LA RESPONSABILITÀ AFFIDATA A GOOGLE DI BILANCIARE GLI INTERESSI DI PUBBLICAZIONE DELLA NOTIZIA E DEL DIRITTO ALLA RISERVATEZZA ALTRUI. NOTE CRITICHE
Corte di Giustizia 13 maggio 2014 (causa C 131/12)
Domenico Maffei
Una vicenda nata in Spagna 5 anni or sono obbliga l’intervento della Corte di Giustizia, che offre delle soluzioni che non mancheranno di suscitare polemiche.
Il caso. Un giornale ad ampia diffusione in Spagna pubblica nell’edizione cartacea due annunci riguardanti un’asta immobiliare collegata ad un procedimento esecutivo derivante da debiti contratti con il sistema previdenziale. Una persona era menzionata quale proprietaria degli immobili e l’editore aveva pubblicato la versione elettronica del giornale.
Successivamente la persona in questione ha contattato Google Spain e ha chiesto che, in caso di inserimento del suo nome e cognome nel motore di ricerca Google, i risultati della ricerca non mostrassero i link verso il giornale. Google Spain ha inoltrato la richiesta a Google Inc., la cui sede sociale è in California (Stati Uniti), considerando che quest’ultima fosse l’impresa fornitrice del servizio di ricerca Internet. Ancora, l’interessato ha presentato reclamo alla Agencia Española de Protección de Datos (Autorità spagnola per la protezione dei dati, «AEPD») contro l’editore e Google. Con decisione del 30 luglio 2010 il direttore della AEPD ha accolto il reclamo contro Google Spain e Google Inc., ingiungendo loro di ritirare i dati dal loro indice e di rendere impossibile in futuro l’accesso agli stessi. Il reclamo contro l’editore è stato invece respinto, in quanto la pubblicazione sulla stampa era legalmente giustificata. Google Inc. e Google Spain hanno allora proposto impugnazione dinanzi alla Audiencia Nacional (Alta Corte nazionale, Spagna), chiedendo l’annullamento della decisione della AEPD. In tale contesto i giudici spagnoli hanno sottoposto la questione alla Corte di giustizia
La Corte affermando il principio per cui << Gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, nel valutare i presupposti di applicazione di tali disposizioni, si deve verificare in particolare se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato. Dato che l’interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli articoli 7 e 8 della Carta, chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell’inclusione summenzionata, all’informazione di cui trattasi>> a nostro avviso sembra aver provato troppo.
Ai sensi dell’articolo 2, lettera d), della direttiva, per «responsabile del trattamento» si intende «la persona fisica o giuridica (…) che, da sol[a] o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali». A nostro avviso, il problema fondamentale nel presente caso è se, e in quale misura, un fornitore di servizi di motore di ricerca su Internet rientri in tale definizione.
Nel caso che ci occupa l’attività esercitata da Google è quella di semplice fornitore di servizi di motore di ricerca su Internet in relazione a dati, compresi i dati personali, pubblicati su Internet in pagine web source di terzi e trattati e indicizzati dal suo motore di ricerca. Pertanto, i problemi degli utenti e dei clienti degli inserzionisti, ai dati dei quali la direttiva è senza dubbio applicabile con riferimento ai loro rapporti con Google, non hanno rilievo sulla questione che ci occupa.
Sarà necessario innanzitutto considerare tutti i diritti della Carta che vengono in questione: il diritto alla protezione dei dati personali, di cui all’articolo 8, il diritto al rispetto della vita privata e familiare, sancito all’articolo 7, le libertà di espressione e di informazione, come tutelate dall’articolo 11 (entrambe con riferimento alla libertà di espressione degli editori di pagine web e alla libertà degli utenti di Internet di ottenere informazioni), e la libertà di impresa, prevista all’articolo 16.
Il Gruppo di lavoro Articolo 29 ha osservato giustamente che «[i]l concetto di responsabile del trattamento è funzionale, finalizzato cioè all’attribuzione di responsabilità laddove intervenga un’influenza effettiva: si basa quindi su un’analisi fattuale piuttosto che formale». Il Gruppo prosegue affermando che «il responsabile del trattamento de[ve] determinare quali dati debbano essere trattati per la finalità o le finalità previste». Le disposizioni sostanziali della direttiva, più in particolare gli articoli 6, 7 e 8, si basano sulla premessa che il responsabile del trattamento sappia quel che fa riguardo ai dati personali considerati, nel senso che è consapevole di quale tipo di dati personali sta trattando e perché. In altri termini, il trattamento dei dati deve apparirgli come un trattamento di dati personali, ossia «informazion[i] concernent[i] una persona fisica identificata o identificabile» in una maniera semanticamente rilevante, e non un semplice codice informatico.
Èd è quindi da preferirsi ad avviso di chi scrive, a differenza degli enunciati della sentenza in esame, l’approccio del Gruppo di lavoro Articolo 29, in quanto esso tenta di tracciare una linea tra le funzioni interamente passive e di intermediazione dei motori di ricerca e le situazioni in cui la loro attività rappresenta un effettivo controllo sui dati personali trattati.
Il fornitore di servizi di motore di ricerca su Internet non ha alcun rapporto con il contenuto delle pagine web source di terzi su Internet in cui possono comparire dati personali. Inoltre, dato che il motore di ricerca lavora sulla base di copie di pagine web source che il crawler ha estratto e copiato, il fornitore di servizi non ha mezzi per cambiare le informazioni sui server host. Fornire uno strumento di localizzazione di informazioni non implica alcun controllo sul contenuto. Né tale attività mette il fornitore di servizi di motore di ricerca su Internet in condizione di distinguere tra i dati personali ai sensi della direttiva, ossia i dati che si riferiscono ad una persona fisica identificata e identificabile, e gli altri dati.
Nel considerando 47 della direttiva si afferma che il responsabile del trattamento di messaggi contenenti dati personali trasmessi tramite telecomunicazioni o posta elettronica è colui che ha emanato il messaggio e non la persona che presta i servizi di trasmissione. Questo considerando, così come le deroghe alla responsabilità previste nella direttiva 2000/31 sul commercio elettronico (articoli 12, 13 e 14), si basa sul principio giuridico secondo il quale i rapporti automatizzati, tecnici e passivi relativi ad un contenuto archiviato o trasmesso elettronicamente non implicano alcun controllo o responsabilità sullo stesso. Pertanto, un’interpretazione ragionevole della direttiva esige che il fornitore di servizi non sia considerato, in generale, rivestire tale posizione.
La Corte di Giustizia è di altra opinione, ma sembra dimenticare che con questa impostazione si arriverebbe all’assurda conclusione, paventata peraltro dall’avvocato generale, che i motori di ricerca su Internet sono incompatibili con il diritto dell’Unione: in particolare, se i fornitori di servizi di motore di ricerca su Internet fossero considerati responsabili del trattamento dei dati personali contenuti su pagine web source di terzi e se in una di queste pagine vi fossero «categorie particolari di dati», ai sensi dell’articolo 8 della direttiva (ossia dati personali che rivelano opinioni politiche e convinzioni religiose o dati relativi alla salute e alla vita sessuale degli individui), l’attività del fornitore di servizi di motore di ricerca su Internet diventerebbe automaticamente illegale, quando le rigorose condizioni dettate nel suddetto articolo per il trattamento di tali dati non siano rispettate.
Corte di Giustizia 13 maggio 2014 (causa C 131/12)
«Dati personali – Tutela delle persone fisiche con riguardo al trattamento di tali dati – Direttiva 95/46/CE – Articoli 2, 4, 12 e 14 – Ambito di applicazione materiale e territoriale – Motori di ricerca su Internet – Trattamento dei dati contenuti in siti web – Ricerca, indicizzazione e memorizzazione di tali dati – Responsabilità del gestore del motore di ricerca – Stabilimento nel territorio di uno Stato membro – Portata degli obblighi di tale gestore e dei diritti della persona interessata – Carta dei diritti fondamentali dell’Unione europea – Articoli 7 e 8»
Nella causa C 131/12,
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione degli articoli 2, lettere b) e d), 4, paragrafo 1, lettere a) e c), 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31), nonché dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).
2 Tale domanda è stata proposta nell’ambito di una controversia che oppone le società Google Spain SL (in prosieguo: «Google Spain») e Google Inc. all’Agencia Española de Protección de Datos (AEPD) (Agenzia di protezione dei dati; in prosieguo: l’«AEPD») e al sig. Costeja González, in merito ad una decisione di detta Agenzia che ha accolto la denuncia depositata dal sig. Costeja González contro le due società suddette e ha ordinato a Google Inc. di adottare le misure necessarie per rimuovere dai propri indici alcuni dati personali riguardanti detto interessato e di impedire in futuro l’accesso a tali dati.
Contesto normativo