Limitare il diritto all’oblio è un rischio
La Corte di giustizia ha adottato una decisione molto attesa sui limiti territoriali dell’ordine di deindicizzazione dei link lesivi del diritto all’oblio, emerso quale “nuovo” diritto nell’era digitale nella ormai leggendaria decisione Google Spain dell’aprile del 2014. In quell’occasione si aveva avuto modo di sostenere sul Sole24Ore che la sentenza del 2014 aveva almeno due punti deboli. Da una parte, il fatto che i giudici europei avessero di fatto attribuito un ruolo para-costituzionale al motore di ricerca, vero e proprio arbitro dei conflitti tra diritti fondamentali.
Dall’altra, la circostanza che i giudici di Lussemburgo, proprio con riferimento alla tutela dei diritti in gioco, avessero di fatto creato una gerarchia tra privacy digitale e diritto a essere informati, statuendo che, di regola, salvi casi particolari, la prima doveva considerarsi prevalente sul secondo.
A più di 5 anni di distanza, la Corte di giustizia sembra specialmente impegnata a voler rimediare a tali debolezze argomentative, e seguendo l’orientamento dell’Avvocato generale, decide che, allo stato attuale, non sussiste, per il gestore di un motore di ricerca che accoglie una richiesta di deindicizzazione presentata dall’interessato, un obbligo, fondato sul diritto dell’Unione europea, di effettuare tale deindicizzazione su tutte le versioni del suo motore. Il che vuol dire, in sintesi, che l’obbligo di rimozione è limitato ai confini dell’Unione e non ha natura globale.
È comprensibile da parte dei giudici europei la volontà di attenuare le implicazioni di Google Spain, assai rilevanti per il diritto costituzionale di internet, ma non si è convinti che la strada prescelta sia quella più indicata.
All’indomani della decisione del 2014, infatti, si era subito posto il problema, la cui soluzione effettivamente non emergeva chiaramente dal testo della stessa decisione, se la natura dell’ordine di rimozione dei link lesivi del diritto all’oblio dell’utente avesse una natura limitata al solo territorio europeo o invece spiegasse effetti di matrice globale.
Sul punto si erano avute due risposte diametralmente opposte. Da una parte, l’advisory Council nominato, per l’occasione, dallo stesso Google, aveva proposto, non con sorpresa eccessiva, di limitare tale ordine ai confini dell’Unione europea. Dall’altra parte, il Working Party Article 29, un organismo consultivo indipendente, composto, tra gli altri, da un rappresentante delle varie Autorità garanti nazionali (oggi sostituito dal Comitato europeo per la protezione dei dati) aveva invece affermato che, al fine di tutelare adeguatamente e effettivamente i diritti degli utenti titolari del diritto alla protezione dati, l’ordine non doveva essere limitato ai domini europei (ad esempio, “.it”, “.eu”, ecc.) ma doveva considerarsi applicabile a tutti domini rilevanti, compreso il “.com”.
La Corte decide di non seguire l’interpretazione proposta dall’organo indipendente dell’Unione europea in quanto, pur condividendo che «in un mondo globalizzato l’accesso da parte degli utenti di Internet, in particolare quelli localizzati al di fuori dell’Unione, all’indicizzazione di un link, che rinvia a informazioni concernenti una persona il cui centro di interessi si trova nell’Unione, può produrre effetti immediati e sostanziali sulla pena in questione anche all’interno dell’Unione», aggiunge che «che molti Stati terzi non riconoscono il diritto alla deindicizzazione o comunque adottano un approccio diverso per tale diritto».
Innegabile verità, ma tale differenza è dovuta al fatto che nel 2014 si è voluta operare, come si diceva, un’accelerazione relativa all’enforcement europeo della privacy digitale, facendone il nucleo duro, inviolabile, del costituzionalismo europeo in materia di protezione dei dati personali.
Ed un diritto, per essere davvero preso sul serio, deve non essere aggirabile, come ammoniva il Working Party nel parere prima ricordato e come la stessa Corte di giustizia ricorda quando fa riferimento, nella decisione che si commenta, agli effetti immediati e sostanziali sulla sfera giuridica dell’utente europeo, a prescindere dal confine territoriale dell’informazione rilevante.
Si aggiunga che tanti ordinamenti extra-europei, pur evidentemente non toccati dagli effetti della decisione del 2014, avevano iniziato ad applicare spontaneamente il portato di quella sentenza, come recentemente hanno fatto i giudici canadesi.
Vi è stata, in altre parole, una “migrazione” spontanea dell’idea della deindicizzazione oltre i confini europei che ha confermato il ruolo di modello di riferimento dell’Unione europea in tema di protezione dei dati. Ora la Corte di giustizia fa un passo indietro rispetto a questo modello, con una argomentazione in parte condivisibile, legata in qualche modo alla necessità di rimediare agli errori precedenti, nella convinzione che «il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità».
Motivazione in parte condivisibile, ma non coerente con quella visione dato-centrica che ha caratterizzato l’ultima giurisprudenza rilevante del giudice europeo, e che ha consentito di esportare con successo alcune novità del Gdpr dall’altra parte dell’Atlantico. Oggi questa decisione sa più di soluzione di compromesso che però, paradossalmente rischia di innalzare, più che estendere, i ponti levatoi della fortezza europea in materia di protezione dati, che rimane sì inespugnabile al suo interno, ma un unicum di fatto non replicabile né esportabile a detta della Corte di giustizia.
Non solo, ma è quasi paradossale che proprio sul territorio europeo, culla della rule of law, si assista ancora alla anomala attribuzione a un operatore privato del ruolo di arbitro tra i diritti fondamentali in gioco. Era questo il punto più controverso, specie in una stagione in cui detti operatori sono sempre più, a tutti gli effetti, poteri privati che competono con quelli pubblici, che non è stato toccato dalla decisione che si commenta.
Attenzione però a non farsi trarre in inganno dai primi commenti che si sono soffermati più sul comunicato stampa che sul reasoning della sentenza. Perché se è vero che i giudici europei affermano che il diritto dell’Unione non obbliga che la deindicizzazione verta su tutte le versioni del motore di ricerca in questione, aggiungono anche che l’ordine di rimozione di natura globale non è neppure vietato. Pertanto si specifica gli stati membri restano competenti ad effettuare un bilanciamento tra, da un lato, il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e, dall’altro, il diritto alla libertà d’informazione e, al termine di tale bilanciamento, di richiedere, se del caso, al gestore di tale motore di ricerca di effettuare una deindicizzazione di natura globale.
Quindi, ciò che non può essere chiesto a livello europeo, può essere però ottenuto a livello nazionale dalle singole Autorità garanti, sempre più coordinate e interconnesse dopo l’entrata in vigore del Gdpr.
Fonte: Il Sole 24 Ore