Corte di giustizia dell’Unione europea – COMUNICATO STAMPA n. 112/19
Lussemburgo, 24 settembre 2019
Sentenza nella causa C-507/17
Google LLC, succeduta alla Google Inc. / Commission nationale de l’informatique et des libertés (CNIL)
Il gestore di un motore di ricerca non è tenuto a effettuare la deindicizzazione in tutte le versioni del suo motore di ricerca
È tuttavia tenuto ad effettuarla nelle versioni di tale motore di ricerca corrispondenti a tutti gli Stati membri e ad attuare misure che scoraggino gli utenti di Internet dall’avere accesso, a partire da uno degli Stati membri, ai link di cui trattasi contenuti nelle versioni extra UE di detto motore
Con decisione del 10 marzo 2016 la presidente della Commission nationale de l’informatique et des libertés (Commissione nazionale per l’informatica e le libertà; in prosieguo: la «CNIL», Francia) ha irrogato una sanzione di EUR 100 000 alla Google Inc. in conseguenza del suo rifiuto, quando accoglie una domanda di deindicizzazione, di applicare la deindicizzazione a tutte le estensioni del nome di dominio del suo motore di ricerca.
La Google Inc., alla quale la CNIL aveva intimato, il 21 maggio 2015, di applicare la deindicizzazione a tutte le estensioni, aveva rifiutato di ottemperare e si era limitata a sopprimere i link di cui trattasi dai soli risultati visualizzati in esito a ricerche effettuate sulle declinazioni del suo motore di ricerca il cui nome di dominio corrisponde a uno Stato membro. La Google Inc. ha chiesto al Conseil d’État (Consiglio di Stato, Francia) di annullare la decisione del 10 marzo 2016. Essa ritiene infatti che il diritto alla deindicizzazione non comporti necessariamente che i link controversi debbano essere soppressi, senza limitazioni geografiche, in tutti i nomi di dominio del suo motore di ricerca.
Il Conseil d’État ha sottoposto alla Corte varie questioni pregiudiziali al fine di stabilire se le norme del diritto dell’Unione relative alla protezione dei dati personali debbano essere interpretate nel senso che, quando il gestore di un motore di ricerca accoglie una domanda di deindicizzazione, è tenuto ad effettuare quest’ultima su tutte le versioni del suo motore di ricerca o se, al contrario, sia tenuto ad effettuarla solo sulle versioni del suddetto motore corrispondenti a tutti gli Stati membri, oppure solo su quella corrispondente allo Stato membro di residenza del beneficiario della deindicizzazione.
Nella sua odierna sentenza, la Corte ricorda, anzitutto, di aver già dichiarato che il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine Internet pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine Internet di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine sia di per sé lecita.
La Corte rileva poi che lo stabilimento di cui la Google Inc. dispone in territorio francese svolge attività, in particolare attività commerciali e pubblicitarie, che sono inscindibilmente connesse al trattamento di dati personali effettuato per le esigenze del funzionamento del motore di ricerca in questione e, dall’altro, che il suddetto motore di ricerca deve essere considerato – tenuto conto, in particolare, dell’esistenza di applicazioni-ponte (gateway) tra le sue diverse versioni nazionali – un soggetto che procede a un unico trattamento di dati personali nel contesto delle attività dello stabilimento francese della Google Inc. Tale situazione rientra quindi nell’ambito di applicazione della normativa dell’Unione in materia di protezione dei dati personali.
La Corte sottolinea che, in un mondo globalizzato, l’accesso da parte degli utenti di Internet, in particolare quelli localizzati al di fuori dell’Unione, all’indicizzazione di un link, che rinvia a informazioni concernenti una persona il cui centro di interessi si trova nell’Unione, può produrre effetti immediati e sostanziali sulla persona in questione all’interno dell’Unione stessa, ragion per cui una deindicizzazione mondiale sarebbe idonea a conseguire pienamente l’obiettivo di protezione perseguito dal diritto dell’Unione. Essa precisa tuttavia che molti Stati terzi non riconoscono il diritto alla deindicizzazione o comunque adottano un approccio diverso per tale diritto. La Corte aggiunge che il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Inoltre, l’equilibrio tra il diritto al rispetto della vita privata e alla protezione dei dati personali, da un lato, e la libertà di informazione degli utenti di Internet, dall’altro, può variare notevolmente nel mondo.
Orbene, dalla normativa non emerge che il legislatore dell’Unione abbia proceduto a tale bilanciamento per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione, né che abbia scelto di attribuire ai diritti dei singoli una portata che vada oltre il territorio degli Stati membri. Non risulta neppure che esso abbia inteso imporre a un operatore, come Google, un obbligo di deindicizzazione riguardante anche le versioni nazionali del suo motore di ricerca che non corrispondono agli Stati membri. Il diritto dell’Unione non prevede, per giunta, strumenti e meccanismi di cooperazione per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione.
La Corte conclude quindi che, allo stato attuale, non sussiste, per il gestore di un motore di ricerca che accoglie una richiesta di deindicizzazione presentata dall’interessato, eventualmente a seguito di un’ingiunzione di un’autorità di controllo o di un’autorità giudiziaria di uno Stato membro, un obbligo, derivante dal diritto dell’Unione, di effettuare tale deindicizzazione su tutte le versioni del suo motore.
Il diritto dell’Unione obbliga tuttavia il gestore di un motore di ricerca a effettuare tale deindicizzazione nelle versioni del suo motore di ricerca corrispondenti a tutti gli Stati membri e ad adottare misure sufficientemente efficaci per garantire una tutela effettiva dei diritti fondamentali della persona interessata. In tal senso, una simile deindicizzazione deve, se necessario, accompagnarsi a misure che permettano effettivamente di impedire – o quantomeno di scoraggiarli seriamente dal farlo – agli utenti di Internet che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri di accedere, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca mediante una versione «extra UE» del suddetto motore, ai link oggetto della domanda di deindicizzazione. Il giudice nazionale dovrà verificare che le misure attuate dalla Google Inc. soddisfino tali esigenze.
Infine, la Corte osserva che il diritto dell’Unione, pur non imponendo, allo stato attuale, che la deindicizzazione verta su tutte le versioni del motore di ricerca, neppure lo vieta. Pertanto, le autorità degli Stati membri restano competenti ad effettuare, conformemente agli standard nazionali di protezione dei diritti fondamentali, un bilanciamento tra, da un lato, il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e, dall’altro, il diritto alla libertà d’informazione e, al termine di tale bilanciamento, a richiedere, se del caso, che il gestore di tale motore di ricerca effettui una deindicizzazione su tutte le versioni di suddetto motore.
71 Spetta al giudice del rinvio verificare se, alla luce anche delle recenti modifiche apportate al suo motore di ricerca, menzionate al punto 42 della presente sentenza, le misure adottate o proposte da Google soddisfino tali esigenze.
72 Occorre infine sottolineare che il diritto dell’Unione, pur se – come rilevato al punto 64 della presente sentenza – non impone, allo stato attuale, che la deindicizzazione accolta verta su tutte le versioni del motore di ricerca in questione, neppure lo vieta. Pertanto, un’autorità di controllo o un’autorità giudiziaria di uno Stato membro resta competente ad effettuare, conformemente agli standard nazionali di protezione dei diritti fondamentali (v., in tal senso, sentenze del 26 febbraio 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punto 29, e del 26 febbraio 2013, Melloni, C‑399/11, EU:C:2013:107, punto 60), un bilanciamento tra, da un lato, il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e, dall’altro, il diritto alla libertà d’informazione e, al termine di tale bilanciamento, richiedere, se del caso, al gestore di tale motore di ricerca di effettuare una deindicizzazione su tutte le versioni di suddetto motore
Silvia Martinelli 