Seguire una impronta “territoriale” in una realtà senza confini quale quella digitale rappresenta un passo indietro in termini di tutela dei diritti, in particolar modo quando si tratta del diritto all’oblio, che ha assunto una posizione centrale all’interno della rosa delle tutele garantite all’interessato dalle normative succedutesi negli anni.
Sembra però proprio un dietrofront quello la recente sentenza della Corte di Giustizia europea, in cui si afferma che il diritto alla cancellazione, per come previsto dal Regolamento europeo per la protezione dei dati personali, (GDPR), possa essere garantito esclusivamente all’interno dei confini territoriali europei, lasciando poi alle autorità degli Stati membri la facoltà di chiedere che il gestore proceda alla deindicizzazione su tutte le versioni del proprio motore di ricerca
Nel seguito, quindi, faremo un’analisi dell’art. 17 del GDPR proprio alla luce delle più recenti pronunce giurisprudenziali del Garante Privacy e della Corte Europea.
La nascita del “diritto all’oblio digitale”
Come anticipato, già prima dell’entrata in vigore del GDPR si discuteva di quale fosse il modo migliore per garantire all’interessato che si ritenesse leso dalla permanenza in rete di notizie che lo riguardano la possibilità di ottenere una “redenzione agli occhi del pubblico” tramite l’apposizione dell’oblio sulle notizie ad esso relative.
In particolare, ci si chiedeva quali fossero le responsabilità da attribuire alla testata giornalistica e quali, invece, le responsabilità del motore di ricerca che consentiva che quel determinato contenuto fosse facilmente rintracciabile da chiunque.
La risposta a tale quesito fu fornita per la prima volta nella sentenza della Corte di Giustizia dell’Unione Europea C-131/12 del 13 maggio 2014, la quale sancì in che termini si potesse correttamente parlare di diritto all’oblio sulla base del contenuto della Direttiva 95/46/CE.
La pronuncia in oggetto assume particolare rilevanza ove si tenga conto che la Corte fa piena applicazione della normativa in tema di protezione dei dati personali non solo all’editore che pubblica i dati online, ma anche al gestore del motore di ricerca, il quale è da considerarsi parte integrante e fondamentale del trattamento dei dati, compiendo sugli stessi numerose attività di raccolta automatizzata e costante, di conservazione e di diffusione, consentendo, tramite una semplice ricerca, di prendere visione di tutto quello che riguarda una singola persona.
Sulla base di siffatte considerazioni, la Corte ritenne, dunque, che anche ai gestori dei motori di ricerca potesse avanzarsi la richiesta di “essere dimenticati” tramite la deindicizzazione, ossia la cancellazione dall’elenco dei risultati delle ricerche dei link che riportano alle pagine web contenenti i dati censurati.
Il diritto all’oblio alla luce del GDPR
Il legislatore europeo, consapevole dell’estrema rilevanza che il diritto all’oblio ha gradualmente assunto a partire dalla succitata sentenza, si è curato di includere espressamente tale garanzia nella sfera dei diritti esercitabili dall’interessato.
All’art. 17 del GDPR si legge che: “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”, ove sussista una delle condizioni previste, tra cui la non necessità del dato rispetto alle finalità per cui lo stesso è stato raccolto o altrimenti trattato.
Tale principio si è concretizzato in una serie di pronunce dei Garanti europei che hanno portato, negli anni, ad affermare che il diritto all’oblio, per come disciplinato, dovesse assurgere a garanzia di portata globale, consentendo all’interessato di riabilitare il proprio nome a seguito di vicende incresciose che, tuttavia, non erano più state oggetto di cronaca da anni.
Ne è esempio la più recente pronuncia del Garante Privacy sul tema, nella quale l’Autorità afferma essere a carico di Google l’onere, a seguito di una richiesta di cancellazione, di procedere alla “rimozione degli URL indicati (…) quali risultati di ricerca reperibili in associazione al nominativo dell’interessato”, ove ricorrano una serie di presupposti, si volta in volta parametrati sul caso di specie:
- Sia decorso un lasso di tempo non trascurabile tra il verificarsi dei fatti e la richiesta dell’interessato (nel caso di specie dalla determinazione della pena);
- L’interessato abbia scontato la propria pena tenendo un comportamento improntato ai principi di buona condotta e, a seguito di ciò, siano venute meno le pene accessorie ed ogni altro effetto penale della condanna come misura premiale finalizzata al suo reinserimento sociale;
- L’impatto sui diritti del medesimo non sia bilanciato da un attuale interesse del pubblico a conoscere della relativa vicenda;
- Gli articoli censurati non siano stati aggiornati con riguardo agli sviluppi successivi della vicenda.
Il rifiuto, viceversa, di procedere alla cancellazione dei dati del soggetto interessato, comporterebbe l’illegittimo prorogarsi di un trattamento non più necessario ed altamente lesivo della reputazione del richiedente.
Le pronunce della Corte di Giustizia Europea nei confronti di Google
Nonostante il costante susseguirsi di pronunce favorevoli non facenti differenze alcune sui “confini” della deindicizzazione, Google è stato oggetto – il 24 settembre 2019 – di due sentenze emesse dalla Corte di Giustizia Europea, in una delle quali si afferma che il diritto alla cancellazione, per come previsto dal GDPR, possa essere garantito esclusivamente all’interno dei confini territoriali europei.
Nelle due cause si chiedeva alla Corte, in termini qui genericamente riportati, di definire, alla luce della normativa europea in materia di trattamento dei dati personali, nonché della normativa nazionale applicabile al caso di specie:
- quali fossero le responsabilità, le competenze e le possibilità specifiche del gestore di un motore di ricerca;
- quali fossero i confini territoriali entro cui la richiesta di deindicizzazione dovesse, o meno, essere accolta da parte dei gestori dei motori di ricerca.
In relazione al primo punto, in risposta ai quesiti formulati, la Corte ha ribadito la responsabilità di Google per la visualizzazione dei link nell’elenco dei risultati presentati agli utenti e, conseguentemente, l’onere per lo stesso, nel caso in cui riceva una richiesta di deindicizzazione, di “verificare se l’inserimento di detti link si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di internet potenzialmente interessati ad avere accesso a tale pagina mediante una ricerca siffatta”, sulla base “di tutte le circostanze pertinenti della fattispecie e tenuto conto della gravità dell’ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali”.
Inoltre, ove la richiesta di deindicizzazione riguardi pagine Internet contenenti dati relativi a un procedimento penale a carico di una persona specifica, o a specifiche fasi dello stesso, e non vi sia una corrispondenza con la situazione in cui l’interessato versa al momento della richiesta, è onere del gestore procedere alla deindicizzazione, a seguito di una valutazione delle circostanze del caso di specie, comprendenti “la natura e la gravità dell’infrazione di cui trattasi, lo svolgimento e l’esito di tale procedura, il tempo trascorso, il ruolo rivestito da tale persona nella vita pubblica e il suo comportamento in passato, l’interesse del pubblico al momento della richiesta, il contenuto e la forma della pubblicazione nonché le ripercussioni della pubblicazione per tale persona”.
Tuttavia, in merito al secondo punto, la Corte si è pronunciata in senso favorevole ai gestori quali Google, affermando che, sebbene “in un mondo globalizzato, l’accesso da parte degli utenti di Internet, in particolare quelli localizzati al di fuori dell’Unione, all’indicizzazione di un link, che rinvia a informazioni concernenti una persona il cui centro di interessi si trova nell’Unione, può produrre effetti immediati e sostanziali sulla persona in questione all’interno dell’Unione stessa, ragion per cui una deindicizzazione mondiale sarebbe idonea a conseguire pienamente l’obiettivo di protezione perseguito dal diritto dell’Unione”, il diritto alla cancellazione non è riconosciuto da molti Stati terzi o, quantomeno, non è tutelato alla stregua di quanto avviene nel territorio Europeo e, per tali ragioni, è da ritenersi un diritto non assoluto, non comportante, in assenza di specifici meccanismi di cooperazione extra europei, l’obbligo per il gestore del motore di ricerca di procedere ad una deindicizzazione dei link censurati su tutte le versioni del suo motore.
Ciò premesso, la Corte lascia aperta la possibilità per le singole autorità degli Stati membri, una volta effettuato il bilanciamento tra il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali ed il diritto alla libertà d’informazione, di chiedere che il gestore proceda alla deindicizzazione su tutte le versioni del proprio motore di ricerca.
Una sentenza “anacronistica”
Nonostante le conclusioni “aperte” cui giunge la Corte, molte sono state le critiche avanzate alle succitate motivazioni.
Lo stesso Soro, Presidente dell’Autorità Garante per la protezione dei dati personali italiana, ha espresso il proprio disappunto evidenziando come la sentenza emessa nella causa C-507/17 si fondi su una premessa “anacronistica”.
E’ evidente come porre dei confini territoriali materiali in una realtà “immateriale” quale quella digitale, potrebbe pericolosamente comprimere l’efficacia stessa dei diritti garantiti agli interessati dalla normativa europea, alla quale dovrebbe viceversa riconoscersi, con riferimento alla tutela dei diritti del singolo, un valore universale, data anche la delicatezza degli interessi in gioco.
Ove le singole Autorità decidessero di seguire l’impronta “territoriale” adottata dalla Corte di Giustizia Europea, si assisterebbe ad un “dietrofront” di tutele adottabili dal singolo cittadino nei confronti di colossi quali Google che, allo stato, ne possiedono le informazioni e dai quali dipende la propria reputazione agli occhi del mondo intero.
