Diritto all’oblio: possiamo dire di essere arrivati al punto di arrivo della giurisprudenza?

30.04.2022

Cass. Civ., Sez. I, 8 febbraio 2022, n. 3952

Con la pronuncia il commento la Corte di Cassazione è recentemente tornata sul tema del diritto all'oblio.

Il caso riguardava una famosa compagnia di gestione di un motore di ricerca e la richiesta della cancellazione dei dati personali da parte di una persona fisica a cui seguivano gli ordini esecutivi emessi dal Garante della Privacy.

Affrontando il primo motivo di ricorso, la Cassazione si è soffermata sull'analisi della potestà del Garante rispetto a compagnie che hanno la sede principale in un paese dell'Unione Europea, confermando la corretta lettura del Tribunale nella pronuncia impugnata, tenendo presente che i criteri da adottare per il radicarsi della giurisdizione alternativamente sono:

  • Domanda rivolta al giudice del luogo generatore del danno
  • Domanda rivolta al giudice del luogo in cui si verifica il danno.

Nel caso in esame, il ricorrente ha scelto il secondo criterio, radicando la questione nel luogo in cui, inserendo il proprio nome sul motore di ricerca, veniva a conoscenza dei risultati a sé associati, ossia l'Italia.

Il motore di ricerca de quo era stato individuato come titolare del trattamento dei dati per il tramite di una società collegata ivi stabilita, in base all'interpretazione affermata dalla normativa applicabile al caso (la Direttiva CE 95/46, precedente all'attuale GDPR[1]).

La Cassazione ritorna sulla natura non giurisdizionale dell'Autorità Garante della Privacy e sulla circostanza per cui i provvedimenti da essa emanati non sono suscettibili di giudicato. La funzione decisoria di una autorità pubblica, si ricorda, è insita nel perseguimento degli obiettivi istituzionali a essa affidati e non è indice di carattere giurisdizionale, la cui caratteristica peculiare è la terzietà.

La Cassazione si domanda, inoltre, se l'Autorità italiana possa emettere provvedimenti punitivi anche contro società estere e se si possa configurare un trattamento dei dati anche per tramite di altre entità[2].

Citando la importante sentenza della CGUE 13/05/2014 Grande Sezione, Google Spain e Google, c-131/12, la Cassazione conferma che è ormai indubbio che far comparire dati personali come risultato di una ricerca in internet configuri un trattamento di cui il responsabile è il motore di ricerca.

Nel contesto della Direttiva CE 95/46, ciascuno Stato membro applicava le norme attuative nel contesto delle attività effettuate da uno stabilimento nel suo territorio. La Corte di Giustizia Europea aveva specificato, inoltre, che il trattamento non dovesse essere ad opera e a solo vantaggio dello stabilimento territoriale, ma anche solo connesso alle sue attività, al fine di garantire una tutela efficace e completa delle libertà delle persone fisiche e il rispetto della vita privata.

Tale interpretazione non può essere applicata restrittivamente, perché si tratta di diritti fondamentali.

La sentenza Weltimmo [3], infatti, ha specificato che è sufficiente anche un trattamento "minimo" per rientrare nell'ambito disciplinato dalle norme attuative territoriali.

La Cassazione individua il contesto del trattamento nella gestione degli spazi pubblicitari nel territorio italiano da parte dello stabilimento.

La difesa del motore di ricerca affermava che "il fornitore di servizi di motore di ricerca offre semplicemente uno strumento di localizzazione delle informazioni, senza esercitare alcun controllo sui contenuti nelle pagine web che lo stesso indicizza, ma non conosce".

Tale motivo, però, secondo la Cassazione non può essere accolto se non negando la natura di trattamento dei dati personali rispetto alle attività dei motori di ricerca.

Affermazione che, si osserva, oltre ad essere in contrasto con la normativa e la giurisprudenza appena citate presenterebbe una "scorrettezza tecnica" di fondo, dal momento che nei motori di ricerca si possono riscontrare, offrire e memorizzare le informazioni disponibili in rete al fine di trarne un guadagno.

Nella sentenza della Corte di Giustizia del 5/6/18, nella causa c-210/16, si è infine stabilito che un'autorità di controllo dello Stato membro può sanzionare lo stabilimento territoriale anche quando la titolare è fuori dall'UE.

La Cassazione, sul punto, afferma che se questo è un principio affermato per compagnie extra-EU, a maggior ragione deve essere un principio valido all'interno dell'Unione, confermando la potestà dell'Autorità italiana.

Nel caso di specie, però, il Garante aveva ordinato la totale cancellazione della cache degli URL relativi alla notizia.

Secondo il motore questa sarebbe, però, un'attività possibile solo sostenendo gravosi controlli continui rispetto alla non re-indicizzazione delle pagine eliminate, non avendo il controllo sull'entità che materialmente pubblica la notizia.

Il motore di ricerca, in pratica, non può cancellare dal sito web di altri[4], ma solo non indicizzare dei contenuti secondo parole chiave inserite dagli utenti.

Si entra, quindi, nello specifico tema del diritto all'oblio.

A riguardo si ricorda che le Sezioni Unite nel 2019[5] avevano stabilito tre possibili forme del diritto all'oblio:

  • diritto alla cancellazione dei dati ("deindicizzazione")
  • diritto a non vedere ripubblicate le notizie in passato legittimamente diffuse senza che vi sia una esigenza attuale e contestuale
  • diritto a vedere temporalmente ben contestualizzate le notizie nonostante la possibile reperibilità dopo molto tempo delle stesse ("archiviazione delle notizie").

Le prime due soluzioni prendono atto del fatto che internet non è in grado di rappresentare la persona umana nella sua evoluzione, "stringendola in una memoria collettiva che lo obbliga a riproporsi come identità sempre uguale a sé stessa nel tempo"[6]. Questo contrasta, quindi, con  il diritto di ogni persona a non essere trovata facilmente sulla rete, se non lo desidera.

In questi termini la giurisprudenza sovranazionale ha riconosciuto come prevalente il ruolo del motore di ricerca, che mette a disposizione le informazioni scegliendo l'ordinamento dei risultati, rispetto al ruolo dell'editore digitale che ha svolto la sua funzione di cronaca nel momento della vicenda.

L'elenco dei primi risultati associati a una persona fisica (o giuridica) dà l'idea dell'identità digitale della stessa; come se fosse il suo biglietto da visita. Proprio per questo il trattamento dei dati deve essere veritiero e corretto, anche in riferimento al contesto attuale della persona indicizzata.

Merita soffermarsi, infine, sul tema del bilanciamento fra diritto a essere dimenticati e diritto della comunità a essere informata e ad avere accesso a informazioni corrette e veritiere, anche in chiave storica.

L'ordine di eliminazione degli URL, infatti, incide su quest'ultima forma di diritto all'oblio sostanziandosi nel risultato più gravoso per la comunità: il diritto a essere informati.

Nel cercare di trovare il giusto punto di equilibrio fra artt. 8 e 10 CEDU, la Corte EDU nel tempo ha individuato criteri precisi, che vengono ricordati nella sentenza in commento.

Si deve tenere sempre in conto: "il contributo della notizia a un dibattito di interesse generale, il grado di notorietà del soggetto, l'oggetto della notizia, il comportamento precedente dell'interessato, le modalità con cui si ottiene un'informazione, veridicità e contenuto, la forma e le conseguenza della pubblicazione".

La giurisprudenza sia sovranazionale che nazionale vede la deindicizzazione come la soluzione più bilanciata e meno invasiva fra la cancellazione completa dalla memoria storica della notizia e il non fare nulla per offrire una tutela concreta ed effettiva. La medesima notizia, fra l'altro, viene deindicizzata rispetto a quella chiave di ricerca, ma non rispetto a tutte le altre, è il nome della persona a non avere più quel "biglietto da visita".

Nella sentenza in commento, però, non è la legittimità dell'ordine di deindicizzazione a essere questionata, bensì proprio l'ordine di rimozione della copia cache degli URL, quello strumento che consente al Motore di restituire quella notizia come risultato di una ricerca con altre parola chiave.

Nel ritenere che il GDPR non sia comunque applicabile al caso in decisione poiché precedente a tale normativa, la Corte afferma che la portata innovativa dell'art 17 del GDPR è stata forse in parte sopravvalutata, in quanto è vero che è possibile ottenere la cancellazione, rettifica o congelamento di un trattamento dei dati che sembri non conforme alla normativa, ma tale facoltà non è operativa nella misura in cui sia necessario a garantire la libertà di espressione e informazione. E in realtà ciò è esattamente ciò che già accadeva nella precedente Direttiva del '95.

In conclusione, la Cassazione si allinea alla decisione di deindicizzare secondo la parola chiave corrispondente al nome della persona fisica, cassando, tuttavia, l'ordine di rimozione della copia cache degli URL e individuando la prima soluzione come sufficiente a operare il corretto bilanciamento fra i diritti in commento.

Dott.ssa Camilla Ragazzi


[1] Regolamento UE 679/2016

[2] Questa circostanza è superata con il GDPR, normativa rispetto alla quale non vi sono dubbi sulla positività della risposta.

[3] CGUE 1/10/2015, c-23014, par 41).

[4] E questa circostanza è facilmente intuibile in effetti.

[5] Cass. SSUU, 22/7/19, sent. N. 19681

[6] Così anche di recente Cass. Civ., 19/05/2020, sent. N. 9147)