Integra "trattamento" di dati personali l?attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell?indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza; il gestore di detto motore di ricerca deve essere considerato come il «responsabile» del trattamento assumendone in prima persona i relativi obblighi.
Lo ha stabilto la Corte di giustizia dell'Unione Europea, Grande Sezione, nella causa C?131/12 - 13 maggio 2014 (Gonzalez), che ha rilevato come che l?operazione consistente nel far comparire su una pagina Internet dati personali va considerata come un «trattamento» siffatto ai sensi dell?articolo 2, lettera b), della direttiva 95/46 (v. sentenza Lindqvist, C?101/01, EU:C:2003:596, punto 25).
Pertanto, occorre quindi constatare che, esplorando Internet in modo automatizzato, costante e sistematico alla ricerca delle informazioni ivi pubblicate, il gestore di un motore di ricerca «raccoglie» dati siffatti, che egli «estrae», «registra» e «organizza» successivamente nell?ambito dei suoi programmi di indicizzazione, «conserva» nei suoi server e, eventualmente, «comunica» e «mette a disposizione» dei propri utenti sotto forma di elenchi dei risultati delle loro ricerche. Poiché tali operazioni sono contemplate in maniera esplicita e incondizionata all?articolo 2, lettera b), della direttiva 95/46, esse devono essere qualificate come «trattamento» ai sensi di tale disposizione, senza che rilevi il fatto che il gestore del motore di ricerca applichi le medesime operazioni anche ad altri tipi di informazioni e non distingua tra queste e i dati personali.
La constatazione di cui sopra non viene invalidata neppure dal fatto che tali dati abbiano già costituito l?oggetto di una pubblicazione su Internet e non vengano modificati dal suddetto motore di ricerca.
Infatti, la Corte ha già constatato che le operazioni contemplate dall?articolo 2, lettera b), della direttiva 95/46 devono essere considerate come un trattamento siffatto anche nell?ipotesi in cui riguardino esclusivamente informazioni già pubblicate tali e quali nei media. La Corte ha infatti rilevato, a questo proposito, che una deroga generale all?applicazione della direttiva 95/46 in un?ipotesi siffatta priverebbe in larga parte del suo significato tale direttiva (v., in tal senso, sentenza Satakunnan Markkinapörssi e Satamedia, C?73/07, EU:C:2008:727, punti 48 e 49).
Pertanto, nella misura in cui l?attività di un motore di ricerca può incidere, in modo significativo e in aggiunta all?attività degli editori di siti web, sui diritti fondamentali alla vita privata e alla protezione dei dati personali, il gestore di tale motore di ricerca quale soggetto che determina le finalità e gli strumenti di questa attività deve assicurare, nell?ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che detta attività soddisfi le prescrizioni della direttiva 95/46, affinché le garanzie previste da quest?ultima possano sviluppare pienamente i loro effetti e possa essere effettivamente realizzata una tutela efficace e completa delle persone interessate, in particolare del loro diritto al rispetto della loro vita privata.
Infine, la circostanza che gli editori di siti web abbiano la facoltà di indicare ai gestori di motori di ricerca, con l?aiuto segnatamente di protocolli di esclusione come «robot.txt» o di codici come «noindex» o «noarchive», il loro desiderio che una determinata informazione, pubblicata sul loro sito, venga esclusa in tutto o in parte dagli indici automatici di detti motori di ricerca, non significa che la mancanza di un?indicazione siffatta da parte di questi editori liberi il gestore di un motore di ricerca dalla sua responsabilità per il trattamento dei dati personali che egli effettua nell?ambito dell?attività del motore stesso.
L?attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell?indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali», ai sensi del citato articolo 2, lettera b), qualora tali informazioni contengano dati personali, e che, dall?altro lato, il gestore di detto motore di ricerca deve essere considerato come il «responsabile» del trattamento summenzionato, ai sensi dell?articolo 2, lettera d), di cui sopra.
Occorre poi ricordare che, come risulta dall?articolo 1 e dal considerando 10 della direttiva 95/46, quest?ultima mira a garantire un livello elevato di protezione delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali (v., in tal senso, sentenza IPI, EU:C:2013:715, punto 28).
A mente del considerando 25 della direttiva 95/46, i principi di tutela previsti da quest?ultima si esprimono, da un lato, nei vari obblighi a carico dei soggetti che trattano dati ? obblighi relativi in particolare alla qualità dei dati, alla sicurezza tecnica, alla notificazione all?autorità di controllo, alle circostanze in cui il trattamento può essere effettuato ? e, dall?altro, nel diritto delle persone, i cui dati sono oggetto di trattamento, di esserne informate, di poter accedere ai dati e di poterne chiedere la rettifica, o anche di opporsi al trattamento in talune circostanze.
La Corte ha già statuito che le disposizioni della direttiva 95/46, disciplinando il trattamento di dati personali che possono arrecare pregiudizio alle libertà fondamentali e, segnatamente, al diritto alla vita privata, devono necessariamente essere interpretate alla luce dei diritti fondamentali che, secondo una costante giurisprudenza, formano parte integrante dei principi generali del diritto di cui la Corte garantisce l?osservanza e che sono ormai iscritti nella Carta (v., in particolare, sentenze Connolly/Commissione, C?274/99 P, EU:C:2001:127, punto 37, nonché Österreichischer Rundfunk e a., EU:C:2003:294, punto 68).
In tal senso, l?articolo 7 della Carta garantisce il diritto al rispetto della vita privata, mentre l?articolo 8 della Carta proclama espressamente il diritto alla protezione dei dati personali. I paragrafi 2 e 3 di quest?ultimo articolo precisano che i dati suddetti devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge, che ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica, e che il rispetto di tali regole è soggetto al controllo di un?autorità indipendente. Tali prescrizioni ricevono attuazione in particolare mediante gli articoli 6, 7, 12, 14 e 28 della direttiva 95/46.
Quanto all?articolo 12, lettera b), della direttiva 95/46, esso dispone che gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento, a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non sia conforme alle disposizioni di questa direttiva, in particolare a causa del carattere incompleto o inesatto dei dati. Poiché quest?ultima precisazione relativa all?ipotesi del mancato rispetto di talune prescrizioni dettate dall?articolo 6, paragrafo 1, lettera d), della direttiva 95/46 risulta avere carattere esemplificativo e non esaustivo, ne consegue che la non conformità del trattamento, atta a conferire alla persona interessata il diritto garantito dall?articolo 12, lettera b), di tale direttiva, può derivare anche dal mancato rispetto delle altre condizioni di liceità imposte da quest?ultima al trattamento di dati personali.
A questo proposito occorre ricordare che, fatte salve le deroghe ammesse ai sensi dell?articolo 13 della direttiva 95/46, qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi relativi alla qualità dei dati, enunciati all?articolo 6 di detta direttiva, e, dall?altro, rispondere ad uno dei principi relativi alla legittimazione dei trattamenti di dati, elencati all?articolo 7 della direttiva stessa (v. sentenze Österreichischer Rundfunk e a., EU:C:2003:294, punto 65; ASNEF e FECEMD, C?468/10 e C?469/10, EU:C:2011:777, punto 26, nonché Worten, C?342/12, EU:C:2013:355, punto 33).
A mente del citato articolo 6, e fatte salve le disposizioni specifiche che gli Stati membri possono prevedere per trattamenti a scopi storici, statistici o scientifici, spetta al responsabile del trattamento garantire che i dati personali siano «trattati lealmente e lecitamente», che vengano «rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità», che siano «adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati», che siano «esatti e, se necessario, aggiornati» e, infine, che siano «conservati in modo da consentire l?identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati».
In tale contesto, detto responsabile deve prendere tutte le misure ragionevoli affinché i dati che non soddisfano le prescrizioni dettate dalla disposizione suddetta vengano cancellati o rettificati.
Vai alla sentenza integrale con un breve excursus sul diritto all'oblio in Italia.