INTERNET E REATI INFORMATICI – Motori di ricerca su Internet – GOOGLE – Dati personali – Trattamento – Protezione delle persone fisiche – Limiti – Trattamento dei dati contenuti nei siti web – Portata territoriale del diritto alla deindicizzazione – Direttiva 95/46/CE – Regolamento (UE) 2016/679 – Rinvio pregiudiziale.
Provvedimento: SENTENZA
Sezione: Sezione Grande
Regione:
Città:
Data di pubblicazione: 24 Settembre 2019
Numero: C‑507/17
Data di udienza:
Presidente: Lenaerts
Estensore: Ilešič
Premassima
INTERNET E REATI INFORMATICI – Motori di ricerca su Internet – GOOGLE – Dati personali – Trattamento – Protezione delle persone fisiche – Limiti – Trattamento dei dati contenuti nei siti web – Portata territoriale del diritto alla deindicizzazione – Direttiva 95/46/CE – Regolamento (UE) 2016/679 – Rinvio pregiudiziale.
Massima
CORTE DI GIUSTIZIA UE, Sez. Un., 24/09/2019 Sentenza C‑507/17
INTERNET E REATI INFORMATICI – Motori di ricerca su Internet – GOOGLE – Dati personali – Trattamento – Protezione delle persone fisiche – Limiti – Trattamento dei dati contenuti nei siti web – Portata territoriale del diritto alla deindicizzazione – Direttiva 95/46/CE – Regolamento (UE) 2016/679 – Rinvio pregiudiziale.
L’articolo 12, lettera b), e l’articolo 14, primo comma, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 17, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione in applicazione delle suddette disposizioni, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti.
Pres. Lenaerts, Rel. Ilešič, Ric. Google Inc., contro Commission nationale de l’informatique et des libertés (CNIL)
Allegato
Titolo Completo
CORTE DI GIUSTIZIA UE, Sez. Un., 24/09/2019 Sentenza C‑507/17SENTENZA
CORTE DI GIUSTIZIA UE, Sez. Un., 24/09/2019 Sentenza C‑507/17
SENTENZA DELLA CORTE (Grande Sezione)
24 settembre 2019
«Rinvio pregiudiziale – Dati personali – Protezione delle persone fisiche con riguardo al trattamento di tali dati – Direttiva 95/46/CE – Regolamento (UE) 2016/679 – Motori di ricerca su Internet – Trattamento dei dati contenuti nei siti web – Portata territoriale del diritto alla deindicizzazione»
Nella causa C‑507/17,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Conseil d’État (Consiglio di Stato, Francia), con decisione del 19 luglio 2017, pervenuta in cancelleria il 21 agosto 2017, nel procedimento
Google LLC, succeduta alla Google Inc.,
contro
Commission nationale de l’informatique et des libertés (CNIL),
con l’intervento di:
Wikimedia Foundation Inc.,
Fondation pour la liberté de la presse,
Microsoft Corp.,
Reporters Committee for Freedom of the Press e altri,
Article 19 e altri,
Internet Freedom Foundation e altri,
Défenseur des droits,
LA CORTE (Grande Sezione),
composta da K. Lenaerts, presidente, A. Arabadjiev, E. Regan, T. von Danwitz, C. Toader e F. Biltgen, presidenti di sezione, M. Ilešič (relatore), L. Bay Larsen, M. Safjan, D. Šváby, C.G. Fernlund, C. Vajda e S. Rodin, giudici,
avvocato generale: M. Szpunar
cancelliere: V. Giacobbo-Peyronnel, amministratrice
vista la fase scritta del procedimento e in seguito all’udienza dell’11 settembre 2018,
considerate le osservazioni presentate:
– per Google LLC, da P. Spinosi, Y. Pelosi e W. Maxwell, avocats;
– per la Commission nationale de l’informatique et des libertés (CNIL), da I. Falque-Pierrotin e da J. Lessi e G. Le Grand, in qualità di agenti;
– per la Wikimedia Foundation Inc., da C. Rameix-Seguin, avocate;
– per la Fondation pour la liberté de la presse, da T. Haas, avocat;
– per la Microsoft Corp., da E. Piwnica, avocat;
– per la Reporters Committee for Freedom of the Press e a., da F. Louis, avocat, e da H.-G. Kamann, C. Schwedler e M. Braun, Rechtsanwälte;
– per la Article 19 e a., da G. Tapie, avocat, G. Facenna, QC, e E. Metcalfe, barrister;
– per la Internet Freedom Foundation e a., da T. Haas, avocat;
– per il Défenseur des droits, da J. Toubon, in qualità di agente;
– per il governo francese, da D. Colas, R. Coesme, E. de Moustier e S. Ghiandoni, in qualità di agenti;
– per l’Irlanda, da M. Browne, G. Hodge, J. Quaney e A. Joyce, in qualità di agenti, assistiti da M. Gray, BL;
– per il governo ellenico, da E.-M. Mamouna, G. Papadaki, E. Zisi e S. Papaioannou, in qualità di agenti;
– per il governo italiano, da G. Palmieri, in qualità di agente, assistita da R. Guizzi, avvocato dello Stato;
– per il governo austriaco, da G. Eberhard e G. Kunnert, in qualità di agenti;
– per il governo polacco, da B. Majczyna, M. Pawlicka e J. Sawicka, in qualità di agenti;
– per la Commissione europea, da A. Buchet, H. Kranenborg e D. Nardi, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 10 gennaio 2019,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).
2 Tale domanda è stata presentata nell’ambito di una controversia tra la società Google LLC, succeduta alla Google Inc., e la Commission nationale de l’informatique et des libertés (CNIL) (Commissione nazionale per l’informatica e le libertà; in prosieguo: la «CNIL», Francia) relativamente a una sanzione di EUR 100 000, da quest’ultima irrogata nei confronti di Google, sulla base di un rifiuto da parte di tale società, nell’accogliere una domanda di deindicizzazione, di applicare la deindicizzazione su tutte le estensioni del nome di dominio del suo motore di ricerca.
Contesto normativo
Diritto dell’Unione
Direttiva 95/46
3 A norma del suo articolo 1, paragrafo 1, la direttiva 95/46 ha ad oggetto la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, riguardo al trattamento dei dati personali, nonché l’eliminazione degli ostacoli alla libera circolazione di tali dati.
4 I considerando 2, 7, 10, 18, 20 e 37 della direttiva 95/46 così recitano:
«(2) considerando che i sistemi di trattamento dei dati sono al servizio dell’uomo; che essi, indipendentemente dalla nazionalità o dalla residenza delle persone fisiche, debbono rispettare le libertà e i diritti fondamentali delle stesse, in particolare la vita privata, e debbono contribuire al (…) benessere degli individui;
(…)
(7) considerando che il divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata, garantiti negli Stati membri relativamente al trattamento di dati personali può impedire la trasmissione dei dati stessi fra territori degli Stati membri e che tale divario può pertanto costituire un ostacolo all’esercizio di una serie di attività economiche su scala comunitaria, (…)
(…)
(10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali[, firmata a Roma il 4 novembre 1950,] e dai principi generali del diritto comunitario; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità;
(…)
(18) considerando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, è necessario che qualsiasi trattamento di dati personali effettuato nella Comunità rispetti la legislazione di uno degli Stati membri; (…)
(…)
(20) considerando che la tutela delle persone prevista dalla presente direttiva non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo; che, in tal caso, è opportuno che i trattamenti effettuati siano disciplinati dalla legge dello Stato membro nel quale sono ubicati i mezzi utilizzati per il trattamento in oggetto e che siano prese le garanzie necessarie per consentire l’effettivo rispetto dei diritti e degli obblighi previsti dalla presente direttiva;
(…)
(37) considerando che il trattamento di dati personali a scopi giornalistici o di espressione artistica o letteraria, in particolare nel settore audiovisivo deve beneficiare di deroghe o di limitazioni a determinate disposizioni della presente direttiva ove sia necessario per conciliare i diritti fondamentali della persona con la libertà di espressione ed in particolare la libertà di ricevere o di comunicare informazioni, quale garantita in particolare dall’articolo 10 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali; che pertanto, al fine di stabilire un equilibrio fra i diritti fondamentali, gli Stati membri devono prevedere le deroghe e le limitazioni necessarie in materia di misure generali concernenti la legittimità del trattamento di dati, (…)».
5 L’articolo 2 della direttiva in parola dispone quanto segue:
«Ai fini della presente direttiva si intende per:
a) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); (…)
b) “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;
(…)
d) “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali; (…)
(…)».
6 L’articolo 4 di detta direttiva, intitolato «Diritto nazionale applicabile», così dispone:
«1. Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:
a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;
b) il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico;
c) il cui responsabile, non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea.
2. Nella fattispecie di cui al paragrafo 1, lettera c), il responsabile del trattamento deve designare un rappresentante stabilito nel territorio di detto Stato membro, fatte salve le azioni che potrebbero essere promosse contro lo stesso responsabile del trattamento».
7 L’articolo 9 della direttiva 95/46, intitolato «Trattamento di dati personali e libertà d’espressione», è del seguente tenore:
«Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI solo qualora si rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla libertà d’espressione».
8 L’articolo 12 di tale direttiva, recante il titolo «Diritto di accesso», prevede quanto segue:
«Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento:
(…)
b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati;
(…)».
9 L’articolo 14 della medesima direttiva, intitolato «Diritto di opposizione della persona interessata», così dispone:
«Gli Stati membri riconoscono alla persona interessata il diritto:
a) almeno nei casi di cui all’articolo 7, lettere e) e f), di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. In caso di opposizione giustificata il trattamento effettuato dal responsabile non può più riguardare tali dati;
(…)».
10 L’articolo 24 della direttiva 95/46, rubricato «Sanzioni», prevede quanto segue:
«Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva».
11 L’articolo 28 di detta direttiva, intitolato «Autorità di controllo», è così formulato:
«1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.
(…)
3. Ogni autorità di controllo dispone in particolare:
– di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo;
– di poteri effettivi d’intervento, come quello (…) di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento (…)
(…)
È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio.
4. Qualsiasi persona, o associazione che la rappresenti, può presentare a un’autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alla sua domanda.
(…)
6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro.
Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile.
(…)».
Regolamento (UE) 2016/679
12 Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1 e rettifiche in GU 2016, L 314, pag.72, e in GU 2018, L 127, pag. 3), basato sull’articolo 16 TFUE, ai sensi dell’articolo 99, paragrafo 2, è applicabile a decorrere dal 25 maggio 2018. Il suo articolo 94, paragrafo 1, stabilisce che la direttiva 95/46 è abrogata a decorrere dalla stessa data.
13 I considerando 1, 4, da 9 a 11, 13, da 22 a 25 e 65 di detto regolamento così recitano:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (“Carta”) e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(…)
(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, (…) la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, (…)
(…)
(9) (…) la direttiva [95/46] non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione (…). La compresenza di diversi livelli di protezione (…) negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione (…).
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. (…)
(11) Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.
(…)
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un controllo coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. Per il buon funzionamento del mercato interno è necessario che la libera circolazione dei dati personali all’interno dell’Unione non sia limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. (…)
(…)
(22) Qualsiasi trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione. (…)
(23) Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento, è opportuno che questo disciplini il trattamento dei dati personali degli interessati che si trovano nell’Unione effettuato da un titolare del trattamento o da un responsabile del trattamento non stabilito nell’Unione, quando le attività di trattamento sono connesse all’offerta di beni o servizi a detti interessati indipendentemente dal fatto che vi sia un pagamento correlato. Per determinare se tale titolare o responsabile del trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione. (…)
(24) È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione. Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su [I]nternet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
(25) Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un titolare del trattamento non stabilito nell’Unione.
(…)
(65) Un interessato dovrebbe avere (…) il “diritto all’oblio” se la conservazione di tali dati violi il presente regolamento o il diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento. (…) Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione (…)».
14 L’articolo 3 del regolamento 2016/679, intitolato «Ambito di applicazione territoriale», è formulato come segue:
«1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico».
15 L’articolo 4, punto 23, di tale regolamento definisce il concetto di «trattamento transfrontaliero» come segue:
«a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure
b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro».
16 L’articolo 17 del citato regolamento, intitolato «Diritto alla cancellazione (“diritto all’oblio”)», è formulato nel modo seguente:
«1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
(…)
3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
a) per l’esercizio del diritto alla libertà di espressione e di informazione;
(…)».
17 L’articolo 21 di tale regolamento, rubricato «Diritto di opposizione», al suo paragrafo 1 così prevede:
«L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria».
18 L’articolo 55 del regolamento 2016/679, intitolato «Competenza», che fa parte del capo VI di tale regolamento, a sua volta rubricato «Autorità di controllo indipendenti», prevede quanto segue al paragrafo 1:
«Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro».
19 L’articolo 56 di tale regolamento, intitolato «Competenza dell’autorità di controllo capofila», stabilisce che:
«1. Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60.
2. In deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.
3. Nei casi indicati al paragrafo 2 del presente articolo, l’autorità di controllo informa senza ritardo l’autorità di controllo capofila in merito alla questione. Entro un termine di tre settimane da quando è stata informata, l’autorità di controllo capofila decide se intende o meno trattare il caso secondo la procedura di cui all’articolo 60, tenendo conto dell’esistenza o meno di uno stabilimento del titolare del trattamento o responsabile del trattamento nello Stato membro dell’autorità di controllo che l’ha informata.
4. Qualora l’autorità di controllo capofila decida di trattare il caso, si applica la procedura di cui all’articolo 60. L’autorità di controllo che ha informato l’autorità di controllo capofila può presentare a quest’ultima un progetto di decisione. L’autorità di controllo capofila tiene nella massima considerazione tale progetto nella predisposizione del progetto di decisione di cui all’articolo 60, paragrafo 3.
5. Nel caso in cui l’autorità di controllo capofila decida di non trattarlo, l’autorità di controllo che ha informato l’autorità di controllo capofila tratta il caso conformemente agli articoli 61 e 62.
6. L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento».
20 L’articolo 58 dello stesso regolamento, intitolato «Poteri», prevede, al suo paragrafo 2, quanto segue:
«Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
(…)
g) ordinare (…) la cancellazione di dati personali (…) a norma degli articoli (…) 17 (…);
(…)
i) infliggere una sanzione amministrativa (…) in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso».
21 Nel capo VII del regolamento 2016/679, intitolato «Cooperazione e coerenza», la sezione I, intitolata «Cooperazione», comprende gli articoli da 60 a 62 del regolamento. L’articolo 60, intitolato «Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate», dispone quanto segue:
«1. L’autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell’adoperarsi per raggiungere un consenso. L’autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili.
2. L’autorità di controllo capofila può chiedere in qualunque momento alle altre autorità di controllo interessate di fornire assistenza reciproca a norma dell’articolo 61 e può condurre operazioni congiunte a norma dell’articolo 62, in particolare per lo svolgimento di indagini o il controllo dell’attuazione di una misura riguardante un titolare del trattamento o responsabile del trattamento stabilito in un altro Stato membro.
3. L’autorità di controllo capofila comunica senza ritardo le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni.
4. Se una delle altre autorità di controllo interessate solleva un’obiezione pertinente e motivata al progetto di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l’autorità di controllo capofila, ove non dia seguito all’obiezione pertinente e motivata o ritenga l’obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all’articolo 63.
5. L’autorità di controllo capofila, qualora intenda dare seguito all’obiezione pertinente e motivata sollevata, trasmette un progetto di decisione riveduto alle altre autorità di controllo interessate per ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui al paragrafo 4 entro un termine di due settimane.
6. Se nessuna delle altre autorità di controllo interessate ha sollevato obiezioni al progetto di decisione trasmesso dall’autorità di controllo capofila entro il termine di cui ai paragrafi 4 e 5, si deve considerare che l’autorità di controllo capofila e le autorità di controllo interessate concordano su tale progetto di decisione e sono da esso vincolate.
7. L’autorità di controllo capofila adotta la decisione e la notifica allo stabilimento principale o allo stabilimento unico del titolare del trattamento o responsabile del trattamento, a seconda dei casi, e informa le altre autorità di controllo interessate e il comitato la decisione in questione, compresa una sintesi dei fatti e delle motivazioni pertinenti. L’autorità di controllo cui è stato proposto un reclamo informa il reclamante riguardo alla decisione.
8. In deroga al paragrafo 7, in caso di archiviazione o di rigetto di un reclamo, l’autorità di controllo cui è stato proposto il reclamo adotta la decisione e la notifica al reclamante e ne informa il titolare del trattamento.
9. Se l’autorità di controllo capofila e le autorità di controllo interessate convengono di archiviare o rigettare parti di un reclamo e di intervenire su altre parti di tale reclamo, è adottata una decisione separata per ciascuna di tali parti della questione. (…)
10. Dopo aver ricevuto la notifica della decisione dell’autorità di controllo capofila a norma dei paragrafi 7 e 9, il titolare del trattamento o responsabile del trattamento adotta le misure necessarie per garantire la conformità alla decisione per quanto riguarda le attività di trattamento nel contesto di tutti i suoi stabilimenti nell’Unione. Il titolare del trattamento o responsabile del trattamento notifica le misure adottate per conformarsi alla decisione all’autorità di controllo capofila, che ne informa le altre autorità di controllo interessate.
11. Qualora, in circostanze eccezionali, un’autorità di controllo interessata abbia motivo di ritenere che urga intervenire per tutelare gli interessi degli interessati, si applica la procedura d’urgenza di cui all’articolo 66.
(…)».
22 L’articolo 61 di detto regolamento, intitolato «Assistenza reciproca», così recita al paragrafo 1:
«Le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini».
23 L’articolo 62 del medesimo regolamento, intitolato «Operazioni congiunte delle autorità di controllo», dispone quanto segue:
«1. Se del caso, le autorità di controllo conducono operazioni congiunte, incluse indagini congiunte e misure di contrasto congiunte, cui partecipano membri o personale di autorità di controllo di altri Stati membri.
2. Qualora il titolare del trattamento o responsabile del trattamento abbia stabilimenti in vari Stati membri o qualora esista la probabilità che il trattamento abbia su un numero significativo di interessati in più di uno Stato membro un impatto negativo sostanziale, un’autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle operazioni congiunte. (…)».
24 La sezione 2, intitolata «Coerenza», del capo VII del regolamento 2016/679 comprende gli articoli da 63 a 67 del regolamento medesimo. L’articolo 63, intitolato «Meccanismo di coerenza», è formulato come segue:
«Al fine di contribuire all’applicazione coerente del presente regolamento in tutta l’Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione».
25 L’articolo 65 del presente regolamento, intitolato «Composizione delle controversie da parte del comitato», così dispone al paragrafo 1:
«Al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante nei seguenti casi:
a) se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento;
b) se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale;
(…)».
26 L’articolo 66 del medesimo regolamento, intitolato «Procedura d’urgenza», stabilisce, al paragrafo 1, quanto segue:
«In circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o alla procedura di cui all’articolo 60, adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi. L’autorità di controllo comunica senza ritardo tali misure e la motivazione della loro adozione alle altre autorità di controllo interessate, al comitato e alla Commissione».
27 L’articolo 85 del regolamento 2016/679, intitolato «Trattamento e libertà d’espressione e di informazione», enuncia quanto segue:
«1. Il diritto degli Stati membri concilia la protezione dei dati personali ai sensi del presente regolamento con il diritto alla libertà d’espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria.
2. Ai fini del trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, gli Stati membri prevedono esenzioni o deroghe rispetto ai capi II (principi), III (diritti dell’interessato), IV (titolare del trattamento e responsabile del trattamento), V (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali), VI (autorità di controllo indipendenti), VII (cooperazione e coerenza) e IX (specifiche situazioni di trattamento dei dati) qualora siano necessarie per conciliare il diritto alla protezione dei dati personali e la libertà d’espressione e di informazione.
(…)».
Diritto francese
28 L’attuazione della direttiva 95/46 in diritto francese è garantita dalla loi n. 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (legge n. 78-17 del 6 gennaio 1978, relativa all’informatica, ai file e alle libertà individuali; in prosieguo: la «legge del 6 gennaio 1978») nella versione applicabile ai fatti di cui al procedimento principale.
29 L’articolo 45 della legge prevede che, qualora il responsabile di un trattamento non rispetti gli obblighi derivanti da tale normativa, il Presidente della CNIL può intimargli di porre fine all’inadempimento constatato entro un termine stabilito. Se il responsabile del trattamento non si conforma alla diffida che gli è stata rivolta, la formazione ristretta della CNIL può infliggere, dopo lo svolgimento di una fase in contraddittorio, in particolare, una sanzione pecuniaria.
Procedimento principale e questioni pregiudiziali
30 Con decisione del 21 maggio 2015, la presidente della CNIL, avendo accolto la domanda di una persona fisica diretta a ottenere la soppressione di taluni link dall’elenco di risultati visualizzato in esito a una ricerca effettuata a partire dal suo nome, ha intimato a Google di procedere alla cancellazione richiesta su tutte le estensioni del nome di dominio del suo motore di ricerca.
31 Google si è rifiutata di dar seguito a detta diffida, limitandosi a sopprimere i link di cui trattasi dai soli risultati visualizzati in esito a ricerche effettuate sulle declinazioni del suo motore il cui nome di dominio corrisponde a uno Stato membro.
32 La CNIL ha peraltro reputato insufficiente la proposta complementare di un cosiddetto «blocco geografico», formulata da Google dopo la scadenza del termine fissato nella diffida, consistente nel sopprimere la possibilità di accedere, da un indirizzo IP (Internet Protocol) che si considera localizzato nello Stato di residenza dell’interessato, ai risultati controversi in esito ad una ricerca effettuata a partire dal nome di quest’ultimo, e ciò indipendentemente dalla declinazione del motore di ricerca richiesta dall’utente di Internet.
33 Dopo aver preso atto del fatto che Google non si era conformata alla diffida entro il termine ivi impartito, con deliberazione del 10 marzo 2016, la CNIL ha inflitto a detta società una sanzione, resa pubblica, di EUR 100 000.
34 Con ricorso proposto dinanzi al Conseil d’État (Consiglio di Stato, Francia), Google chiede l’annullamento di detta deliberazione.
35 Il Conseil d’État (Consiglio di Stato) osserva che il trattamento dei dati personali compiuto dal motore di ricerca gestito da Google rientra – tenuto conto delle attività di promozione e di vendita degli spazi pubblicitari esercitate, in Francia, attraverso la sua controllata Google France – nell’ambito di applicazione della legge del 6 gennaio 1978.
36 Il Conseil d’État (Consiglio di Stato) osserva, inoltre, che il motore di ricerca gestito da Google si declina in nomi di dominio diversi attraverso estensioni geografiche, al fine di adattare i risultati visualizzati alle specificità, in particolare linguistiche, dei diversi paesi in cui tale società svolge la propria attività. Allorché la ricerca è effettuata a partire da «google.com», Google procederebbe, in linea di principio, a un reindirizzamento automatico della suddetta ricerca verso il nome di dominio corrispondente allo Stato a partire dal quale si ritiene, in base all’identificazione dell’indirizzo IP dell’utente Internet, che sia stata effettuata la ricerca. Tuttavia, a prescindere dalla sua localizzazione, l’utente di Internet rimane libero di effettuare le proprie ricerche sugli altri nomi di dominio del motore di ricerca. Peraltro, anche se i risultati possono differire a seconda del nome di dominio a partire dal quale viene effettuata la ricerca sul motore in questione, sarebbe pacifico che i link visualizzati in risposta a una ricerca provengono da banche dati e da operazioni di indicizzazione comuni.
37 Il Conseil d’État (Consiglio di Stato) ritiene che, tenuto conto, da un lato, del fatto che i nomi di dominio del motore di ricerca di Google sono tutti accessibili dal territorio francese e, dall’altro, dell’esistenza di applicazioni-ponte (gateway) tra i suddetti diversi nomi di dominio, che illustrano, in particolare, il reindirizzamento automatico, nonché la presenza di marcatori («cookies») su estensioni del motore diverse da quella sulla quale sono stati inizialmente posizionati, tale motore, il quale peraltro è stato oggetto di un’unica dichiarazione presso la CNIL, deve essere considerato come un trattamento unico di dati personali, ai fini dell’applicazione della legge del 6 gennaio 1978. Ne risulterebbe che il trattamento di dati personali da parte del motore di ricerca gestito da Google è eseguito nell’ambito di uno dei suoi stabilimenti, Google France, situato in territorio francese, e che, a tale titolo, è soggetto alla legge del 6 gennaio 1978.
38 Dinanzi al Conseil d’État (Consiglio di Stato), Google sostiene che la sanzione controversa si baserebbe su un’interpretazione erronea delle disposizioni della legge del 6 gennaio 1978 che recepiscono l’articolo 12, lettera b), e l’articolo 14, primo comma, lettera a), della direttiva 95/46, sulla cui base, nella sentenza del 13 maggio 2014, Google Spain e Google (C‑131/12, EU:C:2014:317), la Corte ha riconosciuto un «diritto alla deindicizzazione». Secondo Google, il diritto succitato non comporta necessariamente che i link controversi debbano essere soppressi, senza limitazioni geografiche, in tutti i nomi di dominio del suo motore di ricerca. Inoltre, attenendosi ad un’interpretazione siffatta, la CNIL avrebbe violato i principi di cortesia e di non ingerenza riconosciuti dal diritto internazionale pubblico e leso in modo sproporzionato le libertà d’espressione, d’informazione, di comunicazione e di stampa, garantite, in particolare, dall’articolo 11 della Carta.
39 Avendo constatato che le argomentazioni di cui trattasi sollevano numerose e serie difficoltà sotto il profilo dell’interpretazione della direttiva 95/46, il Conseil d’État (Consiglio di Stato) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se il “diritto alla deindicizzazione”, come sancito dalla [Corte] nella sentenza del 13 maggio 2014, [Google Spain e Google (C‑131/12, EU:C:2014:317),] sulla base delle disposizioni di cui all’articolo 12, lettera b), e all’articolo 14, [primo comma,] lettera a), della direttiva [95/46], debba essere interpretato nel senso che il gestore di un motore di ricerca, nel dare seguito a una richiesta di deindicizzazione, è tenuto ad eseguire tale deindicizzazione su tutti i nomi di dominio del suo motore, affinché i link controversi non appaiano più – indipendentemente dal luogo a partire dal quale viene effettuata la ricerca avviata sul nome del richiedente – e ciò anche al di fuori dell’ambito di applicazione territoriale della direttiva [95/46].
2) In caso di risposta negativa alla prima questione, se il «diritto alla deindicizzazione», come sancito dalla [Corte] nella summenzionata sentenza, debba essere interpretato nel senso che il gestore di un motore di ricerca, nel dare seguito a una richiesta di deindicizzazione, sia tenuto solamente a sopprimere i link controversi che appaiono in esito a una ricerca effettuata a partire dal nome del richiedente sul nome di dominio corrispondente allo Stato in cui si ritiene sia stata effettuata la domanda o, più in generale, sui nomi di dominio del motore di ricerca corrispondenti alle estensioni nazionali di tale motore per tutti gli Stati membri (…).
3) Inoltre se, a complemento degli obblighi richiamati [nella seconda questione], il “diritto alla deindicizzazione”, come sancito dalla [Corte] nella summenzionata sentenza, debba essere interpretato nel senso che il gestore di un motore di ricerca, quando accoglie una richiesta di deindicizzazione, è tenuto a sopprimere, con la cosiddetta tecnica del “blocco geografico”, a partire da un indirizzo IP che si ritiene localizzato nello Stato di residenza del beneficiario del “diritto alla deindicizzazione”, i risultati controversi delle ricerche effettuate a partire dal nome di quest’ultimo, o persino, più in generale, a partire da un indirizzo IP che si ritiene localizzato in uno degli Stati membri assoggettati alla direttiva [95/46], e ciò indipendentemente dal nome di dominio utilizzato dall’utente di Internet che effettua la ricerca».
Sulle questioni pregiudiziali
40 Il procedimento principale trae origine da una controversia tra Google e la CNIL relativa alle modalità con cui il gestore di un motore di ricerca – qualora constati che l’interessato ha il diritto di ottenere che dall’elenco di risultati, che compare in esito a una ricerca effettuata a partire dal suo nome, siano cancellati uno o più link a pagine web contenenti dati personali che lo riguardano – deve dare attuazione al diritto di deindicizzazione. Sebbene alla data di presentazione della domanda di pronuncia pregiudiziale fosse vigente la direttiva 95/46, essa è stata abrogata con effetto dal 25 maggio 2018, data a partire dalla quale è applicabile il regolamento 2016/679.
41 La Corte esaminerà le questioni sollevate tanto alla luce di tale direttiva quanto del suddetto regolamento per garantire che le sue risposte siano, in ogni caso, utili al giudice del rinvio.
42 Nel corso del procedimento dinanzi alla Corte, Google ha dichiarato che, successivamente al rinvio pregiudiziale, ha introdotto una nuova presentazione delle versioni nazionali del suo motore di ricerca, nell’ambito della quale il nome di dominio introdotto dall’utente di Internet non determinerebbe più la versione nazionale del motore di ricerca a cui questi ha accesso. In tal modo, l’utente di Internet sarebbe oramai automaticamente diretto verso la versione nazionale del motore di ricerca Google che corrisponde al luogo a partire dal quale si presume questi stia effettuando la ricerca e i risultati della ricerca sarebbero visualizzati in funzione di tale luogo, il quale sarebbe determinato da Google grazie ad un processo di geolocalizzazione.
43 Occorre pertanto intendere le questioni poste, che è opportuno trattare congiuntamente, nel senso che esse sono dirette a stabilire, in sostanza, se l’articolo 12, lettera b), e l’articolo 14, primo comma, lettera a), della direttiva 95/46 e l’articolo 17, paragrafo 1, del regolamento 2016/679 debbano essere interpretati nel senso che, quando il gestore di un motore di ricerca accoglie una domanda di deindicizzazione ai sensi delle suddette disposizioni, è tenuto ad effettuare quest’ultima su tutte le versioni del suo motore di ricerca o se, al contrario, è tenuto ad effettuare tale deindicizzazione solo sulle versioni del suddetto motore corrispondenti a tutti gli Stati membri, oppure solo su quella corrispondente allo Stato membro in cui è stata presentata la domanda di deindicizzazione, se del caso, in combinazione con l’uso della cosiddetta tecnica del «blocco geografico» per garantire che, nell’ambito di una ricerca effettuata a partire da un indirizzo IP che si ritiene localizzato nello Stato membro di residenza del beneficiario del diritto alla deindicizzazione o, più in generale, in uno Stato membro, un utente di Internet non possa accedere ai link oggetto della deindicizzazione, indipendentemente dalla versione nazionale del motore di ricerca utilizzata.
44 In via preliminare, occorre ricordare che la Corte ha dichiarato che gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita (sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 88).
45 La Corte ha inoltre precisato che, nel valutare i presupposti di applicazione di quelle stesse disposizioni, si deve verificare in particolare se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato. Dato che l’interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli articoli 7 e 8 della Carta, chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, mediante l’inclusione summenzionata, all’informazione di cui trattasi (sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 99).
46 Nell’ambito del regolamento 2016/679, tale diritto dell’interessato alla deindicizzazione si basa ormai sull’articolo 17 del regolamento stesso, che disciplina specificamente il «diritto alla cancellazione», denominato anche, nel titolo di detto articolo, «diritto all’oblio».
47 Ai sensi dell’articolo 17, paragrafo 1, del regolamento 2016/679, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo tali dati, se sussiste uno dei motivi di cui alla disposizione in esame. L’articolo 17, paragrafo 3, di tale regolamento specifica che l’articolo 17, paragrafo 1, non si applica quando il trattamento in questione è necessario per uno dei motivi elencati nella suddetta prima disposizione. Tali motivi riguardano, in particolare, ai sensi dell’articolo 17, paragrafo 3, lettera a), del medesimo regolamento, l’esercizio del diritto relativo, segnatamente, alla libertà d’informazione degli utenti di Internet.
48 Dall’articolo 4, paragrafo 1, lettera a) della direttiva 95/46 e dall’articolo 3, paragrafo 1, del regolamento 2016/679, risulta che tanto la direttiva quanto il regolamento summenzionati consentono agli interessati di far valere il loro diritto alla deindicizzazione nei confronti del gestore di un motore di ricerca che ha uno o più stabilimenti nel territorio dell’Unione, nell’ambito delle attività dei quali effettua un trattamento di dati personali che riguardano tali interessati, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
49 A tal riguardo, la Corte ha affermato che un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una controllata destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro (sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 60).
50 Infatti, in circostanze del genere, le attività del gestore del motore di ricerca e quelle del suo stabilimento situato nell’Unione sono inscindibilmente connesse, dal momento che le attività relative agli spazi pubblicitari costituiscono il mezzo per rendere il motore di ricerca in questione economicamente redditizio e che tale motore è, al tempo stesso, lo strumento che consente lo svolgimento di dette attività, poiché la visualizzazione dell’elenco dei risultati è accompagnata, sulla stessa pagina, da quella di pubblicità correlate ai termini di ricerca (v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punti 56 e 57).
51 Pertanto, il fatto che il suddetto motore di ricerca sia gestito da un’impresa di uno Stato terzo non può avere come conseguenza che il trattamento di dati personali effettuato per le esigenze del funzionamento del motore di ricerca stesso, nel contesto dell’attività pubblicitaria e commerciale di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, venga sottratto agli obblighi e alle garanzie previsti dalla direttiva 95/46 e dal regolamento 2016/679 (v. in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 58).
52 Nel caso di specie, dalle informazioni fornite nella decisione di rinvio risulta, da un lato, che lo stabilimento di cui dispone Google nel territorio francese svolge attività, in particolare attività commerciali e pubblicitarie, che sono inscindibilmente connesse al trattamento di dati personali effettuato per le esigenze del funzionamento del motore di ricerca in questione e, dall’altro, che il suddetto motore di ricerca deve essere considerato – tenuto conto, in particolare, dell’esistenza di applicazioni-ponte (gateway) tra le sue diverse versioni nazionali – un soggetto che procede ad un unico trattamento di dati personali. Il giudice del rinvio ritiene che, in tali circostanze, il suddetto trattamento sia effettuato nel contesto dello stabilimento di Google situato in territorio francese. Appare quindi che tale situazione rientri nell’ambito di applicazione territoriale della direttiva 95/46 e del regolamento 2016/679.
53 Con le sue questioni, il giudice del rinvio mira a determinare la portata territoriale che occorre attribuire a una deindicizzazione in una siffatta situazione.
54 Al riguardo, si evince dal considerando 10 della direttiva 95/46 e dai considerando 10, 11 e 13 del regolamento 2016/679, che è stato adottato sulla base dell’articolo 16 TFUE, che l’obiettivo della direttiva e del regolamento suddetti è quello di garantire un elevato livello di protezione dei dati personali in tutta l’Unione.
55 È vero che una deindicizzazione effettuata su tutte le versioni di un motore di ricerca è idonea a soddisfare pienamente tale obiettivo.
56 Internet è infatti una rete globale senza frontiere e i motori di ricerca conferiscono ubiquità alle informazioni e ai link contenuti in un elenco di risultati visualizzato a seguito di una ricerca effettuata a partire dal nome di una persona fisica (v., in tal senso, sentenze del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 80, e del 17 ottobre 2017, Bolagsupplysningen e Ilsjan, C‑194/16, EU:C:2017:766, punto 48).
57 In un mondo globalizzato l’accesso da parte degli utenti di Internet, in particolare quelli localizzati al di fuori dell’Unione, all’indicizzazione di un link, che rinvia a informazioni concernenti una persona il cui centro di interessi si trova nell’Unione, può quindi produrre effetti immediati e sostanziali sulla persona in questione anche all’interno dell’Unione.
58 Tali considerazioni sono atte a giustificare l’esistenza di una competenza del legislatore dell’Unione a prevedere un obbligo, per il gestore di un motore di ricerca, di procedere, quando accoglie una richiesta di deindicizzazione formulata da una persona siffatta, alla deindicizzazione su tutte le versioni del suo motore di ricerca.
59 Occorre, tuttavia, sottolineare che molti Stati terzi non riconoscono il diritto alla deindicizzazione o comunque adottano un approccio diverso per tale diritto.
60 Inoltre, il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità [v., in tal senso, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert, C‑92/09 e C‑93/09, EU:C:2010:662, punto 48, nonché parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 136]. A ciò si aggiunge che l’equilibrio tra il diritto al rispetto della vita privata e alla protezione dei dati personali, da un lato, e la libertà di informazione degli utenti di Internet, dall’altro, può variare notevolmente nel mondo.
61 Orbene, pur se il legislatore dell’Unione, nell’articolo 17, paragrafo 3, lettera a), del regolamento 2016/679, ha effettuato un bilanciamento tra tale diritto e tale libertà per quanto concerne l’Unione [v., in tal senso, sentenza in data odierna, GC e a. (Deindicizzazione dei dati sensibili), C‑136/17, punto 59], si deve necessariamente constatare che, d’altro lato, esso non ha, allo stato attuale, proceduto a tale bilanciamento per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione.
62 In particolare, dal tenore letterale delle disposizioni dell’articolo 12, lettera b), e dell’articolo 14, primo comma, lettera a), della direttiva 95/46 o dell’articolo 17 del regolamento 2016/679 non risulta affatto che il legislatore dell’Unione abbia scelto, al fine di garantire la realizzazione dell’obiettivo menzionato al punto 54 della presente sentenza, di attribuire ai diritti sanciti da tali disposizioni una portata che vada oltre il territorio degli Stati membri e che abbia inteso imporre a un operatore che, come Google, rientra nell’ambito di applicazione della direttiva o del regolamento suddetti, un obbligo di deindicizzazione riguardante anche le versioni nazionali del suo motore di ricerca che non corrispondono agli Stati membri.
63 Inoltre, mentre il regolamento 2016/679 fornisce, agli articoli 56 e da 60 a 66, alle autorità di controllo degli Stati membri gli strumenti e i meccanismi che consentono loro, se del caso, di cooperare per raggiungere una decisione comune basata su un bilanciamento tra, da un lato, il diritto alla tutela della vita privata dell’interessato e la protezione dei dati personali che lo riguardano e, dall’altro, l’interesse del pubblico di diversi Stati membri ad avere accesso alle informazioni, si deve necessariamente rilevare che il diritto dell’Unione non prevede attualmente strumenti e meccanismi di cooperazione siffatti per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione.
64 Ne consegue che, allo stato attuale, non sussiste, per il gestore di un motore di ricerca che accoglie una richiesta di deindicizzazione presentata dall’interessato, eventualmente, a seguito di un’ingiunzione di un’autorità di controllo o di un’autorità giudiziaria di uno Stato membro, un obbligo, derivante dal diritto dell’Unione, di effettuare tale deindicizzazione su tutte le versioni del suo motore.
65 Alla luce di tutte le suesposte considerazioni, il gestore di un motore di ricerca non può essere tenuto, ai sensi dell’articolo 12, lettera b) e dell’articolo 14, primo comma, lettera a), della direttiva 95/46 e dell’articolo 17, paragrafo 1, del regolamento 2016/679, a procedere ad una deindicizzazione in tutte le versioni del suo motore.
66 Per quanto riguarda la questione se una deindicizzazione del genere debba essere effettuata nelle versioni del motore di ricerca corrispondenti agli Stati membri o nella sola versione di tale motore corrispondente allo Stato membro di residenza del beneficiario della deindicizzazione, dal fatto, in particolare, che il legislatore dell’Unione ha ormai scelto di fissare le norme sulla protezione dei dati mediante un regolamento, direttamente applicabile in tutti gli Stati membri, e ciò, come sottolineato dal considerando 10 del regolamento 2016/679, al fine di assicurare un livello coerente ed elevato di protezione in tutta l’Unione e di rimuovere gli ostacoli alla circolazione dei dati all’interno della stessa risulta che si ritiene che la deindicizzazione in questione sia da effettuare, in linea di principio, per tutti gli Stati membri.
67 È tuttavia importante rilevare che l’interesse del pubblico ad accedere alle informazioni può, anche all’interno dell’Unione, variare da uno Stato membro all’altro, cosicché il risultato del bilanciamento da realizzare tra tale interesse, da un lato, e i diritti alla tutela della vita privata e alla protezione dei dati personali dell’interessato, dall’altro, non è necessariamente identico per tutti gli Stati membri, tanto più che, ai sensi dell’articolo 9 della direttiva 95/46 e dell’articolo 85 del regolamento 2016/679, spetta agli Stati membri prevedere, in particolare per il trattamento a fini esclusivamente giornalistici o di espressione artistica o letteraria, le esenzioni e le deroghe necessarie per conciliare tali diritti con, in particolare, la libertà di informazione.
68 Dagli articoli 56 e 60 del regolamento 2016/679 risulta, in particolare, che, per i trattamenti transfrontalieri, ai sensi dell’articolo 4, punto 23, del suddetto regolamento, e fatto salvo l’articolo 56, paragrafo 2, le varie autorità di controllo nazionali considerate devono cooperare, secondo la procedura prevista da tali disposizioni, al fine di raggiungere un consenso e una decisione unica che vincoli tutte queste autorità, il cui rispetto deve essere garantito dal responsabile del trattamento per quanto riguarda le attività di trattamento effettuate nell’ambito di tutti i suoi stabilimenti nell’Unione. Inoltre, l’articolo 61, paragrafo 1, del regolamento 2016/679 obbliga le autorità di controllo a scambiarsi, in particolare, le informazioni utili e a prestarsi l’assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente in tutta l’Unione e l’articolo 63 di tale regolamento prevede a tal fine il meccanismo di coerenza, di cui agli articoli 64 e 65 del medesimo regolamento. Infine, la procedura d’urgenza di cui all’articolo 66 del regolamento 2016/679 consente – in circostanze eccezionali, qualora un’autorità di controllo interessata ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati – di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi.
69 Tale quadro normativo fornisce pertanto alle autorità di controllo nazionali gli strumenti e i meccanismi necessari per conciliare i diritti alla tutela della vita privata e alla protezione dei dati personali dell’interessato con l’interesse di tutto il pubblico degli Stati membri all’accesso alle informazioni in questione e, quindi per adottare, se del caso, una decisione di deindicizzazione che riguardi tutte le ricerche effettuate in base al nome di tale persona a partire dal territorio dell’Unione.
70 È compito, inoltre, del gestore del motore di ricerca adottare, se necessario, misure sufficientemente efficaci per garantire una tutela effettiva dei diritti fondamentali della persona interessata. Tali misure devono soddisfare tutte le esigenze giuridiche e avere l’effetto di impedire agli utenti di Internet negli Stati membri di avere accesso ai link in questione a partire da una ricerca effettuata sulla base del nome di tale persona o, perlomeno, di scoraggiare seriamente tali utenti(v., per analogia, sentenze del 27 marzo 2014, VUPC Telekabel Wien, C‑314/12, EU:C:2014:192, punto 62 e del 15 settembre 2016, Mc Fadden, C‑484/14, EU:C:2016:689, punto 96).
71 Spetta al giudice del rinvio verificare se, alla luce anche delle recenti modifiche apportate al suo motore di ricerca, menzionate al punto 42 della presente sentenza, le misure adottate o proposte da Google soddisfino tali esigenze.
72 Occorre infine sottolineare che il diritto dell’Unione, pur se – come rilevato al punto 64 della presente sentenza – non impone, allo stato attuale, che la deindicizzazione accolta verta su tutte le versioni del motore di ricerca in questione, neppure lo vieta. Pertanto, un’autorità di controllo o un’autorità giudiziaria di uno Stato membro resta competente ad effettuare, conformemente agli standard nazionali di protezione dei diritti fondamentali (v., in tal senso, sentenze del 26 febbraio 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punto 29, e del 26 febbraio 2013, Melloni, C‑399/11, EU:C:2013:107, punto 60), un bilanciamento tra, da un lato, il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e, dall’altro, il diritto alla libertà d’informazione e, al termine di tale bilanciamento, richiedere, se del caso, al gestore di tale motore di ricerca di effettuare una deindicizzazione su tutte le versioni di suddetto motore.
73 Alla luce di tutto quel che precede, occorre rispondere alle questioni poste dichiarando che l’articolo 12, lettera b), e l’articolo 14, primo comma, lettera a), della direttiva 95/46 e l’articolo 17, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione in applicazione delle suddette disposizioni, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti.
Sulle spese
74 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
L’articolo 12, lettera b), e l’articolo 14, primo comma, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 17, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione in applicazione delle suddette disposizioni, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti.
Firme