In materia di privacy, due delle definizioni più note, contenute all’art. 4 del D. Lgs. 196/2003 (codice privacy), sono certamente quella di “trattamento” – con cui si intende “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l´organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l´utilizzo, l´interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati” – e quella di “titolare” – che coincide con la “persona fisica, giuridica, pubblica amministrazione e qualsiasi altro ente, cui competono le decisioni in ordine alle finalità, modalità del trattamento dei dati personali ed agli strumenti utilizzati ivi compreso il profilo della sicurezza”.
Se, in generale, non si pongono particolari difficoltà a configurare la titolarità del trattamento in capo ad un soggetto e a qualificare le attività svolte quali operazioni di trattamento di dati (con conseguente necessità di applicare la normativa in materia di protezione dei dati personali), ci sono degli ambiti in cui possono nascere dei dubbi.
Così, ad esempio, con riferimento ai gestori di motori di ricerca e alle operazioni da loro effettuate.
Lo svolgimento dell’attività del motore di ricerca (consistente – come noto – nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza), può configurarsi quale trattamento? E la società che gestisce un tale servizio può ritenersi Titolare dei dati personali contenuti nelle pagine web da essa indicizzata?
Proprio su tale questione è intervenuta la Corte di giustizia dell’UE, con la recente – e ormai ben nota – sentenza del 13 maggio 2014.
La Corte, chiamata a intervenire su alcune questioni pregiudiziali, sollevate dalla Audenzia Nacional, nell’ambito di una controversia che vedeva contrapposte le società Google Spain e Google Inc all’Agencia Española de Protección de Datos (AEPD) e al sig. González, ritiene che sia effettivamente possibile far rientrare l’attività del motore di ricerca nella nozione di “trattamento dati” e considerare la Società che gestisce il servizio “ titolare” del trattamento.
In ordine al primo aspetto, ossia alla possibile configurabilità di un “trattamento”, la Corte infatti, seguendo anche le indicazioni fornite dall’Avvocato Generale nelle sue conclusioni, ritiene che l’attività svolta dal motore di ricerca rientri certamente nella nozione di “trattamento” individuata nella direttiva 95/46, evidenziando, sul punto, che “esplorando Internet in modo automatizzato, costante e sistematico alla ricerca delle informazioni ivi pubblicate” – tra cui anche dati personali – “il motore di ricerca «raccoglie» dati siffatti, che egli «estrae», «registra» e «organizza» successivamente nell’ambito dei suoi programmi di indicizzazione, «conserva» nei suoi server e, eventualmente, «comunica» e «mette a disposizione» dei propri utenti sotto forma di elenchi dei risultati delle loro ricerche”.
Operazioni che – come rilevato dalla Corte – devono essere qualificate come trattamento, “senza che rilevi il fatto che il gestore del motore di ricerca applichi le medesime operazioni anche ad altri tipi di informazioni e non distingua tra queste e i dati personali” – argomentazione utilizzate invece, nel caso in questione, da Google Spain e Google Inc. nel tentativo di escludere l’attività svolta dal motore di ricerca dalla nozione di trattamento appunto.
In ordine al secondo e centrale interrogativo, ossia alla possibilità di individuare in capo al gestore del motore di ricerca la titolarità del trattamento, la Corte rileva che “è il gestore del motore di ricerca a determinare le finalità e gli strumenti” dell’attività svolta “e dunque del trattamento di dati personali che egli stesso effettua nell’ambito dell’attività medesima, ed è di conseguenza lui a dover essere considerato come il «responsabile» di tale trattamento” (ossia “Titolare”, secondo la terminologia adoperata nel nostro codice privacy).
Le argomentazioni poste dalla Corte a sostegno di una tale decisione sono in realtà aperte a molteplici critiche, alcune delle quali, peraltro, derivano dalle stesse considerazioni che erano state svolte dall’Avvocato generale, il quale, sul punto, aveva espresso infatti un convincimento diverso da quello poi seguito dalla Corte.
Ed infatti l’Avvocato, nelle proprie conclusioni, aveva chiaramente indicato che, salvo alcuni casi specifici, il fornitore di servizi di motore di ricerca su Internet svolge di fatto un´attività meccanica di indicizzazione di dati e offre uno strumento di localizzazione delle informazioni, non esercitando però alcun controllo sui dati personali contenuti in pagine web di terzi.
La Corte invece ritiene che “il fatto di escludere dalla nozione (di Titolare) il gestore di un motore di ricerca per il motivo che egli non esercita alcun controllo sui dati personali pubblicati sulle pagine web di terzi” sarebbe contrario “non soltanto al chiaro tenore letterale di tale disposizione, ma anche alla sua finalità – consistente nel garantire, mediante un’ampia definizione della nozione di «responsabile», una tutela efficace e completa delle persone interessate”.
Discutibile in realtà la scelta della Corte di motivare – o forse giustificare – la decisione di configurare la titolarità del trattamento in capo al motore di ricerca, anche in assenza di un suo effettivo controllo sui dati, a fronte dell’esigenza di assicurare un’ampia tutela degli interessati, potendosi sul punto richiamare infatti anche quanto indicato dal Gruppo di lavoro Articolo 29 nel Parere 1/2010, in cui viene indicato, quale elemento centrale per valutare la titolarità, proprio il potere di controllo e l’“influenza effettiva”.
Senza alcuna pretesa di poter esaminare tutti gli aspetti critici legati alla pronuncia della Corte, occorre però evidenziare che la sentenza de qua è certamente destinata a far discutere, non solo per le argomentazioni con cui è giunta alle conclusioni esposte, ma anche per l’evidente impatto concreto derivante da quanto in essa stabilito.
Infatti, affermare che Google (e quindi anche gli altri motori di ricerca) siano titolari dei dati indicizzati significa che essi dovranno svolgere la propria attività di raccolta e indicizzazione di informazioni nel rispetto degli obblighi specificamente previsti dalla normativa in materia di privacy e, in particolare – volendo evidenziare solo uno dei molteplici aspetti di rilievo – dar corso alle richieste di cancellazione dei dati provenienti da ogni singolo interessato, sopprimendo, dall’elenco dei risultati che appare a seguito di una ricerca, i link verso pagine web pubblicate da terzi e contenenti informazioni relative alla persona richiedente; e ciò – come evidenziato dalla Corte – anche nel caso in cui tale nome o tali informazioni non vengano cancellati dalle pagine web di cui trattasi e anche quando la loro pubblicazione su tali pagine sia di per sé lecita.
Inevitabile chiedersi quale sarà la reazione di Google a tale pronuncia della Corte e come concretamente i motori di ricerca affronteranno le innumerevoli richieste che verosimilmente li investiranno già dai prossimi giorni.