Horror va cui: le ricadute penali della sentenza CGCE sul diritto all'oblio

AutoreStefano Ricci
Pagine74-79
74
giur
1/2015 Rivista penale
LEGITTIMITÀ
hoRRoR VAcuI: LE RIcAduTE
PENALI dELLA SENTENzA
cgcE SuL dIRITTo ALL’obLIo
di Stefano Ricci
SOMMARIO
1. Premessa. 2. I principi enunciati. 3. La Legge applicabile.
4. Il titolare e il trattamento dei dati. 5. Il diritto all’oblio. 6.
Prof‌ili di diritto penale interno.
1. Premessa
Come noto, con sentenza 13 maggio 2014, causa C-131/12,
la Corte di Giustizia Europea ha deciso su tre questioni
pregiudiziali sollevate dall’Audiencia Nacional spagnola in
un caso che vedeva coinvolti Google Inc. e Google Spain, da
una parte, e l’Autorità Garante spagnola (AEPD) dall’altra.
In questo breve commento analizzeremo i principi enunciati
dalla Corte e le prime ricadute in termini di diritto penale,
con particolare attenzione alla posizione del Garante italia-
no per la protezione dei dati personali rispetto alle temati-
che affrontate nella pronuncia in esame.
2. I principi enunciati
Dovendo sintetizzare il contenuto nella pronuncia della
Corte, possono enuclearsi quattro principi, che verranno
analizzati separatamente.
In particolare, la Corte ha stabilito che:
a) a Google, quale società che gestisce il motore di
ricerca oggetto del procedimento, si applica la disciplina
europea sulla data protection;
b) nell’organizzare, indicizzare e rendere disponibili i
contenuti presenti su Internet, il gestore del motore di ricer-
ca effettua un vero e proprio trattamento di dati personali
ulteriore e diverso rispetto a quello del Content Provider;
c) di questo trattamento l’Internet service provider è
titolare/responsabile;
d) quale logica conseguenza, ciascun interessato può
chiedere la cancellazione dei dati non più rilevanti al tito-
lare del trattamento e quindi ciascun interessato può far
valere il proprio diritto all’oblio direttamente nei confronti
del gestore del motore di ricerca.
I principi sopra descritti saranno approfonditi nei pros-
simi punti; per ciascuno verranno affrontate le principali
questioni penalistiche ad esso connesse.
3. La Legge applicabile
Il tema che qui preliminarmente vale affrontare è quello
che nell’ordine di trattazione della Corte, in realtà, è al se-
condo posto. Solo a partire dal punto 42 della sentenza, in-
fatti, si affronta la questione della disciplina applicabile. In
sostanza, la soluzione adottata dai Giudici del Lussemburgo
sulla legge applicabile discende dalla puntuale analisi del-
l’attività concreta svolta dall’Internet Service Provider.
Per inquadrare la problematica della legge applicabile
con riferimento ai principi comunitari ed italiani, occorre
ricordare che, ai sensi dell’art. 5 comma 1 del D.L.vo 30
giugno 2003, n. 196 (d’ora in avanti Codice Privacy), la
disciplina italiana si applica al “trattamento di dati per-
sonali, anche detenuti all’estero, effettuato da chiunque è
stabilito nel territorio dello Stato o in un luogo comunque
soggetto alla sovranità dello Stato.” La direttiva europea
95/46/CE in materia di protezione dei dati personali, dalla
quale tale principio discende, al diciannovesimo conside-
rando stabilisce che “lo stabilimento nel territorio di uno
Stato membro implica l’esercizio effettivo e reale dell’atti-
vità mediante un’organizzazione stabile”.
Criterio alternativo previsto dalla normativa vigente,
non analizzato dalla Corte, è quello dell’utilizzo di stru-
menti siti nell’Unione Europea da parte del titolare/re-
sponsabile non stabilito nel territorio della Comunità. Tali
strumenti possono essere automatizzati o non automatiz-
zati e devono essere situati nel territorio di detto Stato
membro, a meno che questi non siano utilizzati ai soli f‌ini
di transito nel territorio della Comunità europea (1).
Per affermare l’applicabilità della disciplina sulla data
protection europea la Corte utilizza dunque il primo crite-
rio: come si vedrà al successivo paragrafo 3 e come abbia-
mo anticipato, secondo i Giudici il gestore del motore di
ricerca, nel rendere disponibili informazioni tratte dai siti
fornitori di contenuti presenti in Internet, tratta in modo
autonomo dati personali. Nel contesto di questa attività
di trattamento, preso atto che il gestore è stabilito in un
Paese esterno all’Unione Europea, la Corte evidenzia il
ruolo delle varie società “satellite” che supportano l’attività
della casa madre: Google Spain, rileva la Corte, vende spazi
pubblicitari che verranno associati ai termini di ricerca;
l’attività commerciale effettivamente e realmente svolta
in Europa, pertanto, è strettamente connessa e certo non
scindibile da quella di indicizzazione, memorizzazione e
messa a disposizione dei dati, poiché la combinazione di
entrambe caratterizza il funzionamento dell’Internet Ser-
vice Provider – in questo caso Google. Si afferma, cioè, che
l’attività del gestore è composta di entrambe le componenti
e che senza l’una l’altra non esisterebbe. Associando il trat-
tamento di dati personali svolto da Google Inc., società sta-
bilita al di fuori dell’Unione Europea, all’attività economica
svolta da Google Spain, società stabilita in Europa, la Cor-
te, al punto numero cinquantasette, afferma che “Poiché la
suddetta visualizzazione di risultati è accompagnata, sulla
stessa pagina, da quella di pubblicità correlate ai termini
di ricerca, è giocoforza constatare che il trattamento di
dati personali in questione viene effettuato nel contesto
dell’attività pubblicitaria e commerciale dello stabilimento
del responsabile del trattamento nel territorio di uno Stato
membro, nella fattispecie il territorio spagnolo”.

Per continuare a leggere

RICHIEDI UNA PROVA

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT