“In tema di trattamento dei dati personali, la tutela spettante all’interessato, strettamente connessa ai diritti della riservatezza e all’identità personale e preordinata a garantirne la dignità personale dell’individuo, ai sensi dell’art. 3, comma 1, e dell’art. 2, Cost., che si esprime nel cosiddetto “diritto all’oblio”, consente, in conformità al diritto dell’Unione Europea, alle autorità italiane, ossia al Garante per la protezione dei dati personali e al giudice, di ordinare al gestore di un motore di ricerca di effettuare una deindicizzazione su tutte le versioni, anche extraeuropee, del suddetto motore, previo bilanciamento tra il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e il diritto alla libertà d’informazione, da operarsi secondo gli standard di protezione dell’ordinamento italiano”.
Con l’enunciazione di tale principio di diritto, la Prima sezione civile della Corte di Cassazione (Pres. Genovese, Rel. Scotti), ordinanza n. 34658 del 15 novembre 2022, si è recentemente pronunciata in tema di diritto all’oblio e, in particolare, sulla legittimità dell’ordine emesso dal Garante italiano per la protezione dei dati personali (in seguito “Garante Privacy”) che abbia ad oggetto l’obbligo per il motore di ricerca di effettuare la deindicizzazione globale (cd. “global delisting”), ossia la rimozione di uno o più URL (“Uniform Resource Locator”) anche nelle versioni extraeuropee del motore di ricerca.
Il diritto all’oblio rappresenta, invero, un tema noto, sul quale si è formata, negli anni, una giurisprudenza consolidata, a partire dalla celebre sentenza della Grande Sezione della Corte di Giustizia dell’Unione Europea del 13 maggio 2014, Google Spain SL, Google Inc./Agencia de Protecciòn de Datos (AEPD), Mario Costeja Gonzàlez, che, oltre ad aver sancito la responsabilità del gestore di un motore di ricerca per i dati personali che appaiono su pagine web pubblicate da terzi, ha altresì elaborato numerosi indici e criteri interpretativi utili nell’ambito del necessario e complesso bilanciamento tra due interessi contrapposti: l’interesse generale all’informazione e il diritto dell’individuo ad essere dimenticato.
Il rilievo di tale operazione nella prassi è evidente e la sentenza in commento ricostruisce coerentemente l’evoluzione di tale giurisprudenza; i principi ricavati dall’esame dei provvedimenti emanati, sia a livello comunitario che nazionale, sono stati applicati dalla Cassazione ai fini della soluzione di un quesito ulteriore e relativo a quale sia l’ambito effettivo, sul piano territoriale, del diritto di deindicizzazione esercitabile dall’interessato nei confronti del motore di ricerca, dunque, dell’ordine emesso dalla autorità competente che accerti la violazione del predetto diritto e ne imponga il rispetto.
Il caso e la decisione della Cassazione
Il caso traeva origine dalla richiesta avanzata da un professionista ed ex dirigente, che dopo l’archiviazione di una indagine penale in cui era stato coinvolto, aveva chiesto al Garante Privacy la totale deindicizzazione delle relative notizie. Tale richiesta veniva accolta dal Garante Privacy, il quale aveva ordinato a Google di rimuovere gli URL “oggetto di richiesta anche dalle versioni extraeuropee del motore di ricerca”, avendo accertato che Google aveva già “spontaneamente provveduto alla rimozione degli URL dalle versioni europee del suo motore in accoglimento della richiesta dell'interessato”. L’interesse del professionista ad ottenere una deindicizzazione completa era del resto comprovata dal fatto che lo stesso risedeva a Dubai ed operava professionalmente al di fuori del territorio dell’Unione europea.
La questione passava, dunque, al vaglio della Cassazione, su ricorso presentato dalla difesa del Garante Privacy, avverso la sentenza del Tribunale di Milano che aveva invece accolto nel merito le istanze avanzate dal gestore del motore di ricerca, limitando l’ordine di rimozione alle sole versioni nazionali del motore di ricerca corrispondenti agli Stati Membri dell’UE.
Premesso che la decisione muove dal quadro normativo antecedente all’entrata in vigore del Regolamento UE n. 679/2016 (cd. “GDPR”), ossia quello della Direttiva 95/46/CE ratione temporis applicabile al caso di specie – che tuttavia non presentava differenze sostanziali rispetto alla fonte applicabile ai giorni nostri – la Corte di Cassazione ha accolto in toto i motivi di ricorso del Garante Privacy facendo applicazione dei principi emersi da due sentenze della Corte di Giustizia dell’Unione europea (in seguito “CGUE”): la prima, sentenza C-507/2017 del 24.9.2019 (cd. “caso CNIL”); la seconda, sentenza C-18/08 del 3.10.2019 (cd. “caso Glawischnig”).
Ricapitolando: mentre con la seconda sentenza (caso Glawischnig) i giudici di Lussemburgo avevano ritenuto che il prestatore di servizi di hosting potesse essere destinatario di un ordine diretto a rimuovere le informazioni oggetto dell’ingiunzione a livello mondiale; nel primo caso (caso CNIL), la stessa CGUE aveva escluso che la deindicizzazione potesse avvenire su base globale, limitandosi gli obblighi di deindicizzazione del motore di ricerca all’ambito territoriale dei soli Stati membri.
A fronte di un potenziale conflitto tra le conclusioni a cui sono pervenuti, a distanza di pochi mesi, i giudici di Lussemburgo, in realtà, la Cassazione rileva in motivazione che la sentenza del caso CNIL non dovesse essere interpretata in via restrittiva poiché, come emerge da un passaggio di tale decisione (paragrafo n. 72), la CGUE aveva chiaramente ammesso che il diritto comunitario, pur non imponendo allo stato attuale che la deindicizzazione accolta verta su tutte le versioni del motore di ricerca in questione, neppure lo esclude.
Sulla base di tale apertura, la Cassazione ha, pertanto, motivato che ciascuno Stato membro è libero di effettuare, conformemente agli standard nazionali di protezione dei diritti fondamentali, un bilanciamento tra il diritto dell’interessato alla tutela della vita privata e alla protezione dei dati personali e il diritto alla libertà d’informazione che consenta di chiedere a Google una deindicizzazione su tutte le versioni del motore stesso, incluse quelle extraeuropee (non essendo peraltro necessaria la sottoposizione di questione pregiudiziale interpretativa alla Corte di Giustizia, essendo il tema già stato ampiamente interpretato dai giudici comunitari nelle decisioni sin qui richiamate).
In chiusura, la Cassazione ha ribadito che la normativa privacy contenuta nel D. Lgs. 196/2003 (“Codice Privacy”) – anche nella versione applicabile ratione temporis antecedente alle modifiche apportate dal D. Lgs. 101/2018 - è preordinata alla tutela della dignità personale dell’interessato, ai sensi dell’art. 3, comma 1, Cost.; e che proprio in virtù dei diritti e delle libertà fondamentali tutelate, all’esito del predetto bilanciamento di interessi costituzionali, per l’ordinamento italiano, “a fronte delle modalità liquide e pervasive della circolazione dei dati sulla rete di Internet, non è consentita una limitazione della tutela assicurata alla riservatezza e protezione dei dati personali mediante deindicizzazione alle sole versioni dei motori di ricerca corrispondenti a tutti gli Stati membri dell’Unione europea”.
Dott. Lorenzo Baudino Bessone
