Causa C‑507/17
Google LLC
contro
Commission nationale de l’informatique et des libertés (CNIL)
[domanda di pronuncia pregiudiziale proposta dal Conseil d’État (France)]
Sentenza della Corte (Grande Sezione) del 24 settembre 2019
«Rinvio pregiudiziale – Dati personali – Protezione delle persone fisiche con riguardo al trattamento di tali dati – Direttiva 95/46/CE – Regolamento (UE) 2016/679 – Motori di ricerca su Internet – Trattamento dei dati contenuti nei siti web – Portata territoriale della deindicizzazione»
1. Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46, articoli 12 e 14 – Diritto di accesso della persona interessata ai dati personali e diritto di opposizione al loro trattamento – Diritto di chiedere la cancellazione dei link verso pagine web dall’elenco di risultati – Presupposti
[Direttiva del Parlamento europeo e del Consiglio 95/46, artt. 12, b), e 14, comma 1, a)]
(v. punto 44)
2. Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46, articoli 12 e 14 – Diritto di accesso della persona interessata ai dati personali e diritto di opposizione al loro trattamento – Ricerca effettuata attraverso un motore di ricerca a partire dal nome di una persona – Visualizzazione di un elenco di risultati – Diritto di chiedere che tale informazione non sia più messa a disposizione del pubblico
[Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8; direttiva del Parlamento europeo e del Consiglio 95/46, artt. 6, § 1, da c) a e), 12, b), e 14, comma 1, a)]
(v. punto 45)
3. Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46, articolo 4 – Diritto nazionale applicabile – Trattamento di dati nell’ambito delle attività dello stabilimento di un gestore di un motore di ricerca situato nel territorio di uno Stato membro – Portata – Promozione e vendita di spazi pubblicitari rivolte agli abitanti di tale Stato membro e proposte da detto motore di ricerca attraverso tale stabilimento – Inclusione
[Direttiva del Parlamento europeo e del Consiglio 95/46, art. 4, § 1, a); regolamento del Parlamento europeo e del Consiglio 2016/679, art. 3, § 1]
(v. punti 49‑51)
4. Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Diritti di rettifica e di cancellazione dei dati – Diritto alla deindicizzazione – Portata territoriale – Obbligo del gestore di un motore di ricerca di effettuare la deindicizzazione unicamente sulle versioni del suo motore corrispondenti a tutti gli Stati membri – Obbligo di tale gestore di adottare misure efficaci per impedire agli utenti di Internet di avere accesso ai link oggetto della deindicizzazione o per scoraggiarli dal farlo – Verifica da parte del giudice nazionale
[Direttiva del Parlamento europeo e del Consiglio 95/46, artt. 12, b), e 14, comma 1, a); regolamento del Parlamento europeo e del Consiglio 2016/679, art. 17, § 1]
(v. punti 60‑73 e dispositivo)
Sintesi
Il gestore di un motore di ricerca non è tenuto a procedere a una deindicizzazione su tutte le versioni del suo motore di ricerca
Con sentenza del 24 settembre 2019, Google (Portata territoriale della deindicizzazione) (C‑507/17), la Corte, riunita in Grande Sezione, ha dichiarato che il gestore di un motore di ricerca è tenuto, in linea di principio, a operare la deindicizzazione unicamente sulle versioni del suo motore corrispondenti a tutti gli Stati membri.
La Commission nationale de l’informatique et des libertés (CNIL) (Commissione nazionale per l’informatica e le libertà; in prosieguo: la «CNIL», Francia) ha ingiunto a Google di procedere, quando accoglie una richiesta di deindicizzazione, alla cancellazione, dall’elenco di risultati visualizzato a seguito di una ricerca effettuata a partire dal nome della persona interessata, dei link che rinviano a pagine web contenenti dati personali relativi a quest’ultima, su tutte le estensioni del nome di dominio del suo motore di ricerca. A seguito del rifiuto di Google di ottemperare a tale ingiunzione, la CNIL ha irrogato a tale società una sanzione di EUR 100 000. Il Conseil d’État (Consiglio di Stato, Francia), adito da Google, ha chiesto alla Corte di precisare la portata territoriale dell’obbligo, per il gestore di un motore di ricerca, di attuare il diritto alla deindicizzazione in applicazione della direttiva 95/46 (1).
Anzitutto, la Corte ha ricordato la possibilità per le persone fisiche di far valere, sulla base del diritto dell’Unione, il loro diritto alla deindicizzazione nei confronti del gestore di un motore di ricerca che dispone di uno o più stabilimenti nel territorio dell’Unione, a prescindere dal fatto che il trattamento di dati personali (nella fattispecie, l’indicizzazione di link verso pagine web contenenti dati personali relativi alla persona che si avvale di tale diritto) avvenga o meno nell’Unione (2).
Quanto alla portata del diritto alla deindicizzazione, la Corte ha dichiarato che il gestore di un motore di ricerca è tenuto ad effettuare la deindicizzazione non su tutte le versioni del suo motore di ricerca, ma sulle versioni di tale motore corrispondenti a tutti gli Stati membri. A questo proposito, essa ha rilevato che anche se, tenuto conto delle caratteristiche di Internet e dei motori di ricerca, una deindicizzazione mondiale sarebbe idonea a conseguire pienamente l’obiettivo del legislatore dell’Unione consistente nel garantire un elevato livello di protezione dei dati personali in tutta l’Unione, non risulta affatto dal diritto dell’Unione (3) che, ai fini della realizzazione di un simile obiettivo, il legislatore abbia scelto di conferire al diritto alla deindicizzazione una portata che vada oltre il territorio degli Stati membri. In particolare, mentre il diritto dell’Unione istituisce meccanismi di cooperazione tra autorità di controllo degli Stati membri per raggiungere una decisione comune, basata su un bilanciamento tra, da un lato, il diritto alla tutela della vita privata e dei dati personali e, dall’altro, l’interesse del pubblico dei diversi Stati membri ad avere accesso alle informazioni, meccanismi del genere non sono attualmente previsti per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione.
Allo stato attuale del diritto dell’Unione, il gestore di un motore di ricerca è tenuto a effettuare la deindicizzazione richiesta non sulla sola versione del motore corrispondente allo Stato membro di residenza del beneficiario di tale deindicizzazione, ma sulle versioni del motore di ricerca corrispondenti agli Stati membri, e ciò al fine, segnatamente, di garantire un livello coerente ed elevato di protezione in tutta l’Unione. È inoltre compito di tale gestore prendere, se necessario, misure sufficientemente efficaci per impedire agli utenti di Internet di avere accesso – eventualmente a partire da una versione del motore di ricerca corrispondente a uno Stato terzo – ai link oggetto della deindicizzazione, o, quanto meno, per scoraggiarli seriamente dal farlo, e spetta al giudice nazionale verificare se le misure adottate dal gestore soddisfino tale esigenza.
Infine, la Corte ha sottolineato che il diritto dell’Unione, pur non imponendo al gestore di un motore di ricerca di effettuare la deindicizzazione su tutte le versioni del suo motore, neppure lo vieta. Pertanto, un’autorità di controllo o un’autorità giudiziaria di uno Stato membro resta competente a compiere, conformemente agli standard nazionali di protezione dei diritti fondamentali, un bilanciamento tra, da un lato, il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e, dall’altro, il diritto alla libertà d’informazione e, al termine di tale bilanciamento, a richiedere, se del caso, che il gestore di tale motore di ricerca proceda a una deindicizzazione su tutte le versioni del suddetto motore.