di Giusella Finocchiaro e Laura Greco Sommario: 1. Premessa 2. Gli ostacoli; 2.1.…
La protezione dei dati personali e il caso Google Spain
di Rosaria Petti Abstract: The exchange and instant communication of data allowed by the advent of the Internet poses new problems to the jurist. Personal information, nowadays readily available through the Internet, require an adequate combination of the fundamental rights of the individual and the legitimate interest of the individual associate in having access to the news. It is in this context that the advent of the Internet has forcefully brought new and old issues to the fore, including the right to be forgotten and the responsibility of the provider. Because of these considerations, the present work aims to analyse the relationship between the Internet and the right to the protection of personal data, addressing the twofold issue about the responsibility of the provider and the right to be forgotten, in the light of the recent national and community case law, and in particular, the case of Google Spain. Lo scambio e la comunicazione istantanea dei dati consentita dall’avvento della rete pone il giurista innanzi a nuove problematiche. Le informazioni di carattere personale, ormai facilmente reperibili attraverso la rete, richiedono un adeguato contemperamento tra i diritti fondamentali dell’individuo e il legittimo interesse del singolo consociato ad aver accesso alla notizia. E’ in tale contesto, che l’avvento della rete ha prepotentemente riportato alla ribalta nuove e vecchie tematiche, tra cui il diritto all’oblio e la responsabilità del provider. In ragione di tali considerazioni, il presente lavoro si propone di analizzare la relazione tra internet e il diritto alla protezione dei dati personali, affrontando la duplice tematica della responsabilità del provider e del diritto all’oblio, alla luce della recente giurisprudenza nazionale e comunitaria, e in particolare, del caso Google Spain. Sommario: 1. Introduzione; 2. Il diritto all’oblio e la responsabilità dell’Internet Service Provider: cenni; 3. I motori di ricerca tra content e service provider; 4. Un diverso approccio: la Corte europea dei diritti dell’uomo; 5. Il trattamento dei dati personali: il caso Google Spain; 6. Il giusto equilibrio tra privacy e memoria collettiva: considerazioni sulla sentenza; 7. Conclusioni. 1.Introduzione Negli ultimi anni internet ha esercitato in modo crescente un notevole impatto sulla società. Il suo sviluppo, ultimamente manifestatosi in misura esponenziale, ha trasformato la rete, che da mezzo di comunicazione sta sempre più diventando bene di consumo per eccellenza. Il maggior interesse mostrato per la rete ha generato un dibattito sulla necessità di una regolamentazione ufficiale ed effettiva del settore. Invero, il ruolo predominante assunto nella società moderna dal fenomeno, ha generato forti preoccupazioni sul futuro della rete e sulla capacità della stessa di sostenere lo sviluppo economico e sociale. In tal senso, diversi sono stati i tentativi volti a regolamentare il settore, seppur non privi di contestazioni e critiche attinenti alla concreta fattibilità, all’opportunità e legittimità di tali interventi. Posizioni divergenti, manifestate durante gli incontri internazionali tenutisi negli ultimi anni, consentono alcune considerazioni. Se da un lato, internet sembra respingere un’impostazione regolamentare rigida, stante il carattere dinamico e creativo che caratterizza la rete[1]; dall’altro, richiede adeguate soluzioni giuridiche, per contrastare criticità determinate dalla sua stessa creatività [2]. Il settore appare interessato da continui salti tecnologici e di mercato, i quali, attraverso la rapida affermazione della nuova piattaforma digitale, determinano profondi mutamenti nelle modalità e alternative di fruizione dei contenuti – in particolare di quelli di natura informativa – nonché nello scambio e nelle modalità di condivisione di risorse da parte degli utenti [3]. Inoltre, la potenzialità, la diffusività, il potere di persuasione psicologica e di orientamento di opinione del mezzo utilizzato, influiscono notevolmente sulla esigenza di protezione dei dati personali. La rete, considerata un ambiente, un mondo virtuale in cui si svolge una parte rilevante della vita delle persone[4], permette lo scambio e la comunicazione istantanea dei dati, che in taluni casi può determinare un potenziale dannoso [5], in ragione anche dell’accessibilità di tali dati a livello transnazionale. La circostanza che dati e/o le informazioni di carattere personale risultino, dunque, facilmente reperibili attraverso la rete ha suscitato un vivace dibattito in dottrina e giurisprudenza. In particolare, si è evidenziata la necessità di operare un adeguato contemperamento tra i diritti fondamentali dell’individuo – tra cui la riservatezza e la protezione dei dati di personali – e il legittimo interesse del singolo consociato ad aver accesso alla notizia. La problematica, quindi, sorge, non solo con riferimento a quei dati spontaneamente forniti dall’individuo attraverso i social network, e all’utilizzo di questi dati da parte di tali piattaforme, ma soprattutto con riferimento a notizie e fatti di cronaca che possano riguardare il soggetto e comprometterne la reputazione. Si manifesta in tal modo l’esigenza di garantire un’adeguata protezione dei diritti fondamentali dell’individuo, contemperando i diversi interessi in gioco attraverso un bilanciamento tra la protezione dei dati personali e il principio costituzionalmente riconosciuto della libertà di espressione [6]. In tale contesto, l’avvento della rete [7] ha prepotentemente riportato alla ribalta nuove e vecchie tematiche, tra cui il diritto all’oblio [8] e la responsabilità del provider. Il presente lavoro, dunque, si propone di analizzare la relazione tra internet e il diritto alla protezione dei dati personali. Tralasciando il pur rilevante tema del valore economico dei dati personali [9] nella rete, l’analisi affronterà la duplice tematica della responsabilità del provider e del diritto all’oblio, alla luce della recente giurisprudenza nazionale e comunitaria, e in particolare, del caso Google Spain [10]. 2.Il diritto all’oblio e la responsabilità dell’Internet Service Provider: cenni Il tema del cd. diritto all’oblio, inteso nella sua comune accezione quale diritto dell’individuo a essere dimenticato, ovvero a non essere più ricordato per fatti che in passato furono oggetto di cronaca, è stato recentemente riproposto con l’avvento della rete. Si tratta di una peculiare espressione del diritto alla riservatezza [11], costituzionalmente presidiato in quanto primaria e indeclinabile esigenza della persona. Esso può definirsi come giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia che in passato era stata legittimamente pubblicata. In altri termini, si tratterebbe del diritto all’autodeterminazione informativa del soggetto – inteso quale persona fisica o persona giuridica – o più specificatamente, diritto alla conservazione dell’attualità della propria identità digitale. In tal senso il diritto all’oblio va dunque inteso quale diritto dell’individuo a essere dimenticato [12]. L’esistenza del diritto all’oblio è tradizionalmente ricondotta all’art. 2 Cost., in quanto norma di carattere aperto, volta alla tutela di posizioni giuridiche soggettive di nuova formazione in conseguenza dell’evoluzione e del progressivo cambiamento sociale [13]. Tuttavia, con l’introduzione del Codice della privacy – d.lgs. 30 giugno 2003, n.196 – l’oblio ha trovato un implicito riconoscimento [14]. In materia è soventemente intervenuto anche il Garante della privacy, il quale ha avuto modo di evidenziare che la diffusione di un gran numero di dati personali riferiti a un medesimo interessato e relativi a vicende anche risalenti nel tempo riverbera i propri effetti sugli interessati per un tempo indeterminato, tale da arrecare un sacrificio sproporzionato dei diritti e interessi legittimi dei singoli. Tale circostanza determina, dunque, l’esigenza di stabilire una permanenza limitata nel tempo dei dati, e comunque non superiore al periodo necessario agli scopi per i quali tali dati sono stati raccolti o trattati [15] La conservazione dei dati personali è, infatti, sottoposta alla stretta correlazione temporale tra l’identificabilità del titolare dei dati e la finalità del relativo trattamento. Il tema, dunque, non riguarda tanto la pubblicazione dell’informazione, quanto la permanenza della stessa nella memoria della rete, comportando l’esigenza di provvedere a un’eventuale integrazione e/o aggiornamento del dato al fine di tutelare la proiezione sociale dell’identità personale del singolo consociato [16]. Si consideri che, il concetto non è nuovo nella letteratura giuridica italiana, tuttavia, l’avvento di internet, e il concomitante avvento dell’informazione online, hanno riproposto l’oblio tra i temi di maggior attualità. La permanenza dei dati e delle informazioni personali in rete ha reso complessa la gestione di tale diritto e la definizione dei suoi confini. Non da ultimo, si aggiunga l’ulteriore problematica derivante dai meccanismi di indicizzazione dei principali motori di ricerca. Invero, l’approdo ad articoli risalenti spesso non è frutto di un’indagine finalizzata attraverso motori messi a disposizione dalle singole testate, bensì di un’automatica indicizzazione da parte dei motori di ricerca generalisti, attraverso una ricerca casuale attivata con l’utilizzo di parole chiave [17]. Il motore di ricerca costituisce un servizio telematico finalizzato al reperimento di dati e informazioni, fornito dall’Internet Service Provider, ovvero un intermediario che svolge la funzione di erogare agli utenti specifici servizi di trasporto, memorizzazione temporanea e permanente delle informazioni trasmesse nella rete. L’ISP, qualificato come soggetto di diritto, non solo può essere personalmente responsabile per gli illeciti perpetrati attraverso internet e perfezionati con la propria condotta [18], ma alla luce della recente giurisprudenza comunitaria anche del trattamento dei dati personali, pur se presenti su pagine web pubblicate da terzi [19]. 3.I motori di ricerca tra content e service provider Il meccanismo di indicizzazione ha spesso prodotto risultanze avverse nei confronti degli interessati, i quali, essendo automaticamente associati a locuzioni spesso anche diffamanti, agivano in giudizio nei confronti del gestore del motore di ricerca ritenendolo responsabile per i contenuti di volta in volta contestati. Accade, invero, che i singoli soggetti ritrovino in rete il proprio nominativo associato permanentemente a vicende remote, pur se le stesse non riflettano la loro attuale dimensione personale. E’ in tale contesto che si contrappongono interessi, anche di natura costituzionale, i quali richiedono un’adeguata tutela. Se da un lato si rinviene la necessità di garantire l’esercizio del diritto di cronaca, dall’altro sussiste anche il diritto del singolo consociato alla protezione dei dati personali, inteso quale manifestazione del diritto all’identità personale. Sul tema, la giurisprudenza manifesta un orientamento non del tutto univoco. In particolare, seppur in ambiti parzialmente diversi, i giudici di merito hanno manifestato una minor propensione a configurare una responsabilità del provider in relazione ai contenuti, smentendo la qualificazione del motore di ricerca come content provider [20]. Sovente, la giurisprudenza nazionale ha qualificato il motore di ricerca come service e non content provider. Invero, è stata rilevata la responsabilità esclusiva del soggetto editore del sito, e per converso non richiesta la partecipazione attiva del titolare del motore di ricerca. In tal senso, il Tribunale di Milano [21], e ancor prima la Cassazione [22], in tema di diritto all’oblio, avevano convenuto che la presenza in rete di un articolo fondato su una notizia all’epoca della pubblicazione veritiera e di pubblico interesse costituisse legittimo esercizio del diritto di cronaca da contemperare, tuttavia, con la protezione dei dati personali dell’interessato. In particolare, la Cassazione aveva riconosciuto l’esistenza di un diritto all’oblio, inteso quale diritto alla tutela della propria e attuale identità personale e morale nella sua proiezione sociale, tale da giustificare l’obbligo a carico dell’editore di predisporre un sistema idoneo a segnalare la sussistenza di un ulteriore sviluppo della notizia. Nel sancire tale obbligo, la Suprema Corte aveva, altresì, precisato l’assenza di responsabilità a carico del gestore del motore di ricerca, sancendo l’esclusiva responsabilità del sito sorgente [23], titolare dell’organo di informazione, sul quale sarebbe ricaduto l’obbligo di garantire l’oblio digitale. L’orientamento giurisprudenziale richiamato ha determinato notevoli ripercussioni anche per la successiva giurisprudenza di merito [24] e per le decisioni assunte dal Garante della privacy [25], il quale sulla scorta delle sentenze indicate ha assicurato il rispetto dell’identità personale dei singoli nella sua attualità, attraverso l’imposizione – a carico degli editori, o in generale del sito sorgente – di obblighi di segnalazione dello sviluppo della notizia. L’orientamento, inoltre, sembra confermato anche da una recente pronuncia della Suprema Corte [26], la quale, in una fattispecie parzialmente diversa [27], ha rilevato l’assenza in capo al provider di un generale obbligo di sorveglianza dei dati immessi da terzi sul sito da questi gestito. La Corte, nelle motivazioni della sentenza richiamata, ha evidenziato la mancanza di un obbligo di informazione sanzionato penalmente, nei confronti del soggetto che ha immesso i dati, dell’esistenza e della necessità di applicare la normativa relativa al trattamento dei dati personali. Invero, secondo la Cassazione, il gestore del servizio di host provider non ha alcun controllo sui dati memorizzati, né contribuisce in alcun modo alla loro scelta, alla loro ricerca o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all’utente destinatario del servizio che li carica sulla piattaforma messa a sua disposizione. Ne deriva che il soggetto che si limita a fornire una piattaforma sulla quale gli utenti possono liberamente caricare i loro video non può considerarsi titolare del trattamento dei dati personali contenuti in tali video, né ritenersi obbligato ad alcun adempimento a tutela della privacy dei terzi. La pronuncia individua quali unici titolari del trattamento dei dati sensibili, eventualmente contenuti nei video, gli stessi utenti autori del caricamento, ai soli quali possono essere applicate le sanzioni, amministrative e penali, previste per il titolare del trattamento dal Codice sulla privacy [28]. Se ne deduce che l’ISP sia qualificabile come titolare del trattamento solo laddove incida direttamente sulla struttura degli indici di ricerca, condizionando l’individuazione di un determinato sito. In tale contesto appare dirompente la portata innovativa prodotta dalla sentenza in commento. La Corte di giustizia ha, infatti, rilevato la responsabilità del gestore di un motore di ricerca per il trattamento da questi effettuato dei dati personali, in quanto è quest’ultimo a determinarne le finalità e gli strumenti del trattamento stesso. Il gestore, secondo il ragionamento della Corte, estrae, registra e organizza i dati nell’ambito dei suoi programmi di indicizzazione, prima di procedere alla memorizzazione nei suoi server ed, eventualmente, di comunicarli e metterli a disposizione dei propri utenti sotto forma di elenchi di risultati. Ebbene, tali operazioni si qualificherebbero come “trattamento”, indipendentemente dalla considerazione che il gestore del motore di ricerca applichi le medesime operazioni anche ad altri tipi di informazioni diverse dai dati personali. 4.Un diverso approccio: la Corte europea dei diritti dell’uomo Considerati i presupposti del diritto all’oblio – quali la legittimità della notizia sotto i profili della verità, continenza e pertinenza; il venir meno dell’interesse pubblico (rectius, pertinenza) decorso un certo lasso di tempo; la ripubblicazione della notizia – occorre evidenziare che l’orientamento comunitario in tema di bilanciamento della libertà di espressione e del diritto all’oblio nei casi di pubblicazioni elettroniche non pare esaurirsi solo con la recente sentenza Google Spain. Preliminarmente alla disamina del caso spagnolo, è interessante analizzare l’orientamento espresso sul tema dalla Corte europea dei diritti dell’uomo nel caso Wegrzynowski. La comprensione della disciplina sottesa all’oblio, inteso quale diritto alla tutela dell’identità nella sua evoluzione e proiezione sociale, richiede un’attenta considerazione anche della pluralità di istituti – cancellazione, rettifica/integrazione nonché, appunto, deindicizzazione – emersi in sede comunitaria, e volti a impedire che la trasposizione in rete delle fonti informative degeneri in una lesione dei diritti dell’individuo. Se, come si dirà, nel caso Google Spain, la Corte di giustizia si è espressa in favore della deindicizzazione dei dati, stante lo sfumato interesse alla notizia dovuto al trascorrere del tempo; nel caso Wegrzynowski [29], il bilanciamento tra libertà di espressione, interesse individuale e interesse pubblico a conoscere la notizia ha portato la Corte europea dei diritti dell’uomo a trattare la questione in termini simili a quelli del caso spagnolo, seppur individuando una soluzione operativa differente. Vero è che, nel caso in esame, non rilevava propriamente il tema del diritto all’oblio – in quanto il carattere diffamatorio della notizia veniva già accertato dai giudici nazionali, e dunque la rimozione del contenuto richiesta dal ricorrente era basata su tale accertamento – tuttavia, la sentenza è risultata particolarmente significativa per le considerazioni svolte in merito al disconoscimento del diritto alla rimozione del contenuto. La Corte aveva ritenuto che l’imposizione di un obbligo di rimozione del contenuto, seppur giudicato diffamatorio, non rientrasse nelle prerogative giurisdizionali attribuibili ai tribunali nazionali. Tale circostanza aveva, quindi, indotto i Giudici a considerare la cancellazione di un articolo dal sito internet di un giornale online una misura sproporzionata, nonostante il contenuto diffamatorio del testo rilevato dai giudici nazionali per la versione cartacea del giornale. L’interpretazione fornita dalla Corte riconduceva nell’alveo della tutela della libertà di espressione gli archivi web dei giornali, considerando, in termini tutto sommato simili al caso Google Spain, l’equilibrio tra libertà di stampa e diritto alla reputazione. Il punto di equilibrio tra conservazione della notizia – seppur non corretta o comunque superata dagli eventi – nel patrimonio informativo online e la pretesa dell’individuo alla conservazione dell’identità personale veniva individuato nell’obbligo di aggiornamento/rettifica della notizia da parte dell’editore online. Secondo tale orientamento, la cancellazione di un articolo online diffamatorio avrebbe potuto incidere sul diritto di libertà di manifestazione del pensiero, cui si ricollegano l’esercizio dell’attività d’informazione, le notizie di cronaca, le manifestazioni di critica, le denunce civili con qualsiasi mezzo diffuse. La Corte in tal modo ribadiva pari dignità tra il diritto di libertà di manifestazione del pensiero e quello della libertà individuale. La mancata cancellazione dell’articolo non avrebbe comportato – secondo i Giudici di Strasburgo – una violazione della privacy, bensì avrebbe leso la libertà di espressione e conoscenza. Le conclusioni a cui era giunta la Corte erano suffragate dalla funzione attribuita agli archivi online, sul quale l’articolo diffamatorio risultava inserito. Da tale esame, i Giudici avevano rilevato il contributo sostanziale degli archivi nel rendere facilmente e gratuitamente accessibili le notizie, riconoscendone le finalità istruttive e di ricerca e garantendone adeguata tutela nell’alveo dell’art. 10 della CEDU. Sulla scorta del rilievo attribuito alla funzione dell’archivio, la Corte aveva, dunque, scelto di non imporre l’obbligo della rimozione di notizie diffamatorie dal sito web di un giornale online, con ciò ribadendo l’importanza di escludere sanzioni e censure sproporzionate. L’orientamento espresso a Strasburgo considerava sufficiente l’inserimento nell’articolo presente online di una nota esplicativa, in modo da informare i lettori dell’avvenuta sentenza e dell’accertamento diffamatorio del contenuto, senza richiedere la rimozione totale dello stesso. Le violazioni dei diritti protetti dall’art. 8 della CEDU sarebbero state punite con l’aggiornamento/rettifica della notizia pubblicata. La soluzione si traduceva, dunque, nell’imposizione in capo all’editore di inserire al testo pubblicato online un aggiornamento della vicenda su richiesta del soggetto leso. Pur riconoscendo nel mezzo utilizzato – internet – notevoli possibilità di porre in essere violazioni del diritto al rispetto della propria vita privata, la Corte aveva comunque ritenuto non necessaria la rimozione dell’articolo, preferendo operare un bilanciamento salomonico tra il diritto alla reputazione e il diritto all’informazione, inteso nella sua accezione di libertà di espressione e conoscenza. Vero è che un giusto contemperamento di opposti interessi di rilievo primario richiede allora che l’imposizione del vincolo sia giustificata da effettiva necessità e da adeguate ragioni; tuttavia, la valutazione della possibile riconducibilità del fatto all’area del penalmente rilevante e delle esigenze impeditive deve essere considerata tanto seria quanto vasta è l’area della tolleranza costituzionalmente imposta per la libertà di parola. Dalla ricostruzione logico-giuridica effettuata nel caso Wegrzynowski, si possono rilevare le diverse caratteristiche ed esigenze di tutela che richiedono i vari mezzi di informazione e comunicazione. La diversità va rilevata proprio con riguardo alla capacità di immagazzinare e trasmettere informazioni, propria della rete, che richiede regole ad hoc rispetto a quelle vigenti per la stampa tradizionale. Se, come si dirà, nel caso Google Spain, la Corte di giustizia ha ritenuto necessaria, in determinate ipotesi, l’eliminazione del link dall’elenco risultati per tutelare il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali; nel caso Wegrzynowski, la soluzione sembra essere stata volta all’aggiornamento del contenuto – seppure, lo si ribadisce, nel caso in esame non venisse espressamente in rilievo la lesione del diritto all’oblio. Ciononostante, al di là dell’espressa fattispecie considerata, la Corte EDU interviene sull’annoso tema del bilanciamento dei diritti, proponendo l’aggiornamento e l’integrazione della notizia come punto di equilibrio tra conservazione del dato nel patrimonio informativo online e pretesa dell’individuo alla conservazione dell’identità personale. La soluzione proposta – secondo i Giudici di Strasburgo – sarebbe in grado di tutelare la dignità dell’interessato e nel contempo migliorare la stessa qualità dell’informazione, che risulterebbe in tal modo più esatta, completa e, appunto, aggiornata, senza imporre alcuna censura o forma di controllo preventivo dei contenuti in rete. La ricostruzione degli orientamenti comunitari in tema di bilanciamento tra libertà di espressione, interesse individuale e interesse pubblico all’informazione non può, tuttavia, non tener conto anche della diversa soluzione adottata in seno alla stessa Corte EDU nel caso Delfi [30]. In quest’ultimo caso, di poco successivo in ordine temporale a quello Wegrzynowski, la Corte EDU, convalidando la decisione dei giudici nazionali, ha confermato la condanna a carico dei responsabili di un sito per non aver rimosso commenti diffamatori anonimi. L’orientamento espresso dalla Corte in quella sede ha considerato la sanzione giustificata e proporzionata in considerazione della restrizione del diritto alla libertà di espressione, stante la particolare offensività dei commenti attraverso i quali il portale aveva tratto profitto dalla loro esistenza. La libertà di espressione del pensiero attenuata, nel caso Delfi, è stata ritenuta necessaria – secondo i Giudici di Strasburgo – al fine di garantire la reputazione di una persona tenuto conto della proporzionalità della restrizione del diritto di informare da parte del sito. La proporzionalità dell’interferenza è stata, altresì, motivata dalla condotta dei responsabili del sito – che non avevano intenzionalmente rimosso i commenti diffamatori per incrementare il beneficio commerciale che si stava realizzando in loro favore – e dalla mancanza di un controllo preventivo, tale da identificare gli autori dei commenti. Il meccanismo di rimozione predisposto da Delfi è stato, quindi, ritenuto insufficiente in quanto inidoneo a garantire adeguata protezione ai diritti dei terzi. Se, quindi, l’orientamento della Corte nella sentenza Wegrzynowski sembrava considerare diversamente la piattaforma – cartacea o telematica – attraverso cui la libera manifestazione del pensiero si esplicava, nel caso Delfi tale distinguo non pare sia stato operato. In tale ultima fattispecie, la Corte ha rilevato che la libertà di espressione non avrebbe potuto estendersi sino a coprire la pubblicazione di commenti diffamatori. Ebbene, tali considerazioni mostrano l’esistenza, non solo di una pluralità di istituti volti a garantire la tutela dell’interesse individuale come inciso dalla libertà di espressione, ma anche l’esistenza di diversi orientamenti sul tema, persino in seno allo stesso organo giudicante. E’ in tal contesto che irrompe la sentenza Google Spain, la quale, come si vedrà, pone la questione del bilanciamento dei diritti in termini tutto sommato simili caso Wegrzynowski. 5.Il trattamento dei dati personali [31]: il caso Google Spain La normativa europea in materia di trattamento dei dati personali [32] mira a proteggere le libertà e i diritti fondamentali dei singoli, garantendo, da un lato, la tutela del diritto alla vita privata, e dall’altro, la libera circolazione di tali dati. Ebbene, proprio attraverso un’interpretazione, non immune da riserve, di tale normativa, la Corte di giustizia interviene nell’annoso quadro, parzialmente descritto sinora, della tutela all’identità personale in rete. In particolare, la Corte, chiamata a districare il nodo interpretativo sorto sulla disciplina europea della cd. data protection, ha riconosciuto il diritto del singolo interessato a chiedere, al gestore prima, e alle autorità competenti poi, l’eliminazione del link dall’elenco risultati [33]. Invero, la Corte ha statuito che “[l’] attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di internet secondo un determinato ordine di preferenza, deve essere qualificata come trattamento di dati personali, e che il gestore di detto motore di ricerca deve essere considerato come il responsabile del trattamento” [34]. L’interpretazione fornita dalla Corte permette dunque di riconoscere il diritto del singolo alla rimozione dai risultati dei motori di ricerca di collegamenti a contenuti in grado di offrire una rappresentazione non più attuale della sua personalità. L’aspetto innovativo risiede, tuttavia, nell’imposizione dell’obbligo di rimozione a carico dei gestori dei motori di ricerca. La ricostruzione logico giuridica seguita dalla Corte si articola attraverso alcuni passaggi fondamentali. In particolare, l’attività di indicizzazione dei contenuti delle pagine web compiuta dal motore di ricerca, nonostante la terzietà del gestore rispetto ai contenuti indicizzati e l’automaticità di tali operazioni, concreta un “trattamento di dati personali”, di cui alla direttiva n. 95/46/CE. Invero, le attività di estrazione, registrazione, organizzazione dei dati compiute dal gestore, contemplate esplicitamente dalla direttiva richiamata, devono essere qualificate come un trattamento, anche qualora riguardino esclusivamente informazioni già pubblicate sui media. Si rileva dunque una separazione tra il trattamento compiuto dal gestore del motore di ricerca e quello del gestore del sito che ha pubblicato fra i propri contenuti informazioni altrui di natura personale. Tale premessa consente di qualificare lo stesso motore di ricerca come “titolare del trattamento” [35] ovvero soggetto che determina finalità e strumenti del trattamento stesso [36]. L’attività di indicizzazione compiuta dai motori di ricerca, secondo la Corte, può determinare un notevole impatto sui diritti fondamentali dell’uomo, e in particolare, il diritto alla tutela della vita privata e alla protezione dei dati personali. A tal fine il gestore è tenuto a garantire, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, la conformità di tale attività alle prescrizioni della direttiva richiamata, al fine di assicurare una tutela efficace e completa dei soggetti interessati. La Corte ha rilevato la responsabilità del gestore del motore di ricerca anche nel caso in cui dati e/o informazioni non vengano rimosse dalle pagine web pubblicate da terzi. In caso contrario, si consentirebbe a qualsiasi utente della rete di ottenere, mediante l’elenco di risultati, una visione complessivamente strutturata delle informazioni riguardanti il singolo, con una potenziale lesione della vita privata. Il ruolo del gestore appare fondamentale, in quanto, in assenza di un tale servizio, solo difficilmente si sarebbe verificato l’ottenimento di informazioni tali da consentire un profilo più o meno dettagliato dell’individuo oggetto di ricerca. La Corte ha quindi rilevato che una simile ingerenza, considerata in tutta la sua potenziale gravità, non potrebbe essere giustificata dal semplice interesse economico del gestore nel trattamento dei dati. Tuttavia, possibili ripercussioni potrebbero essere ingenerate sul legittimo interesse dell’utente a ottenere l’accesso alla notizia. Ebbene, la Corte opera un bilanciamento tra detto interesse e i diritti fondamentali della persona – in particolare, il diritto al rispetto della vita privata e alla protezione dei dati personali. Seppur si rilevi un’indubbia prevalenza di questi ultimi diritti, occorre in ogni caso ricercare un giusto equilibrio che consideri la natura dell’informazione di cui trattasi e il suo carattere sensibile per la vita privata della persona suddetta, nonché l’interesse del pubblico a ricevere tale informazione, il quale può variare, in particolare, a seconda del ruolo che tale soggetto riveste nella vita pubblica. Tuttavia, si consideri che anche un trattamento inizialmente lecito dei dati possa divenire incompatibile con le prescrizioni della direttiva n. 95/46/CE e legittimare la richiesta di rimozione degli stessi, intesa nella sua accezione di diritto all’oblio. Invero, il trascorrere del tempo, può, tenuto conto dell’insieme delle circostanze caratterizzanti il caso di specie [37], rendere tali dati inadeguati, non pertinenti o non più pertinenti ovvero eccessivi in rapporto alle finalità per le quali sono stati trattati. La qualificazione del motore di ricerca come titolare del trattamento assume un notevole rilievo, in quanto, da un lato consente all’interessato di richiedere la modifica, ovvero l’eliminazione dei propri dati personali e investe il gestore del relativo obbligo; dall’altro apre scenari controversi sullo svolgimento delle attività del motore di ricerca, il quale potrebbe essere obbligato finanche a ottenere il consenso degli interessati per tali attività. La sentenza assume rilievo anche per il riconoscimento del diritto all’oblio. La Corte, richiamando gli artt. 12 e 14 della direttiva n. 95/96/CE, sembra trovare il fondamento di tale diritto. Invero, il Giudice comunitario, interpretando in senso ampio l’art. 12, lett. b), della direttiva – che in tema di diritto d’accesso ai dati da parte del soggetto interessato, riconosce a quest’ultimo, il diritto di ottenere “(…), la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati (…)”– giunge a ricomprendere in tale fattispecie ogni ipotesi di difformità del trattamento dei dati [38]. Anche l’altro articolo richiamato dalla Corte – art. 14, co. I, lett. b) della direttiva, che sancisce il diritto di opposizione della persona interessata [39] – è soggetto a un’interpretazione ampia rispetto al dettato normativo, giacché permette di concludere che un dato, seppur originariamente esatto e aggiornato alla data di pubblicazione, può per effetto del semplice decorso del tempo, essere considerato non più corretto, con conseguente trattamento non conforme alle disposizioni della direttiva richiamata. La portata innovativa della pronuncia si rinviene anche sotto l’aspetto applicativo della direttiva. Invero, la Corte, pare operare un ampliamento perfino sull’ambito di applicazione territoriale della normativa. L’argomentazione della società soccombente – secondo cui il trattamento di dati personali da parte di Google Search, siccome non effettuato nel contesto delle attività dello stabilimento spagnolo, non sarebbe soggetto alle disposizioni della direttiva – viene superato dalla Corte. I giudici comunitari, con un’interpretazione, che non manca di far discutere [40], hanno stabilito che l’applicazione della direttiva “[n]on esige che il trattamento di dati personali in questione venga effettuato «dallo» stesso stabilimento interessato, bensì soltanto che venga effettuato «nel contesto delle attività» di quest’ultimo” [41]. Si rileva, dunque, una certa attenzione dei Giudici comunitari all’applicazione effettiva della normativa, tale da superare eventuali barriere transfrontaliere, attraverso l’ampliamento del concetto di stabilimento anche al “contesto delle attività” svolte dalla società [42]. Il trattamento dei dati finalizzati alle esigenze delle attività del motore di ricerca se effettuato nel “contesto delle attività” dello stabilimento in uno Stato membro, sebbene la società sia situata in uno Stato terzo, è soggetto, secondo l’interpretazione della Corte, alle prescrizioni della direttiva. Invero, è stato ritenuto che la presenza di una società collegata – nel caso di specie Google Spain – sia sufficiente a considerare la società “basata” in quel determinato Paese. Il criterio affermato dalla Corte – secondo cui il trattamento dei dati personali svolto dal motore di ricerca si intende realizzato nel contesto delle attività della parent company del titolare del trattamento – è sostanzialmente di carattere economico e basato sulla considerazione dello sfruttamento commerciale di tale attività. Si tratta evidentemente di un’interpretazione estensiva dell’art. 4, par. 1, lett. a) della direttiva in esame, peraltro, già sancita dalla Corte in una precedente pronuncia in materia di commercio elettronico [43]. L’analogia proposta dalla Corte con la disciplina sul commercio elettronico è stata, tuttavia, oggetto di critiche in dottrina. In particolare, è stato ritenuto che, nel caso del commercio elettronico il principio di destinazione del servizio conduce all’applicazione a un soggetto extra europeo di una regolamentazione che ha per oggetto esattamente l’attività che esso svolge all’interno dell’Unione europea; mentre nel caso in esame l’interpretazione analogica offerta dalla Corte si spinge ad applicare la disciplina europea in materia di privacy a un soggetto che nel territorio comunitario svolge un’attività diversa da quella oggetto di regolamentazione. L’applicazione sarebbe giustificata dalla considerazione che l’attività svolta presupporrebbe quella oggetto di regolamentazione, garantendo profittevolezza economica [44].Tuttavia, il criterio del collegamento economico adottato dai Giudici di Lussemburgo potrebbe prestarsi a facili elusioni attraverso schermi di carattere societario idonei a creare artificiose separazioni negoziali tra il titolare del trattamento extra europeo e il soggetto che nell’Unione fornisce servizi che abbiano per presupposto tale trattamento. Invero, per aggirare l’iter argomentativo della Corte, sarebbe sufficiente che i servizi accessori – come quelli pubblicitari del caso di specie – siano commercializzati da un soggetto terzo, non controllato da Google Inc., ma alla stessa legato da rapporti di consulenza [45]. 6.Il giusto equilibrio tra privacy e memoria collettiva: considerazioni sulla sentenza Nella ricostruzione della natura dell’attività del motore di ricerca, la Corte opera una assimilazione delle operazioni di indicizzazione, raccolta, memorizzazione temporanea dei dati, al trattamento dei dati personali, definendolo quale operazione che “(…) si distingue da e si aggiunge a quello effettuato dagli editori di siti web, consistente nel far apparire tali dati su una pagina internet (…)”[46]. Si rileva, dunque, una differente qualificazione del motore di ricerca, che da semplice piattaforma impersonale e neutrale, mossa da algoritmi imparziali, acquisisce un enorme potere di governo delle informazioni, con conseguente attribuzione di responsabilità per i risultati evidenziati. La sentenza sembra invero discostarsi dall’orientamento giurisprudenziale espresso dalla Suprema Corte [47], secondo cui l’eventuale richiesta di cancellazione, rimozione, modifica dei dati sarebbe rivolta ai siti sorgente e non al gestore del motore di ricerca. Sulla scorta di tale interpretazione, la giurisprudenza nazionale ha quindi applicato il cd. principio della neutralità del prestatore dei servizi di rete, introdotto dalla normativa europea in materia di e-commerce [48], sebbene tale principio riguardi il commercio elettronico e non l’editoria. Ebbene, la Corte di giustizia ha al contrario rilevato che la violazione dei diritti si delinea in ragione proprio dell’indicizzazione dei dati compiuta dal motore di ricerca, il quale, mediante la propria attività, ha creato un’immagine sociale dell’individuo distorta, o comunque non più attuale [49]. Si delineerebbe, dunque, un’evoluzione del motore di ricerca, che diventa personalizzato e maggiormente contestualizzato, tale da determinare la responsabilità dello stesso nello svolgimento della propria attività. La pronuncia, anche se prima facie, pare evidenziare una certa soccombenza degli interessi commerciali e del legittimo interesse del singolo consociato ad aver accesso alla notizia in favore del diritto al rispetto della vita privata e alla protezione dei dati personali, opera invece un bilanciamento tra tali diritti. La valutazione posta alla base del bilanciamento tra i diritti menzionati, estremamente delicata, è orientata dal ruolo pubblico rivestito dal soggetto indicizzato, e permette di delineare un diritto all’oblio non assoluto. Tuttavia, il difficile contemperamento tra diritto all’oblio e diritto all’informazione, di cronaca e di critica, sino al diritto alla libera ricerca storica evidenzia possibili effetti distorsivi nell’implementazione pratica da parte del motore di ricerca degli obblighi imposti della sentenza. Invero, il contemperamento tra tali diritti appare problematico nella sua attuazione pratica e pare spingersi oltre i confini di competenza territoriale dell’organo giurisdizionale. Seppur l’attività dei motori di ricerca sembra più propriamente legata al re-indirizzamento – attività priva di qualsivoglia manipolazione di contenuti e ispirata a una sistemazione secondo criteri di attinenza e popolarità – i Giudici nella pronuncia in esame mostrano maggior attenzione al primato della persona, attribuendole un potere di veto sulla circolazione dei dati, nonostante gli innegabili ostacoli pratici [50]. Tuttavia, l’assenza applicativa di un filtro meritorio in sede di classificazione dei contenuti pare suscitare alcune perplessità circa la tipizzazione di tale attività nell’alveo del trattamento dei dati personali. Inoltre, la mancanza di un’adeguata motivazione circa la ricostruzione logico-giuridica della fattispecie compiuta dalla Corte sembra alimentare ulteriori incertezze e disparità. Invero, ingiustificata appare l’assimilazione tra fattispecie completamente differenti. Dall’equiparazione tra le attività di soggetti che effettivamente svolgono un trattamento dei dati e quelle dei motori di ricerca, che si limitano a fornire tali dati già trattati da terzi, sembrano emergere alcune perplessità [51]. Posto che tale riflessione non può giammai condurre a un disinvolto sostegno di qualsivoglia comportamento realizzato dal motore di ricerca, sul quale incombe in ogni caso la responsabilità della propria attività – si rileva tuttavia l’assenza di criteri indicativi necessari per compiere un’adeguata valutazione dei contenuti eventualmente lesivi. Vero è comunque che le garanzie sottese al corretto svolgimento dei traffici giuridici, ivi compresi quelli dell’informazione, necessitano del rispetto delle condizioni di legalità che devono tradursi in una selezione dei contenuti attraverso la de-indicizzazione di contenuti palesemente illeciti. Difatti, tale operazione volta a evitare la diffusione di contenuti di natura illecita forniti dagli utenti, è svolta secondo un’analisi ispirata a criteri di legalità manifestamente verificabili. Tuttavia, in assenza di questa manifesta verificabilità, l’accertamento di contenuti lesivi della personalità, che appare già in sé indubbiamente complesso, risulta quasi impraticabile. Invero, l’assenza di una preliminare comminatoria nei riguardi dei contenuti potenzialmente lesivi finirebbe per attribuire un filtro discrezionale ai contenuti presenti in rete in base a una valutazione di merito arbitrariamente compiuta dal gestore del motore di ricerca [52]. L’irrealizzabilità del sistema delineato conduce, dunque, a compiere una valutazione ex post simile al meccanismo di notice and takedown di matrice statunitense [53]. La procedura statunitense – disciplinata dal Digital Millennium Copyright Act, cd. DMCA [54] – pur non essendo stata ripresa dal legislatore comunitario, ha subito un processo singolare di circolazione giuridica attraverso l’introduzione di procedure analoghe in alcuni Stati europei. Si tratta, tuttavia, di una disciplina, in parte divergente, prevista nei casi di violazioni del diritto d’autore [55]. Tuttavia, l’obiettivo ultimo di tali sistemi di autoregolamentazione è quello di ridurre i costi transattivi e prevenire eventuali azioni giudiziarie. Invero, attraverso la predisposizione di formulari di pronta consultazione si consente una rapida analisi del caso, senza sopportare alcun costo di carattere giudiziario. Tali sistemi, seppur noti per la celerità ed efficacia in termini di tutela dei soggetti, costituiscono in ogni caso un serio restringimento delle attività di search engine e si prestano al rischio di un accoglimento generalizzato delle istanze di rimozione da parte dei gestori dei motori di ricerca. L’adeguamento alle richieste di delisting potrebbe indurre i motori di ricerca a una rimozione quasi automatica, priva di una adeguata valutazione sull’effettiva lesione della personalità perpetrata a danno degli utenti. Si tratterebbe di un sistema di overdeterrence che spingerebbe gli operatori intermediari a optare per la rimozione dei risultati della ricerca a prescindere dalla sussistenza del diritto all’oblio in quanto soluzione meno rischiosa. Secondo invece un approccio differente, ma allo stesso modo applicabile, i motori di ricerca potrebbero essere indotti anche al rigetto automatico delle richieste, al fine di oberare le autorità nazionali, impreparate a gestire centinaia di ricorsi. In tal modo si giungerebbe all’impossibilità di ottenere una adeguata ed efficace tutela, ma soprattutto si arriverebbe ad affidare ai search engine la selezione dei criteri da adottare per la rimozione dei contenuti. A ciò si aggiunga la considerazione che, nella valutazione delle richieste di de-indicizzazione, l’azione dei motori di ricerca appare svolta in una situazione di quasi monopolio e in modo unilaterale, non essendo previsto neppure l’intervento del sito sorgente. Nel caso di specie Google ha reso disponibile sul web un form [56] attraverso cui chiedere la rimozione dei link ritenuti inadeguati o non più pertinenti, e istituito al suo interno il Advisory Council on The Right to be forgotten, comitato direttivo di dieci esperti deputato a vagliare le singole richieste, e dunque a stabilire i criteri di applicazione del diritto all’oblio. A prescindere dalla considerazione che il modello adottato dall’operatore non pare essere né imposto, né normativamente disciplinato dalla pronuncia in esame, occorre tuttavia soffermarsi sulla prassi applicativa che i motori di ricerca si apprestano ad adottare per la rimozione delle pagine oggetto di segnalazione. Al momento le domande di de-indicizzazione, presentate direttamente al gestore del motore di ricerca, sarebbero, oggetto di una ancora non ben definita valutazione in merito alla fondatezza di tali richieste, al termine della quale è lo stesso gestore a disporre autonomamente l’eventuale de-indicizzazione del relativo contenuto [57]. Si tratterebbe dunque di un meccanismo di private enforcement, per mezzo del quale il motore di ricerca disporrebbe della possibilità di effettuare il delisting relativo al contenuto oggetto di segnalazione ad parte dell’utente. Ebbene – oltre a considerare il risvolto di tale operazione valutativa, che attribuirebbe al motore di ricerca un obbligo di sorveglianza estremamente gravoso nella pratica, stante lo scrutinio di milioni contenuti postati nella rete – come già precisato, notevoli sono i rischi di de-indicizzazione generalizzati. Premesso, infatti, che la pronuncia della Corte non sembra affidare al motore di ricerca il bilanciamento tra diritto all’oblio e diritto all’informazione attraverso la definizione di criteri applicativi definiti da un suo organo interno, occorre rilevare tuttavia che l’analisi della richiesta – svolta sulla base delle scarne motivazioni indicate nel form online compilato dall’utente – potrebbe ridursi, come sopra evidenziato, in una cancellazione quasi automatica, forse meccanica dei link. A ciò si aggiunga il possibile effetto strumentale del diritto all’oblio a favore di una riprovevole censura online attuata da soggetti pubblici che tentino di ricostruire selettivamente la loro immagine virtuale dietro lo scudo della privacy. Ebbene, in tale contesto la valutazione circa la prevalenza dell’interesse del singolo alla tutela della privacy su quello dell’intera collettività a essere informata non può essere in alcun modo delegata al motore di ricerca. In altri termini, attribuire a una società privata la qualifica di amministratore discrezionale del diritto all’oblio, seppur con riferimento alle sole istanze trasmesse, comporterebbe effetti estremi a danno del diritto all’informazione e della cd. memoria collettiva digitale [58]. In tal senso, le Guidelines del Working Group costituiscono un rilevante supporto alla definizione (rectius, delimitazione) dei criteri che i motori di ricerca dovrebbero adottare per valutare le istanze di delisting. Con riferimento ai requisiti soggettivi, posto che debba trattarsi di persona fisica [59], è interessante sottolineare che la de-indicizzazione – nel rispetto del principio fissato dall’art. 24 della Carta di Nizza in tema di ricerca dell’interesse del minore – viene favorita nei casi in cui quest’ultimi siano coinvolti. Nel caso, invece, in cui siano coinvolti personaggi pubblici [60], il delisting è disincentivato, al fine di evitare un possibile utilizzo strumentale del diritto all’oblio. Sul versante oggettivo, si rileva che le linee guida invitano all’aggiornamento dell’informazione pubblicata, che dovrà essere non eccedente gli scopi del trattamento dei dati personali, nonché completa e accurata. Ulteriori parametri attengono poi al carattere dell’informazione: la natura prettamente oggettiva della stessa; il contesto nel quale l’informazione è stata pubblicata; l’afferenza della stessa all’ambito professionale o personale del soggetto coinvolto; la possibilità che comprometta la sicurezza e l’incolumità dello stesso [61]. Tuttavia, sarebbe auspicabile, come osservato dal Working Group, la pubblicazione da parte degli operatori di tali criteri, che nella loro necessaria flessibilità si ispirino in ogni caso al principio fondamentale dell’interesse pubblico all’informazione. La sentenza inoltre fa salva, in caso di rifiuto, la facoltà degli utenti di adire le competenti autorità giudiziarie al fine di una rivalutazione della domanda. Ebbene, in tal contesto appare dirimente comprendere l’organo deputato all’esercizio di tali competenze. E’ stato ritenuto che tali competenze spettino all’organo giurisdizionale e, accanto a questo, in un’ottica di deflazionamento dei giudizi, alle Autorità nazionali di garanzia [62]. Anche tale circostanza appare di non poco rilievo. Si tratta, infatti, di comprendere la natura della tutela garantita, finanche amministrativa oppure esclusivamente giurisdizionale. Ebbene, la pronuncia sembra riferirsi indistintamente alle autorità di controllo e giudiziarie affinché queste, effettuate le verifiche necessarie, ordinino al responsabile l’adozione di misure precise conseguenti. Sul tema, pur dovendosi escludere il richiamo alla disciplina sul commercio elettronico [63] – che, come già precisato, non solo non riguarda l’editoria, ma fornisce inoltre una serie di regole che condizionano la responsabilità del provider evidenziandone la natura di mero intermediario, messa in discussione dalla sentenza in esame – si potrebbe forse operare comunque un parallelismo con la procedura di cui all’art. 14 del d.lgs. n. 70/2003. La procedura, infatti, prevede che il giudice o l’autorità amministrativa avente funzioni di vigilanza possano esigere, anche in via d’urgenza, che il fornitore, nell’esercizio di attività di “mere conduit”, impedisca o elimini le violazioni commesse, inibendo dunque un trattamento realizzato in violazione di legge. Il richiamo pare, inoltre, già essere stato compiuto in tema di diffamazione. Invero, il recente disegno di legge in discussione alla Camera [64] – all’art. 3 – oltre a sancire in capo all’interessato, il diritto – ulteriore rispetto a quello di ottenere la rettifica o l’aggiornamento – di richiedere la rimozione, dai siti internet e dai motori di ricerca, dei contenuti diffamatori o, comunque, dei dati personali trattati in violazione di legge, indica le modalità procedurali per la presentazione della richiesta [65] facendo esplicito riferimento alla normativa in tema di commercio elettronico [66]. Pertanto, risulta palese l’intenzione di configurare una sorta di “doppio binario” – giurisdizionale e amministrativo – per la tutela dell’interessato, valorizzando, nel contempo il ruolo delle autorità, estranee tanto al circuito fiduciario-rappresentativo (e dunque, alla logica di maggioranza che lo ispira) quanto all’ordine giudiziario. Tuttavia, appare concreto il rischio di una applicazione disomogenea del diritto all’oblio, non solo per i diversi Paesi dell’Unione, ma anche con riferimento ai diversi motori di ricerca [67], con notevoli conseguenze sulle dinamiche dell’informazione in Europa. Tale circostanza pare aver stimolato un ampio dibattito sul tema. In particolare, la complessità della gestione dei casi di rilevanza transfrontaliera ha indotto gli studiosi ad affrontare il tema centrale dell’efficienza dell’azione di vigilanza. In tale contesto, è stato svolto un rilevante dibattito circa le modalità di gestione di quei casi in cui il trattamento dei dati sia suscettibile di pregiudicare il diritto alla riservatezza di soggetti residenti in diversi Stati membri. Allo stato, invero, la disciplina vigente, di cui alla direttiva n. 95/46/CE, non identifica meccanismi di coordinamento all’interno dell’Unione, né i casi in cui il trattamento dei dati sia in grado di varcare i confini nazionali, ma si limita piuttosto a un contesto di carattere locale. Ebbene, l’impianto in vigore – particolarmente decentrato – potrebbe essere moderato da un sistema di codecisione tra le autorità interessate, o addirittura sostituito da un’unica autorità di protezione. Tuttavia, l’auspicata convergenza appare ancora lontana, fortemente ostacolata dai singoli Stati che temono un’invasione nell’enforcement dei diritti fondamentali [68]. In tale quadro, assume rilievo l’ambito territoriale interessato dalla decisione in esame. Invero, sebbene l’applicazione della sentenza sia rivolta esclusivamente agli operatori comunitari – con le problematiche di convergenza, coerenza e non contraddizione delle prassi nazionali già brevemente espresse – pare innegabile rilevare che la de-indicizzazione sia diretta, non solo ai domini europei, ma anche ai domini generici [69]. Invero, nelle recenti linee guida per l’implementazione della sentenza in esame, il Data Protection Working Party [70] ha considerato il delisting non limitato esclusivamente ai domini europei, sulla valutazione che gli utenti tendono ad accedere ai motori di ricerca attraverso il relativi domini nazionali [71]. Difatti, una tale applicazione ridurrebbe l’efficacia dello strumento di de-indicizzazione. Tuttavia, anche l’adeguamento a tali principi non sembra di agevole applicazione pratica, comportando, attraverso l’imposizione degli obblighi di rimozione – ricadenti per certi aspetti perfino su cittadini non europei – una possibile censura applicata sulla base del provider da cui parte la query di ricerca. Tali considerazioni appaiono di notevole rilievo, in particolar modo per gli effetti che una simile applicazione è in grado di produrre. Si tratterebbe, infatti, dell’applicazione di una sentenza emessa da giudici europei che sostanzialmente produrrebbe effetti, seppur in via mediata per il tramite della filiale Google Spain, anche nei confronti di una azienda con sede negli Stati Uniti (che realizza ricavi in altri Paesi). Tale circostanza permetterebbe di superare le argomentazioni da sempre addotte da Google Inc. circa la soggezione della stessa alla giurisdizione statunitense, fondate sulla considerazione che la società ha stabilimento negli Stati Uniti. La Corte, al contrario, riconoscendo la stabile organizzazione delle società collegate, ha evidenziato che proprio la natura di semplici società di servizi pubblicitari delle stesse – come sostenuto da Google Inc. – permetta comunque di rilevare la realizzazione di ricavi legati alla compravendita di informazioni (i.e. profilazione degli utenti), e dunque, la soggezione alla normativa comunitaria e alle singole leggi nazionali. La circostanza manifesta una considerevole riacquisizione di sovranità da parte degli Stati europei e delle Autorità nazionali di protezione dei dati, evidenziando, tuttavia, una complessa applicazione pratica. 7.Conclusioni La disamina sin qui compiuta ha mostrato come la de-indicizzazione dei contenuti dai motori di ricerca attraverso la partecipazione attiva del titolare del motore di ricerca abbia offerto, da un lato il riconoscimento implicito di un nuovo diritto, dall’altro uno scontro tra diritti lasciando aperti una serie di quesiti. L’incontestabile merito della pronuncia si rinviene tuttavia nella riproposizione di un dibattito in realtà mai sopito relativo all’ambito di applicazione della normativa europea in materia di privacy e alla sua estensione nei confronti di quegli operatori che, pur fissando la propria sede in territori extra europei, si rivolgono e offrono i propri servizi anche al mercato europeo. In ogni caso, la sentenza in esame non può e non deve essere considerata incontestabile portatrice di dogmi assoluti. Diversi, infatti, sono i profili inesplorati e i problemi ancora aperti. La sentenza – pur garantendo il diritto alla de-indicizzazione di pagine contenenti dati personali leciti e veritieri ma ormai inadeguati, irrilevanti o addirittura non più rilevanti – appare profondamente inidonea nel passaggio in cui sembra accentuare maggiormente l’aspetto individuale inteso quale tutela della reputazione del singolo, rispetto a quello collettivo, considerato quale libertà di espressione o diritto di cronaca, sfumando eccessivamente i confini tra privacy e diffamazione [72]. Confini che sovente sono oggetto di confusione anche nelle sedi legislative. Occorre, invero, operare un distinguo tra contenuti diffamatori (o i dati trattati in violazione di legge) e i dati personali, che pur non essendo inesatti – e dunque da rimuovere o integrare – siano connotati da un interesse pubblico non così attuale da giustificarne l’indiscriminata reperibilità in rete. Ciò costituisce il termine di riferimento proprio del diritto all’oblio, che nel suo più noto precedente giurisprudenziale – la sentenza in esame – si manifesta come richiesta di deindicizzazione di dati certamente veritieri ma connessi a una vicenda ormai risalente. L’interesse caratterizzante la notizia, ormai sfumato, pur non in misura tale da giustificarne la rimozione dagli archivi dei giornali, comporta, quindi, la sottrazione ai motori di ricerca generalisti, in modo da contenere il danno all’immagine dell’interessato, derivante dalla perenne associazione tra il suo nome e la vicenda. Inoltre, anche alla conclusione della Corte circa la qualificazione del motore di ricerca quale titolare – inconsapevole – del trattamento dei dati personali seguono ulteriori perplessità. Invero, come già analizzato, sotto un profilo puramente tecnico, l’attività del motore di ricerca è svolta attraverso l’applicazione di un algoritmo di indicizzazione programmato in modo tale da associare indistintamente un link al nome di un dato soggetto, senza una preventiva valutazione circa la presenza di dati personali. Nel complesso, il percorso offerto dalla sentenza appare nel suo complesso tortuoso e rischia di sollevare perplessità anche di carattere applicativo. Invero, se per un verso la tutela dell’utente sembra essere stata ampliata, è invece il ruolo del motore di ricerca a essersi accresciuto. L’intermediario della rete pare diventare arbitro delle informazioni accessibili, operando anche sulla qualità di quest’ultime ed eliminando contenuti scomodi e invisi a taluno [73]. Tuttavia, la tutela dell’utente, che la portata della sentenza in esame vorrebbe ampliare, appare in realtà inficiata anche dall’assenza della garanzia del contraddittorio. Il difetto di una previsione, che imponga in capo al prestatore l’obbligo di assicurare un adeguato contraddittorio, determina la mancanza di un dialogo tra il notificante e i titolari dell’opposto interesse alla permanenza del contenuto. Tale lacuna non consente il benché minimo coinvolgimento di possibili interessi contrapposti, accrescendo ancora di più il ruolo del motore di ricerca. Tale soggetto pare svolgere una funzione prettamente paragiudiziale che, non solo non può essergli attribuita, ma che rischierebbe, inoltre, nel suo uso puramente strumentale, di tradursi in una sterile verifica della sussistenza dei diritti dell’interessato [74]. Sotto una diversa prospettiva, oltre alla paventata possibilità che si verifichi una cancellazione quasi automatica dei link, si potrebbe tuttavia riscontrare, al contrario, una certa ostilità da parte dei motori di ricerca alla cancellazione. Tale evenienza potrebbe essere indotta, non solo allo scopo di oberare le autorità nazionali della gestione di centinaia di ricorsi, ma anche al fine di tutelare il possesso dei dati personali su cui si fonda la capacità degli Over the Top di generare reddito. La possibilità fornita agli utenti di cancellare i propri dati renderebbe provvisorio e revocabile il possesso di questi da parte dei motori di ricerca, determinando, dunque, un indebolimento del valore dei dati stessi soprattutto a fini economici. L’intervento strutturale nell’ecosistema della rete non scevro da conseguenze, induce quindi ad attente riflessioni sul suo impatto digitale. Dal confronto tra la sovranità tecnologica multinazionale e quella giuridica sovranazionale, pur rilevandosi in parte l’attuale affermazione di quest’ultima, la vicenda sembra tutt’altro che conclusa. Note: [*] Il presente contributo è stato preventivamente sottoposto a referaggio anonimo affidato ad un componente del Comitato di Referee secondo il Regolamento adottato da questa Rivista. [1] J.P. Barlow, A declaration of the independence of cyberspace, John Perry Barlow Library, 1996, disponibile sul sito http://www.eff.org/ barlow/library.html. L’Autore rivendica l’autonomia della rete, la sua estraneità alla politica e al diritto. Barlow afferma l’originarietà dell’ordinamento del ciberspazio, sostenendo che questo non dipende dalle istituzioni del mondo fisico, ma è un fenomeno naturale, che cresce spontaneamente attraverso le azioni collettive dei suoi membri. Il ciberspazio è, secondo Barlow, dotato di una propria cultura, di una propria etica, di una propria regolamentazione, seppur non codicisticamente tradotta. Ebbene, tale sistema sarebbe dotato di un proprio ordine, maggior di quanto possa essere realizzato dalle imposizioni dei governi. Barlow, sulla base di tali considerazioni, conclude sostenendo che internet non ha bisogno della politica e del diritto, in quanto capace di autoregolarsi e di risolvere autonomamente i propri conflitti. (“Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind. On behalf of the future, I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty where we gather. We have no elected government, nor are we likely to have one, so I address you with no greater authority than that with which liberty itself always speaks. I declare the global social space we are building to be naturally independent of the tyrannies you seek to impose on us. You have no moral right to rule us nor do you possess any methods of enforcement we have true reason to fear. Governments derive their just powers from the consent of the governed. You have neither solicited nor received ours. We did not invite you. You do not know us, nor do you know our world. Cyberspace does not lie within your borders. Do not think that you can build it, as though it were a public construction project. You cannot. It is an act of nature and it grows itself through our collective actions. You have not engaged in our great and gathering conversation, nor did you create the wealth of our marketplaces. You do not know our culture, our ethics, or the unwritten codes that already provide our society more order than could be obtained by any of your impositions. You claim there are problems among us that you need to solve. You use this claim as an excuse to invade our precincts. Many of these problems don’t exist. Where there are real conflicts, where there are wrongs, we will identify them and address them by our means. We are forming our own Social Contract. This governance will arise according to the conditions of our world, not yours. Our world is different”). [2] Le numerose richieste di una disciplina giuridica della rete provengono, in particolar modo dai governi – interessati a controllare la rete per la prevenzione del crimine e del terrorismo, a censurare materiali, a controllare il dissenso politico e sociale – ma anche dalla comunità degli affari, interessata a tutelare il commercio elettronico, ivi compresa la protezione della proprietà intellettuale, e dalla società civile per la tutela dei diritti fondamentali della persona. [3] In tal senso, Agcom, Indagine conoscitiva sul settore dei servizi internet e sulla pubblicità online, Allegato A alla delibera n. 19/14/CONS, disponibile sul sito dell’Autorità all’indirizzo http://www.agcom.it/documents/10179/0/Documento/9376a211-ebb2-4df6-83ea-282f731faaf2. [4] In tal senso, Romani M., La globalizzazione telematica, Giuffré, 2009, secondo il quale la rete sarebbe sottoposta a una vera e propria normativa, la cd. lex informatica, la quale, pur non soggetta a determinati obblighi di osservanza, sarebbe spontaneamente rispettata secondo un meccanismo simile a quello che ha originato la lex mercatoria. [5] In tal senso, Delli Priscoli L., Internet e il diritto alla riservatezza dei dati personali contenuti in atti parlamentari, in Diritto Mercato Tecnologia n. 4-2013. [6] La garanzia di tale libertà si applica a tutte le forme di espressione, non solo quelle che combaciano con i punti di vista e le prospettive della maggioranza. La Corte europea dei diritti dell’uomo ha più volte dichiarato: “La libertà di espressione […] è applicabile non solo alle ‘informazioni’ o ‘idee’ accolte con favore o considerate inoffensive o indifferenti, ma anche a quelle che offendono, sconvolgono o inquietano lo Stato o una parte della popolazione. Tali sono le esigenze di pluralismo, tolleranza e apertura mentale, senza le quali non esiste ‘società democratica’” (sentenzan. 5493/72, Handyside contro Regno Unito, § 49). Si veda anche il documento prodotto dalla Riunione di Copenaghen della Conferenza sulla dimensione umana della OSCE, del giugno 1990, in cui gli Stati membri partecipanti all’incontro, hanno affermato che: “(…) ogni persona avrà diritto alla libertà di espressione (…)”. L’esercizio di tale diritto – riconosciuto dalle tradizioni costituzionali dei Paesi europei, oltre che dall’art. 10 della Convenzione europea dei Diritti Fondamentali, CEDU e, da ultimo, nell’art. 11 della Carta UE – costituisce una componente della libertà dell’informazione, nonché elemento essenziale della società democratica. La Corte di Giustizia ha inoltre riconosciuto l’essenzialità dell’accesso alle informazioni al fine di consentire, al cittadino di partecipare più attivamente nel processo decisionale e, alle amministrazioni pubbliche di beneficiare di maggiore legittimazione, affermando che “[l]a possibilità per i cittadini di conoscere il fondamento dell’azione legislativa è condizione per l’esercizio effettivo, da parte di questi ultimi, dei loro diritti democratici” (sentenza 1° luglio 2008, cause C-39/05 P e C-52/05 P, § 45). [7] Sul tema si veda Gambino A.M., Stazi A., Mula D., Diritto dell’informatica e della comunicazione, Giappichelli, 2009, pp. 32 e ss. Gli Autori evidenziano che la rappresentazione della reputazione del singolo individuo è strettamente dipendente, non soltanto dai dati messi in circolazione, ma anche e soprattutto dall’appropriazione e dalla gestione di questi dati da parte di altri. Il mezzo e il luogo ove ciò avviene più facilmente e diffusamente è senz’altro internet. [8] Si precisa che tale espressione non è propriamente appropriata per descrivere il concetto che, in realtà, intende veicolare. Tuttavia, la giurisprudenza nazionale sembra utilizzare tale termine per descrivere il fenomeno oggetto della presente disamina. Per una trattazione approfondita si rinvia a Pizzetti F., Il caso del diritto all’oblio, Giappichelli, 2013; Finocchiaro G., Il diritto all’oblio nel quadro dei diritti della personalità, in Il diritto dell’informazione e dell’informatica, Giuffré, 2014, pp. 591 e ss.; Sica S., Zeno Zencovich V., Il futuro della responsabilità in rete. Legislazione, giurisprudenza e dottrina nel diritto dell’internet, in Diritto dell’informatica, 3, pp. 377 e ss.; Mezzanotte M., Il diritto all’oblio: contributo allo studio della privacy storica, Ed. Scient. Ital., 2009; Mayer-Schonberger, Delete. Il diritto all’oblio nell’era digitale, Egea, 2013; De Minico G., Internet regole e anarchia, Jovene, 2012; Pollicino O., Bertolini E., Lubello V, Internet: regola e tutela dei diritti fondamentali, Aracne, 2013.Nella letteratura italiana, sul diritto all’oblio si segnalano, inoltre,Vigevani G.E., Identità, oblio, informazione e memoria in viaggio da Strasburgo a Lussemburgo, passando per Milano, in Danno e responsabilità, 2014, p. 731; Marchetti G., Diritto di cronaca on-line e tutela del diritto all’oblio, in AA.VV., in Da Internet ai social network,Sant’Arcangelo di Romagna, 2013, p. 71; Di Ciommo F., Pardolesi R., Dal diritto all’oblio in Internet alla tutela della identità dinamica. È la rete, bellezza!, in Danno e responsabilità, 2012, p. 701; Citarella G., Aggiornamento degli archivi online, tra diritto all’oblio e rettifica “atipica”, in Resp. civ. e prev., 2012, p. 1155; Ferola L., Dal diritto all’oblio al diritto alla memoria sul Web. L’esperienza applicativa italiana, inDiritto dell’informatica, 2012, p. 1001; Mangano F., Diritto all’oblio, in Giur. merito,2012, p. 2621; Niger s., Il diritto all’oblio, in G. Finocchiaro (a cura di), Diritto all’anonimato. Anonimato, nome e identità personale, Padova, 2007, 59. [9] In un recente convegno organizzato dall’Istituto per lo Studio dell’Innovazione Media Economia Società e Istituzioni, sul tema “Il mondo nella rete: diritti, vincoli, opportunità”, tenutosi a Roma, il 14 maggio 2014, il prof. Antonio Nicita, ha rilevato la critica relazione tra la rete e la valutazione economica dei dati, in termini di accesso a tali dati, proprio ai fini di una loro valutazione sul mercato, nonché lo sbilanciamento nell’accesso ai dati che riguarda taluni soggetti privilegiati. Il Commissario ha, infine, espresso la complessità di un’adeguata tutela dei diritti della persona nel c.d. mondo della rete. Il convegno è disponibile sul sito http://www.isimm.it/. [10] Corte di giustizia dell’Unione europea, sentenza 13 maggio 2014, C-131/12, disponibile sul sito http://curia.europa.eu/juris/document/document.jsf?docid=152065&doclang=IT [11] Il diritto alla riservatezza, inteso quale possibilità di godere appieno della propria intimità, ha assunto un’importanza centrale con la pervasiva diffusione delle tecnologie dell’informazione e della comunicazione. Tuttavia, nel linguaggio giuridico è più correttamente utilizzata l’espressione protezione dei dati personali per evidenziare una sottile distinzione con il termine riservatezza, utilizzato invece nei casi che prospettano un’esigenza di tutela dell’intimità, e con il termine privacy, utilizzato nel linguaggio comune. La protezione dei dati individua situazioni più complesse, che rinviano a forme generali di tutela della sfera privata e delle varie libertà a essa connesse, fino a costituire un elemento della stessa cittadinanza. Tale circostanza determina un’evoluzione dell’originaria definizione di privacy intesa come “right to be let alone”, coniata nel 1890 da Samuel Warren e Louis Brandeis (The Right To Privacy, in Harvard Law Review, 1890), con conseguente riconoscimento della necessità della protezione dei dati personali come diritto fondamentale, nelle Costituzioni di alcuni Paesi, nel Trattato che Istituisce una Costituzione per l’Europa e nella Carta dei Diritti Fondamentali dell’Unione europea. In tal senso, Rodotà S., Riservatezza, in Enciclopedia Italiana, VII Appendice, Treccani, 2007. [12] Il diritto mira a salvaguardare il riserbo imposto dal tempo ad un notizia già resa di dominio pubblico. Difatti, il decorso del tempo può attenuare l’attualità della notizia e far scemare, al tempo stesso, anche l’interesse pubblico all’informazione. In tal senso, Cendon P., Il diritto all’oblio, in Trattato breve dei nuovi danni, Vol. 2, Cedam, 2011. Sul tema si veda anche Buttarelli G., Banche dati e tutela della riservatezza, Giuffré, 1997; nonché De Grazie L., La libertà di stampa e il diritto all’oblio nei casi di diffusione di articoli attraverso internet, Rivista AIC n. 4/2013. Sulle accezioni del diritto all’oblio proposte in dottrina, si rinvia a AA.VV., Il diritto all’oblio. Atti del Convegno di Studi del 17 maggio 1997, Gabrielli (a cura di), Napoli, 1999; Auletta T., Diritto alla riservatezza e “droit à l’oubli”, in Alfa G.,Bessone M., Boneschi L., Caiazza G. (a cura di), L’informazione e i diritti della persona, Napoli, 1983, p. 127 e ss.; Ferri G.B., Diritto all’informazione e diritto all’oblio, in Riv. dir. civ., 1990, p. 801 e ss.; Morelli M.R., voce Oblio (diritto all’), in Enc. dir., Agg., VI, Milano, 2002. [13] La tutela si rinviene anche con riferimento all’aspetto risarcitorio, in quanto si configura una responsabilità extracontrattuale aggravata ai sensi dell’art. 2050 c.c., nonché un obbligo risarcitorio che trova fondamento nell’art. 2059 c.c. Il riferimento codicistico si rinviene nell’art. 15 del Codice della privacy, di cui al d.lgs. 30 giugno 2003, n.196, ai sensi del quale “chiunque cagiona danni per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”. Si precisa che l’art. 2050 configura la responsabilità per esercizio di attività pericolosa (“Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.”). La lettura combinata delle due disposizioni permette di rilevare che il trattamento dei dati personali nel nostro ordinamento viene considerato di per sé come un’attività pericolosa. L’analisi congiunta mostra inoltre l’inversione dell’onere della prova, gravando sul gestore dell’attività pericolosa l’onere di dimostrare di aver posto in essere tutte le misure idonee per evitare il danno; per converso, sarà onere del danneggiato provare solo il semplice evento, e non anche il nesso di causalità con la condotta del presunto danneggiante. Sul riconoscimento di tale diritto come diritto fondamentale si veda anche Cassazione, sentenza 11 novembre 2008, n. 26972. [14] La normativa stabilisce che il trattamento dei dati “si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali” (art. 2, co. I). Inoltre, di rilievo appare l’art. 11, il quale stabilisce che i dati personali oggetto di trattamento devono essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. In tal senso Cendon P., op. cit, che ha considerato l’articolo 11 quale disposizione di codificazione del diritto all’oblio, in quanto, bilanciando la riservatezza e il diritto all’informazione, la norma obbliga la conservazione dei dati in una forma che consenta di identificare l’interessato per un tempo non eccedente quello necessario. [15] Si vedano le decisioni del Garante: 7 luglio 2005, n. 1091915; 10 novembre 2004, n. 1116068; 8 aprile 2009, n. 1617673. [16] In tal senso, Delli Priscoli L., op. cit. Si consideri l’ormai consolidato orientamento giurisprudenziale secondo cui sussiste il diritto del singolo a non veder “travisato o alterato all’esterno il proprio patrimonio intellettuale, politico, sociale, religioso, ideologico, professionale” (Per tutte, Cassazione, sentenza 22 giugno 1985, n. 7769). Sul tema dell’identità personale si veda Zeno-Zencovich, voce Identità personale, in Dig. it., Sez. Civ., IX, Torino, 1995. Si rinvia, inoltre, a Finocchiaro G., voce Identità personale, in Dig. disc. priv., Sez. civ., Torino, 2010, p. 721 e ss. e a Resta G., Identità personale e identità digitale, Il diritto dell’informazione e dell’informatica, 2007, p. 511 e ss. [17] Si consideri che i servizi di completamento e di indicizzazione delle ricerche correlate si basano su un software che permette all’utente di completare la chiave di ricerca o di visualizzare le più comuni ricerche correlate effettuate da terzi, attraverso un algoritmo che effettua in modo automatico un’associazione tra le parole chiave che risultano maggiormente ricercate dagli utenti. In tal senso, Pollicino O., Tutela del pluralismo nell’era digitale: ruolo e responsabilità degli Internet Service Provider, in Giurisprudenza Costituzionale, disponibile nella versione di consultazioneonline all’indirizzo http://www.giurcost.org/studi/pollicino1.pdf. [18] La responsabilità del provider è stata disciplinata dalla direttiva 2000/31/CE in materia di e-commerce e recepita dal nostro ordinamento con d.lgs n. 70/2003. La normativa comunitaria è frutto di un processo di circolazione e imitazione del modello statunitense ripreso talora pedisssequamente nelle formule legislative della direttiva. Tuttavia la direttiva, rispetto al modello richiamato, si differenzia sia per l’ambito di applicazione oggettiva, che abbraccia illeciti civili e penali, sia per quello soggettivo, in quanto la disciplina comunitaria non include le attività dei motori di ricerca e il linking (cfr. Digital Millenium Copriright Act del 1998 che ha ratificato i discussi trattati dell’Organizzazione Mondiale per la Proprietà Intellettuale – cd. WIPO. Per una disamina approfondita si rinvia a Samuelson P., The U.S. Digital Agenda at WIPO, 37 Va J. Int’l L.,1997, pp. 369. Si veda anche Sédallian V., La responsabilité des prestataires techniques sur Internet dans le Digital Millennium Copyright Act américain et le projet de directive européen sur le commerce électronique, in Cahiers Lamy droit de l’informatique et des réseaux, 1999, n. 110, 1; Rojinsky C., Commerce électronique et responsabilité des acteurs de l’Internet en Europe, in Gaz. Pal., 23-24 juin 2000, p. 19; Montero E., La responsabilité des prestataires intermédiaires de l’Internet, in Revue Ubiquité, 2000, p. 100; Julià-Barceló R., K.J. Koelman, Intermediary Liability in the E-Commerce Directive: So Far So Good, But It’s Not Enough, in 16 Computer Law & Security Report, 2000, p. 231; Strowel A., Ide N., Verhoestraete F., La directive du 8 juin 2000 sur le commerce électronique: un cadre juridique pour l’internet, in Jour. des Tribunaux, 2001, n. 6000, p. 141; Di Ciommo F., Evoluzione tecnologica e regole di responsabilità civile, Jovene, 2003; Bocchini R., La responsabilità civile degli intermediari del commercio elettronico. Contributo allo studio dell’illecito plurisoggettivo permanente, Jovene, 2003; Riccio G.M., La responsabilità civile degli internet providers, Giuffré, 2002, pp. 200 e ss.) Si segnala, inoltre, che in sede di recepimento della direttiva, alcuni ordinamenti hanno disciplinato anche l’attività dei motori di ricerca, in tal senso l’ordinamento spagnolo che estende le regole per i fornitori di hosting ai motori di ricerca. Sul punto si rinvia a Peguera M., Internet Service Providers’ Liability in Spain: Recent Case Law and Future Perspective, 13 J. Of Intell. Prop. Information Tech. And E-Commerce Law, 2010, pp. 151. La disciplina comunitaria, che ha introdotto regole che condizionano la responsabilità del provider in modo coerente con la sua natura di mero intermediario, sembra tuttavia messa in discussione dal mutamento della fisionomia dei provider che assumono un ruolo sempre meno passivo e neutrale. Inoltre, anche l’applicazione in sede giurisprudenziale appare connotata da decisioni spesso contrastanti e indirizzi non sempre univoci: se in alcuni contenziosi è stato evidenziato il carattere della neutralità degli intermediari, in altri è stata, al contrario prevista una responsabilità oggettiva di quest’ultimi in relazione a illeciti perpetrati mediante l’utilizzo dei servizi offerti. Cfr. Van Eecke P., Online service providers and liability: a plea for a balanced approach, in Common Market Law Review, 48, 2011, pp. 1455 e ss. L’Autore evidenzia, a seguito di un periodo di apparente diffidenza verso i provider, un maggior favore verso gli intermediari, manifestato dalle maggiori corti europee. Tuttavia, nel caso di specie occorre ricordare che tale direttiva sul commercio elettronico non trova applicazione, ex art. 1, par. 4, lett. b), alle “questioni relative ai servizi della società dell’informazione oggetto delle direttive n. 95/46/CE e 97/66/CE” e, quindi all’intero settore della tutela dei dati personali. [19] In tal senso la Corte di giustizia sul caso Google Spain, di cui infra. [20] In particolare, in una recente ordinanza del 25 marzo 2013, il Tribunale di Milano, seppur con riferimento ad altro aspetto, ha rilevato che i motori di ricerca non siano configurabili quali content provider, evidenziando la natura del servizio quale associazione tra componente grafica e software. La fattispecie riguardava il servizio cd. di autocompletamento, il quale riprodurrebbe staticamente, secondo la richiamata giurisprudenza, il risultato di ricerche più popolari effettuate dagli utenti, attraverso un mero servizio di caching, ovvero un servizio di memorizzazione temporanea di dati svolta dal provider per agevolare le ricerche effettuate dagli utenti, senza alcun controllo e, dunque, responsabilità, in relazione ai contenuti. Analogamente, cfr. Tribunale di Pinerolo, ordinanza 30 aprile 2012. Contra invece Tribunale di Milano, ordinanza 21/25 gennaio 2011 e ordinanza 24 marzo 2011, secondo cui i motori di ricerca integrano delle banche dati, che gestiscono, memorizzandole, le pagine web più visitate dagli utenti. Tale attività costituirebbe quindi un’attività organizzativa nell’operare dei motori di ricerca, in quanto l’abbinamento contestato dal ricorrente sarebbe frutto del sistema deliberatamente adottato dal motore di ricerca, nel caso Google, e costituirebbe il prodotto di un attività, (i.e. responsabilità) direttamente riconducibile a quest’ultimo. In tal senso, in ambito europeo anche la Corte d’appello di Parigi, 14 dicembre 2011, che ha assimilato, con i conseguenti obblighi, il legale rappresentante della società al direttore responsabile di una testata giornalistica online. [21] Si veda Tribunale di Milano, sentenza 26 aprile 2013, n. 5820. [22] Si veda Cassazione, sentenza 5 aprile 2012, n. 5525. [23] Tali conclusioni sembrano aver anticipato in parte la posizione espressa dall’Avvocato generale Niilo Jääskinen nel caso Google Spain, oggetto della presente disamina, il quale ha rilevato l’inconsapevolezza da parte del gestore del motore di ricerca dell’esistenza di determinate tipologie di informazioni che costituiscono dati personali, optando per un riconoscimento implicito della sua natura di service provider. Si consideri, tuttavia, che l’Avvocato Jääskinen sembra negare l’esistenza nel diritto comunitario di un diritto all’oblio. Ciò nonostante la Corte di giustizia è pervenuta a conclusioni differenti, riconoscendo al contrario la responsabilità del gestore del motore di ricerca e il riconoscimento del diritto all’oblio. Cfr. infra. [24] In tal senso si veda Tribunale di Milano, sentenza 26 aprile 2013, n. 5820, con la quale la lesione del diritto all’oblio è stata ritenuta prevalente su ogni altro ipotetico interesse. In particolare, il giudice milanese, in una fattispecie su tematiche analoghe, ha ritenuto la mancanza del requisito dell’interesse pubblico alla permanente conoscenza, del ruolo pubblico dell’interessato, sufficienti a giustificare la rimozione dell’articolo dall’archivio telematico di un quotidiano. Per un’interessante rassegna di decisioni si veda Razzante R., Manuale di diritto dell’informazione, Edizione VI, Cedam, 2013. [25] Cfr. precedente nota n.15 [26] Si veda Cassazione, sentenza 3 febbraio 2014, n. 5107. [27] Si tratta del caso Vividown – i cui estremi sono riportati nella nota precedente – riguardante una vicenda che aveva suscitato molto clamore per un video diffuso nel 2006 raffigurante un minorenne di Torino affetto da sindrome di Down deriso e malmenato dai compagni di scuola. La vicenda aveva riproposto il delicato tema della responsabilità degli intermediari della comunicazione. [28] In particolare si veda l’art. 167 del Codice. [29] Si veda, Corte Europea dei Diritti dell’Uomo, sezione IV, sentenza 16 luglio 2013, caso Wegrzynowski e Smolczewsky v. Polonia. Il caso traeva origine da una vicenda risalente al 2000, quando il quotidiano polacco cartaceo Rzeczpospolita pubblicava un articolo in cui due avvocati polacchi venivano accusati di essere coinvolti, assieme ad alcuni politici locali, in alcuni affari poco leciti, attraverso i quali avrebbero conseguito notevoli vantaggi economici. Dalla vicenda erano scaturiti due distinti processi per diffamazione. Il primo, azionato sulla base dell’articolo nella versione cartacea del giornale, concluso poi a favore dei ricorrenti; il secondo, instaurato nel 2004, quando i ricorrenti, venuti a conoscenza dell’immissione dell’articolo anche sull’archivio online del giornale, ne avevano chiesto la rimozione. I ricorrenti, avevano, altresì, sostenuto che, oltre al danno provocato dalla pubblicazione online dell’articolo, la sua relativa indicizzazione, attraverso il motore di ricerca Google, avrebbe costituito una nuova pubblicazione dell’articolo diffamante che ledeva ulteriormente i loro diritti al rispetto della vita privata e alla reputazione. Le istanze dei ricorrenti rigettate dai Giudici aditi, avevano indotto gli stessi a promuovere l’azione davanti alla Corte di Strasburgo. La Corte, adita in ordine alla violazione dell’art. 8 della Convenzione, non ha, poi, reputato fondata la violazione del diritto al rispetto alla vita privata, bilanciando la tutela di questo diritto con la libertà di espressione prevista all’art. 10 della Convenzione. Per un commento alla decisione, si rinvia a Nannipieri L., La sopravvivenza online di articoli giornalistici dal contenuto diffamatorio: la pretesa alla conservazione dell’identità e la prigione della memoria nel cyberspazio. Osservazioni intorno a Corte CEDU, IV sez., sentenza 16 luglio 2013 (Węgrzynowski e Smolczewski contro Polonia, Ric. N. 33846/2007), in Forum Costituzionale, disponibile alla pagina http://www.forumcostituzionale.it/wordpress/images/stories/pdf/documenti_forum/giurisprudenza/corte_europea_diritti_uomo/0030_nannipieri.pdf Per una comparazione tra la decisione e la sentenza Google Spain, si rinvia a Di Ciommo F., Quello che il diritto non dice. Internet e oblio, in Danno e Responsabilità n. 12/2014. [30] Cfr. Corte Europea dei Diritti dell’Uomo, Delfi v. Estonia, 10 ottobre 2013. La vicenda traeva origine nel 2006, quando sul portale estone Delfi veniva pubblicato un articolo sulla deviazione di alcune rotte navali da parte della Saaremaa Shipping Company, una società pubblica di trasporto marittimo, che collega la terraferma estone con le isole. Delfi è un grande e popolare portale web estone, che svolge la propria attività informativa anche a livello internazionale. L’articolo pubblicato sul portale criticava l’operato di uno degli amministratori della società di trasporto marittimo e riceveva svariati commenti, alcuni dei quali recanti offese personali ed espressioni volgari. In ragione di tali contenuti offensivi, l’amministratore della società chiedeva ai responsabili del portale la rimozione dei commenti lesivi e il risarcimento del danno non patrimoniale. Dalla vicenda scaturiva una controversia dinnanzi all’Autorità giudiziaria estone, che si conclude con l’accoglimento delle domande avanzate dall’amministratore della società di trasporto marittimo da parte della Corte Suprema. I giudici estoni, tuttavia, pur accogliendo le richieste avanzate dall’amministratore della società, riducevano sensibilmente l’importo del danno rispetto alla quantificazione effettuata dal ricorrente, ponendo a carico di Delfi il pagamento di una somma esigua. Avverso questa determinazione, Delfi ha, poi, proposto ricorso innanzi alla Corte di Strasburgo lamentando la violazione dell’art. 10 della CEDU. [31] In rete, con riferimento alla protezione dei dati personali, si distinguono tre tipologie di attività che possono compromettere la tutela di tale diritto. La prima è la pubblicazione di dati personali su una qualsiasi pagina web, la cd. pagina web source. La seconda riguarda il caso in cui un motore di ricerca fornisca risultati che indirizzano l’utente verso la pagina web source. La terza situazione, meno evidente, ricorre quando un utente effettua una ricerca utilizzando un motore di ricerca e alcuni dei suoi dati personali, come l’indirizzo IP dal quale la ricerca viene effettuata, vengono automaticamente trasferiti al fornitore di servizi di motore di ricerca. In tal senso l’Avvocato generale Niilo Jääskinen nelle conclusioni rassegnate il 25 giugno 2013 sulla causa in commento. Le conclusioni in formato integrale sono disponibili sul sito http://curia.europa.eu/juris/document/document.jsf?text=&docid=138782&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=386778. Per un commento alla sentenza si veda Peron S., Il diritto all’oblio nell’era dell’informazione on-line, in Responsabilità Civile e previdenza, fasc. 4/2014, p. 1177; Di Ciommo F., Quello che il diritto non dice. Internet e oblio, in Danno e responsabilità n. 12/2014, Ipsoa. Per un commento critico si rinvia a Scorza G., Corte di giustizia e diritto all’oblio: una sentenza che non convince, in Corriere giuridico n. 12/2014. Per un’analisi dei risvolti penali si rinvia a Flor R., Dalla data retention al diritto all’oblio. Dalle paure orwelliane alla recente giurisprudenza della Corte di giustizia. Quali effetti per il sistema di giustizia penali e quali prospettive de jure condendo?, in Diritto dell’informazione e dell’informatica, fasc. 4-5, 2014, p. 753. [32] Si tratta della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. In particolare, si vedano gli articoli nn. 2, 4, 12 e 14 (GU L 281, pag. 31). [33] Nel 2010, un cittadino spagnolo si rivolgeva all’Agenzia di protezione dei dati spagnola (Agencia Española de Protección de Datos, cd. AEPD), proponendo un reclamo contro un quotidiano locale – La Vanguardia Ediciones S.L. – nonché contro Google Spain e Google Inc. – attraverso il quale denunciava che nell’elenco di risultati associati al proprio nome, il motore di ricerca mostrava dei link di collegamento a due pagine risalenti all’anno 1998 che annunciavano una vendita all’asta di immobili per un pignoramento dovuto a crediti previdenziali non corrisposti. Il ricorrente, lamentando che il pignoramento era stato interamente definito da svariati anni, adduceva l’irrilevanza e la lesività circa la menzione dello stesso. Tuttavia, l’Agenzia spagnola respingeva il reclamo diretto contro il quotidiano, ritenendo la legittimità della pubblicazione da parte dell’editore, ma lo accoglieva nei confronti di Google Spain e Google Inc., imponendo alle stesse di adottare le misure necessarie per la rimozione dei dati dai loro indici e per rendere impossibile il futuro accesso ai dati stessi. La successiva proposizione dei ricorsi innanzi all’Audiecia Nacional da parte delle due società soccombenti ha, successivamente, determinato l’intervento della Corte di giustizia, investita da una domanda di pronuncia pregiudiziale posta dal giudice spagnolo. Per un commento alla sentenza, si rinvia, tra gli altri, a Palmieri A., Pardolesi R., Dal diritto all’oblio all’occultamento in rete: traversie dell’informazione ai tempi di Google, in Nuovi Quaderni del Foro Italiano, n. 1 del 27 maggio 2014. [34] Cfr. punto n. 41 della sentenza richiamata. [35] Si consideri che l’espressione contenuta nella direttiva n. 95/46/CE è stata erroneamente tradotta nella versione italiana con la locuzione “responsabile” e non “titolare” del trattamento. Si rinvia a una lettura congiunta della direttiva nelle due versioni, in lingua italiana e in lingua inglese, disponibili in visualizzazione bilingue all’indirizzo http://eur-lex.europa.eu/legal-content/IT-EN/TXT/?qid=1404634206358&uri=CELEX:01995L0046-20031120&from=IT. Tuttavia, per maggior completezza espositiva si precisa che nella normativa italiana il “titolare del trattamento”, di cui all’art. 4, comma 2, lettera f) del d.lgs. 196/2003, “[è] la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità e modalità del trattamento di dati personali, nonché agli strumenti utilizzati, ivi compreso il profilo della sicurezza”, mentre il “responsabile”, secondo il disposto dell’art. 4, comma 1, lett. g), “è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”. [36] Si ricorda che opinione opposta era stata espressa dall’Avvocato generale Niilo Jääskinen, il quale nelle proprie conclusioni, rassegnate il 25 giugno 2013, rilevava l’inconsapevolezza da parte del gestore del motore di ricerca dell’esistenza di determinate tipologie di informazioni che costituiscono dati personali, tale da effettuarne il trattamento con un obiettivo strettamente connesso alla loro natura di dati personali. L’attività di indicizzazione di informazioni, compiuta meccanicamente dal motore di ricerca, non è in grado di consentire di discernere questi dati in quanto tali fra i contenuti indicizzati. Queste considerazioni hanno condotto l’Avvocato generale a negare in capo al gestore, seppur riconoscendo un’attività volta al “trattamento di dati personali”, la qualifica di “titolare del trattamento”. Le conclusioni in formato integrale sono disponibili sul sito http://curia.europa.eu/juris/document/document.jsf?text=&docid=138782&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=386778 [37] E’ stato già rilevato che possono sussistere ragioni particolari tali da impedire l’esercizio del diritto all’oblio. Invero, si ripete, che la Corte ha evidenziato che tale diritto non è esercitabile, ad esempio, nei casi in cui rilevi il ruolo ricoperto dal soggetto nella vita pubblica, in quanto in una siffatta ipotesi appare del tutto preminente l’interesse del pubblico ad avere accesso a determinate informazioni. [38] La Corte si discosta, dunque, dall’interpretazione letterale della normativa fornita dall’Avvocato generale Niilo Jääskinen nelle conclusioni alla causa in commento, richiamate alla precedente nota n. 31 [39] L’articolo prevede che “[g]li Stati membri riconoscono alla persona interessata il diritto: (…) di opporsi, su richiesta e gratuitamente, al trattamento dei dati personali che la riguardano previsto dal responsabile del trattamento a fini di invio di materiale pubblicitario ovvero di essere informata prima che i dati personali siano, per la prima volta, comunicati a terzi o utilizzati per conto di terzi, a fini di invio di materiale pubblicitario; la persona interessata deve essere informata in modo esplicito del diritto di cui gode di opporsi gratuitamente alla comunicazione o all’utilizzo di cui sopra (…)”. [40] Il riferimento operato dalla Corte al “contesto delle attività” – seppur riferito ad un ambito diverso, quale il trattamento dei dati personali – potrebbe essere utilizzato per riproporre la questione della cd. web tax e della soggezione dei cd. Over the Top alla normativa nazionale. La locuzione utilizzata dai Giudici di Lussemburgo potrebbe, infatti, avvalorare la considerazione che lo stabilimento della sede in altro Stato membro è criterio superabile in presenza dello svolgimento effettivo dell’attività, e fornire, in tal modo, un utile supporto giurisprudenziale per combattere l’elusione fiscale e giungere alla tanto agoniata tassazione sui ricavi degli OTT, i quali stabilendo le loro sedi legali in Paesi con regime fiscale agevolato, godono di una tassazione agevolata, pur realizzando ricavi nel mercato nazionale. [41] Si veda il Considerando n. 52 della sentenza in esame. Si consideri anche il precedente Considerando n. 20, attraverso il quale la Corte stabilisce che “[l]a tutela delle persone prevista dalla (…) direttiva non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo”. [42] Si tratta peraltro di una conclusione in linea con quanto espresso dall’Avvocato generale nelle conclusioni depositate il 25 giugno 2013. [43] Cfr. sentenza C-324/09, L’Oreal e altri, in particolare i punti n. 62 e 63. [44] In tal senso si vedano Scorza G., Corte di giustizia e diritto all’oblio, in Il Corriere giuridico n. 12/2014, pp. 1471 e ss.; Finocchiaro G., Lex mercatoria e commercio elettronico. Il diritto applicabile ai contratti conclusi via internet, in Contratto e impresa, 2001, 2, pp. 571 e ss. Nel senso dell’esigenza di una maggior correlazione tra l’attività svolta presso lo stabilimento europeo di un titolare extra europeo si veda anche il parere n. 8/2010 sul diritto applicabile adottato il 16 dicembre 2010 dal Gruppo di lavoro articolo 29 per la protezione dei dati (cfr. la successiva nota n. 56) 0836-02/10/IT, WP. [45] n tal senso Scorza G., op. cit. [46] Si veda il punto 28 della sentenza in commento. La Corte nella propria ricostruzione giuridica richiama il precedente caso Lindqvist in cui era stata stabilita la responsabilità del soggetto che diffonde su internet dati personali di terzi senza in necessario consenso (Corte di Giustizia, 6 novembre 2003, C-101/01, Gota Hovratt c. Lindqvist, disponibile sul sito http://curia.europa.eu/juris/liste.jsf?language=it&num=c-101/01). Tuttavia, nella fattispecie richiamata la posizione del soggetto condannato appare ictu oculi differente rispetto a quella del motore di ricerca che non può mai considerarsi autore dei contenuti già presenti online. Per un’analisi del caso si veda Ubertazzi T.M., Il caso Linqvist: i limiti della privacy europea, in Danno e resp., 4/2004, pp. 377 e ss. [47] Cfr. Cassazione, sentenza richiamata in nota n.22. [48] La normativa è riportata nella precedente nota n. 18. In particolare, il d.lgs. n. 70/2003, dopo aver regolato all’art. 17 la responsabilità del provider, ha escluso in capo allo stesso la sussistenza di un obbligo generale di sorveglianza sui contenuti trattati. [49] Secondo tale ricostruzione, l’obbligo di garantire l’oblio si riverserebbe in capo al gestore del motore di ricerca. Di contro, tuttavia, è opportuno rilevare che una tale circostanza potrebbe implicare una pericolosa apertura a potenziali e infinite richieste di cancellazione dei dati personali, con conseguente limitazione dei contenuti disponibili online. Sul tema si veda infra. [50] Oltre alla difficoltà di monitorare la diffusione dei dati immateriali, si evidenziano le limitazioni che un tale controllo costituisce alla libertà di circolazione e al mercato europeo. [51] La tematica, seppur in un’accezione parzialmente diversa, è stata già affrontata in dottrina. Sul tema si veda Macario F., La protezione dei dati personali nel diritto privato europea, in La disciplina del trattamento dei dati personali, a cura di Cuffaro V., Ricciuto V., Giappicchelli, 1997, pp. 53 e ss.. L’Autore evidenzia l’imprescindibilità nel mercato europeo della circolazione delle informazioni ai fini della completa realizzazione degli obiettivi del Trattato. A tal proposito si veda anche Pardolesi R., Dalla riservatezza alla protezione dei dati personali: una storia di evoluzione e discontinuità, in Diritto alla riservatezza e circolazione dei dati personali, a cura di Pardolesi R., Giuffré 2003, p. 48. L’Autore prospetta una rinuncia della direttiva 95/46/CE alla filosofia della sorveglianza a tutti i costi, evidenziando la natura espansiva della nuova realtà moderna in cui i dati personali sono inevitabilmente destinati a debordare oltre i confini del consenso iniziale. La considerazione conduce l’Autore a riconoscere nella normativa un ostacolo al «riespandersi di barriere allo scambio di materiale informativo, nemmeno in nome della salvaguardia dei diritti fondamentali». [52] In questi termini anche Matranga C., Luci e ombre del caso Google Spain: una vittoria del diritto all’oblio, in Giureta Rivista di Diritto dell’Economia, dei Trasporti e dell’Ambiente, vol. XII, ed. 2014. [53] Secondo tale approccio il titolare del diritto su un contenuti, nei casi in cui sono pubblicati contenuti in assenza di autorizzazione del titolare, avvisa l’amministratore del sito sul quale tale contenuto è presente. Il gestore può quindi attivarsi immediatamente per rimuoverlo spontaneamente, senza l’ordine di un giudice. In via del tutto teorica, il gestore della piattaforma potrebbe anche decidere di non rimuovere il contenuto segnalato. Tuttavia, in quest’ultima ipotesi, il gestore non potrà beneficiare di eventuali esenzioni di responsabilità. [54] Si veda la precedente nota n. 18. [55] Occorre, tuttavia, evidenziare che la procedura di deindicizzazione dei contenuti attuata a seguito dell’applicazione sentenza in esame differisce da quella di notifica e rimozione prevista dalla normativa statunitense sotto un duplice aspetto. In primo luogo, poiché il DMCA trova la propria fonte in un testo normativo. In secondo luogo, il DMCA prevede una forma di difesa in capo al soggetto che pubblica il contenuto presumibilmente contrario alla normativa in tema di proprietà intellettuale. Invero, è prevista la possibilità per tale soggetto di indirizzare una counter-notification, contenente i medesimi requisiti della contestazione e le ragioni per cui i contenuti segnalati non dovrebbero essere rimossi. Diversamente la procedura in esame si limita a comunicare la rimozione al soggetto che ha pubblicato il contenuto, non consentendo repliche, né eccezioni. L’editore del contenuto si vedrà dunque costretto ad agire dinanzi all’Autorità giudiziaria ovvero al Garante per la protezione dei dati personali per riottenere l’indicizzazione della notizia. Per maggiori approfondimenti si veda Riccio G.M., Diritto all’oblio e responsabilità dei motori di ricerca, in Diritto dell’informazione e dell’informatica, fasc. 4-5,2014, pp. 753 e ss. [56] Occorre, tuttavia precisare che il Data Protection Working Party ha recentemente chiarito la non obbligatorietà dei form offerti dai motori di ricerca, precisando la possibilità di utilizzare anche strumenti di comunicazione alternativi. La circostanza valorizza il principio della libertà della forma ma nel contempo costituisce un possibile aggravio dei tempi nelle evasione delle richieste, nonché dei costi per gli operatori. Il Data Protection Working Party è un organo consultivo indipendente dell’Unione europea, istituito dall’art. 29 Direttiva n. 95/46/CE, che si occupa di monitorare l’applicazione della direttiva europea sulla privacy e di fornire linee di indirizzo e suggerimenti per l’evoluzione della disciplina e della sua applicazione. Il documento è reperibile sul sito http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf. [57] La Corte nelle dichiarazioni conclusive della richiamata sentenza, in particolare al punto n. 4, stabilisce che “(…) nel valutare i presupposti di applicazione si dovrà verificare in particolare se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato (…)”. Tuttavia, si ricorda che in caso di rifiuto, resta salva la facoltà degli utenti di adire le competenti autorità giudiziarie al fine di una rivalutazione della domanda. Per maggiori approfondimenti di carattere puramente tecnico si rinvia a Pilla F., Falistocco G., Giacomello M., Io digitale, Computers, 2014. [58] Si veda Razzante R., Informazione: istruzioni per l’uso, Cedam, 2014. L’Autore sostiene, tra l’altro, che il diritto all’oblio non va considerato quale mezzo per l’azzeramento della memoria storica ma piuttosto strumento per una corretta indicizzazione delle notizie che vengono prodotte nella rete. [59] Si ricorda che anche a livello nazionale le persone giuridiche sono state sostanzialmente escluse dal raggio di tutela della legge sulla privacy. [60] La nozione di personaggio pubblico è mutuata dall’ampia definizione fornita dalla Risoluzione del Consiglio n. 1165 del 1998, secondo cui sono ricompresi in tale categoria tutti i soggetti che rivestono un ruolo pubblico o utilizzano fondi pubblici, nonché tutti coloro che rivestono un ruolo significativo nella politica, nell’economia, nell’arte e nello sport. Tuttavia, con lo sviluppo e diffusione dei new media si segnala un progressivo affievolimento della dimensione dicotomica pubblico/privato che rende generico il riferimento al ruolo ricoperto dal soggetto nella vita pubblica. In tal senso Riccio G.M., op. cit. [61] In tal senso, il prof. Giovanni Maria Riccio, in un recente articolo sul tema “Le linee-guida per il diritto all’oblio: ancora più potere per i motori di ricerca?” disponibile sul sito www.e-lex.it. [62] In tal senso, anche l’Avv. Guido Scorza, durante un recente convegno sul tema “Il diritto all’oblio ai tempi di Google” organizzato dalla Camera di Commercio di Varese il 14 novembre 2014. L’Avvocato considera tuttavia ancora aperti una serie di problemi. In via del tutto esemplificativa, si pensi ai termini di perfezionamento dell’inadempimento da parte del motore di ricerca. Invero, stante la possibilità, in caso di rifiuto o inadempimento del motore di ricerca, di adire l’autorità giudiziaria, non sembrano fissati i termini entro cui ritenere perfezionato tale inadempimento. [63] Si veda la precedente nota n. 18. [64] Il riferimento è al disegno di legge in tema di “Modifiche alla legge 8 febbraio 1948, n. 47, al codice penale, al codice di procedura penale e al codice di procedura civile in materia di diffamazione, di diffamazione con il mezzo della stampa o con altro mezzo di diffusione, di ingiuria e di condanna del querelante nonché di segreto professionale. Ulteriori disposizioni a tutela del soggetto diffamato”. [65] La richiesta può essere presentata solo dall’interessato, mentre nel caso di morte di costui, analoga istanza può essere rivolta al giudice dagli eredi o dal convivente. [66] Si precisa che, tuttavia, la previsione riportata nel II comma e qui oggetto di richiamo non indica anche l’autorità di vigilanza quale ulteriore possibile destinatario della richiesta dell’interessato, il che rischia indubbiamente di creare qualche difficoltà interpretativa. Attribuendo, infatti, “una qualche valenza innovativa alla norma, dovrebbe ritenersi che essa, relativamente ai soli contenuti diffamatori, ammetta la possibilità di adire soltanto il giudice e non anche l’autorità di vigilanza. Tale previsione risulterebbe allora asistematica rispetto a una disciplina, quale quella dell’art. 14, cui si rinvia espressamente e che, conformemente alla disciplina europea, ha previsto un “doppio binario” per la tutela dell’interessato”. In tal senso, Antonello Soro, Presidente del Garante per la Protezione dei Dati Personali durante una recente audizione alla Camera dei Deputati del 3 dicembre 2014. L’intervento completo è disponibile sul sito http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3584327. [67] Accanto a Google si ricordano tra i grandi motori di ricerca, a titolo puramente esemplificativo, Bing e Yahoo. [68] La problematica è stata recentemente affrontata in un convegno tenutosi a Roma il 13 novembre 2014 sul tema “Governance di Internet ed efficienza delle regole verso il nuovo regolamento europeo sulla privacy”. Di particolare rilievo l’intervento della Prof.ssa Valeria Falce, la quale ha evidenziato due possibili opzioni: dall’accentramento di competenze in una sola autorità di protezione, una sorta di autorità capofila basata sul meccanismo dello “sportello unico”; al mantenimento di un sistema decentrato in cui ciascuna autorità nazionale partecipi a una decisione collettiva, in codecisione. Per maggiori approfondimenti si rinvia all’articolo integrale “Sportello Unico ed efficienza dell’azione di vigilanza: verso il regolamento privacy” disponibile online sulla Rivista Diritto Mercato e Tecnologia al seguente link https://www.dimt.it/2014/12/10/sportello-unico-ed-efficienza-dellazione-di-vigilanza-verso-il-regolamento-privacy/. [69] Si ricorda che i domini cd. di primo livello (Top-level domain, cd. TLD) sono classificati dalla Internet Assigned Numbers Authority in tre tipologie differenti: nazionali, usati per indicare una dipendenza territoriale; generici, per particolari classi di organizzazioni; infrastrutturali, di cui l’unico esistente è .arpa. [70] Si veda la precedente nota n. 56 [71] Nel documento, precedentemente richiamato nella nota n. 55, si legge che “[i]n order to give full effect to the data subject’s rights as defined in the Court’s ruling,delisting decisions must be implemented in such a way that they guarantee the effective and complete protection of data subjects’ rights and that EU law cannot be circumvented. In that sense, limiting delisting to EU domains on the grounds that users tend to access search engines via their national domains cannot be considered a sufficient mean to satisfactorily guarantee the rights of data subjects according to the ruling. In practice, this means that in any case delisting should also be effective on all relevant domains, including .com.” [72] La diffamazione riguarda sostanzialmente contenuti diffamatori e/o trattati in violazione di legge. La privacy – nella accezione generale di tutela delle informazioni private – la data protection – quale tutela dei dati personali pubblici e privati – e il diritto all’oblio – nel suo valore di diritto alla reputazione – non possono essere in alcun modo accomunati alla diffamazione. Se quest’ultima riguarda, invero, la pubblicazione di dati sostanzialmente falsi, il diritto all’oblio concerne, invece, la pubblicazione lecita di dati personali veritieri i quali per il trascorrere del tempo, non risultano più connotati da un interesse pubblico attuale, a fini informativi o giornalistici. Tale circostanza impedisce, dunque, di giustificarne l’indiscriminata reperibilità in rete. [73] In tal senso, come richiamato da Riccio G.M., op. cit., Rodotà S., Libertà, opportunità, democrazia e informazione, in Internet e privacy: quali regole?, in Atti del Convegno di Roma 8-9 maggio 1998, Cittadini e Società dell’informazione, Supplemento n. 1 al Bollettino n. 5 del Garante, 1998, 15, che aveva già paventato il rischio degli ISP quali nuovi censori istituzionali. [74] In tal senso, D’Antonio V., Sica S., La procedura di de-indicizzazione, in Diritto dell’Informazione e dell’Informatica (Il), fasc.4-5, 2014, pag. 703.
SENTENZA DELLA CORTE (Grande Sezione) 13 maggio 2014 «Dati personali – Tutela delle persone fisiche con riguardo al trattamento di tali dati – Direttiva 95/46/CE – Articoli 2, 4, 12 e 14 – Ambito di applicazione materiale e territoriale – Motori di ricerca su Internet – Trattamento dei dati contenuti in siti web – Ricerca, indicizzazione e memorizzazione di tali dati – Responsabilità del gestore del motore di ricerca – Stabilimento nel territorio di uno Stato membro – Portata degli obblighi di tale gestore e dei diritti della persona interessata – Carta dei diritti fondamentali dell’Unione europea – Articoli 7 e 8» Nella causa C131/12, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dall’Audiencia Nacional (Spagna), con decisione del 27 febbraio 2012, pervenuta in cancelleria il 9 marzo 2012, nel procedimento Google Spain SL, Google Inc. contro Agencia Española de Protección de Datos (AEPD), Mario Costeja González, LA CORTE (Grande Sezione), composta da V. Skouris, presidente, K. Lenaerts, vicepresidente, M. Ilešič (relatore), L. Bay Larsen, T. von Danwitz, M. Safjan, presidenti di sezione, J. Malenovský, E. Levits, A. Ó Caoimh, A. Arabadjiev, M. Berger, A. Prechal e E. Jarašiūnas, giudici, avvocato generale: N. Jääskinen cancelliere: M. Ferreira, amministratore principale vista la fase scritta del procedimento e in seguito all’udienza del 26 febbraio 2013, considerate le osservazioni presentate: – per Google Spain SL e Google Inc., da F. González Díaz, J. Baño Fos e B. Holles, abogados; – per M. Costeja González, da J. Muñoz Rodríguez, abogado; – per il governo spagnolo, da A. Rubio González, in qualità di agente; – per il governo ellenico, da E.M. Mamouna e K. Boskovits, in qualità di agenti; – per il governo italiano, da G. Palmieri, in qualità di agente, assistita da P. Gentili, avvocato dello Stato; – per il governo austriaco, da G. Kunnert e C. Pesendorfer, in qualità di agenti; – per il governo polacco, da B. Majczyna e M. Szpunar, in qualità di agenti; – per la Commissione europea, da I. Martínez del Peral e B. Martenczuk, in qualità di agenti, sentite le conclusioni dell’avvocato generale, presentate all’udienza del 25 giugno 2013, ha pronunciato la seguente Sentenza 1 La domanda di pronuncia pregiudiziale verte sull’interpretazione degli articoli 2, lettere b) e d), 4, paragrafo 1, lettere a) e c), 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31), nonché dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»). 2 Tale domanda è stata proposta nell’ambito di una controversia che oppone le società Google Spain SL (in prosieguo: «Google Spain») e Google Inc. all’Agencia Española de Protección de Datos (AEPD) (Agenzia di protezione dei dati; in prosieguo: l’«AEPD») e al sig. Costeja González, in merito ad una decisione di detta Agenzia che ha accolto la denuncia depositata dal sig. Costeja González contro le due società suddette e ha ordinato a Google Inc. di adottare le misure necessarie per rimuovere dai propri indici alcuni dati personali riguardanti detto interessato e di impedire in futuro l’accesso a tali dati. Contesto normativo Diritto dell’Unione 3 La direttiva 95/46 – che, ai sensi del suo articolo 1, ha per oggetto la tutela dei diritti e delle libertà fondamentali delle persone fisiche, e segnatamente del diritto alla vita privata, con riguardo al trattamento dei dati personali, nonché l’eliminazione degli ostacoli alla libera circolazione di tali dati – enuncia, ai considerando 2, 10, da 18 a 20, e 25, quanto segue: «(2) considerando che i sistemi di trattamento dei dati sono al servizio dell’uomo; che essi, indipendentemente dalla nazionalità o dalla residenza delle persone fisiche, debbono rispettare le libertà e i diritti fondamentali delle stesse, in particolare la vita privata, e debbono contribuire al (…) benessere degli individui; (…) (10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali[, firmata a Roma il 4 novembre 1950,] e dai principi generali del diritto comunitario; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità; (…) (18) considerando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, è necessario che qualsiasi trattamento di dati personali effettuato nella Comunità rispetti la legislazione di uno degli Stati membri; che, a questo proposito, è opportuno assoggettare i trattamenti effettuati da una persona che opera sotto l’autorità del responsabile del trattamento stabilito in uno Stato membro alla legge di tale Stato; (19) considerando che lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile; che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo; che quando un unico responsabile del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi; (20) considerando che la tutela delle persone prevista dalla presente direttiva non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo; che, in tal caso, è opportuno che i trattamenti effettuati siano disciplinati dalla legge dello Stato membro nel quale sono ubicati i mezzi utilizzati per il trattamento in oggetto e che siano prese le garanzie necessarie per consentire l’effettivo rispetto dei diritti e degli obblighi previsti dalla presente direttiva; (…) (25) considerando che i principi di tutela si esprimono, da un lato, nei vari obblighi a carico delle persone (…) [che trattano dati], obblighi relativi in particolare alla qualità dei dati, alla sicurezza tecnica, alla notificazione all’autorità di controllo, alle circostanze in cui il trattamento può essere effettuato, e, dall’altro, nel diritto delle persone, i cui dati sono oggetto di trattamento, di esserne informate, di poter accedere ai dati, e chiederne la rettifica, o di opporsi al trattamento in talune circostanze». 4 L’articolo 2 della direttiva 95/46 prevede che «[a]i fini [di tale] direttiva si intende per: a) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale; b) “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione; (…) d) “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario; (…)». 5 L’articolo 3 della citata direttiva, intitolato «Campo d’applicazione», enuncia, al paragrafo 1, quanto segue: «Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi». 6 L’articolo 4 della stessa direttiva, intitolato «Diritto nazionale applicabile», prevede: «1. Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali: a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile; b) il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico; c) il cui responsabile, non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea. 2. Nella fattispecie di cui al paragrafo 1, lettera c), il responsabile del trattamento deve designare un rappresentante stabilito nel territorio di detto Stato membro, fatte salve le azioni che potrebbero essere promosse contro lo stesso responsabile del trattamento». 7 Nell’ambito del capo II della direttiva 95/46, segnatamente nella sezione I, intitolata «Principi relativi alla qualità dei dati», l’articolo 6 dispone quanto segue: «1. Gli Stati membri dispongono che i dati personali devono essere: a) trattati lealmente e lecitamente; b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché gli Stati membri forniscano garanzie appropriate; c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati; d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati; e) conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici. 2. Il responsabile del trattamento è tenuto a garantire il rispetto delle disposizioni del paragrafo 1». 8 Nel capo II della direttiva 95/46, all’interno della sezione II, intitolata «Principi relativi alla legittimazione del trattamento dei dati», l’articolo 7 recita così: «Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando: (…) f) è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1». 9 L’articolo 9 della citata direttiva, intitolato «Trattamento di dati personali e libertà d’espressione», ha il seguente tenore: «Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI solo qualora si rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla libertà d’espressione». 10 L’articolo 12 della medesima direttiva, intitolato «Diritto di accesso», così dispone: «Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento: (…) b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati; (…)». 11 L’articolo 14 della direttiva 95/46, intitolato «Diritto di opposizione della persona interessata», ha il seguente tenore: «Gli Stati membri riconoscono alla persona interessata il diritto: a) almeno nei casi di cui all’articolo 7, lettere e) e f), di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. In caso di opposizione giustificata il trattamento effettuato dal responsabile non può più riguardare tali dati; (…)». 12 L’articolo 28 di detta direttiva, intitolato «Autorità di controllo», è così formulato: «1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri. (…) 3. Ogni autorità di controllo dispone in particolare: – di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo; – di poteri effettivi d’intervento, come quello (…) di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento (…); – (…). È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio. 4. Qualsiasi persona, o associazione che la rappresenti, può presentare a un’autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alla sua domanda. (…) 6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro. Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile. (…)». Diritto spagnolo 13 La direttiva 95/46 è stata trasposta nell’ordinamento spagnolo mediante la legge organica n. 15/1999, del 13 dicembre 1999, relativa alla tutela dei dati personali (BOE n. 298, del 14 dicembre 1999, pag. 43088). Procedimento principale e questioni pregiudiziali 14 Il 5 marzo 2010, il sig. Costeja González, cittadino spagnolo con domicilio in Spagna, ha presentato dinanzi all’AEPD un reclamo contro La Vanguardia Ediciones SL, che pubblica un quotidiano di larga diffusione, soprattutto in Catalogna (Spagna) (in prosieguo: «La Vanguardia»), nonché contro Google Spain e Google Inc. Tale reclamo era fondato sul fatto che, allorché un utente di Internet introduceva il nome del sig. Costeja González nel motore di ricerca del gruppo Google (in prosieguo: «Google Search»), otteneva dei link verso due pagine del quotidiano di La Vanguardia rispettivamente del 19 gennaio e del 9 marzo 1998, sulle quali figurava un annuncio, menzionante il nome del sig. Costeja González, per una vendita all’asta di immobili connessa ad un pignoramento effettuato per la riscossione coattiva di crediti previdenziali. 15 Mediante detto reclamo, il sig. Costeja González chiedeva, da un lato, che fosse ordinato a La Vanguardia di sopprimere o modificare le pagine suddette affinché i suoi dati personali non vi comparissero più, oppure di ricorrere a taluni strumenti forniti dai motori di ricerca per proteggere tali dati. Dall’altro lato, egli chiedeva che fosse ordinato a Google Spain o a Google Inc. di eliminare o di occultare i suoi dati personali, in modo che cessassero di comparire tra i risultati di ricerca e non figurassero più nei link di La Vanguardia. Il sig. Costeja González affermava in tale contesto che il pignoramento, che era stato effettuato nei suoi confronti, era stato interamente definito da svariati anni e che la menzione dello stesso era ormai priva di qualsiasi rilevanza. 16 Con decisione del 30 luglio 2010, l’AEPD ha respinto il suddetto reclamo nella parte in cui era diretto contro La Vanguardia, ritenendo che la pubblicazione da parte di quest’ultima delle informazioni in questione fosse legalmente giustificata, dato che aveva avuto luogo su ordine del Ministero del Lavoro e degli Affari sociali e aveva avuto lo scopo di conferire il massimo di pubblicità alla vendita pubblica, al fine di raccogliere il maggior numero di partecipanti all’asta. 17 Detto reclamo è stato invece accolto nella parte in cui era diretto contro Google Spain e Google Inc. L’AEPD ha considerato in proposito che i gestori di motori di ricerca sono assoggettati alla normativa in materia di protezione dei dati, dato che essi effettuano un trattamento di dati per il quale sono responsabili e agiscono quali intermediari della società dell’informazione. L’AEPD ha ritenuto di essere autorizzata ad ordinare la rimozione dei dati nonché il divieto di accesso a taluni dati da parte dei gestori di motori di ricerca, qualora essa ritenga che la localizzazione e la diffusione degli stessi possano ledere il diritto fondamentale alla protezione dei dati e la dignità delle persone in senso ampio, ciò che includerebbe anche la semplice volontà della persona interessata che tali dati non siano conosciuti da terzi. L’AEPD ha affermato che tale obbligo può incombere direttamente ai gestori di motori di ricerca, senza che sia necessario cancellare i dati o le informazioni dal sito web in cui questi compaiono, segnatamente quando il mantenimento di tali informazioni nel sito in questione sia giustificato da una norma di legge. 18 Google Spain e Google Inc. hanno proposto due ricorsi separati contro la decisione di cui sopra dinanzi all’Audiencia Nacional, dei quali quest’ultima ha disposto la riunione. 19 Detto giudice chiarisce nella decisione di rinvio che i ricorsi sopra menzionati portano a chiedersi quali obblighi incombano ai gestori di motori di ricerca per la tutela dei dati personali delle persone interessate, le quali non desiderino che alcune informazioni, pubblicate sui siti web di terzi e contenenti loro dati personali che consentono di collegare ad esse dette informazioni, vengano localizzate, indicizzate e messe a disposizione degli utenti di Internet in modo indefinito. La risposta a tale quesito dipenderebbe dal modo in cui la direttiva 95/46 deve essere interpretata nel contesto di queste tecnologie che sono apparse dopo la sua pubblicazione. 20 Alla luce di tali considerazioni, l’Audiencia Nacional ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali: «1) Per quanto concerne l’ambito territoriale di applicazione della direttiva [95/46] e, di conseguenza, della normativa spagnola sulla protezione dei dati, si chiede: a) Se debba ritenersi che esista uno “stabilimento” ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva [95/46], qualora ricorrano una o più delle seguenti circostanze: – l’impresa che gestisce il motore di ricerca apre in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti dal motore di ricerca e l’attività della quale si dirige agli abitanti di tale Stato; o – la società madre designa una filiale situata in tale Stato membro come suo rappresentante e responsabile del trattamento di due file specifici contenenti i dati dei clienti che hanno stipulato contratti con detta società per la fornitura di servizi pubblicitari; o – la succursale o la filiale stabilita in uno Stato membro trasmette alla società madre, avente sede al di fuori dell’Unione europea, i reclami e le ingiunzioni che le vengono presentati tanto dalle persone interessate quanto dalle autorità competenti perché sia rispettato il diritto alla protezione dei dati, anche quando tale collaborazione abbia carattere volontario. b) Se l’articolo 4, paragrafo 1, lettera c), della direttiva [95/46] debba essere interpretato nel senso che si configura un “ricorso a strumenti situati nel territorio di detto Stato membro” qualora un motore di ricerca: – utilizzi dei “web spiders” o dei crawler per localizzare e indicizzare le informazioni contenute in pagine web alloggiate su server situati in tale Stato membro o – utilizzi un nome di dominio proprio di uno Stato membro e indirizzi le ricerche e i risultati in funzione della lingua di tale Stato membro. c) Se possa considerarsi come un ricorso a strumenti, ai sensi dell’articolo 4, paragrafo 1, lettera c), della direttiva [95/46], la memorizzazione temporanea delle informazioni indicizzate dai motori di ricerca su Internet. In caso di risposta affermativa a quest’ultimo quesito, se si possa ritenere soddisfatto tale criterio di collegamento quando l’impresa si rifiuti di rivelare il luogo in cui archivia detti indici, adducendo ragioni di concorrenza. d) A prescindere dalla risposta ai precedenti quesiti, e specialmente nel caso in cui la Corte ritenesse inapplicabili i criteri di collegamento previsti dall’articolo 4 della direttiva [95/46]: Se, alla luce dell’articolo 8 della [Carta], la direttiva [95/46] debba essere applicata nello Stato membro nel quale si trova il centro di gravità del conflitto e nel quale è possibile ottenere una tutela più efficace dei diritti dei cittadini dell’Unione (…). 2) Per quanto concerne l’attività dei motori di ricerca quali fornitori di contenuti in relazione alla direttiva [95/46], si chiede: a) Riguardo all’attività [di Google Search] quale fornitore di contenuti, consistente nel localizzare le informazioni pubblicate o messe in rete da terzi, nell’indicizzarle in maniera automatica, nel memorizzarle temporaneamente e infine nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, qualora tali informazioni contengano dati personali di terzi: Se un’attività come quella descritta debba considerarsi rientrante nella nozione di “trattamento di dati” ai sensi dell’articolo 2, lettera b), della direttiva [95/46]. b) In caso di risposta affermativa al quesito precedente, e sempre con riferimento ad un’attività come quella sopra descritta: Se l’articolo 2, lettera d), della direttiva [95/46] debba essere interpretato nel senso che la società che gestisce [Google Search] deve essere considerata “responsabile del trattamento” dei dati personali contenuti nelle pagine web da essa indicizzate. c) In caso di risposta affermativa al quesito precedente: Se l’[AEPD], al fine di tutelare i diritti enunciati agli articoli 12, lettera b), e 14, [primo comma,] lettera a), della direttiva [95/46], possa ordinare direttamente [a Google Search] di rimuovere dai propri indici un’informazione pubblicata da terzi, senza rivolgersi previamente o simultaneamente al titolare della pagina web in cui è inserita tale informazione. d) In caso di risposta affermativa al quesito precedente: Se i motori di ricerca siano sollevati dall’obbligo di rispettare i diritti di cui sopra qualora l’informazione contenente i dati personali sia stata lecitamente pubblicata da terzi e rimanga sulla pagina web di origine. 3) Per quanto concerne la portata del diritto di cancellazione e/o opposizione al trattamento di dati in relazione al diritto all’oblio, si chiede: Se si debba ritenere che i diritti di cancellazione e congelamento dei dati, disciplinati dall’articolo 12, lettera b), e il diritto di opposizione al loro trattamento, regolato dall’articolo 14, [primo comma,] lettera a), della direttiva [95/46], implichino che l’interessato può rivolgersi ai motori di ricerca per impedire l’indicizzazione delle informazioni riguardanti la sua persona pubblicate su pagine web di terzi, facendo valere la propria volontà che tali informazioni non siano conosciute dagli utenti di Internet, ove egli reputi che la loro divulgazione possa arrecargli pregiudizio o desideri che tali informazioni siano dimenticate, anche quando si tratti di informazioni pubblicate da terzi lecitamente». Sulle questioni pregiudiziali Sulla seconda questione, lettere a) e b), concernente l’ambito di applicazione materiale della direttiva 95/46 21 Con la sua seconda questione, lettere a) e b), da esaminarsi per prima, il giudice del rinvio chiede, in sostanza, se l’articolo 2, lettera b), della direttiva 95/46 debba essere interpretato nel senso che l’attività di un motore di ricerca quale fornitore di contenuti, consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali», ai sensi della disposizione suddetta, qualora tali informazioni contengano dati personali. In caso di risposta affermativa, il giudice del rinvio desidera inoltre sapere se il citato articolo 2, lettera d), debba essere interpretato nel senso che il gestore di un motore di ricerca deve essere considerato come il «responsabile» del suddetto trattamento di dati personali, ai sensi di quest’ultima disposizione. 22 Secondo Google Spain e Google Inc., l’attività dei motori di ricerca non può essere considerata quale trattamento dei dati che appaiono sulle pagine web di terzi visualizzate nell’elenco dei risultati della ricerca, dato che detti motori di ricerca trattano le informazioni accessibili su Internet nel loro insieme senza operare una selezione tra i dati personali e le altre informazioni. Inoltre, anche supponendo che tale attività debba essere qualificata come «trattamento di dati», il gestore di un motore di ricerca non può essere considerato come «responsabile» di tale trattamento, dal momento che egli non ha conoscenza dei dati in questione e non esercita alcun controllo su di essi. 23 Per contro, il sig. Costeja González, i governi spagnolo, italiano, austriaco e polacco, nonché la Commissione europea, ritengono che l’attività suddetta implichi all’evidenza un «trattamento di dati» nel senso di cui alla direttiva 95/46, il quale si distingue dal trattamento di dati ad opera degli editori di siti web e persegue obiettivi diversi rispetto a quelli di quest’ultimo. Il gestore di un motore di ricerca sarebbe «responsabile» del trattamento dei dati da questo effettuato, essendo detto gestore a determinare le finalità e gli strumenti di tale trattamento. 24 Secondo il governo ellenico, l’attività in questione costituisce un «trattamento» siffatto, ma poiché i motori di ricerca fungono da semplici intermediari, le imprese che li gestiscono non possono essere considerate «responsabili», ad eccezione del caso in cui esse memorizzino dei dati in una «memoria intermedia» o una «memoria cache» per un periodo di tempo superiore a quanto tecnicamente necessario. 25 A questo proposito occorre rilevare come l’articolo 2, lettera b), della direttiva 95/46 definisca il «trattamento di dati personali» come «qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione». 26 Per quanto riguarda in particolare Internet, la Corte ha già avuto modo di constatare che l’operazione consistente nel far comparire su una pagina Internet dati personali va considerata come un «trattamento» siffatto ai sensi dell’articolo 2, lettera b), della direttiva 95/46 (v. sentenza Lindqvist, C101/01, EU:C:2003:596, punto 25). 27 Per quanto concerne l’attività in esame nel procedimento principale, non è contestato che tra i dati trovati, indicizzati, memorizzati dai motori di ricerca e messi a disposizione degli utilizzatori di questi ultimi sono presenti anche informazioni riguardanti persone fisiche identificate o identificabili, e dunque «dati personali» ai sensi dell’articolo 2, lettera a), della direttiva citata. 28 Pertanto, occorre constatare che, esplorando Internet in modo automatizzato, costante e sistematico alla ricerca delle informazioni ivi pubblicate, il gestore di un motore di ricerca «raccoglie» dati siffatti, che egli «estrae», «registra» e «organizza» successivamente nell’ambito dei suoi programmi di indicizzazione, «conserva» nei suoi server e, eventualmente, «comunica» e «mette a disposizione» dei propri utenti sotto forma di elenchi dei risultati delle loro ricerche. Poiché tali operazioni sono contemplate in maniera esplicita e incondizionata all’articolo 2, lettera b), della direttiva 95/46, esse devono essere qualificate come «trattamento» ai sensi di tale disposizione, senza che rilevi il fatto che il gestore del motore di ricerca applichi le medesime operazioni anche ad altri tipi di informazioni e non distingua tra queste e i dati personali. 29 La constatazione di cui sopra non viene invalidata neppure dal fatto che tali dati abbiano già costituito l’oggetto di una pubblicazione su Internet e non vengano modificati dal suddetto motore di ricerca. 30 Infatti, la Corte ha già constatato che le operazioni contemplate dall’articolo 2, lettera b), della direttiva 95/46 devono essere considerate come un trattamento siffatto anche nell’ipotesi in cui riguardino esclusivamente informazioni già pubblicate tali e quali nei media. La Corte ha infatti rilevato, a questo proposito, che una deroga generale all’applicazione della direttiva 95/46 in un’ipotesi siffatta priverebbe in larga parte del suo significato tale direttiva (v., in tal senso, sentenza Satakunnan Markkinapörssi e Satamedia, C73/07, EU:C:2008:727, punti 48 e 49). 31 Inoltre, discende dalla definizione contenuta nell’articolo 2, lettera b), della direttiva 95/46 che, se indubbiamente la modificazione di dati personali costituisce un trattamento ai sensi della direttiva stessa, le altre operazioni menzionate in tale disposizione non esigono affatto, invece, che i dati suddetti vengano modificati. 32 Quanto alla questione se il gestore di un motore di ricerca debba o no essere considerato come il «responsabile del trattamento» dei dati personali effettuato da tale motore nell’ambito di un’attività come quella oggetto del procedimento principale, occorre ricordare che l’articolo 2, lettera d), della direttiva 95/46 definisce detto responsabile come «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali». 33 Orbene, è il gestore del motore di ricerca a determinare le finalità e gli strumenti di tale attività e dunque del trattamento di dati personali che egli stesso effettua nell’ambito dell’attività medesima, ed è di conseguenza lui a dover essere considerato come il «responsabile» di tale trattamento a norma del citato articolo 2, lettera d). 34 Inoltre, occorre constatare che sarebbe contrario non soltanto al chiaro tenore letterale di tale disposizione, ma anche alla sua finalità – consistente nel garantire, mediante un’ampia definizione della nozione di «responsabile», una tutela efficace e completa delle persone interessate – il fatto di escludere dalla nozione di cui sopra il gestore di un motore di ricerca per il motivo che egli non esercita alcun controllo sui dati personali pubblicati sulle pagine web di terzi. 35 A questo proposito, occorre sottolineare che il trattamento di dati personali effettuato nell’ambito dell’attività di un motore di ricerca si distingue da e si aggiunge a quello effettuato dagli editori di siti web, consistente nel far apparire tali dati su una pagina Internet. 36 Inoltre, è pacifico che tale attività dei motori di ricerca svolge un ruolo decisivo nella diffusione globale dei dati suddetti, in quanto rende accessibili questi ultimi a qualsiasi utente di Internet che effettui una ricerca a partire dal nome della persona interessata, anche a quegli utenti che non avrebbero altrimenti trovato la pagina web su cui questi stessi dati sono pubblicati. 37 Per di più, l’organizzazione e l’aggregazione delle informazioni pubblicate su Internet, realizzate dai motori di ricerca allo scopo di facilitare ai loro utenti l’accesso a dette informazioni, possono avere come effetto che tali utenti, quando la loro ricerca viene effettuata a partire dal nome di una persona fisica, ottengono attraverso l’elenco di risultati una visione complessiva strutturata delle informazioni relative a questa persona reperibili su Internet, che consente loro di stabilire un profilo più o meno dettagliato di quest’ultima. 38 Pertanto, nella misura in cui l’attività di un motore di ricerca può incidere, in modo significativo e in aggiunta all’attività degli editori di siti web, sui diritti fondamentali alla vita privata e alla protezione dei dati personali, il gestore di tale motore di ricerca quale soggetto che determina le finalità e gli strumenti di questa attività deve assicurare, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che detta attività soddisfi le prescrizioni della direttiva 95/46, affinché le garanzie previste da quest’ultima possano sviluppare pienamente i loro effetti e possa essere effettivamente realizzata una tutela efficace e completa delle persone interessate, in particolare del loro diritto al rispetto della loro vita privata. 39 Infine, la circostanza che gli editori di siti web abbiano la facoltà di indicare ai gestori di motori di ricerca, con l’aiuto segnatamente di protocolli di esclusione come «robot.txt» o di codici come «noindex» o «noarchive», il loro desiderio che una determinata informazione, pubblicata sul loro sito, venga esclusa in tutto o in parte dagli indici automatici di detti motori di ricerca, non significa che la mancanza di un’indicazione siffatta da parte di questi editori liberi il gestore di un motore di ricerca dalla sua responsabilità per il trattamento dei dati personali che egli effettua nell’ambito dell’attività del motore stesso. 40 Infatti, tale circostanza non modifica il fatto che le finalità e gli strumenti del citato trattamento sono determinati da detto gestore. Inoltre, anche supponendo che la summenzionata facoltà degli editori di siti web significhi che costoro determinano insieme con il suddetto gestore gli strumenti di tale trattamento, tale circostanza nulla toglierebbe alla responsabilità di quest’ultimo, dato che l’articolo 2, lettera d), della direttiva 95/46 prevede espressamente che tale determinazione possa essere effettuata «da solo o insieme ad altri». 41 Alla luce di quanto sopra esposto, occorre rispondere alla seconda questione, lettere a) e b), dichiarando che l’articolo 2, lettere b) e d), della direttiva 95/46 deve essere interpretato nel senso che, da un lato, l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali», ai sensi del citato articolo 2, lettera b), qualora tali informazioni contengano dati personali, e che, dall’altro lato, il gestore di detto motore di ricerca deve essere considerato come il «responsabile» del trattamento summenzionato, ai sensi dell’articolo 2, lettera d), di cui sopra. Sulla prima questione, lettere da a) a d), concernente l’ambito di applicazione territoriale della direttiva 95/46 42 Con la sua prima questione, lettere da a) a d), il giudice del rinvio mira a stabilire se sia possibile applicare la normativa nazionale di recepimento della direttiva 95/46 in circostanze quali quelle in esame nel procedimento principale. 43 In tale contesto, il giudice del rinvio ha accertato i seguenti fatti: – Google Search viene proposto a livello mondiale tramite il sito web «www.google.com». In numerosi Stati esistono versioni locali adattate alla lingua nazionale. La versione in lingua spagnola di Google Search viene proposta tramite il sito web «www.google.es», registrato dal 16 settembre 2003. Google Search è uno dei motori di ricerca più utilizzati in Spagna. – Google Search è gestito da Google Inc., che è la società madre del gruppo Google e la cui sede sociale si trova negli Stati Uniti. – Google Search indicizza i siti web del mondo intero, e tra questi i siti ubicati in Spagna. Le informazioni indicizzate dai suoi «web spiders» o dai suoi crawler, ossia programmi informatici utilizzati per reperire e scandagliare il contenuto delle pagine web in modo metodico e automatizzato, vengono memorizzate temporaneamente in server dei quali si ignora lo Stato di ubicazione, informazione questa che viene mantenuta segreta per ragioni di concorrenza. – Google Search non si limita a dare accesso ai contenuti ospitati sui siti web indicizzati, ma sfrutta tale attività per includere, dietro pagamento, pubblicità associate ai termini di ricerca introdotti dagli utenti di Internet, a beneficio di imprese che desiderano utilizzare tale mezzo per offrire i loro beni o servizi a tali utenti. – Il gruppo Google utilizza la propria filiale Google Spain per la promozione delle vendite di spazi pubblicitari generati sul sito web «www.google.com». Google Spain, che è stata costituita il 3 settembre 2003 e che gode di personalità giuridica autonoma, ha la propria sede sociale a Madrid (Spagna). Essa sviluppa le proprie attività essenzialmente a destinazione delle imprese basate in Spagna, operando quale agente commerciale del gruppo suddetto in tale Stato membro. Il suo oggetto sociale consiste nel promuovere, facilitare ed effettuare la vendita di prodotti e di servizi di pubblicità online a terzi, nonché il marketing di questa pubblicità. – Google Inc. ha designato Google Spain come responsabile del trattamento, in Spagna, di due file registrati da Google Inc. presso l’AEPD, tenendo presente che tali file hanno lo scopo di contenere i dati personali dei clienti che hanno concluso contratti di servizi pubblicitari con Google Inc. 44 In concreto, il giudice del rinvio si interroga, in via principale, in merito alla nozione di «stabilimento», ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, e a quella di «ricorso a strumenti situati nel territorio di detto Stato membro», ai sensi dell’articolo 4, paragrafo 1, lettera c), della medesima direttiva. Sulla prima questione, lettera a) 45 Con la sua prima questione, lettera a), il giudice del rinvio chiede, in sostanza, se l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 debba essere interpretato nel senso che un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della disposizione di cui sopra, qualora una o più delle seguenti tre condizioni siano soddisfatte: – il gestore di un motore di ricerca apre in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti dal motore di ricerca e l’attività della quale si dirige agli abitanti di tale Stato, oppure – la società madre designa una filiale situata in tale Stato membro come suo rappresentante e responsabile del trattamento di due file specifici contenenti i dati dei clienti che hanno stipulato contratti con detta società per la fornitura di servizi pubblicitari, oppure – la succursale o la filiale stabilita in uno Stato membro trasmette alla società madre, avente sede al di fuori dell’Unione, i reclami e le ingiunzioni che le vengono presentati tanto dalle persone interessate quanto dalle autorità competenti perché sia rispettato il diritto alla protezione dei dati personali, anche quando tale collaborazione abbia carattere volontario. 46 Per quanto riguarda la prima di queste tre condizioni, il giudice del rinvio rileva che Google Search è gestito e amministrato da Google Inc., e che non è dimostrato che Google Spain realizzi in Spagna un’attività direttamente connessa all’indicizzazione o alla memorizzazione di informazioni o di dati contenuti nei siti web di terzi. Tuttavia, l’attività di promozione e di vendita degli spazi pubblicitari, di cui si occupa Google Spain per la Spagna, costituirebbe la parte essenziale dell’attività commerciale del gruppo Google e potrebbe essere considerata come strettamente connessa a Google Search. 47 Il sig. Costeja González, i governi spagnolo, italiano, austriaco e polacco, nonché la Commissione, ritengono che, tenuto conto del nesso inscindibile tra l’attività del motore di ricerca gestito da Google Inc. e quella di Google Spain, quest’ultima debba essere considerata come uno stabilimento della prima, nel contesto delle cui attività viene effettuato il trattamento di dati personali. Invece, secondo Google Spain, Google Inc. ed il governo ellenico, l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 non trova applicazione nell’ipotesi corrispondente alla prima delle tre condizioni elencate dal giudice del rinvio. 48 A questo proposito occorre anzitutto rilevare che il considerando 19 della direttiva 95/46 precisa che «lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile», e «che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo». 49 Orbene, non è contestato che Google Spain si dedica all’esercizio effettivo e reale di un’attività mediante un’organizzazione stabile in Spagna. Essendo inoltre dotata di una personalità giuridica propria, detta società costituisce in tal modo una filiale di Google Inc. nel territorio spagnolo e, di conseguenza, uno «stabilimento» ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46. 50 Al fine di soddisfare il criterio fissato da questa disposizione, è altresì necessario che il trattamento di dati personali ad opera del responsabile dello stesso venga «effettuato nel contesto delle attività» di uno stabilimento di questo responsabile nel territorio di uno Stato membro. 51 Google Spain e Google Inc. negano che tale situazione sussista nel caso di specie, dal momento che il trattamento di dati personali in esame nel procedimento principale viene effettuato esclusivamente da Google Inc., che gestisce Google Search senza alcun intervento da parte di Google Spain, la cui attività si limita alla fornitura di un sostegno all’attività pubblicitaria del gruppo Google, che si differenzia dal suo servizio di motore di ricerca. 52 Tuttavia, come sottolineato in particolare dal governo spagnolo e dalla Commissione, l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 non esige che il trattamento di dati personali in questione venga effettuato «dallo» stesso stabilimento interessato, bensì soltanto che venga effettuato «nel contesto delle attività» di quest’ultimo. 53 Inoltre, alla luce dell’obiettivo della direttiva 95/46 di garantire una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, con riguardo al trattamento dei dati personali, l’espressione suddetta non può ricevere un’interpretazione restrittiva (v., per analogia, sentenza L’Oréal e a., C324/09, EU:C:2011:474, punti 62 e 63). 54 In tali circostanze, occorre rilevare che risulta in particolare dai considerando da 18 a 20 e dall’articolo 4 della direttiva 95/46 che il legislatore dell’Unione ha inteso evitare che una persona venga esclusa dalla protezione garantita da tale direttiva e che tale protezione venga elusa, prevedendo a tal fine un ambito di applicazione territoriale particolarmente esteso. 55 Tenuto conto di tale obiettivo della direttiva 95/46 e del tenore letterale del suo articolo 4, paragrafo 1, lettera a), occorre affermare che il trattamento di dati personali realizzato per le esigenze di servizio di un motore di ricerca come Google Search, il quale venga gestito da un’impresa con sede in uno Stato terzo ma avente uno stabilimento in uno Stato membro, viene effettuato «nel contesto delle attività» di tale stabilimento qualora quest’ultimo sia destinato a garantire, in tale Stato membro, la promozione e la vendita degli spazi pubblicitari proposti dal suddetto motore di ricerca, che servono a rendere redditizio il servizio offerto da quest’ultimo. 56 Infatti, in circostanze del genere, le attività del gestore del motore di ricerca e quelle del suo stabilimento situato nello Stato membro interessato sono inscindibilmente connesse, dal momento che le attività relative agli spazi pubblicitari costituiscono il mezzo per rendere il motore di ricerca in questione economicamente redditizio e che tale motore è, al tempo stesso, lo strumento che consente lo svolgimento di dette attività. 57 A questo proposito occorre ricordare che, come si è precisato ai punti da 26 a 28 della presente sentenza, la visualizzazione stessa di dati personali su una pagina di risultati di una ricerca costituisce un trattamento di dati personali. Orbene, poiché la suddetta visualizzazione di risultati è accompagnata, sulla stessa pagina, da quella di pubblicità correlate ai termini di ricerca, è giocoforza constatare che il trattamento di dati personali in questione viene effettuato nel contesto dell’attività pubblicitaria e commerciale dello stabilimento del responsabile del trattamento nel territorio di uno Stato membro, nella fattispecie il territorio spagnolo. 58 Date tali circostanze, non si può accettare che il trattamento di dati personali effettuato per le esigenze del funzionamento del suddetto motore di ricerca venga sottratto agli obblighi e alle garanzie previsti dalla direttiva 95/46, ciò che pregiudicherebbe l’effetto utile di quest’ultima e la tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche che detta direttiva mira a garantire (v., per analogia, sentenza L’Oréal e a., EU:C:2011:474, punti 62 e 63), segnatamente il diritto al rispetto della loro vita privata, con riguardo al trattamento dei dati personali, al quale detta direttiva riconosce un’importanza particolare, come confermato segnatamente dall’articolo 1, paragrafo 1, e dai considerando 2 e 10 della direttiva medesima (v., in tal senso, sentenze Österreichischer Rundfunk e a., C465/00, C138/01 e C139/01, EU:C:2003:294, punto 70; Rijkeboer, C553/07, EU:C:2009:293, punto 47, nonché IPI, C473/12, EU:C:2013:715, punto 28 e la giurisprudenza ivi citata). 59 Dal momento che la prima delle tre condizioni elencate dal giudice del rinvio è sufficiente di per sé sola per concludere che uno stabilimento come Google Spain soddisfa il criterio previsto dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, non è necessario esaminare le altre due condizioni. 60 Alla luce delle considerazioni di cui sopra, occorre rispondere alla prima questione, lettera a), dichiarando che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 deve essere interpretato nel senso che un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della disposizione suddetta, qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro. Sulla prima questione, lettere da b) a d) 61 Tenuto conto della soluzione data alla prima questione, lettera a), non vi è luogo a rispondere alla prima questione, lettere da b) a d). Sulla seconda questione, lettere c) e d), concernente l’estensione della responsabilità del gestore di un motore di ricerca ai sensi della direttiva 95/46 62 Con la sua seconda questione, lettere c) e d), il giudice del rinvio chiede, in sostanza, se gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 debbano essere interpretati nel senso che, per rispettare i diritti previsti da tali disposizioni, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine sia di per sé lecita. 63 Google Spain e Google Inc. ritengono che, in virtù del principio di proporzionalità, qualsiasi domanda diretta alla soppressione di informazioni debba essere indirizzata all’editore del sito web interessato, in quanto quest’ultimo è colui che assume la responsabilità di rendere pubbliche le informazioni, che è in grado di valutare la liceità di tale pubblicazione e che dispone dei mezzi più efficaci e meno restrittivi per rendere inaccessibili le informazioni stesse. Inoltre, imporre al gestore di un motore di ricerca di rimuovere dai propri indici informazioni pubblicate su Internet non terrebbe sufficientemente conto dei diritti fondamentali degli editori di siti web, degli altri utenti di Internet, nonché dello stesso gestore. 64 Secondo il governo austriaco, un’autorità di controllo nazionale può ordinare a tale gestore di cancellare dai propri archivi informazioni pubblicate da terzi unicamente nel caso in cui l’illiceità o l’inesattezza dei dati in questione sia stata previamente constatata o la persona interessata abbia presentato con successo un’opposizione dinanzi all’editore del sito web sul quale tali informazioni sono state pubblicate. 65 Il sig. Costeja González, i governi spagnolo, italiano e polacco, nonché la Commissione, ritengono che l’autorità nazionale possa ordinare direttamente al gestore di un motore di ricerca di rimuovere dai propri indici e dalla propria memoria intermedia informazioni contenenti dati personali pubblicati da terzi, senza doversi rivolgere previamente o simultaneamente all’editore della pagina web nella quale compaiono tali informazioni. Oltre a ciò, ad avviso del sig. Costeja González, dei governi spagnolo e italiano nonché della Commissione, la circostanza che le informazioni suddette siano state pubblicate in modo lecito e ancora compaiano sulla pagina web d’origine non incide sugli obblighi incombenti a detto gestore in forza della direttiva 95/46. Invece, per il governo polacco, tale circostanza è idonea a liberare il gestore del motore di ricerca dai propri obblighi. 66 In via preliminare, occorre ricordare che, come risulta dall’articolo 1 e dal considerando 10 della direttiva 95/46, quest’ultima mira a garantire un livello elevato di protezione delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali (v., in tal senso, sentenza IPI, EU:C:2013:715, punto 28). 67 A mente del considerando 25 della direttiva 95/46, i principi di tutela previsti da quest’ultima si esprimono, da un lato, nei vari obblighi a carico dei soggetti che trattano dati – obblighi relativi in particolare alla qualità dei dati, alla sicurezza tecnica, alla notificazione all’autorità di controllo, alle circostanze in cui il trattamento può essere effettuato – e, dall’altro, nel diritto delle persone, i cui dati sono oggetto di trattamento, di esserne informate, di poter accedere ai dati e di poterne chiedere la rettifica, o anche di opporsi al trattamento in talune circostanze. 68 La Corte ha già statuito che le disposizioni della direttiva 95/46, disciplinando il trattamento di dati personali che possono arrecare pregiudizio alle libertà fondamentali e, segnatamente, al diritto alla vita privata, devono necessariamente essere interpretate alla luce dei diritti fondamentali che, secondo una costante giurisprudenza, formano parte integrante dei principi generali del diritto di cui la Corte garantisce l’osservanza e che sono ormai iscritti nella Carta (v., in particolare, sentenze Connolly/Commissione, C274/99 P, EU:C:2001:127, punto 37, nonché Österreichischer Rundfunk e a., EU:C:2003:294, punto 68). 69 In tal senso, l’articolo 7 della Carta garantisce il diritto al rispetto della vita privata, mentre l’articolo 8 della Carta proclama espressamente il diritto alla protezione dei dati personali. I paragrafi 2 e 3 di quest’ultimo articolo precisano che i dati suddetti devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge, che ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica, e che il rispetto di tali regole è soggetto al controllo di un’autorità indipendente. Tali prescrizioni ricevono attuazione in particolare mediante gli articoli 6, 7, 12, 14 e 28 della direttiva 95/46. 70 Quanto all’articolo 12, lettera b), della direttiva 95/46, esso dispone che gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento, a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non sia conforme alle disposizioni di questa direttiva, in particolare a causa del carattere incompleto o inesatto dei dati. Poiché quest’ultima precisazione relativa all’ipotesi del mancato rispetto di talune prescrizioni dettate dall’articolo 6, paragrafo 1, lettera d), della direttiva 95/46 risulta avere carattere esemplificativo e non esaustivo, ne consegue che la non conformità del trattamento, atta a conferire alla persona interessata il diritto garantito dall’articolo 12, lettera b), di tale direttiva, può derivare anche dal mancato rispetto delle altre condizioni di liceità imposte da quest’ultima al trattamento di dati personali. 71 A questo proposito occorre ricordare che, fatte salve le deroghe ammesse ai sensi dell’articolo 13 della direttiva 95/46, qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi relativi alla qualità dei dati, enunciati all’articolo 6 di detta direttiva, e, dall’altro, rispondere ad uno dei principi relativi alla legittimazione dei trattamenti di dati, elencati all’articolo 7 della direttiva stessa (v. sentenze Österreichischer Rundfunk e a., EU:C:2003:294, punto 65; ASNEF e FECEMD, C468/10 e C469/10, EU:C:2011:777, punto 26, nonché Worten, C342/12, EU:C:2013:355, punto 33). 72 A mente del citato articolo 6, e fatte salve le disposizioni specifiche che gli Stati membri possono prevedere per trattamenti a scopi storici, statistici o scientifici, spetta al responsabile del trattamento garantire che i dati personali siano «trattati lealmente e lecitamente», che vengano «rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità», che siano «adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati», che siano «esatti e, se necessario, aggiornati» e, infine, che siano «conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati». In tale contesto, detto responsabile deve prendere tutte le misure ragionevoli affinché i dati che non soddisfano le prescrizioni dettate dalla disposizione suddetta vengano cancellati o rettificati. 73 Quanto alla legittimazione, ai sensi dell’articolo 7 della direttiva 95/46, di un trattamento come quello oggetto del procedimento principale effettuato dal gestore di un motore di ricerca, esso può ricadere sotto il motivo contemplato dal citato articolo 7, alla lettera f). 74 Tale disposizione consente il trattamento di dati personali allorché questo è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata – segnatamente il suo diritto al rispetto della sua vita privata con riguardo al trattamento dei dati personali –, i quali richiedono una tutela ai sensi dell’articolo 1, paragrafo 1, di detta direttiva. L’applicazione del citato articolo 7, lettera f), esige dunque una ponderazione dei contrapposti diritti e interessi in gioco, nell’ambito della quale si deve tener conto dell’importanza dei diritti della persona interessata risultanti dagli articoli 7 e 8 della Carta (v. sentenza ASNEF e FECEMD, EU:C:2011:777, punti 38 e 40). 75 Se dunque la conformità del trattamento di dati agli articoli 6 e 7, lettera f), della direttiva 95/46 può essere verificata nell’ambito di una domanda ai sensi dell’articolo 12, lettera b), di quest’ultima, la persona interessata può inoltre avvalersi, a determinate condizioni, del diritto di opposizione previsto dall’articolo 14, primo comma, lettera a), della medesima direttiva. 76 Ai sensi di tale articolo 14, primo comma, lettera a), gli Stati membri riconoscono alla persona interessata il diritto – almeno nei casi di cui all’articolo 7, lettere e) e f), della citata direttiva – di opporsi in qualsiasi momento, per motivi preminenti e legittimi derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. La ponderazione da effettuarsi nell’ambito di tale articolo 14, primo comma, lettera a), permette così di tener conto in modo più specifico di tutte le circostanze caratterizzanti la situazione concreta della persona interessata. In caso di opposizione giustificata, il trattamento messo in atto dal responsabile di quest’ultimo non può più riguardare tali dati. 77 Le domande ai sensi degli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 possono essere direttamente presentate dalla persona interessata al responsabile del trattamento, il quale deve in tal caso procedere al debito esame della loro fondatezza e, eventualmente, porre fine al trattamento dei dati in questione. Qualora il responsabile del trattamento non dia seguito a tali domande, la persona interessata può adire l’autorità di controllo o l’autorità giudiziaria affinché queste effettuino le verifiche necessarie e ordinino al suddetto responsabile l’adozione di misure precise conseguenti. 78 A questo proposito occorre rilevare che dall’articolo 28, paragrafi 3 e 4, della direttiva 95/46 risulta che qualsiasi persona può presentare a un’autorità di controllo una domanda relativa alla tutela dei suoi diritti e delle sue libertà con riguardo al trattamento di dati personali, e che tale autorità dispone di poteri investigativi e di poteri effettivi di intervento che le consentono di ordinare in particolare il congelamento, la cancellazione o la distruzione di dati, oppure di vietare a titolo provvisorio o definitivo un trattamento. 79 È alla luce di tali considerazioni che occorre interpretare e applicare le disposizioni della direttiva 95/46 disciplinanti i diritti della persona interessata allorché quest’ultima presenta all’autorità di controllo o all’autorità giudiziaria una domanda quale quella oggetto del procedimento a quo. 80 A questo proposito occorre anzitutto rilevare che, come si è constatato ai punti da 36 a 38 della presente sentenza, un trattamento di dati personali, quale quello in esame nel procedimento principale, effettuato dal gestore di un motore di ricerca, può incidere significativamente sui diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, nel caso in cui la ricerca con l’aiuto di tale motore venga effettuata a partire dal nome di una persona fisica, dal momento che detto trattamento consente a qualsiasi utente di Internet di ottenere, mediante l’elenco di risultati, una visione complessiva strutturata delle informazioni relative a questa persona reperibili su Internet, che toccano potenzialmente una moltitudine di aspetti della sua vita privata e che, senza il suddetto motore di ricerca, non avrebbero potuto – o solo difficilmente avrebbero potuto – essere connesse tra loro, e consente dunque di stabilire un profilo più o meno dettagliato di tale persona. Inoltre, l’effetto dell’ingerenza nei suddetti diritti della persona interessata risulta moltiplicato in ragione del ruolo importante che svolgono Internet e i motori di ricerca nella società moderna, i quali conferiscono alle informazioni contenute in un siffatto elenco di risultati carattere ubiquitario (v., in tal senso, sentenza eDate Advertising e a., C509/09 e C161/10, EU:C:2011:685, punto 45). 81 Vista la gravità potenziale di tale ingerenza, è giocoforza constatare che quest’ultima non può essere giustificata dal semplice interesse economico del gestore di un siffatto motore di ricerca in questo trattamento di dati. Tuttavia, poiché la soppressione di link dall’elenco di risultati potrebbe, a seconda dell’informazione in questione, avere ripercussioni sul legittimo interesse degli utenti di Internet potenzialmente interessati ad avere accesso a quest’ultima, occorre ricercare, in situazioni quali quelle oggetto del procedimento principale, un giusto equilibrio segnatamente tra tale interesse e i diritti fondamentali della persona di cui trattasi derivanti dagli articoli 7 e 8 della Carta. Se indubbiamente i diritti della persona interessata tutelati da tali articoli prevalgono, di norma, anche sul citato interesse degli utenti di Internet, tale equilibrio può nondimeno dipendere, in casi particolari, dalla natura dell’informazione di cui trattasi e dal suo carattere sensibile per la vita privata della persona suddetta, nonché dall’interesse del pubblico a disporre di tale informazione, il quale può variare, in particolare, a seconda del ruolo che tale persona riveste nella vita pubblica. 82 L’autorità di controllo o l’autorità giudiziaria, all’esito della valutazione dei presupposti di applicazione degli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46, da effettuarsi allorché ricevono una domanda quale quella oggetto del procedimento principale, possono ordinare al suddetto gestore di sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a tale persona, senza che un’ingiunzione in tal senso presupponga che tale nome e tali informazioni siano, con il pieno consenso dell’editore o su ingiunzione di una delle autorità sopra menzionate, previamente o simultaneamente cancellati dalla pagina web sulla quale sono stati pubblicati. 83 Infatti, come si è constatato ai punti da 35 a 38 della presente sentenza, poiché il trattamento dei dati effettuato nel contesto dell’attività di un motore di ricerca si distingue da e si aggiunge a quello effettuato dagli editori di siti web e incide ulteriormente sui diritti fondamentali della persona interessata, il gestore di tale motore di ricerca quale responsabile del trattamento in questione deve assicurare, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che tale trattamento soddisfi le prescrizioni della direttiva 95/46, affinché le garanzie previste da quest’ultima possano sviluppare pienamente i loro effetti. 84 In proposito occorre rilevare che, tenuto conto della facilità con cui informazioni pubblicate su un sito web possono essere riprodotte su altri siti, nonché del fatto che i responsabili della loro pubblicazione non sempre sono assoggettati alla normativa dell’Unione, non sarebbe possibile realizzare una tutela efficace e completa delle persone interessate nel caso in cui queste dovessero preventivamente o in parallelo ottenere dagli editori di siti web la cancellazione delle informazioni che le riguardano. 85 Inoltre, il trattamento da parte dell’editore di una pagina web, consistente nella pubblicazione di informazioni relative a una persona fisica, può, eventualmente, essere effettuato «esclusivamente a scopi giornalistici» e beneficiare così, a norma dell’articolo 9 della direttiva 95/46, di deroghe alle prescrizioni dettate da quest’ultima, mentre non sembra integrare tale ipotesi il trattamento effettuato dal gestore di un motore di ricerca. Non si può dunque escludere che la persona interessata possa, in determinate circostanze, esercitare i diritti contemplati dagli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 contro il suddetto gestore del motore di ricerca, ma non contro l’editore della pagina web. 86 Infine, occorre constatare che non soltanto il motivo giustificante, a norma dell’articolo 7 della direttiva 95/46, la pubblicazione di un dato personale su un sito web non coincide necessariamente con il motivo che si applica all’attività dei motori di ricerca, ma che, anche quando tale coincidenza sussista, il risultato del bilanciamento degli interessi in gioco da effettuarsi ai sensi degli articoli 7, lettera f), e 14, primo comma, lettera a), di detta direttiva può divergere a seconda che si tratti del trattamento effettuato dal gestore di un motore di ricerca o di quello effettuato dall’editore di detta pagina web, in quanto, da un lato, i legittimi interessi che giustificano questi trattamenti possono essere differenti e, dall’altro, le conseguenze che tali trattamenti hanno per la persona interessata, e segnatamente per la sua vita privata, non sono necessariamente le stesse. 87 Infatti, l’inclusione nell’elenco di risultati – che appare a seguito di una ricerca effettuata a partire dal nome di una persona – di una pagina web e delle informazioni in essa contenute relative a questa persona, poiché facilita notevolmente l’accessibilità di tali informazioni a qualsiasi utente di Internet che effettui una ricerca sulla persona di cui trattasi e può svolgere un ruolo decisivo per la diffusione di dette informazioni, è idonea a costituire un’ingerenza più rilevante nel diritto fondamentale al rispetto della vita privata della persona interessata che non la pubblicazione da parte dell’editore della suddetta pagina web. 88 Alla luce dell’insieme delle considerazioni sopra esposte, occorre rispondere alla seconda questione, lettere c) e d), dichiarando che gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita. Sulla terza questione, concernente la portata dei diritti della persona interessata garantiti dalla direttiva 95/46 89 Con la sua terza questione, il giudice del rinvio chiede, in sostanza, se gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 debbano essere interpretati nel senso che consentono alla persona interessata di esigere dal gestore di un motore di ricerca che questi sopprima dall’elenco di risultati, che appare a seguito di una ricerca effettuata a partire dal nome di questa persona, dei link verso pagine web legittimamente pubblicate da terzi e contenenti informazioni veritiere riguardanti quest’ultima, a motivo del fatto che tali informazioni possono arrecarle pregiudizio o che essa desidera l’«oblio» di queste informazioni dopo un certo tempo. 90 Google Spain, Google Inc., i governi ellenico, austriaco e polacco, nonché la Commissione, ritengono che tale questione esiga una risposta negativa. Google Spain, Google Inc., il governo polacco e la Commissione fanno valere in proposito che gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 conferiscono dei diritti alle persone interessate unicamente a condizione che il trattamento in parola sia incompatibile con la direttiva stessa, oppure in ragione di motivi preminenti e legittimi attinenti alla loro situazione particolare, e non per il semplice fatto che tali persone ritengano che tale trattamento possa arrecare loro pregiudizio o che esse desiderino che i dati costituenti l’oggetto di detto trattamento cadano nell’oblio. I governi ellenico e austriaco reputano che la persona interessata debba rivolgersi all’editore del sito web in questione. 91 Il sig. Costeja González nonché i governi spagnolo e italiano ritengono che la persona interessata possa opporsi all’indicizzazione dei propri dati personali ad opera di un motore di ricerca, qualora la diffusione di tali dati tramite quest’ultimo le arrechi pregiudizio e i diritti fondamentali di questa persona alla protezione dei dati suddetti e al rispetto della vita privata, comprendenti il «diritto all’oblio», prevalgano sui legittimi interessi del gestore del motore di ricerca e sull’interesse generale alla libertà d’informazione. 92 Quanto all’articolo 12, lettera b), della direttiva 95/46, la cui applicazione è subordinata alla condizione che il trattamento di dati personali sia incompatibile con la direttiva stessa, occorre ricordare che, come si è rilevato al punto 72 della presente sentenza, un’incompatibilità siffatta può derivare non soltanto dal fatto che tali dati siano inesatti, ma anche segnatamente dal fatto che essi siano inadeguati, non pertinenti o eccessivi in rapporto alle finalità del trattamento, che non siano aggiornati, oppure che siano conservati per un arco di tempo superiore a quello necessario, a meno che la loro conservazione non si imponga per motivi storici, statistici o scientifici. 93 Da tali prescrizioni, dettate dall’articolo 6, paragrafo 1, lettere da c) a e), della direttiva 95/46, discende che anche un trattamento inizialmente lecito di dati esatti può divenire, con il tempo, incompatibile con la direttiva suddetta qualora tali dati non siano più necessari in rapporto alle finalità per le quali sono stati raccolti o trattati. Tale situazione si configura in particolare nel caso in cui i dati risultino inadeguati, non siano o non siano più pertinenti, ovvero siano eccessivi in rapporto alle finalità suddette e al tempo trascorso. 94 Pertanto, nell’ipotesi in cui si constati, in seguito a una domanda della persona interessata ai sensi dell’articolo 12, lettera b), della direttiva 95/46, che l’inclusione nell’elenco di risultati – che appare a seguito di una ricerca effettuata a partire dal suo nome – dei link verso pagine web, legittimamente pubblicate da terzi e contenenti informazioni veritiere relative alla sua persona, è, allo stato attuale, incompatibile con il citato articolo 6, paragrafo 1, lettere da c) a e), a motivo del fatto che tali informazioni appaiono, alla luce dell’insieme delle circostanze caratterizzanti il caso di specie, inadeguate, non pertinenti o non più pertinenti, ovvero eccessive in rapporto alle finalità del trattamento in questione realizzato dal gestore del motore di ricerca, le informazioni e i link in parola di cui al suddetto elenco di risultati devono essere cancellati. 95 Per quanto riguarda le domande ai sensi del suddetto articolo 12, lettera b), fondate sul presunto mancato rispetto delle condizioni previste dall’articolo 7, lettera f), della direttiva 95/46, nonché le domande a norma dell’articolo 14, primo comma, lettera a), della medesima direttiva, occorre rilevare che ciascun trattamento di dati personali deve essere legittimato in virtù di tale articolo 7 per tutto il tempo in cui viene effettuato. 96 Alla luce di quanto precede, nel valutare domande di questo tipo proposte contro un trattamento di dati quale quello in esame nel procedimento principale, occorre verificare in particolare se l’interessato abbia diritto a che l’informazione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome. In proposito occorre sottolineare che la constatazione di un diritto siffatto non presuppone che l’inclusione dell’informazione in questione nell’elenco di risultati arrechi un pregiudizio all’interessato. 97 Dato che l’interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli articoli 7 e 8 della Carta, chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico mediante la sua inclusione in un siffatto elenco di risultati, occorre considerare – come risulta in particolare dal punto 81 della presente sentenza – che i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico a trovare l’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, mediante l’inclusione summenzionata, all’informazione di cui trattasi. 98 Relativamente ad una situazione come quella in esame nel procedimento principale, che riguarda la visualizzazione – nell’elenco di risultati che l’utente di Internet ottiene effettuando una ricerca a partire dal nome della persona interessata con l’aiuto di Google Search – di link verso pagine degli archivi online di un quotidiano, contenenti annunci che menzionano il nome di tale persona e si riferiscono ad un’asta immobiliare legata ad un pignoramento effettuato per la riscossione coattiva di crediti previdenziali, occorre affermare che, tenuto conto del carattere sensibile delle informazioni contenute in tali annunci per la vita privata di detta persona, nonché del fatto che la loro pubblicazione iniziale era stata effettuata 16 anni prima, la persona interessata vanta un diritto a che tali informazioni non siano più collegate al suo nome attraverso un elenco siffatto. Pertanto, dal momento che nella fattispecie non sembrano sussistere ragioni particolari giustificanti un interesse preponderante del pubblico ad avere accesso, nel contesto di una ricerca siffatta, a dette informazioni – aspetto questo che spetta però al giudice del rinvio verificare –, la persona interessata può esigere, a norma degli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46, la soppressione dei link suddetti da tale elenco di risultati. 99 Dalle suesposte considerazioni discende che occorre rispondere alla terza questione dichiarando che gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, nel valutare i presupposti di applicazione di tali disposizioni, si deve verificare in particolare se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato. Dato che l’interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli articoli 7 e 8 della Carta, chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell’inclusione summenzionata, all’informazione di cui trattasi. Sulle spese 100 Nei confronti delle parti nella causa principale il presente procedimento costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte (Grande Sezione) dichiara: 1) L’articolo 2, lettere b) e d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che, da un lato, l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali», ai sensi del citato articolo 2, lettera b), qualora tali informazioni contengano dati personali, e che, dall’altro lato, il gestore di detto motore di ricerca deve essere considerato come il «responsabile» del trattamento summenzionato, ai sensi dell’articolo 2, lettera d), di cui sopra. 2) L’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 deve essere interpretato nel senso che un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della disposizione suddetta, qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro. 3) Gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita. 4) Gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, nel valutare i presupposti di applicazione di tali disposizioni, si deve verificare in particolare se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato. Dato che l’interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli articoli 7 e 8 della Carta, chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell’inclusione summenzionata, all’informazione di cui trattasi. Firme 20 marzo 2015