Lesione del diritto all’oblio da parte dei gestori di motori di ricerca su internet

Sussiste la giurisdizione dell'Autorità garante per la protezione dei dati personali nei confronti di una società italiana, quale stabilimento della società di diritto irlandese facente parte del medesimo gruppo che gestisce servizi di ricerca su internet in Europa, in relazione alla richiesta della rimozione dei risultati da parte di un soggetto residente in Italia. Difatti, nel caso in cui il ricorrente lamenti la lesione del proprio diritto all'oblio, il danno può legittimamente ritenersi prodotto solo nel paese di origine del soggetto che si assume leso in base alle disposizioni del Reg. 2012/1215/UE. Allo stesso modo, in vista dell'obiettivo della tutela efficace e completa del diritto alla vita privata, perseguito da Dir. 95/46/CE, l'espressione «nel contesto delle attività di uno stabilimento» di cui all'art. 4 della medesima direttiva, in tema di legge applicabile, non può ricevere un'interpretazione restrittiva, cosicché il trattamento dei dati personali per cui è causa deve assumersi effettuato appunto nel contesto dell'attività commerciale e pubblicitaria svolta dalla società italiana, quale stabilimento nel territorio italiano della società irlandese, titolare dei servizi di ricerca via internet.

Con la sentenza in commento il Tribunale di Milano si è pronunciato in relazione ad un ricorso presentato da Yahoo! Italia S.r.l. e Yahoo! EMEA Ltd., società di diritto irlandese, per l'annullamento del provvedimento n. 83/2016 del 25 febbraio 2016 dell'Autorità garante per il trattamento dei dati personali, emesso su ricorso di un soggetto residente in Italia a tutela del proprio diritto all'oblio e per la rimozione dei risultati di ricerche su internet, effettuate per il tramite del “motore di ricerca” Yahoo!, di diversi URL che ricollegavano il ricorrente a risalenti vicende societarie e finanziarie, in cui quest'ultimo si era trovato coinvolto, non più riferibili al diritto di cronaca. Le società del gruppo Yahoo! hanno contestato inter alia la ricostruzione dell'Autorità garante della privacy, secondo cui Yahoo! Italia fosse uno stabilimento della Yahoo! EMEA Ltd. ai sensi dell'art. 4 Dir. 95/46/CE: rilievo che aveva consentito al Garante della privacy di affermare l'applicabilità della legge italiana e, in conseguenza, la propria potestà al fine di adottare le opportune misure in relazione al suddetto servizio internet.

Al contrario, secondo la ricostruzione delle società del gruppo Yahoo!, la titolare dei servizi internet era Yahoo! EMEA Ltd. anche per gli utenti italiani e, pertanto, era tale società irlandese a dover essere considerata responsabile per il trattamento dei dati personali secondo la legge irlandese e la disciplina europea in materia. Mentre a Yahoo! Italia S.r.l. erano affidate le sole attività inerenti alla promozione commerciale, rimanendo estranea alla gestione dei servizi internet e al trattamento dei dati personali.

Come deve essere interpretata l'espressione «nel contesto delle attività di uno stabilimento» di cui all'art. 4 Dir. 95/46/CE ai fini dell'individuazione della legge applicabile in materia di trattamento dei dati personali? In particolare, nel caso di gruppi di società costituite in diversi paesi europei ed operanti nel settore dei servizi di ricerca su internet, il trattamento dei dati personali deve ritenersi effettuato nel contesto dell'attività commerciale e pubblicitaria svolta dalla società italiana, quale stabilimento della società di altro paese membro della UE, titolare del suddetto servizio internet?

Il Tribunale milanese ha confermato l'impugnato provvedimento del Garante per la privacy, dopo aver ampliato e approfondito le considerazioni svoltesulla legge applicabile e la “giurisdizione” di tale Autorità. Quest'ultima, come accennato, aveva già affermato l'applicabilità dell'art. 4 Dir. 95/46/CE in relazione al caso in discorso. In proposito era stato rilevato come Yahoo! Italia S.r.l. dovesse essere ritenuta un'organizzazione stabile, dedita alla fornitura di servizi per la creazione e la diffusione di comunicazioni commerciali, di pubblicità di materiale editoriale in formato digitale, nonché di promozioni commerciali via internet, e che anche ove il trattamento dei dati non fosse stato effettuato nell'ambito dell'erogazione di tali servizi, lo stesso dovesse essere riferito alla società italiana in quanto svolto «nel contesto» delle suddette attività ed in quanto le attività di quest'ultima fossero «inestricabilmente connesse» a quelle di Yahoo! EMEA Ltd.

Il Giudice ha dapprima ripercorso la giurisprudenza comunitaria in materia di giurisdizione sulle controversie relative in tema d'illecito ora riferibile al disposto dell'art. 7, n. 2, Reg. 2012/1215/UE (Bruxelles I-bis). Successivamente, dopo un rapido cenno all'evoluzione dell'interpretazione della locuzione «luogo in cui l'evento dannoso è avvenuto» a partire dalla sentenza Kalfelis (C.G.UE. 27 settembre 1998, C-189/87), ha ricordato che la Corte di Giustizia con la sentenza eDate Advertising Gmbh (25 ottobre 2011, C-509/09) ha più recentemente chiarito come, in materia d'illeciti civili correlati a violazioni dei diritti della personalità e perpetrati tramite internet (in ispecie, in caso di diffamazione on line), risulti decisivo il centro attorno a cui gravitano gli interessi del soggetto leso, individuato nella sua residenza abituale o di esercizio dell'attività professionale. Pertanto, lo stesso Giudice ha osservato come «nel caso in esame … l'evento illecito possa ritenersi dannoso nel momento in cui provochi la lesione concreta del bene protetto, in relazione al soggetto che per tale lesione chieda tutela. Nella specie, la detta lesione può ritenersi consumata nel luogo e nel momento in cui il soggetto leso … abbia preso consapevolezza della reperibilità, attraverso una ricerca effettuata con il mero inserimento del suo nome e cognome sul motore di ricerca Yahoo! Search, dei numerosi articoli di stampa relativi alla vicenda … È solo nel paese d'origine del soggetto che lamenti la lesione oggi allegata dal ricorrente (salva la prova contraria, il cui onere grava, inevitabilmente, sulla controparte) che l'evento dannoso, inteso, quoad iurisdictionis, nel senso poc'anzi specificato, può legittimamente ritenersi prodotto, perché è proprio nel paese d'origine del soggetto destinatario delle notizie di cui si chiede la cancellazione che risulta presuntivamente ipotizzabile, dalla lettura da parte di terzi, un collegamento tra il soggetto leso e la notizia contenente dati illecitamente trattati, reperibile negli URL e nelle copie cache ancora presenti in rete».

Si è poi rammentato come, ai sensi dell'art. 13 CEDU e dell'art. 47 della Carta di Nizza, ogni persona abbia diritto al “ricorso effettivo”: diritto che può riferirsi anche all'attuazione delle norme di legge da parte del Garante della privacy, risultando evidente che escludere la tutela avanti la suddetta Autorità italiana comprometterebbe la concreta attuazione del diritto all'oblio che il ricorrente assumeva leso.

Il riferimento alle sentenze Google Spain (C.G.UE, 13 maggio 2014, C-131/12) e Weltimmo (C.G.UE, 1 ottobre 2015, C-230/14) e la questione interpretativa riguardante le disposizioni di cui all'art. 4 Dir. 95/46/CE s'inquadrano perciò in questo più ampio quadro evolutivo. In proposito, inoltre, dopo avere ricordato i principi di territorialità sottesi all'individuazione della legge applicabile in base alla disciplina europea, si evidenzia come la sentenza Wiltimmo abbia ribadito la «concezione flessibile» di «stabilimento» ai sensi del cit. art. 4 Dir. 95/46/CE. E ciò supporta, a sua volta, il richiamo alle peculiarità dei servizi internet, per individuare il soggetto al quale spetta il controllo sul trattamento dei dati personali. A suggello di quanto sin qui osservato, infine, si osserva come secondo la decisione Google Spain »un trattamento di dati personali viene effettuato nel contesto delle attività di uno Stato membro … qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l'attività alla quale si dirige agli abitanti di detto Stato membro» e come tali attività debbano considerarsi «inscindibilmente connesse», di modo che lo svolgimento dell'attività di promozione, svolta da uno stabilimento che si trova in uno Stato membro, non possa ritenersi scollegata dall'erogazione dei servizi di ricerca internet, che dà luogo al trattamento dei dati nel territorio dello stesso Stato.

Il dictum del Tribunale di Milano si segnala soprattutto per l'approccio sistematico con cui vengono ripercorse le questioni, già scolpite nei loro tratti essenziali dall'impugnato provvedimento del Garante della privacy, il quale, a sua volta, si era sostanzialmente allineato ai precedenti europei Google Spain e Wiltimmo. Il Giudice avrebbe potuto (ma non si è limitato a) recepire le indicazioni relative all'interpretazione dell'art. 4 Dir. 95/46/CE, risultanti dalle suddette sentenze della Corte di Giustizia, relativamente ai concetti di “stabilimento” e “inscindibile connessione” tra i servizi resi dai principali fornitori di servizi internet nei vari paesi europei. Giacché risulta essenziale il fatto che tali fornitori, oltre all'attività di “motore di ricerca”, svolgono con maggiore capillarità quella di promozione commerciale, attraverso proprie società dislocate in vari Stati membri dell'UE. Al contrario, si è colta l'occasione per sottolineare la convergenza che ha interessato l'evoluzione interpretativa delle disposizioni europee in tema di giurisdizione riguardo agli illeciti civili occasionati dalle attività poste in essere via internet e quella che riguarda, più specificamente, l'individuazione della legge applicabile in tema di trattamenti dei dati personali. Tale impostazione appare assai opportuna, anche al di là delle specificità della legge italiana, là dove si riconosce all'Autorità garante una funzione giustiziale in materia di privacy. Per il fatto che le pur diverse discipline europee relative alla giurisdizione sugli illeciti civili perpetrati su internet e alla legge applicabile in materia di trattamento dei dati personali presentano analoghe criticità, a fronte del tipico carattere cross border dei servizi offerti su tale piattaforma informatica. Difatti, tanto la disciplina della giurisdizione europea in materia di illeciti civili, quanto la disciplina della legge applicabile ai sensi dell'art. 4 Dir. 95/46 sono informati al principio di territorialità: il primo attraverso il riferimento al locus commissi delicti, il secondo in relazione alla previsione dell'art. 4, comma 1, lett. a), Dir. 95/46, là dove si fa riferimento al «contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro».

Il Giudice milanese dimostra che, anche partendo da diversi fondamenti normativi, si arriva in definitiva allo stesso risultato concreto. Il tratto unificante – che consente di elevare a sistema tale convergente approdo – è dato dal richiamo ai principi europei di cui agli artt. 13 CEDU e 47 della Carta di Nizza,in materia effettività dei rimedi di tutela. E a tali richiami si può aggiungere quello di cui all'art. 6 CEDU. Del resto, la necessità di dare piena attuazione a tali precetti fondamentali non può essere messa in discussione, che si tratti di tutela giurisdizionale o giustiziale, pena il completo svuotamento dei presidi stabiliti dall'ordinamento europeo. Pertanto, il principio di territorialità e quello di effettività dei rimedi si coniugano nel garantire la maggiore prossimità possibile dell'autorità a cui spetta rendere tutela al soggetto leso, ora attraverso il riferimento al centro d'interessi del titolare del diritto, ora con l'identificazione del responsabile del trattamento dei dati più vicino al soggetto leso: nel caso di specie sulla base della concreta connessione tra i servizi offerti attraverso internet. Ed è proprio tale premessa che rende ancor più convincente l'interpretazione della Corte di Giustizia a proposito della disciplina applicabile in materia di privacy. La combinazione del principio di territorialità a quello di effettività della tutela presuppone e valorizza l'essenziale ruolo di presidio, assegnato agli organi degli Stati membri a cui appartengono i soggetti lesi, a garanzia cioè dei diritti individuali, quand'anche nelle forme di tutela collettiva.

Del resto, dando uno sguardo alla più recente evoluzione della disciplina europea in materia di trattamento dei dati personali, la convergenza a cui si è fatto cenno è resa ancor più palese. All'art. 4, n. 23, lett. b), Reg. 2016/679/UE del 27 aprile 2016 è prevista la seguente definizione di trattamento transfrontaliero: «trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro». Tale disposizione è facilmente riferibile alle società operanti nell'ambito dei servizi di ricerca tramite internet ed è pensata nell'ottica di centralizzare e coordinare l'azione delle autorità di controllo ora disciplinate dallo stesso regolamento in relazione proprio ad attività cross border (art. 56, comma 2, Reg. n. 2016/679). Nondimeno, in materia giustiziale il sistema viene rovesciato, evidentemente in funzione del criterio di prossimità, a cui abbiamo fatto cenno: «In deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro» (art. 56, comma 2, Reg. n. 2016/679). Un'ipotesi paradigmatica di eccezione che conferma la regola, nel caso di specie attinente alla garanzia del ricorso effettivo.