CAUSA C-131 12 Google Spain

CAUSA C‐131/12 – Google Spain Le questioni oggetto di rinvio pregiudiziale da parte della Audiencia Nacional (chiamata a giudicare in appello la sentenza del Tribunale di prima istanza) erano le seguenti: A) Per quanto concerne l'ambito territoriale di applicazione della direttiva 95/46/CE e, di conseguenza, della normativa spagnola sulla protezione dei dati: 1.1. Se debba ritenersi che esiste uno "stabilimento" ai sensi dell'articolo 4, paragrafo 1, lettera a), della direttiva 95/46/CE, qualora ricorrano una o più delle seguenti circostanze: ‐ l'impresa che gestisce il motore di ricerca apre in uno Stato membro una succursale o una filiale, con l'incarico di promuovere e di vendere gli spazi pubblicitari del motore di ricerca, la quale diriga la propria attività agli abitanti di tale Stato; ‐ la società madre designa una filiale stabilita in tale Stato membro come suo rappresentante e responsabile del trattamento di due files specifici contenenti i dati dei clienti che hanno contrattato con tale società per la fornitura di servizi pubblicitari; ‐ la succursale o la filiale stabilita in uno Stato membro trasmette alla società madre avente sede al di fuori dell'Unione europea i reclami e le ingiunzioni che le sono inoltrati tanto dalle persone interessate quanto dalle autorità competenti perché sia rispettato il diritto alla protezione dei dati, anche quando tale collaborazione abbia carattere volontario. 1.2. Se l'articolo 4, paragrafo 1, lettera c), della direttiva 95/46/CE debba essere interpretato nel senso che si configura un ricorso "a strumenti situati nel territorio di detto Stato membro" qualora un motore di ricerca: utilizzi uno spider o un robot per localizzare e indicizzare le informazioni contenute nelle pagine web alloggiate sui server di tale Stato membro o utilizzi un nome di dominio di uno Stato membro e indirizzi le ricerche e i risultati in funzione della lingua di tale Stato membro. 1.3. Se possa considerarsi un ricorso a strumenti ai sensi dell'articolo 4, paragrafo 1, lettera c), della direttiva 95/46/CE la memorizzazione temporanea delle informazioni indicizzate dai motori di ricerca in Internet. In caso di risposta affermativa a quest'ultima questione, se si possa ritenere soddisfatto tale criterio di collegamento quando la società rifiuta di rivelare il luogo in cui archivia i detti indici per ragioni di concorrenza. 1.4. A prescindere dalla risposta alle precedenti questioni, e specialmente nel caso in cui la Corte di giustizia dell'Unione ritenesse inapplicabili i criteri di collegamento previsti all'articolo 4 della direttiva, se, alla luce dell'articolo 8 della Carta europea dei diritti fondamentali, la direttiva 95/46/CE in materia di protezione dei dati debba essere applicata nel paese membro dove si trova il centro di gravità del conflitto e sia possibile ottenere una tutela più efficace dei diritti dei cittadini dell'Unione europea. B) Per quanto riguarda l'attività dei motori di ricerca quali fornitori di contenuti in relazione alla direttiva 95/46/CE sulla protezione dei dati: 2.1. Quanto all'attività del motore di ricerca in Internet della società Google, quale fornitore di contenuti, consistente nel localizzare le informazioni pubblicate o messe in rete da terzi, indicizzarle in maniera automatica, memorizzarle temporaneamente e infine metterle a disposizione degli internauti secondo un determinato ordine di preferenza, qualora tali informazioni contengano dati personali di terzi, 1 se un'attività come quella descritta debba essere considerata rientrare nella nozione di "trattamento di dati" ai sensi dell'articolo 2, lettera b), della direttiva 95/46/CE. 2.2. In caso di risposta affermativa alla questione sub 2.1, e sempre con riferimento ad un'attività come quella descritta, se l'articolo 2, lettera d), della direttiva 95/46/CE debba essere interpretato nel senso che la società che gestisce il motore di ricerca Google deve essere considerata "responsabile del trattamento" dei dati personali contenuti nelle pagine web da essa indicizzate. 2.3. In caso di risposta affermativa alla questione sub 2.2, se l'autorità nazionale di controllo dei dati (nel caso presente l'Agenzia spagnola per la protezione dei dati), al fine di tutelare i diritti enunciati agli articoli 12, lettera b), e 14), lettera a), della direttiva 95/46/CE, possa ordinare direttamente al motore di ricerca della società Google di ritirare dai suoi indici un'informazione pubblicata da terzi, senza rivolgersi previamente o simultaneamente al titolare della pagina web in cui è inserita tale informazione. 2.4. In caso di risposta affermativa alla questione sub 2.3, se i motori di ricerca siano sollevati dall'obbligo di rispettare tali diritti qualora l'informazione contenente i dati personali sia stata lecitamente pubblicata da terzi e rimanga sulla pagina web di origine. C) Rispetto alla portata del diritto alla cancellazione/opposizione al trattamento dati in relazione al diritto di oblio, si pone la seguente questione: 3.1. Se si debba ritenere che i diritti di cancellazione e congelamento dei dati, disciplinati dall'articolo 12, lettera b), e il diritto di opposizione al loro trattamento, regolato dall'articolo 14, lettera a), della direttiva 95/46/CE, implichino che l'interessato possa rivolgersi ai motori di ricerca per impedire l'indicizzazione delle informazioni riguardanti la sua persona, pubblicate sulla pagina web di terzi, facendo valere la propria volontà che tali informazioni non siano divulgate agli utenti di Internet, ove reputi che detta divulgazione possa nuocergli o desideri che tali informazioni siano dimenticate, sebbene si tratti di informazioni pubblicate lecitamente da terzi. §§§§ A) Sul primo quesito, le conclusioni dell’Avvocato Generale sono le seguenti: “ (…) 55. Il Gruppo di lavoro “Articolo 29” ha evidenziato correttamente che l’ambito di applicazione territoriale della direttiva e della legislazione nazionale di recepimento dipende dalla sede dello stabilimento del titolare [“responsabile del trattamento”, nella versione italiana della direttiva], ovvero dalla sede degli strumenti o delle apparecchiature utilizzate qualora il titolare sia stabilito al di fuori dello Spazio Economico Europeo (SEE). La nazionalità o la residenza abituale degli interessati non rappresentano fattori decisivi, e lo stesso dicasi per il luogo ove si trovano fisicamente i dati personali. (…) 60. In base all’Articolo 4(1) della direttiva, il fattore dal quale discende in via primaria l’applicabilità della normativa nazionale in materia di protezione dei dati è rappresentato dal fatto che il trattamento di dati personali avvenga nel contesto delle attività di uno stabilimento del titolare nel territorio dello Stato Membro. Inoltre, se un titolare non è stabilito nell’UE, ma utilizza strumenti o apparecchiature situate nel territorio dello Stato Membro ai fini del trattamento di dati personali, si applica la normativa di tale Stato Membro a meno che gli strumenti o le apparecchiature in oggetto siano utilizzati esclusivamente a fini di transito nel territorio dell’UE. 61. Come già osservato, la direttiva ed il suo Articolo 4 sono stati adottati prima dell’avvento generalizzato di servizi online su Internet. Inoltre, da questo punto di vista, la formulazione 2 letterale dell’Articolo non è coerente ed appare lacunosa. Non stupisce che gli studiosi di protezione dati abbiano incontrato notevoli difficoltà nell’interpretare tali disposizioni in rapporto ad Internet. I fatti della causa in esame ne rappresentano una chiara esemplificazione. 62. Google Inc. è una società californiana che ha filiali in vari Stati Membri dell’UE. Le attività europee sono coordinate, almeno in parte, attraverso la filiale irlandese. Al momento, Google Inc. possiede centri di elaborazione dati almeno in Belgio ed in Finlandia. Le informazioni sull’esatta collocazione geografica delle funzioni relative al motore di ricerca non sono di dominio pubblico. Google dichiara che nessun trattamento di dati personali relativamente al motore di ricerca ha luogo in Spagna. Google Spain funge da rappresentanza commerciale di Google per le funzioni pubblicitarie e in tale qualità si assume la responsabilità del trattamento di dati personali relativi ai clienti spagnoli del settore pubblicitario. Google nega che il motore di ricerca effettui qualsivoglia operazione sui server ospitanti le pagine web sorgente, o che raccolga informazioni attraverso cookies su utenti non registrati del motore di ricerca stesso. 63. Alla luce di queste circostanze fattuali, il tenore letterale dell’Articolo 4(1) della direttiva non risulta di particolare utilità. Google presenta vari stabilimenti nel territorio dell’UE, e ciò, in base ad un’interpretazione letterale, esclude l’applicabilità del requisito relativo all’uso di apparecchiature o strumenti di cui all’Art. 4(1), lettera c), della direttiva. D’altro canto, non è chiaro in che misura e in quali luoghi siano trattati dati personali di interessati residenti nell’UE nel contesto delle filiali UE di Google. 64. A mio giudizio, la Corte dovrebbe affrontare la questione dell’applicabilità territoriale dal punto di vista del modello imprenditoriale dei fornitori di servizi di ricerca in Internet. Come già indicato, tale modello si fonda in genere sulla pubblicità a partire da parole‐chiave, che ne rappresenta la fonte di reddito e, in quanto tale, costituisce la ragion d’essere di un servizio gratuito di reperimento delle informazioni sotto forma di motore di ricerca. Il soggetto responsabile della pubblicità a partire da parole‐chiave (definito “prestatore del servizio di posizionamento” nella giurisprudenza della Corte) è legato al motore di ricerca in Internet. Tale soggetto necessita di essere presente sui mercati pubblicitari nazionali. Per tale motivo, Google ha costituito filiali in molti Stati Membri, le quali rappresentano evidentemente stabilimenti ai sensi dell’Articolo 4(1), lettera a), della direttiva. Inoltre, Google rende disponibili domini web nazionali come google.es o google.fi. L’attività del motore di ricerca tiene conto in più modi di tale diversificazione nazionale, per quanto riguarda la visualizzazione dei risultati della ricerca, poiché il normale modello di finanziamento della pubblicità a partire da parole‐chiave segue il principio del pay‐per‐click . 65. Per tali motivazioni, ritengo di sottoscrivere le conclusioni del Gruppo di lavoro “Articolo 29”, nel senso che occorre tenere presente il modello imprenditoriale di un fornitore di servizi di ricerca in Internet e, quindi, che lo stabilimento di tale fornitore è un fattore pertinente con riguardo al trattamento di dati personali qualora esso sia legato ad un servizio che partecipa alla vendita di pubblicità mirata agli abitanti di tale Stato Membro. 66. Inoltre, anche se l’Articolo 4 della direttiva si fonda su un’unica nozione di “titolare del trattamento” per quanto riguarda le disposizioni sostanziali in esso contenute, credo che, al fine di definire la questione oggetto di rinvio pregiudiziale relativa all’applicabilità territoriale, si debba considerare un operatore economico come un soggetto unitario e quindi, in questa fase dell’analisi, non lo si debba scomporre in base alle singole attività relative al trattamento di dati personali o alle diverse categorie di interessati ai quali tali attività possono riferirsi. 67. In conclusione, il trattamento di dati personali ha luogo nel contesto di uno stabilimento del titolare se tale stabilimento funge da ponte per il servizio di posizionamento nei confronti 3 del mercato pubblicitario dello specifico Stato Membro, anche se le operazioni tecniche di trattamento si svolgono in altri Stati Membri o in Paesi terzi. 68. Per tali motivi, propongo che la Corte risponda al primo gruppo di quesiti indicando che il trattamento di dati personali viene svolto nel contesto delle attività di uno “stabilimento” del titolare ai sensi dell’Articolo 4(1), lettera a), della direttiva, qualora l’impresa che fornisce il motore di ricerca crei in uno Stato Membro, al fine di promuovere e vendere spazi pubblicitari sul motore di ricerca, un ufficio o una filiale che ne orienta le attività con riguardo agli abitanti di tale Stato Membro. B) Sul secondo quesito, le conclusioni sono le seguenti: (…) 84. Il fornitore di un servizio di motore di ricerca in Internet che si limita a fornire uno strumento per il reperimento di informazioni non esercita alcun controllo sui dati personali contenuti nei siti web di terzi. Il fornitore di tale servizio non “sa” dell’esistenza di dati personali se non nel senso che, in termini statistici, le pagine web verosimilmente possono contenere dati personali. Nel corso del trattamento delle pagine web sorgente ai fini del crawling [la funzione di raccolta periodica delle informazioni contenute nei siti web], dell’analisi e dell’indicizzazione dei dati, la presenza di dati personali non si manifesta di per sé in alcun modo particolare. (…) 86. Il fornitore di un servizio di motore di ricerca in Internet non ha alcun rapporto con i contenuti delle pagine web sorgente di terzi, presenti su Internet, nelle quali possono comparire dati personali. Inoltre, poiché il motore di ricerca opera attraverso copie delle pagine web sorgente che i propri crawler hanno reperito e copiato, esso non ha alcuna possibilità di modificare le informazioni presenti nei server che ospitano tali pagine. La circostanza di rendere disponibile uno strumento per il reperimento delle informazioni non implica che vi sia l’esercizio di alcun controllo sui contenuti. Il fornitore di questi servizi non è neppure in grado di distinguere fra i dati personali, nel senso di cui alla direttiva, ossia dati relativi a persone fisiche identificabili, ed altre tipologie di dati. 87. Sul punto ritengo sia opportuno richiamare il principio contenuto nel Considerando 47 della direttiva, dove si afferma che il titolare di messaggi contenenti dati personali trasmessi attraverso reti di telecomunicazione o posta elettronica è il soggetto da cui il messaggio ha origine, non già il soggetto che offre servizi di trasmissione. Questo Considerando, unitamente alle eccezioni alla responsabilità di cui alla direttiva 2000/31 sul commercio elettronico (Articoli 12, 13 e 14), si fonda sul principio giuridico per cui un rapporto di tipo automatico, tecnico e passivo con informazioni memorizzate o trasmesse per via elettronica non genera alcun controllo o alcuna responsabilità rispetto a tali informazioni. 88. [Questo è anche il punto di vista del Gruppo “Articolo 29”] 89. A mio giudizio, il fornitore di un servizio di motore di ricerca in Internet non può adempiere, in termini di fatto e di diritto, agli obblighi che incombono sul titolare del trattamento in base agli Articoli 6, 7 e 8 della direttiva relativamente ai dati personali contenuti in pagine web sorgente ospitate su server di terzi. Pertanto, un’interpretazione ragionevole della direttiva impone di non considerare tale fornitore di servizi, in linea di principio, come titolare del trattamento. (…) [Tuttavia, in alcuni casi il fornitore di tali servizi è titolare del trattamento] 91. E’ indubbio che il fornitore di un servizio di motore di ricerca in Internet controlli l’indice del motore di ricerca che istituisce le connessioni fra parole‐chiave e pertinenti indirizzi URL. Il 4 fornitore del servizio decide la struttura dell’indice ed è tecnicamente in grado di bloccare determinati risultati di ricerca – ad esempio, impedendo la visualizzazione di indirizzi URL provenienti da determinati Paesi o domini. Inoltre, il fornitore del servizio controlla il proprio indice nel senso che decide se rispettare o meno eventuali codici di esclusione posti sulla pagina web sorgente. (…) 99. Sulla base di tali considerazioni, ritengo che un’Autorità nazionale di protezione dati non possa imporre ad un fornitore di servizi di motore di ricerca in Internet di rimuovere informazioni dal proprio indice, a meno che tale fornitore non abbia rispettato i codici di esclusione, [ad esempio, i codici “no‐robots.txt] ovvero non abbia ottemperato ad una richiesta di aggiornamento della memoria “cache” effettuata dal sito web. Queste due circostanze non appaiono pertinenti con riguardo al rinvio pregiudiziale in oggetto. L’eventuale ricorso a procedure di “notice and take down” [segnalazione e rimozione] rispetto a legami ipertestuali (links) verso pagine web sorgente aventi contenuti illeciti o impropri è materia disciplinata dalle norme sulla responsabilità civile in base al diritto nazionale ed a presupposti diversi dalla protezione dei dati personali. 100. Per tali motivi, propongo che la Corte risponda al secondo gruppo di quesiti indicando che, alla luce delle circostanze specificate nella richiesta di rinvio pregiudiziale, un fornitore di servizi di motore di ricerca in Internet “tratta” dati personali ai sensi dell’Articolo 2(b) della direttiva. Tuttavia, il fornitore di tali servizi non può essere considerato “titolare” del trattamento dei dati personali in questione ai sensi dell’Articolo 2(d) della direttiva, salve le eccezioni di cui sopra. C) Sul terzo quesito, le conclusioni sono le seguenti: (…) Punto 3. delle Conclusioni: “3. I diritti di cancellazione e blocco dei dati di cui all’Articolo 12, lettera b), e il diritto di opposizione di cui all’Articolo 14, lettera a), della direttiva 95/46, non conferiscono all’interessato il diritto di rivolgersi ad un fornitore di servizi di motore di ricerca in Internet al fine di impedire l’indicizzazione di informazioni riguardanti la sua persona, pubblicate lecitamente su pagine web di soggetti terzi, facendo valere la propria contrarietà a che tali informazioni siano rese note agli utenti di Internet ove tale interessato ritenga che possano essergli pregiudizievoli o desidera che siano consegnate all’oblio.” 5