In data 24 settembre 2019, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C–507/17, Google LLC contro Commission nationale de l’informatique et des libertés (CNIL), sull’interpretazione della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati1. La domanda era stata presentata nell’ambito di una controversia tra la società Google LLC ("Google”) e la Commission nationale de l’informatique et des libertés (Commissione nazionaleper l’informatica e le libertà; “CNIL”) francese, relativamente a una sanzione da quest’ultima irrogata a Google sulla base del rifiuto opposto ad una domanda di deindicizzazione su tutte le estensioni del nome di dominio del suo motore di ricerca.

Più particolarmente, in data 10 marzo 2016 la CNIL aveva sanzionato Google per non aver dato seguito ad una diffida del 21 maggio 2015 con cui le si intimava di procedere alla cancellazione di taluni link dall’elenco di risultati visualizzati in esito ad una ricerca effettuata a partire dal nome del soggetto che aveva presentato ricorso alla CNIL2. Google, infatti, si era limitata a sopprimere i link dai soli risultati visualizzati in esito a ricerche effettuate sulle declinazioni del suo motore il cui nome di dominio corrispondeva ad uno Stato membro.

Contro tale decisione, Google aveva proposto ricorso dinanzi al Conseil d’État (Consiglio di Stato, Francia; “giudice del rinvio”) chiedendone l’annullamento. In particolare, Google aveva sostenuto che la sanzione controversa si basava su una interpretazione erronea delle disposizioni della Legge del 6 gennaio 1978 che recepivano l’articolo 12, lettera b)3, e l’articolo 14, primo comma, lettera a) della Direttiva 95/464. Sulla base di tali norme, nel caso Google Spain la Corte di Giustizia aveva si, riconosciuto un diritto alla deindicizzazione5, che secondo Google non comportava però necessariamente la soppressione di tutti i link, senza limitazioni geografiche, in tutti i nomi di dominio raccolti dal proprio motore di ricerca. Il giudice del rinvio, dopo aver esaminato il trattamento dei dati personali compiuto dal motore di ricerca gestito da Google6 ed aver constatato delle difficoltà interpretative relativamente alla Direttiva 95/46, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali7.

Prima di rispondere alle questioni, la Corte ha ricordato come sebbene alla data di presentazione della domanda di pronuncia pregiudiziale vigesse la Direttiva 95/46, essa è stata abrogata con effetto dal 25 maggio 2018, data a partire dalla quale è divenuto applicabile il Regolamento 2016/679 (“GDPR”)8. Inoltre, la Corte ha rilevato come successivamente al rinvio pregiudiziale Google avesse introdotto una nuova presentazione delle versioni nazionali del suo motore di ricerca, nell’ambito della quale il nome di dominio introdotto dall’utente non determinava più la versione nazionale del motore di ricerca a cui questi aveva accesso. In tal modo, l’utente veniva automaticamente diretto verso la versione nazionale del motore di ricerca Google che corrispondeva al luogo a partire dal quale si presumeva questi stesse effettuando la ricerca, ed i relativi risultati venivano visualizzati in funzione di tale luogo, determinato da Google grazie ad un processo di geolocalizzazione.

Ritenuta la necessità di esaminare le questioni pregiudiziali alla luce di entrambe le normative, la Corte di Giustizia ha inteso le tre questioni come volte a stabilire se, in sostanza, l’articolo 12, lettera b), e l’articolo 14, primo comma, lettera a), della Direttiva 95/46 e l’articolo 17, paragrafo 1, del GDPR debbano essere interpretati nel senso che, quando il gestore di un motore di ricerca accoglie una domanda di deindicizzazione, egli sia tenuto a darvi esecuzione su tutte le versioni del motore o se, al contrario, sia tenuto a procedervi solo sulle versioni corrispondenti a tutti gli Stati membri, oppure ancora solo su quella corrispondente allo Stato membro in cui è stata presentata la domanda di deindicizzazione, se del caso, in combinazione con l’uso della cosiddetta tecnica del «blocco geografico»9 per garantire che, nell’ambito di una ricerca effettuata a partire da un indirizzo IP localizzato in uno Stato membro, un utente non possa accedere ai link deindicizzati, indipendentemente dalla versione nazionale del motore utilizzata.

Nel rispondere, la Corte ha preliminarmente rilevato come, al fine di rispettare i diritti garantiti dagli articoli 12, lettera b), e 14, primo comma, lettera a), della Direttiva 95/46, il gestore di un motore di ricerca sia obbligato a sopprimere dall’elenco dei risultati che appaiono a seguito di una ricerca effettuata a partire dal nome di una persona, i link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche qualora esse non vengano previamente o simultaneamente cancellate dalle pagine web di cui trattasi oppure quando la loro pubblicazione su tali pagine sia di per sé lecita10. Inoltre, è necessario verificare se l’interessato abbia diritto a che l’informazione in questione non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza tuttavia che tale diritto presupponga che l’inclusione dell’informazione in questione in tale elenco gli arrechi un pregiudizio. Poiché l’interessato, sulla scorta dei suoi diritti fondamentali al rispetto della vita privata e della vita familiare11 ed alla protezione dei dati di carattere personale12, potrebbe chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, tali diritti prevarranno non soltanto sull’interesse economico del gestore del motore, ma anche su quello all’informazione del grande pubblico, salvo che l’ingerenza nei suoi diritti fondamentali non sia giustificata da un interesse preponderante del pubblico ad avere accesso all’informazione di cui trattasi13.

Tanto la Direttiva 95/4614 quanto il GDPR15 consentono agli interessati di far valere il loro diritto alla deindicizzazione, disciplinato dall’articolo 17 dello stesso GDPR e comunemente denominato “diritto all’oblio”16, nei confronti del gestore di un motore di ricerca che possiede uno o più stabilimenti nel territorio dell’Unione, nell’ambito delle cui attività effettua un trattamento di dati personali che riguardano tali interessati. Ciò si applica indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. In particolare, un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile nel territorio di uno Stato membro qualora il gestore di un motore di ricerca vi apra una succursale o una controllata destinata alla promozione e alla vendita degli spazi pubblicitari proposti dal motore nei confronti dei residenti di detto Stato membro17. In questo modo, infatti, le attività del gestore del motore e quelle del suo stabilimento nell’Unione sono inscindibilmente connesse18. Il caso concreto, dunque, rientrava nell’ambito di applicazione territoriale della Direttiva 95/46 e del GDPR, proprio in quanto lo stabilimento francese di Google svolge attività inscindibilmente connesse al trattamento di dati personali effettuato per le esigenze del funzionamento del motore, il quale deve essere considerato pertanto un soggetto che procede ad un unico trattamento di dati personali.

Secondo la Corte, una deindicizzazione effettuata su tutte le versioni di un motore di ricerca è idonea a soddisfare l’obiettivo della Direttiva 95/46 e del GDPR di garantire un elevato livello di protezione dei dati personali in tutta l’Unione19. Tuttavia, molti Stati terzi non riconoscono il diritto alla deindicizzazione, o comunque adottano al riguardo un approccio diverso. Inoltre, il diritto alla protezione dei dati personali non è assoluto, ma va considerato alla luce della sua funzione sociale, e va contemperato con altri diritti fondamentali20 quale quello al rispetto della vita privata, e bilanciato con la libertà di informazione degli utenti di Internet, in una misura che può variare notevolmente da Stato a Stato. Pertanto, sebbene il legislatore europeo abbia effettuato tale bilanciamento per quanto riguarda l’Unione tramite l’articolo 17, paragrafo 3, lettera a) del GDPR, egli non ha fatto (né poteva fare) altrettanto per quanto riguarda la deindicizzazione al di fuori dell’Unione.

In particolare, il legislatore europeo non ha attribuito ai diritti di cui all’articolo 12, lettera b), e all’articolo 14, primo comma, lettera a), della Direttiva 95/46 o di cui all’articolo 17 del GDPR una portata extraterritoriale. Del pari, egli non ha imposto ad un operatore che, come Google, rientra nell’ambito di applicazione delle suddette normative europee, un obbligo di deindicizzazione riguardante anche le versioni nazionali del suo motore di ricerca che non corrispondono agli Stati membri. Di conseguenza, secondo la Corte, non sussiste per il gestore di un motore che accoglie una richiesta di deindicizzazione presentata dall’interessato, un obbligo, derivante dal diritto dell’Unione, di effettuare tale deindicizzazione su tutte le versioni del suo motore.

Poiché le norme sulla protezione dei dati personali sono state disciplinate dal legislatore europeo mediante un regolamento, direttamente applicabile in tutti gli Stati membri, al fine di assicurare un livello coerente di protezione in tutta l’Unione e di rimuovere gli ostacoli alla circolazione dei dati all’interno della stessa21, secondo la Corte una deindicizzazione del genere va effettuata nelle versioni del motore corrispondenti agli Stati membri.

Tuttavia, l’interesse del pubblico ad accedere alle informazioni può, anche all’interno dell’Unione, variare da uno Stato membro all’altro, e dunque il risultato del bilanciamento tra tale interesse e i diritti alla tutela della vita privata e alla protezione dei dati personali dell’interessato non è necessariamente identico per tutti gli Stati. Sebbene le autorità di controllo nazionali dispongano degli strumenti e dei meccanismi necessari per bilanciare i diritti alla tutela della vita privata e alla protezione dei dati personali dell’interessato con l’interesse del pubblico degli Stati membri all’accesso all’informazione22, secondo la Corte è comunque compito del gestore del motore adottare misure sufficientemente efficaci per garantire una tutela effettiva dei diritti fondamentali della persona interessata. Tali misure, in particolare, devono soddisfare tutte le esigenze giuridiche prescritte ed avere l’effetto di impedire agli utenti di Internet negli Stati membri di avere accesso ai link in questione a partire da una ricerca effettuata sulla base del nome della persona o, perlomeno, di scoraggiare seriamente tali utenti23. Pertanto, nel caso concreto spetterà al giudice del rinvio verificare se, alla luce anche delle recenti modifiche apportate al suo motore di ricerca, le misure adottate o proposte da Google soddisfino tali esigenze.

In virtù di quanto precede, la Corte ha statuito che:

“L’articolo 12, lettera b), e l’articolo 14, primo comma, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 17, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione in applicazione delle suddette disposizioni, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti”.