevede, all’articolo 17, un diritto all’oblio. Tuttavia, a quanto pare, tale Proposta ha incontrato una notevole opposizione e non è ritenuta costituire una codificazione del diritto vigente, bensì un’importante innovazione giuridica. Pertanto, essa non sembra influire sulla risposta alla questione pregiudiziale. È tuttavia interessante notare che, ai sensi dell’articolo 17, paragrafo 2, della proposta, «[q]uando ha reso pubblici dati personali, il responsabile del trattamento (…) prende tutte le misure ragionevoli (…) in relazione ai dati della cui pubblicazione è responsabile per informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali». Questa formulazione sembra considerare i fornitori di servizi di motore di ricerca in Internet più come terzi che come responsabili del trattamento in quanto tali. |
111. |
Pertanto, concludo che gli articoli 12, lettera b), e 14, lettera a), della direttiva non prevedono un diritto all’oblio. Mi accingo ora a verificare se questa interpretazione delle suddette disposizioni sia conforme alla Carta. |
C – I diritti fondamentali di cui trattasi
112. |
L’articolo 8 della Carta garantisce a tutti il diritto alla protezione dei dati personali. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente. |
113. |
A mio avviso, questo diritto fondamentale, costituendo una riaffermazione dell’acquis dell’Unione europea e del Consiglio d’Europa in questo settore, mette in risalto l’importanza della protezione dei dati personali, ma di per sé non aggiunge alcun elemento nuovo all’interpretazione della direttiva. |
114. |
Ai sensi dell’articolo 7 della Carta, ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni. Tale disposizione, sostanzialmente identica all’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»), dev’essere tenuta in debito conto nell’interpretazione delle disposizioni rilevanti della direttiva, la quale impone agli Stati membri di tutelare in particolare il diritto alla riservatezza. |
115. |
Ricordo che anche l’articolo 8 della CEDU copre le questioni relative alla protezione dei dati personali. Per questa ragione, e conformemente all’articolo 52, paragrafo 3, della Carta, la giurisprudenza della Corte europea dei diritti dell’uomo sull’articolo 8 della CEDU è rilevante tanto ai fini dell’interpretazione dell’articolo 7 della Carta quanto ai fini dell’applicazione della direttiva in conformità con l’articolo 8 della Carta. |
116. |
Nella sentenza Niemetz, la Corte europea dei diritti dell’uomo ha concluso che le attività professionali e commerciali di un individuo possono rientrare nell’ambito della vita privata come tutelata dall’articolo 8 della CEDU ( 79 ). Lo stesso orientamento è stato seguito in successive pronunce della Corte. |
117. |
Inoltre, nella sentenza Volker und Markus Schecke e Eifert ( 80 ), la Corte ha dichiarato che «il rispetto del diritto alla vita privata con riguardo al trattamento dei dati personali, riconosciuto dagli [articoli] 7 e 8 della Carta, [è] riferito ad ogni informazione [il corsivo è mio] relativa ad una persona fisica identificata o identificabile (…) e (…) che le limitazioni che possono essere legittimamente apportate al diritto alla protezione dei dati personali corrispond[o]no a quelle tollerate nell’ambito dell’[articolo] 8 della CEDU». |
118. |
Sulla base della sentenza Volker und Markus Schecke e Eifert concludo che la protezione della vita privata in base alla Carta, relativamente al trattamento dei dati personali, riguarda tutte le informazioni su un individuo, indipendentemente dal fatto che egli agisca in un ambito del tutto privato o come operatore economico oppure, ad esempio, come politico. Considerata l’ampiezza che nel diritto dell’Unione rivestono le nozioni di dati personali e di trattamento degli stessi, dalla giurisprudenza summenzionata sembra emergere che qualsiasi atto di comunicazione effettuato tramite mezzi automatizzati come telecomunicazioni, posta elettronica o social media che riguardi una persona fisica interferisce potenzialmente con tale diritto fondamentale e necessita pertanto di giustificazione ( 81 ). |
119. |
Al paragrafo 75 delle presenti conclusioni ho affermato che un fornitore di servizi di motore di ricerca su Internet effettua un trattamento di dati personali visualizzati su pagine web source di terzi. Inoltre, dalla sentenza della Corte Volker und Markus Schecke e Eifert emerge che, indipendentemente da come vengano qualificate ai sensi della direttiva, le sue attività interferiscono con il diritto alla riservatezza delle persone interessate, sancito all’articolo 7 della Carta. Secondo la CEDU e la Carta, qualsiasi interferenza con i diritti protetti dev’essere basata sulla legge e risultare necessaria in una società democratica. Nella presente causa ci troviamo di fronte non a un’interferenza da parte di autorità pubbliche che necessiti di una giustificazione, bensì al problema di stabilire in che misura possa essere tollerata un’interferenza simile esercitata da privati. I limiti a tale interferenza sono fissati nella direttiva e sono, quindi, basati sulla legge, come richiesto dalla CEDU e dalla Carta. Pertanto, l’interpretazione della direttiva consiste precisamente nell’analizzare alla luce della Carta i limiti al trattamento dati effettuato dai privati. Ne discende la questione di stabilire se esista un obbligo positivo per l’Unione e gli Stati membri di imporre ai fornitori di servizi di motore di ricerca su Internet, che sono soggetti privati, di dare attuazione a un diritto all’oblio ( 82 ). Tale questione ci porta, a sua volta, al problema della giustificazione delle interferenze con gli articoli 7 e 8 della Carta e del rapporto con i concorrenti diritti alla libertà di espressione e di informazione e alla libertà di impresa. |
D – Diritti alla libertà di espressione e di informazione e alla libertà di impresa
120. |
La presente causa riguarda sotto diversi profili la libertà di espressione e di informazione sancita all’articolo 11 della Carta, che corrisponde all’articolo 10 CEDU. Ai sensi dell’articolo 11, paragrafo 1, della Carta, «[o]gni persona ha diritto alla libertà di espressione. Tale diritto include la libertà di opinione e la libertà di ricevere o di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza limiti di frontiera» ( 83 ). |
121. |
Il diritto degli utenti di Internet di cercare e ottenere informazioni messe a disposizione online è tutelato dall’articolo 11 della Carta ( 84 ), il quale riguarda sia le informazioni sulle pagine web source sia le informazioni fornite da motori di ricerca su Internet. Come ho già indicato, Internet ha rivoluzionato l’accesso e la diffusione di ogni tipo di informazione ed ha permesso nuove forme di comunicazione e interazione sociale tra individui. A mio avviso, il diritto fondamentale di informazione merita una particolare protezione nell’Unione, specialmente alla luce della crescente tendenza da parte di regimi autoritari in altre zone del mondo a limitare l’accesso a Internet o a censurare i contenuti che vi sono immessi ( 85 ). |
122. |
Anche gli editori di pagine web godono di protezione ai sensi dell’articolo 11 della Carta. Rendere un contenuto disponibile online rientra, in quanto tale, nell’ambito dell’esercizio della libertà di espressione ( 86 ), specialmente quando l’editore abbia collegato la propria pagina ad altre pagine e non ne abbia limitato l’indicizzazione o l’archiviazione tramite motori di ricerca, palesando in tal modo la sua volontà di dare ampia diffusione al contenuto. Per gli individui la pubblicazione sul web è un mezzo per partecipare al dibattito o per diffondere la propria opinione o contenuti caricati da altri su Internet ( 87 ). |
123. |
In particolare, la presente domanda pregiudiziale riguarda dati personali pubblicati negli archivi storici di un giornale. Nella sua sentenza Times Newspapers Ltd c. Regno Unito (nn. 1 e 2), la Corte europea dei diritti dell’uomo ha rilevato che gli archivi su Internet forniscono un contributo sostanziale alla preservazione e all’accessibilità di notizie e di informazioni: «Tali archivi costituiscono una fonte preziosa per l’insegnamento e le ricerche storiche, specie perché sono immediatamente accessibili al pubblico e generalmente gratuiti. (…) Tuttavia, il margine di discrezionalità di cui gli Stati membri godono nello stabilire un equilibrio tra i diritti in gioco è probabilmente più ampio quando si tratta di informazioni archiviate vertenti su eventi passati che non quando si tratta di informazioni relative ad eventi attuali. In particolare, l’obbligo per la stampa di conformarsi ai principi di un giornalismo responsabile, verificando l’esattezza [il corsivo è mio] delle informazioni pubblicate aventi carattere storico, piuttosto che di quelle di attualità, è probabilmente più rigoroso non essendovi l’urgenza di pubblicare il materiale» ( 88 ). |
124. |
I fornitori commerciali di servizi di motore di ricerca su Internet offrono i propri servizi di localizzazione delle informazioni nell’ambito di un’attività economica volta a ricavare proventi dalla pubblicità tramite parole chiave. Questo ne fa un’impresa, la cui libertà è riconosciuta dall’articolo 16 della Carta, conformemente al diritto dell’Unione e al diritto nazionale ( 89 ). |
125. |
Inoltre, occorre ricordare che nessuno dei diritti fondamentali di cui trattasi nella presente causa ha carattere assoluto. Tali diritti possono essere limitati, se necessario, alle condizioni stabilite dall’articolo 52, paragrafo 1, della Carta ( 90 ). |
E – Se sia possibile derivare un «diritto all’oblio» della persona interessata dall’articolo 7 della Carta
126. |
Da ultimo, occorre valutare se l’interpretazione degli articoli 12, lettera b), e 14, lettera a), della direttiva alla luce della Carta, e in particolare del suo articolo 7, possa portare a riconoscere un «diritto all’oblio» nel senso indicato dal giudice nazionale. Una constatazione di questo tipo non sarebbe contraria, a priori, all’articolo 51, paragrafo 2, della Carta, in quanto porterebbe a precisare la portata del diritto di opposizione della persona interessata, già riconosciuto dalla direttiva, senza creare nuovi diritti o ampliare l’ambito del diritto dell’Unione. |
127. |
La Corte europea dei diritti dell’uomo ha dichiarato, nella sentenza Aleksey Ovchinnikov ( 91 ), che «in alcuni casi può essere giustificato limitare la riproduzione di informazioni già divenute di pubblico dominio, ad esempio al fine di impedire un’ulteriore diffusione dei dettagli della vita privata di una persona estranea a qualsiasi dibattito politico o pubblico su un argomento di importanza generale». Pertanto, in linea di principio, il diritto fondamentale alla protezione della vita privata può essere invocato anche se le informazioni di cui trattasi sono già di pubblico dominio. |
128. |
Tuttavia, il diritto della persona interessata alla protezione della sua vita privata dev’essere contemperato con altri diritti fondamentali, in particolare con la libertà di espressione e la libertà di informazione. |
129. |
La libertà di informazione dell’editore di un giornale tutela il suo diritto di ripubblicare su Internet in via digitale le proprie copie cartacee. A mio parere, le autorità, comprese le autorità per la protezione dei dati, non possono censurare una tale ripubblicazione. La sentenza Times Newspapers Ltd c. Regno Unito (nn. 1 e 2) della Corte europea dei diritti dell’uomo ( 92 ) dimostra che la responsabilità dell’editore riguardo all’esattezza delle pubblicazioni aventi carattere storico può essere più rigorosa di quella prevista per le pubblicazioni di notizie di attualità e può esigere l’uso di apposite avvertenze che completino il contenuto controverso. Tuttavia, a mio avviso, nulla può giustificare la richiesta di una nuova pubblicazione, in formato digitale, del numero di un giornale con un contenuto diverso da quello della versione cartacea originariamente edita. Ciò equivarrebbe ad un falso storico. |
130. |
Il problema della protezione dei dati, che è al centro della presente controversia, si pone solo nel caso in cui un utente di Internet inserisca il nome e il cognome della persona interessata nel motore di ricerca ottenendo un link verso le pagine web del giornale in cui compaiono gli annunci contestati. In una situazione di questo genere l’utente di Internet esercita attivamente il proprio diritto ad ottenere informazioni relative alla persona interessata provenienti da fonti pubbliche per motivi che solamente lui conosce ( 93 ). |
131. |
Nella società contemporanea dell’informazione, cercare informazioni pubblicate su Internet tramite motori di ricerca costituisce uno degli strumenti più importanti per esercitare detto diritto fondamentale. Tale diritto comprende, indubbiamente, quello di cercare informazioni relative ad altre persone, ossia, in linea di principio, informazioni protette dal diritto alla vita privata, come quelle che compaiono su Internet a proposito delle attività svolte da un imprenditore o da un politico. Il diritto all’informazione di un utente di Internet sarebbe pregiudicato se la sua ricerca di informazioni su una persona producesse risultati che non riflettono fedelmente le pagine web pertinenti, ma ne offrono solo una versione «bowdlerizzata» ( 94 ). |
132. |
Un fornitore di servizi di motore di ricerca su Internet esercita legalmente tanto la sua libertà di impresa quanto la sua libertà di espressione quando rende disponibili su Internet strumenti di localizzazione delle informazioni sulla base di un motore di ricerca. |
133. |
La costellazione particolarmente complessa e difficile di diritti fondamentali che questo caso presenta osta alla possibilità di rafforzare la posizione giuridica della persona interessata ai sensi della direttiva riconoscendole un diritto all’oblio. Ciò vorrebbe dire sacrificare diritti primari come la libertà di espressione e di informazione. Inoltre, inviterei la Corte a non concludere che questi interessi concorrenti possono essere ponderati in modo soddisfacente in situazioni individuali sulla base di una valutazione caso per caso, lasciando la decisione ai fornitori di servizi di motore di ricerca su Internet. Simili «procedure di notifica e rimozione», se la Corte le richiedesse, porterebbero probabilmente o al ritiro automatico dei link verso qualsiasi contenuto oggetto di un’opposizione oppure ad un numero ingestibile di richieste ai fornitori di servizi di motori di ricerca su Internet più popolari e importanti ( 95 ). In tale contesto, occorre ricordare che le «procedure di notifica e rimozione» di cui alla direttiva 2003/31 sul commercio elettronico si riferiscono a contenuti illeciti, mentre il presente caso verte su una richiesta di soppressione di informazioni legittime e legali entrate nella sfera pubblica. |
134. |
In particolare, i fornitori di servizi di motore di ricerca su Internet non dovrebbero vedersi addossare un simile obbligo. Ciò implicherebbe un’interferenza con la libertà di espressione dell’editore di una pagina web, il quale non godrebbe di una tutela legale adeguata in tale situazione, poiché ogni «procedura di notifica e rimozione» non regolamentata sarebbe una questione privata tra la persona interessata e il fornitore di servizi di motori di ricerca ( 96 ). Questo equivarrebbe ad una censura del contenuto pubblicato effettuata da un privato ( 97 ). È questione del tutto diversa il fatto che gli Stati membri abbiano obblighi positivi di offrire un ricorso effettivo nei confronti dell’editore che violi il diritto alla vita privata, cosa che, nell’ambito di Internet, riguarderebbe l’editore della pagina web. |
135. |
Come osservato dal Gruppo di lavoro Articolo 29, è possibile che la responsabilità sussidiaria dei fornitori di servizi di motore di ricerca su Internet in forza della legislazione nazionale possa implicare obblighi di congelare l’accesso a siti web di terzi aventi contenuti illegali, come pagine web che violano i diritti di proprietà intellettuale o che visualizzano informazioni diffamatorie o criminali ( 98 ). |
136. |
Per contro, nessun diritto generalizzato all’oblio può essere fatto valere nei loro confronti sulla base della direttiva, anche ad interpretarla conformemente alla Carta. |
137. |
Per questi motivi propongo alla Corte di rispondere alla terza questione pregiudiziale nel senso che il diritto di ottenere la cancellazione e il congelamento dei dati, previsto all’articolo 12, lettera b), e il diritto di opposizione, previsto all’articolo 14, lettera d), della direttiva, non comprendono un diritto all’oblio come quello descritto nel rinvio pregiudiziale. |
VIII – Conclusione
138. |
Alla luce delle suesposte considerazioni, ritengo che la Corte dovrebbe rispondere alle questioni sollevate dall’Audiencia Nacional come segue:
|
( 1 ) Lingua originale: l’inglese.
( 2 ) Harvard Law Review, vol. IV, n. 5, del 15 dicembre 1890.
( 3 ) Di fatto, «Internet» comprende due servizi principali, ossia il World Wide Web e i servizi di posta elettronica. Sebbene Internet, in quanto rete di computer interconnessi, esista da un certo tempo sotto diverse forme, a cominciare da Arpanet (Stati Uniti), la rete aperta e liberamente accessibile con indirizzi www e una struttura comune dei codici è iniziata soltanto al principio degli anni ‘90. A quanto risulta, il termine storicamente corretto sarebbe World Wide Web. Tuttavia, tenuto conto dell’uso corrente e delle scelte terminologiche effettuate nella giurisprudenza della Corte, qui di seguito verrà principalmente utilizzato il termine «Internet» con riferimento alla parte World Wide Web della rete.
( 4 ) La collocazione delle pagine web è identificata con un indirizzo individuale, l’URL (Uniform Ressource Locator), un sistema creato nel 1994. Si può accedere ad una pagina web digitando il suo URL nel web browser [navigatore web], direttamente o con l’aiuto di un nome di dominio. Le pagine web devono essere codificate con un linguaggio di marcatura. L’HyperText Markup Language (HTML) è il principale linguaggio di marcatura per la creazione di pagine web e di altre informazioni visualizzabili in un web browser.
( 5 ) La portata delle tre questioni è illustrata dalle informazioni seguenti (anche se non sono disponibili dati precisi). In primo luogo, è stato stimato che esistano oltre 600 milioni di siti web in Internet. In questi siti Internet vi sarebbero oltre 40 miliardi di pagine web. In secondo luogo, riguardo ai motori di ricerca, il loro numero è molto più limitato: esisterebbero meno di 100 motori di ricerca importanti e attualmente Google deterrebbe una quota enorme su molti mercati. È stato detto che il successo del motore di ricerca di Google è basato su web crawler [programmi per la raccolta di informazioni o programmi spider] estremamente potenti, su sistemi di indicizzazione efficaci e su una tecnologia che consente di classificare i risultati della ricerca in base alla loro rilevanza per l’utente (compreso l’algoritmo brevettato PageRank): v. López‑Tarruella, A., «Introduction: Google Pushing the Boundaries of Law», Google and the Law. Empirical Approaches to Legal Aspects of Knowledge Economy Business Models, ed. López-Tarruella, A., T.M.C., Asser Press, L’Aja, 2012, pagg. da 1 a 8, in particolare pag. 2. In terzo luogo, oltre tre quarti degli Europei utilizzano Internet e, nella misura in cui essi utilizzano motori di ricerca, i loro dati personali, in quanto utenti di motori di ricerca su Internet, possono essere raccolti e trattati dal motore di ricerca su Internet di cui si sono serviti.
( 6 ) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31).
( 7 ) V., in generale, Gruppo di lavoro Articolo 29 per la protezione dei dati personali, parere n. 1/2008 sugli aspetti della protezione dei dati connessi ai motori di ricerca (WP 148). La politica di riservatezza seguita da Google riguardo agli utenti del suo motore di ricerca viene esaminata dalle autorità degli Stati membri incaricate della protezione dei dati personali. L’azione è condotta dall’Autorità francese per la tutela dei dati personali (la CNIL). Per sviluppi recenti, v. la lettera del 16 ottobre 2012 inviata a Google dal Gruppo di lavoro Articolo 29, disponibile sul sito Internet menzionato alla nota 22.
( 8 ) V. infra, paragrafo 19.
( 9 ) Nel prosieguo, con l’espressione «motore di ricerca su Internet» si farà riferimento alla combinazione di software e strumenti che rende possibile la ricerca di testi e contenuti audiovisivi su Internet. Le questioni specifiche relative ai motori di ricerca operanti all’interno di un dominio Internet definito (o sito web), come http://curia.europa.eu, non sono oggetto di discussione nelle presenti conclusioni. L’operatore economico che fornisce l’accesso ad un motore di ricerca verrà definito con l’espressione «fornitore di servizi di motore di ricerca su Internet». Nella presente causa, è Google Inc. il fornitore di servizi che danno accesso al motore di ricerca Google nonché a numerose altre funzioni di ricerca, come maps.google.com e news.google.com.
( 10 ) Sentenza del 6 novembre 2003 (C-101/01, Racc. pag. I-12971).
( 11 ) Sentenza del 20 maggio 2003 (C-465/00, C-138/01 e C-139/01, Racc. pag. I-4989).
( 12 ) Sentenza del 16 dicembre 2008 (C-73/07, Racc. pag. I-9831).
( 13 ) Sentenza del 9 novembre 2010 (C-92/09 e C-93/09, Racc. pag. I-11063).
( 14 ) Sentenze, rispettivamente, del 23 marzo 2010 (da C-236/08 a C-238/08, Racc. pag. I-2417); dell’8 luglio 2010 (C-558/08, Racc. pag. I-6963); del 12 luglio 2011 (C-324/09, Racc. pag. I-6011); del 22 settembre 2011 (C-323/09, Racc. pag. I-8625) e del 19 aprile 2012 (C‑523/10).
( 15 ) Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), COM(2012) 11 def.
( 16 ) BOE n. 298, del 14 dicembre 1999, pag. 43088.
( 17 ) Ai sensi del considerando 11, i «principi della tutela dei diritti e delle libertà delle persone, in particolare del rispetto della vita privata, contenuti dalla presente direttiva precisano ed ampliano quelli enunciati dalla convenzione del 28 gennaio 1981 del Consiglio d’Europa sulla protezione delle persone con riferimento al trattamento automatizzato dei dati di carattere personale».
( 18 ) Gruppo di lavoro Articolo 29, parere n. 1/2010 sui concetti di «responsabile del trattamento» e «incaricato del trattamento» (WP 169), pagg. 3 e 4.
( 19 ) Per esempio, sentenza del 25 ottobre 2011, eDate Advertising e Martinez (C-509/09 e C-161/10, Racc. pag. I-10269, punto 45).
( 20 ) Di solito un giornale contiene dati personali, come i nomi di persone fisiche. Questi dati personali sono trattati nel momento in cui vengono consultati tramite mezzi automatizzati. Tale trattamento ricade nell’ambito di applicazione della direttiva, a meno che non sia effettuato da una persona fisica nell’esercizio di attività puramente personali o domestiche. V. articolo 2, lettere a) e b), e articolo 3, paragrafo 2, della direttiva. Inoltre, anche la lettura di un documento cartaceo o la visualizzazione di immagini contenenti dati personali equivale a un trattamento degli stessi. V. Dammann, U., e Simitis, S., EG-Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, pag. 110.
( 21 ) V. sentenza Lindqvist, cit., punti da 67 a 70, relativamente all’interpretazione dell’articolo 25 della direttiva.
( 22 ) I pareri sono disponibili sul sito Internet http://ec.europa.eu/justice/data-protection/index_en.htm.
( 23 ) I motori di ricerca su Internet sono in costante evoluzione e in questa sede si intende solo dare un’idea generale delle caratteristiche essenziali attualmente rilevanti.
( 24 ) Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («direttiva sul commercio elettronico») (GU L 178, pag. 1).
( 25 ) V. considerando 18 e articolo 2, lettera a), della direttiva 2000/31 sul commercio elettronico, in combinato disposto con la direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, che prevede una procedura d’informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione (GU L 204, pag. 37), come modificata dalla direttiva 98/48 del Parlamento europeo e del Consiglio, del 20 luglio 1998 (GU L 217, pag. 18).
( 26 ) Cit., punti da 25 a 27.
( 27 ) Un tipico codice di esclusione attuale (o protocollo robot di esclusione) è chiamato «robots.txt»; v. http://en.wikipedia.org/wiki/Robots.txt o http://www.robotstxt.org.
( 28 ) I codici di esclusione, tuttavia, non impediscono tecnicamente l’indicizzazione o la visualizzazione, il fornitore di servizi che gestisce un motore di ricerca può decidere di ignorarli. I principali fornitori di servizi di motore di ricerca su Internet, Google compresa, sostengono di rispettare i codici contenuti nella pagina web source. V. il parere n. 1/2008 del Gruppo di lavoro Articolo 29, cit., pag. 14.
( 29 ) V. sentenza della Corte europea dei diritti dell’uomo, K.U. c. Finlandia, n. 2872/02, §§ 43 e 48, Corte eur. D.U. 2008, nella quale la Corte ha fatto riferimento all’esistenza di obblighi positivi inerenti ad un rispetto effettivo della vita privata e familiare. Questi obblighi possono comprendere l’adozione di misure volte a garantire il rispetto della vita privata anche nell’ambito dei rapporti interpersonali. Nella sentenza K.U. c. Finlandia lo Stato aveva un obbligo positivo di garantire l’esistenza di un rimedio effettivo nei confronti dell’editore.
( 30 ) Internet, tuttavia, non è un’unica e gigantesca banca dati creata dal «Grande Fratello», bensì un sistema decentrato di informazioni che derivano da innumerevoli fonti indipendenti, nel quale l’accesso e la diffusione delle informazioni dipende da servizi di intermediari che, in quanto tali, nulla hanno a che vedere con i contenuti.
( 31 ) V., al riguardo, le mie conclusioni relative alla sentenza L’Oréal e a., cit., paragrafi 54 e segg.
( 32 ) Il che corrisponde alla terza situazione menzionata supra, al paragrafo 3.
( 33 ) Per un esempio di un sistema di pubblicità tramite parole chiave (Google’s AdWords) v. le sentenze Google France e Google, cit., punti 22 e 23; del 25 marzo 2010, BergSpechte (C-278/08, Racc. pag. I-2517, punti da 5 a 7); Portakabin, cit., punti da 8 a 10; e Interflora e Interflora British Unit, cit., punti da 9 a 13.
( 34 ) Sentenze del 5 ottobre 2010, McB. (C-400/10 PPU, Racc. pag. I-8965, punti 51 e 59); del 15 novembre 2011, Dereci e a. (C-256/11, Racc. pag. I-11315, punti 71 e 72); dell’8 novembre 2012, Iida (C‑40/11, punto 78); e del 26 febbraio 2013, Åkerberg Fransson (C‑617/10, punto 23).
( 35 ) Per esempio, nella sentenza McB., la Corte ha respinto un’interpretazione, richiesta sulla base dell’articolo 7 della Carta, del «diritto di affidamento» di cui all’articolo 2, paragrafo 9, del regolamento (CE) n. 2201/2003 del Consiglio, del 27 novembre 2003, relativo alla competenza, al riconoscimento e all’esecuzione delle decisioni in materia matrimoniale e in materia di responsabilità genitoriale, che abroga il regolamento (CE) n. 1347/2000 (GU L 338, pag. 1), che ne avrebbe ampliato il significato. Ciò premesso, naturalmente, una disposizione legislativa dell’Unione che non possa essere interpretata in conformità con i diritti fondamentali tutelati dal diritto dell’Unione dev’essere dichiarata invalida. V. sentenza del 1o marzo 2011, Association belge des Consommateurs Test‑Achats e a. (C-236/09, Racc. pag. I-773, punti da 30 a 34).
( 36 ) Gruppo di lavoro Articolo 29, parere n. 8/2010 - WP 179 sul diritto applicabile, pag. 8.
( 37 ) Gruppo di lavoro Articolo 29, parere n. 8/2010, pagg. 24 e 31 [pag. 36, ndT].
( 38 ) Articolo 3, paragrafo 2, lettera a), della Proposta della Commissione.
( 39 ) Sentenza L’Oréal e a. e direttiva n. 2000/31 sul commercio elettronico.
( 40 ) Regolamento (CE) n. 44/2011 del Consiglio, del 22 dicembre 2000, concernente la competenza giurisdizionale, il riconoscimento e l’esecuzione delle decisioni in materia civile e commerciale (GU L 12, pag. 1), e sentenze del 7 dicembre 2010, Pammer e Hotel Alpenhof (C-585/08 e C-144/09, Racc. pag. I-12527), nonché Wintersteiger, cit. V. inoltre le mie conclusioni relative alla causa Pinckney (C‑170/12), ancora pendente.
( 41 ) Direttiva 2001/29 del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione (GU L 167, pag. 10), e sentenza del 21 giugno 2012, Donner (C‑5/11).
( 42 ) Il rinvio pregiudiziale non specifica cosa si intenda per «centro di gravità», ma la stessa espressione è stata impiegata dall’avvocato generale Cruz Villalón nelle sue conclusioni relative alla sentenza eDate Advertising e Martinez (paragrafi 32 e 55).
( 43 ) Gruppo di lavoro Articolo 29, parere n. 8/2010, pagg. 8 e 9. Il Gruppo di lavoro sottolinea inoltre che il termine «equipment» («strumenti») utilizzato nella versione inglese della direttiva è eccessivamente ristretto, in quanto le altre versioni linguistiche adoperano termini più simili all’inglese «means» («mezzi»), termine che copre anche dispositivi immateriali come i cookies (pagg. 23 e 24).
( 44 ) V., in particolare, Gruppo di lavoro Articolo 29, parere n. 8/2010, pag. 19, in cui si sostiene che [non l’articolo 4, paragrafo 1, lettera a), bensì] l’articolo 4, paragrafo 1, lettera c), della direttiva dovrebbe applicarsi, malgrado la sua formulazione, quando il responsabile del trattamento ha stabilimenti nell’UE, ma le sue attività sono senza rapporto con il trattamento di dati personali.
( 45 ) V. sentenza Google France e Google (cit., punto 23).
( 46 ) V. sentenza Google France e Google (punto 25) e parere n. 1/2008 del Gruppo di lavoro Articolo 29, pagg. 5 e 6. È facile verificare che l’uso delle stesse parole chiave su domini nazionali Google diversi può determinare la visualizzazione di risultati e annunci pubblicitari diversi.
( 47 ) Gruppo di lavoro Articolo 29, parere n. 1/2008, pag. 10.
( 48 ) V. articolo 2, lettera a), della direttiva, ai sensi del quale si intende per dati personali «qualsiasi informazione concernente una persona fisica identificata o identificabile». Nel suo parere n. 4/2007, relativo alla nozione di dati personali (WP 136), il Gruppo di lavoro Articolo 29 fornisce un’ampia gamma di esempi. La Corte ha confermato l’interpretazione ampia nella sentenza Lindqvist (cit., punti da 24 a 27). V. anche sentenze Österreichischer Rundfunk e a. (cit., punto 64); Satakunnan Markkinapörssi e Satamedia (cit., punti da 35 a 37); del 16 dicembre 2008, Huber (C-524/06, Racc. pag. I-9705, punto 43); del 7 maggio 2009, Rijkeboer (C-553/07, Racc. pag. I-3889, punto 62); del 19 aprile 2012, Bonnier Audio e a. (C‑461/10, punto 93); e Volker und Markus Schecke e Eifert (cit., punti 23, 55 e 56).
( 49 ) Il Gruppo di lavoro Articolo 29 ricorda che «non è necessario che le informazioni siano considerate dati personali contenuti in una base dati o in un archivio strutturati. Anche le informazioni contenute sotto forma di testo libero in un documento elettronico possono essere considerate dati personali (…)»; v. parere n. 4/2007, pag. 8.
( 50 ) Esistono motori di ricerca o funzionalità di motori di ricerca che riguardano specificamente i dati personali, i quali possono, in quanto tali, essere identificati per forma (per esempio, i numeri di previdenza sociale) o per composizione (le sequenze di segni corrispondenti a nomi e cognomi). V. Gruppo di lavoro Articolo 29, parere n. 1/2008, pag. 14. Tali motori di ricerca possono sollevare problemi particolari in materia di protezione dei dati personali che esulano dall’ambito delle presenti conclusioni.
( 51 ) Tuttavia, le cosiddette pagine orfane, che non hanno nessun link ad altre pagine web, rimangono inaccessibili al motore di ricerca.
( 52 ) Le pagine web trovate dal crawler vengono immagazzinate nella banca dati indicizzata di Google, organizzata alfabeticamente per termini di ricerca, nella quale ciascun invio di indice archivia un elenco di documenti in cui compaiono il termine e la sua posizione all’interno del testo. Alcune parole, come articoli, pronomi e avverbi comuni, nonché alcuni numeri e lettere singole non sono indicizzati. V. http://www.googleguide.com/google_works.html.
( 53 ) Queste copie (cosiddette «snapshot») delle pagine web archiviate nella memoria cache di Google consistono soltanto di codici HTML e non di immagini, le quali debbono essere caricate dalla posizione originale. V. Peguera, M., «Copyright Issues Regarding Google Images and Google Cache», Google and the Law, pagg. da 169 a 202, in particolare pag. 174.
( 54 ) I fornitori di servizi di motori di ricerca su Internet di solito permettono ai webmaster di chiedere l’aggiornamento della copia della pagina web contenuta nella memoria cache. Le istruzioni relative possono essere reperite sulla pagina «Strumenti per i webmaster» di Google.
( 55 ) Le versioni linguistiche della direttiva [italiana], francese, tedesca, spagnola, svedese e neerlandese parlano di un’entità «responsabile» del trattamento dei dati, la versione inglese parla di un «controllore» («controller)», mentre altre versioni, come quella finlandese e polacca, utilizzano termini più neutri (in finlandese «rekisterinpitäjä»; in polacco «administrator danych»).
( 56 ) Sentenza Lindqvist (cit., punto 68).
( 57 ) Gruppo di lavoro Articolo 29, parere n. 1/2008, pag. 14, nota 17. Secondo tale parere, il ruolo degli utenti esulerebbe dall’ambito di applicazione della direttiva sulla protezione dei dati in quanto essi esercitano «attività puramente personali». Trovo quest’affermazione non condivisibile. In genere gli utenti di Internet utilizzano motori di ricerca anche per attività che non sono puramente personali, per esempio per fini professionali, di studio, commerciali o nell’ambito del terziario.
( 58 ) Nel parere n. 4/2007 il Gruppo di lavoro Articolo 29 fornisce numerosi esempi della nozione e del trattamento dei dati personali, responsabile del trattamento compreso, e mi sembra che in tutti gli esempi offerti il suddetto requisito sia soddisfatto.
( 59 ) Gruppo di lavoro Articolo 29, parere n. 1/2010, pag. 9.
( 60 ) Ibid., pag. 14.
( 61 ) Dammann e Simitis (op. cit., pag. 120) osservano che il trattamento con mezzi automatizzati non solo deve riguardare il supporto sul quale i dati sono registrati (Datenträger), ma deve anche riferirsi ai dati nella loro dimensione semantica o sostanziale. A mio parere, è fondamentale che i dati personali siano «informazioni» ai sensi della direttiva, ossia costituiscano un contenuto rilevante sul piano semantico.
( 62 ) Gruppo di lavoro Articolo 29, parere n. 1/2008, pag. 14.
( 63 ) Sentenza Lindqvist (cit., punto 27).
( 64 ) Sentenza Satakunnan Markkinapörssi e Satamedia (cit., punto 37).
( 65 ) Gruppo di lavoro Articolo 29, parere n. 1/2010, pagg. 4 e 9.
( 66 ) Gruppo di lavoro Articolo 29, parere n. 1/2008, pag. 14.
( 67 ) Tuttavia, il Gruppo di lavoro Articolo 29, nel parere n. 1/2008, pag. 14, aggiunge che a stabilire se sussista un obbligo di cancellare o di bloccare i dati personali sono il diritto penale generale e le disposizioni sulla responsabilità vigenti nei singoli Stati membri. In alcuni Stati membri la normativa nazionale prevede procedure di «notifica e rimozione» che il fornitore di servizi di motore di ricerca su Internet deve seguire per non incorrere in responsabilità.
( 68 ) Vi è chi ha sostenuto che Google effettua un filtraggio di questo tipo in quasi tutti i paesi, per esempio a proposito della violazione di diritti di proprietà intellettuale. Inoltre, negli Stati Uniti sono state filtrate alcune critiche relative a Scientology. In Francia e in Germania Google filtra i risultati di ricerca relativi ad «oggetti di collezione nazisti, ai negazionisti dell’Olocausto, ai sostenitori della supremazia bianca e ai siti che fanno propaganda contro l’ordine costituzionale democratico». Per altri esempi, v. Friedmann, D., «Paradoxes, Google and China: How Censorship can Harm and Intellectual Property can Harness Innovation», Google and the Law, pagg. da 303 a 327, in particolare pag. 307.
( 69 ) V. supra, paragrafo 41.
( 70 ) Prima relazione in merito all’applicazione della [direttiva 2000/31 sul commercio elettronico], COM(2003)702 def., pag. 13, nota 69, e Gruppo di lavoro Articolo 29, parere n. 1/2008, pag. 13, nota 16.
( 71 ) V. supra, paragrafo 41.
( 72 ) La capacità di un nome proprio di identificare una persona fisica dipende dal contesto. Un nome comune può non identificare una persona su Internet, ma sicuramente la identifica, per esempio, all’interno di una classe scolastica. Nel trattamento informatico di dati personali ad una persona viene di solito assegnato un identificativo unico per evitare confusioni tra due soggetti. Esempi tipici di questi identificatori sono i numeri di previdenza sociale. V., al riguardo, Gruppo di lavoro Articolo 29, parere n. 4/2007, pag. 13, e parere n. 1/2008, pag. 9, nota 11.
( 73 ) È interessante sottolineare tuttavia che, nell’ambito dei dati archiviati dalle agenzie governative, la Corte europea dei diritti dell’uomo ha dichiarato che «[i]l diritto interno deve garantire, in particolare, che questi dati siano pertinenti e non eccedenti rispetto alle finalità per le quali vengono archiviati; inoltre, essi debbono essere conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono conservati» (v. sentenza S. e Marper c. Regno Unito [GC], nn. 30562/04 e 30566/04, § 103, Corte eur. D.U. 2008; v. altresì sentenza Segerstedt-Wiberg e a. c. Svezia, n. 62332/00, § 90, Corte eur. D.U. 2006-VII). Tuttavia, la Corte europea dei diritti dell’uomo ha altresì riconosciuto, nell’ambito dell’articolo 10 della CEDU, relativo alla libertà di espressione, «il contributo essenziale offerto dagli archivi di Internet alla custodia e all’accessibilità di notizie e di informazioni» [v. sentenza Times Newspapers Ltd c. Regno Unito (nn. 1 e 2), nn. 3002/03 e 23676/03, § 45, Corte eur. D.U. 2009].
( 74 ) V. supra, paragrafo 41.
( 75 ) V. articolo 14 della direttiva sul commercio elettronico.
( 76 ) Gruppo di lavoro Articolo 29, parere n. 1/2008, pag. 14.
( 77 ) Questo è l’approccio seguito dalla Corte nella sentenza McB (cit., punti 44 e 49).
( 78 ) Sentenza del 24 novembre 2011 (C-468/10 e C-469/10, Racc. pag. I-12181, punti 44 e 45). La Corte europea dei diritti dell’uomo ha sottolineato che la pubblicazione di dati personali in altro luogo pone fine al superiore interesse alla tutela della riservatezza; v. sentenza del 16 dicembre 2010, Aleksey Ovchinnikov c. Russia, n. 24061/04, § 49.
( 79 ) Corte eur. D.U., sentenze Niemietz c. Germania, del 16 dicembre 1992, serie A n. 251-B, § 29; Amann c. Svizzera [GC], n. 27798/95, Recueil des arrêts et décisions, 2000‑II, § 65; e Rotaru c. Romania [GC], n. 28341/95, Recueil des arrêts et décisions, 2000 V, § 43.
( 80 ) Cit., punto 52.
( 81 ) Per contro, la Corte europea dei diritti dell’uomo si è astenuta dal fornire una definizione del concetto di vita privata in termini positivi. A suo giudizio, quella di vita privata è una nozione ampia, non suscettibile di una definizione esaustiva (v. sentenza Costello‑Roberts c. Regno Unito, del 25 marzo 1993, serie A n. 247‑C, § 36).
( 82 ) Riguardo agli obblighi dello Stato di attivarsi per proteggere la vita privata in caso di violazione da parte di privati e alla necessità di contemperare ogni intervento in tal senso con il diritto alla libertà di espressione di questi ultimi, v., per esempio, Corte eur. D.U., sentenze Von Hannover c. Germania, n. 59320/00, Recueil des arrêts et décisions 2004‑VI, e Ageyevy c. Russia, n. 7075/10, del 18 aprile 2013.
( 83 ) V. Corte eur. D.U., sentenze Handyside c. Regno Unito, del 7 dicembre 1976, serie A n. 24, § 49; Müller e a. c. Svizzera, del 24 maggio 1988, serie A n. 133, § 33; Vogt c. Germania, del 26 settembre 1995, serie A n. 323, § 52; e Guja c. Moldavia [GC], n. 14277/04, § 69, Recueil des arrêts et décisions 2008. V. inoltre sentenza del 6 marzo 2001, Connolly/Commissione (C-274/99 P, Racc. pag. I-1611, punto 39), e conclusioni dell’avvocato generale Kokott relative alla sentenza Satakunnan Markkinapörssi e Satamedia (cit., paragrafo 38).
( 84 ) Sentenza del 16 febbraio 2012, SABAM/Netlog (C‑360/10, punto 48).
( 85 ) Nazioni Unite, Consiglio dei Diritti Umani, Rapporto del Relatore speciale sulla promozione e la protezione del diritto di libertà di opinione ed espressione, Frank La Rue (Document A/HRC/17/27), del 16 maggio 2011.
( 86 ) Sentenza Satakunnan Markkinapörssi e Satamedia (cit., punto 60).
( 87 ) Occorre qui ricordare che la deroga per il giornalismo prevista dall’articolo 9 della direttiva si applica «non solo alle imprese operanti nel settore dei media ma anche a chiunque svolga attività giornalistica»; v. sentenza Satakunnan Markkinapörssi e Satamedia (cit., punto 58).
( 88 ) Corte eur. D.U., sentenza Times Newspapers Ltd (nn. 1 e 2), § 45.
( 89 ) Sentenze del 24 novembre 2011, Scarlet Extended (C-70/10, Racc. pag. I-11959, punto 46), e SABAM/Netlog (cit., punto 44).
( 90 ) V. anche sentenza del 18 marzo 2010, Alassini e a. (da C-317/08 a C-320/08, Racc. pag. I-2213, punto 63), in cui la Corte ha dichiarato che, «secondo una giurisprudenza costante, i diritti fondamentali non si configurano come prerogative assolute, ma possono soggiacere a restrizioni, a condizione che queste rispondano effettivamente ad obiettivi di interesse generale perseguiti dalla misura di cui trattasi e non costituiscano, rispetto allo scopo perseguito, un intervento sproporzionato ed inaccettabile, tale da ledere la sostanza stessa dei diritti così garantiti (v., in tal senso, sentenza del 15 giugno 2006, Dokter e a., C 28/05, Racc. pag. I-5431, punto 75, e la giurisprudenza ivi citata, nonché Corte eur. D.U., sentenza Fogarty c. Regno Unito del 21 novembre 2001, n. 37112/97, Recueil des arrêts et décisions 2001‑XI, § 33)».
( 91 ) Cit., punto 50.
( 92 ) Cit. supra.
( 93 ) Per quanto riguarda il diritto ad ottenere informazioni, v. sentenze della Corte eur. D.U., Observer e Guardian c. Regno Unito, del 26 novembre 1991, serie A, n. 216, § 60, e Timpul Info‑Magazin e Anghel c. Moldova, del 27 novembre 2007, n. 42864/05, § 34.
( 94 ) Thomas Bowdler (1754–1825) pubblicò una versione ingentilita dell’opera di William Shakespeare, che voleva essere più adatta a donne e bambini del XIX secolo rispetto a quella originale.
( 95 ) Sentenza SABAM/Netlog (cit., punti da 45 a 47).
( 96 ) V. le mie conclusioni nella sentenza L’Oréal e a. (cit., paragrafo 155).
( 97 ) V. sentenza SABAM/Netlog (cit., punti 48 e 50).
( 98 ) Gruppo di lavoro Articolo 29, parere n. 1/2008, pagg. 14 e 15.