Con la sentenza relativa al caso C-507/17, la Corte di giustizia europea ha rilevato che
… dalla normativa non emerge che il legislatore dell’Unione abbia proceduto a tale bilanciamento per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione, né che abbia scelto di attribuire ai diritti dei singoli una portata che vada oltre il territorio degli Stati membri.
Non risulta neppure che esso abbia inteso imporre a un operatore, come Google, un obbligo di deindicizzazione riguardante anche le versioni nazionali del suo motore di ricerca che non corrispondono agli Stati membri. Il diritto dell’Unione non prevede, per giunta, strumenti e meccanismi di cooperazione per quanto riguarda la portata di unadeindicizzazione al di fuori dell’Unione.
La Corte conclude quindi che, allo stato attuale, non sussiste, per il gestore di un motore di ricerca che accoglie una richiesta di deindicizzazione presentata dall’interessato, eventualmente a seguito di un’ingiunzione di un’autorità di controllo o di un’autorità giudiziaria di uno Stato membro, un obbligo, derivante dal diritto dell’Unione, di effettuare tale deindicizzazione su tutte le versioni del suo motore.
La Corte, dunque, riafferma la prevalenza dell’istituto della giurisdizione come limite geografico all’esercizio della potestà statuale e – correttamente – fa riferimento ai confini degli Stati membri e non dell’Unione Europea in quanto tale.
Non condivisibile, invece, è la parte della decisione dove
La Corte rileva poi che lo stabilimento di cui la Google Inc. dispone in territorio francese svolge attività, in particolare attività commerciali e pubblicitarie, che sono inscindibilmente connesse al trattamento di dati personali effettuato per le esigenze del funzionamento del motore di ricerca in questione e, dall’altro, che il suddetto motore di ricerca deve essere considerato –tenuto conto, in particolare, dell’esistenza di applicazioni-ponte (gateway) tra le sue diverse versioni nazionali– un soggetto che procedea un unico trattamento di dati personali nel contesto delle attività dello stabilimento francese dellaGoogle Inc. Tale situazione rientra quindi nell’ambito di applicazione della normativa dell’Unione in materia di protezione dei dati personali
Questo è lo stesso ragionamento che la Corte ha utilizzato per (auto)affermare la propria giurisdizione nel caso Costeja-Google Spain e utilizzato anche dal Garante dei dati personali nel procedimento Facebook-Cambridge Analytica. Si legge infatti nel provvedimento che sanziona Facebook Italy:
nel caso in argomento, le attività prese in esame sono state inequivocabilmente indirizzate ad utenti italiani attraverso le sezioni che Facebook riserva agli stessi per la fruizione dei servizi del social network. Appare pertanto evidente la stretta correlazione fra il territorio italiano e il contesto delle operazioni di trattamento svolte, che hanno riguardato, in massima parte, utenti italiani;
e che dunque
pur se riferita alle attività di un motore di ricerca gestito da un soggetto extraeuropeo, deve prendersi in considerazione anche quanto stabilito dalla sentenza della Corte di Giustizia dell’Unione Europea, C-131/12. In particolare, il punto n. 60 della predetta sentenza afferma che “un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro […] qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro”;
Questo principio di diritto è comprensibile da un punto di vista politico, ma non accettabile da punto di vista giuridico.
Può anche essere vero che l’attività pubblicitaria sia finalizzata a “spingere” gli utenti ad utilizzare un servizio, ma è anche vero che la fruizione materiale e tecnica del servizio stesso avviene con un invio dei dati da parte dell’utente verso gli USA e che, dunque, il trattamento inizia al di fuori della UE. Quindi, in termini di trattamento di dati personali, gli obblighi diretti di chi fornisce il servizio iniziano solo successivamente e cioè, per esempio, quando tramite cookie vengono attivamente prelevate informazioni sull’utente.
Rimane però il fatto che la normativa sul trattamento dei dati personali disciplina la raccolta e non il “concorso” o il mero “supporto” alla racolta di dati. Dunque, se le filiali europee non svologono attività (anche parzialmente) autonoma nel processo tecnico di raccolta e trattamento ulteriore di dati non si può sostenere che anche ad esse debba applicarsi la normativa comunitaria.
Possibly Related Posts:
- Chatbot troppo umani, i rischi che corriamo
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)