Dopo la nota sentenza del 2014 nel caso Google Spain, lo scorso 24 settembre la Corte di giustizia dell’Unione europea è tornata a occuparsi del controverso diritto all’oblio, tracciandone finalmente i confini territoriali. Scrivendo una nuova e importante pagina nel diritto europeo, i Giudici hanno negato che un provider possa essere tenuto, in base alle normative eurounitarie, a rimuovere un contenuto dai risultati di ricerca di tutto il mondo.
- Introduzione
Non può essere negata l’importanza, ai giorni nostri, del diritto alla protezione dei dati personali. Come la Corte di giustizia ha avuto modo di confermare in più occasioni, tutti – compresi i fornitori di servizi della società dell’informazione, i quali processano una grande quantità di dati ogni giorno – sono tenuti a fare in modo che i trattamenti si svolgano in conformità con le leggi nazionali ed europee.
Il principio vale anche con riferimento al diritto alla deindicizzazione, altresì detto “diritto all’oblio”, che ha avuto un riconoscimento in via pretoria con la nota sentenza Google Spain. Come hanno affermato vari autori, quella decisione ha investito i provider di un ruolo para-costituzionale nel delicato bilanciamento tra il diritto alla protezione dei dati e il diritto del pubblico a ottenere informazioni in relazione a eventi di rilevanza generale[1]. Ruolo che non era mai stato imposto ai prestatori di servizi, i quali – anzi – beneficiano di una generale esenzione di responsabilità ai sensi della Direttiva (CE) 2000/31, la c.d. direttiva e-commerce.
Investita della questione se il diritto all’oblio potesse estendersi anche al di fuori dei confini continentali, con ciò obbligando il motore di ricerca (Google, nella fattispecie) a deindicizzare certi contenuti in tutto il mondo, la Corte di giustizia ha risposto negativamente.
- Contesto fattuale di riferimento
Nell’ambito di una controversia iniziata contro Google, Inc. (ora Google LLC), nel 2015 l’Autorità per la protezione dei dati francese (CNIL, acronimo per Commission nationale de l’informatique et des libertés) ha ordinato a Google la deindicizzazione di alcuni contenuti da tutte le versioni del motore di ricerca, compresa la versione c.d. “.com”. Google ha opposto resistenza, comunicando che avrebbe deindicizzato il contenuto solo per gli utenti che effettuano una connessione alla versione del motore di ricerca accessibile da quello Stato membro.
Non soddisfatto di questa risposta, il CNIL ha così imposto a Google una sanzione da 100.000 Euro.
Google ha quindi adito il Conseil d’Etat, chiedendo l’annullamento della sanzione del CNIL. Vista la delicatezza della questione, che indubbiamente coinvolge l’interpretazione del diritto europeo alla protezione dei dati personali e, in particolare la Direttiva (CE) 1995/46, il Conseil d’Etat ha deciso di rinviare la questione alla Corte di giustizia, rivolgendo le seguenti questioni pregiudiziali:
«1) Se il “diritto alla deindicizzazione”, come sancito dalla [Corte] nella sentenza del 13 maggio 2014, [Google Spain e Google (C‑131/12, EU:C:2014:317),] sulla base delle disposizioni di cui all’articolo 12, lettera b), e all’articolo 14, [primo comma,]lettera a), della direttiva [95/46], debba essere interpretato nel senso che il gestore di un motore di ricerca, nel dare seguito a una richiesta di deindicizzazione, è tenuto ad eseguire tale deindicizzazione su tutti i nomi di dominio del suo motore, affinché i link controversi non appaiano più – indipendentemente dal luogo a partire dal quale viene effettuata la ricerca avviata sul nome del richiedente – e ciò anche al di fuori dell’ambito di applicazione territoriale della direttiva [95/46].
2) In caso di risposta negativa alla prima questione, se il «diritto alla deindicizzazione», come sancito dalla [Corte] nella summenzionata sentenza, debba essere interpretato nel senso che il gestore di un motore di ricerca, nel dare seguito a una richiesta di deindicizzazione, sia tenuto solamente a sopprimere i link controversi che appaiono in esito a una ricerca effettuata a partire dal nome del richiedente sul nome di dominio corrispondente allo Stato in cui si ritiene sia stata effettuata la domanda o, più in generale, sui nomi di dominio del motore di ricerca corrispondenti alle estensioni nazionali di tale motore per tutti gli Stati membri (…).
3) Inoltre se, a complemento degli obblighi richiamati [nella seconda questione], il “diritto alla deindicizzazione”, come sancito dalla [Corte] nella summenzionata sentenza, debba essere interpretato nel senso che il gestore di un motore di ricerca, quando accoglie una richiesta di deindicizzazione, è tenuto a sopprimere, con la cosiddetta tecnica del “blocco geografico”, a partire da un indirizzo IP che si ritiene localizzato nello Stato di residenza del beneficiario del “diritto alla deindicizzazione”, i risultati controversi delle ricerche effettuate a partire dal nome di quest’ultimo, o persino, più in generale, a partire da un indirizzo IP che si ritiene localizzato in uno degli Stati membri assoggettati alla direttiva [95/46], e ciò indipendentemente dal nome di dominio utilizzato dall’utente di Internet che effettua la ricerca».
Peraltro, è opportuno segnalare fin da subito che, durante il corso del procedimento, Google ha informato di aver modificato il suo algoritmo. Ora, la versione del motore di ricerca mostrata corrisponde a quella del paese da cui l’utente sta effettuando l’accesso a Internet, poiché Google utilizza delle tecniche che consentono di “geo-localizzare” l’indirizzo IP dal quale proviene la connessione.
- I limiti territoriali del “diritto all’oblio”
Con un evidente, e apprezzabile, intento nomofilattico, la Corte ha deciso di affrontare la questione non solo alla luce della Direttiva, ma anche del nuovo Regolamento (UE) 2016/689, il c.d. “GDPR”, che all’art. 17 codifica proprio il “diritto all’oblio”.
Correttamente riaffermando, quantomeno tra le righe, i noti principi del diritto internazionale della cortesia tra Stati, i Giudici del Lussemburgo hanno confermato che la legislazione europea non si estende al di fuori dei suoi confini e, timidamente, hanno osservato che il diritto eurounitario non potrebbe imporsi in Paesi terzi senza implicare una violazione della loro sovranità. Il diritto all’oblio, di matrice squisitamente europea, resta dunque confinato all’interno dell’Unione europea.
Non vi è dubbio, infatti, che il GDPR si applichi ai motori di ricerca che, quantunque stabiliti in paesi terzi, si avvalgano di stabilimenti aventi sede in uno o più Stati membri. Tuttavia, ciò non può giustificare un’inammissibile estensione dell’ambito applicativo del Regolamento suddetto. Invero, “molti Stati terzi non riconoscono il diritto alla deindicizzazione o comunque adottano un approccio diverso per tale diritto”. È lo stesso tenore delle disposizioni che giustificano l’esistenza del diritto all’oblio a far apparire evidente come il legislatore europeo non abbia inteso imporre al provider un obbligo di deindicizzare contenuti ovunque, anche in paesi terzi.
Analoghe differenze, ricorda la Corte, esistono anche tra i diversi Stati membri dell’Unione europea. Tuttavia, almeno per questi ultimi, il GDPR prevede meccanismi di raccordo e coordinamento tra le varie Autorità per la protezione dei dati. È quindi possibile, per un’autorità, adottare una decisione che imponga la deindicizzazione da tutte le versioni del motore di ricerca accessibili all’interno dell’Unione europea.
Alcuni commentatori hanno salutato con favore il fatto che la Corte abbia lasciato aperta la porta alla possibilità, per i giudici o per le autorità nazionali competenti, di ordinare la deindicizzazione globale dei contenuti “conformemente agli standard nazionali di protezione dei diritti fondamentali”. A ben vedere, tuttavia, la portata di questa frase merita di essere ridotta se si inquadra la questione nei termini che seguono.
In primo luogo, non dovrebbe sorprendere che la Corte di giustizia – che non è una Corte suprema europea – si astenga dal pronunciarsi su normative nazionali non portate alla sua attenzione. Invero, essa è chiamata a interpretare le disposizioni del diritto dell’Unione europea, anche per consentire ai giudici nazionali di misurarvi la conformità delle disposizioni nazionali di recepimento.
In secondo luogo, se pur è vero che il diritto europeo non nega la possibilità che un giudice nazionale imponga una deindicizzazione globale di un contenuto, è altresì vero che una siffatta norma non potrà certo essere identificata tra le disposizioni europee in materia di protezione dei dati personali, giacché, diversamente opinando, i Giudici della Corte avrebbero assunto una decisione diametralmente opposta. E dato che la normativa europea è ora, lo si ricorda, un regolamento, e quindi una fonte immediatamente applicabile negli ordinamenti interni, viene difficile pensare che le legislazioni degli Stati membri in materia privacy possano soccorrere.
Puntualizzati questi paletti e spostando ora l’attenzione sul diritto italiano, non sembra agevolmente individuabile una norma interna che potrebbe giustificare un ordine di deindicizzazione globale, che imponga quindi al motore di ricerca di agire su tutte le versioni accessibili nel mondo. Siffatta norma sarebbe, probabilmente, in contrasto con quella comity internazionale che l’Avvocato generale Szpunar ha in più occasioni ricordato nelle sue Conclusioni e che la Corte di giustizia ha ritenuto di non mettere a repentaglio.
In assenza di meccanismi di cooperazione internazionale su questi temi, che prendano le mosse da una spinta propulsiva politica, la cultura europea in materia di protezione dei dati personali non può essere esportata all’estero a colpi di sentenze. Si è attentamente notato che, infatti, se così fosse, paesi terzi (molto meno maturi rispetto a quelli europei in tema di cultura della libertà di espressione) potrebbero chiedere e ottenere dal provider la rimozione e/o deindicizzazione di contenuti politicamente scomodi che – secondo la sensibilità europea – non sarebbero altrimenti censurabili[2].
Con ciò non si vuole affatto sostenere che le persone che subiscono un danno dalla presenza di un contenuto inappropriato rimangano senza tutela alcuna. Oltre alla tutela risarcitoria, che nessuno nega, e che anzi è già stata oggetto di una sentenza della Corte[3], il soggetto leso potrebbe avviare un parallelo giudizio per ottenere la deindicizzazione nel paese terzo in cui ritiene di subire un danno, eventualmente depositando come prova la decisione di uno Stato membro che abbia riconosciuto il suo diritto.
- Il c.d. “geo-blocking”
Quale tutela per il soggetto che chiede la deindicizzazione, quindi?
Allo stato dei fatti, il punto di equilibrio tra tutte queste esigenze sembra, quindi, quello di limitare la deindicizzazione all’interno dello spazio entro i confini d’azione del diritto eurounitario, impedendo l’accesso ai contenuti ai cittadini europei mediante meccanismi di identificazione della provenienza geografica tramite l’indirizzo IP, ovverosia l’indirizzo che identifica univocamente un punto di accesso a Internet.
Rimane senza risposta la domanda se questa metodologia sia sufficiente ad assicurare adeguata protezione – questione che la Corte rimanda al Conseil d’Etat di valutare.
Resta ora da capire come il ragionamento della Corte troverà applicazione nel diverso, ma non troppo, caso di rimozione di contenuti illeciti. Questione che è già all’attenzione dei giudici europei e che dovrà essere decisa nei prossimi mesi.
[1] Su tutti, O. Pollicino, Google rischia di «vestire» un ruolo para-costituzionale, 14 maggio 2014 in Quotidiano del Diritto.
[2] Conclusioni dell’Avvocato generale Maciej Szpunar, 10 gennaio 2019, Causa C‑507/17, p.ti 60 e 61: “Se si ammettesse una cancellazione a livello mondiale, le autorità dell’Unione non sarebbero in grado di definire e determinare un diritto a ricevere informazioni e, ancor meno, di bilanciarlo con gli altri diritti fondamentali alla protezione dei dati e alla vita privata. Tanto più che un siffatto interesse del pubblico ad accedere all’informazione varia necessariamente da uno Stato terzo all’altro, a seconda della sua collocazione geografica. Inoltre, sussisterebbe il rischio che l’Unione impedisca alle persone che si trovano in un paese terzo di accedere all’informazione. Se un’autorità dell’Unione potesse ordinare una cancellazione a livello mondiale, ciò costituirebbe un segnale fatale ai paesi terzi, che potrebbero parimenti disporre una cancellazione in forza delle proprie leggi. Ipotizziamo che, per una ragione qualsiasi, taluni Stati terzi interpretino determinati loro diritti nel senso che precludono alle persone che si trovano in uno Stato membro dell’Unione di accedere a un’informazione ricercata. Sussisterebbe un rischio reale di corsa al ribasso a danno della libertà di espressione, a livello sia europeo che mondiale”.
[3] Corte di giustizia dell’Unione europea, 17 ottobre 2017, causa C-194/16, Bolagsupplysningen OÜ, Ingrid Ilsjan c. Svensk Handel AB.