L’ambito di applicazione territoriale del diritto all’oblio secondo il Diritto UE: la parabola del caso Google

Logo di Google con lucchetto per indicare la tutela dei dati personali
Google immagini

La Corte di giustizia dell’Unione Europea, nella causa C-507/17 del 24 Settembre 2019, ha stabilito che Google non è tenuto a effettuare la de-indicizzazione su tutte le versioni del suo motore di ricerca, ma solo su quelle corrispondenti a tutti gli Stati membri, insieme a misure volte a prevenire, o quantomeno a limitare fortemente, gli utenti di Internet che effettuano una ricerca da uno degli Stati membri sulla base del nome del soggetto dall’accesso ai collegamenti risultanti da tale richiesta.

Nella sentenza emessa a definizione della causa C-507/17, Google c. CNIL, la Corte di giustizia UE ha dichiarato che, ai sensi del diritto UE, non vi è alcun obbligo in capo a Google di applicare il diritto europeo all’oblio a livello globale. La decisione chiarisce che, mentre i residenti nell’UE godono del diritto legale all’oblio, esso trova applicazione esclusivamente all’interno dei confini del blocco degli Stati membri.

Nella sua analisi, la Corte ha esaminato la Direttiva sulla Protezione dei Dati del 1995 e il Regolamento Generale sulla Protezione dei Dati (GDPR) entrato in vigore il 25 maggio 2018, che ha abrogato la direttiva[1]. La decisione è fondamentale perché, a prima vista, sembra aver chiuso le porte ai residenti dell’UE per chiedere una rimozione delle loro informazioni a livello mondiale e definitivo — al ricorrere di determinate circostanze — dai risultati dei motori di ricerca, ai sensi del sopracitato GDPR. La Corte impone dei limiti espressi alla portata territoriale del diritto personale di de-indicizzazione. Ciò significa in altri termini che Google è tenuto a rimuovere solo i collegamenti a dati personali derivanti da ricerche su Internet condotte all’interno dell’UE.

Tuttavia, mentre Google e i sostenitori della libertà di espressione e di accesso alle informazioni hanno rivendicato questo caso come un’apparente vittoria, un’analisi più approfondita della decisione della Corte mostra un approccio più sfumato che porta a una conclusione diversa. Sebbene infatti la Corte abbia ammesso le limitazioni dell’attuale legislazione dell’UE nel richiedere il de-listing globale, ha anche affermato punti salienti che aprono la possibilità per le autorità nazionali di protezione dei dati (DPA) di richiedere agli operatori dei motori di ricerca di delistare a livello globale, riconoscendo la loro competenza ad emanare leggi in tal senso. Dunque, la CNIL e altre DPA nazionali dell’UE potrebbero probabilmente rivendicare una vittoria più sostanziale in virtù di questa sentenza.

Anzitutto, cos’è il diritto all’oblio?

E’ nel 2014 che la CGUE, nella causa C-131/12 Google Spagna e Google[2], ha previsto il diritto legale europeo all’oblio, indicato anche come “diritto di de-indicizzazione o cancellazione[3]. Consente alle persone nell’UE di richiedere ai motori di ricerca di rimuovere i collegamenti contenenti informazioni personali dai risultati web che compaiono nelle ricerche per i loro nomi. In quella sentenza, la Corte ha anche sottolineato che il diritto (codificato nell’Articolo 17 del GDPR) non è assoluto e viene concesso solo quando i diritti di protezione dei dati personali superano l’interesse del pubblico a continuare l’accesso alle informazioni.

Cinque anni dopo lo sviluppo di questo quadro giuridico nella sentenza di cui in oggetto, l’ambito territoriale di questo diritto continua a confondere le persone che cercano di applicarlo e i responsabili del trattamento di elaborazione dati che ricevono richieste di de-indicizzazione. In particolare, gli APD nazionali incaricati di monitorare l’applicazione della direttiva nei rispettivi territori e i tribunali nazionali hanno incontrato serie difficoltà nell’interpretazione. L’incertezza della sua portata ha spinto il Conseil d’État della Francia a chiedere chiarimenti alla CGUE nella causa C-507/17.

I fatti

La causa in esame è relativa a una disputa tra Google Inc. e la CNIL, l’autorità nazionale di protezione dei dati (DPA) francese, in merito alla portata della de-indicizzazione. Nel 2015 la CNIL ha comunicato a Google che deve applicare la rimozione dei collegamenti da tutte le versioni del suo motore di ricerca in tutto il mondo (lett. “from all versions of its search engine worldwide”). Google ha rifiutato di conformarsi e ha continuato a limitare la sua de-indicizzazione dei collegamenti solo sui risultati di ricerca condotti nelle versioni dei suoi motori di ricerca con estensioni di dominio all’interno dell’UE e dell’EFTA, servendosi di un blocco geografico (geoblocking), una misura che impedisce la visualizzazione dei collegamenti nelle ricerche.

Google ha fatto appello al Conseil d’État cercando di annullare un’ammenda di EUR 100.000 inflitta dalla CNIL. Il Conseil d’État, rilevando “diverse gravi difficoltà relative all’interpretazione della direttiva“, ha successivamente sottoposto alla Corte di giustizia le questioni pregiudiziali relative all’ambito di applicazione dell’articolo 12, lettera b), e dell’articolo 14, lettera a), della Direttiva.

La CNIL sostiene che Google – affinché il diritto in questione sia efficace – debba universalmente e definitivamente eliminare l’elenco dei collegamenti . Ha ritenuto insufficienti entrambe le misure attuate da Google per conformarsi alla direttiva: 1) collegamenti di cancellazione dalla lista da tutte le estensioni UE ed EFTA e 2) collegamenti dalla cancellazione dalla lista da tutte le ricerche condotte nel territorio francese. Per convesso, Google asserisce che la CNIL ha interpretato erroneamente le disposizioni di legge che riconoscono il diritto di de-indicizzazione, spiegando che il diritto “non richiede necessariamente che i collegamenti in questione debbano essere rimossi, senza limitazione geografica, da tutti i nomi di dominio del suo motore di ricerca“. Google ha sostenuto che l’interpretazione errata della CNIL equivaleva a un disprezzo dei principi di cortesia e non interferenza del diritto internazionale pubblico e parimenti ad una sproporzionata violazione delle libertà di espressione, informazione, comunicazione e stampa.

La CGUE, prendendo le parti di Google, ha enunciato claris verbis che gli operatori dei motori di ricerca non sono tenuti ai sensi del diritto dell’UE a rimuovere i collegamenti su tutta le versioni del proprio motore di ricerca. A sostegno della sua affermazione, la Corte ha spiegato che i testi della Direttiva e del Regolamento Generale sulla Protezione dei Dati non indicano che il legislatore dell’UE abbia scelto di conferire un campo di applicazione che andrebbe oltre il territorio degli Stati membri o che abbia inteso imporre a un operatore di un motore di ricerca un obbligo di de-indicizzazione per le versioni nazionali non UE dei motori di ricerca. Nella sua sentenza, la Corte ha anche sottolineato l’obiettivo di fornire un elevato livello di protezione dei dati personali in tutta l’UE.

Di conseguenza, ha affermato che gli operatori dei motori di ricerca sono tenuti a rimuovere tutti i collegamenti su tutte le versioni del web nell’UE, indipendentemente da dove provenga la richiesta di de-indicizzazione nell’UE. Ha inoltre ribadito che gli operatori dei motori di ricerca sono tenuti a integrare la de-indicizzazione mediante misure che impedirebbero o scoraggerebbero gravemente un accesso a link già de-indicizzati quando si utilizza una versione del motore di ricerca al di fuori dell’UE.

Tuttavia, è importante sottolineare che una parte fondamentale del giudizio della CGUE sembra neutralizzare la presunta vittoria di Google in questo caso. Il punto 72 della sentenza rivela infatti lo sforzo della Corte di prevedere la liceità del de-referencing globale quale principio generale. Ritenendo che il diritto dell’UE non lo vieti e che gli Stati membri restino competenti a ordinare agli operatori dei motori di ricerca di effettuare la de-indicizzazione a livello globale dopo aver equilibrato i diritti contrastanti della protezione dei dati personali con il diritto alla libertà di informazione ai sensi degli standard nazionali di protezione dei diritti fondamentali, la Corte lascia aperta la possibilità di un delisting globale come determinato da una DPA nazionale o da un tribunale nazionale nell’UE.


[1] General Data Protection Regulation (EU) 2016/679 (GDPR) che abroga la Direttiva 95/46/EC (Data Protection Directive).
[2] Corte giust., causa C-131/12 Google Spagna e Google C-131/12, EU:C:2014:317.
[3] La causa menziona i termini “de-referencing” e “delist”.

You May Also Like