Lost in interpretation: la sentenza Google e la legge applicabile

Ha suscitato grande clamore e continua ad alimentare un vivace dibattito l’importante sentenza della Corte di Giustizia dell’Unione Europea sul c.d. “diritto all’oblio”.

Per una sintesi della vicenda, che ha contrapposto Google ad un cittadino spagnolo, e per una ricostruzione del concetto di “diritto all’oblio”, rimando per praticità al comunicato stampa ufficiale della Corte, pubblicato lo scorso 13 maggio sul proprio sito Internet.

In questo breve articolo intendo, infatti, trattare un aspetto meno enfatizzato del caso Google, ma la cui importanza, per le conseguenze che potrà avere nel prossimo futuro, almeno fino alla definitiva approvazione del nuovo regolamento privacy europeo, è a mio avviso cruciale. Mi riferisco al tema della legge privacy applicabile ai trattamenti di dati personali di cittadini europei, che sono effettuati da società che, come Google, hanno sede legale in un Paese non appartenente all’Unione Europea e sono però stabilite in uno o più Paesi europei con una società controllata o con una sede secondaria.

Prima di entrare nel merito della questione, è necessaria una nota di metodo: per evitare che al “lost in interpretation” si aggiunga il “lost in translation”, e che ulteriori ed indesiderati livelli di complessità si sovrappongano nella lettura di una vicenda già di per sé intricata, ho preferito riportare tutte le citazioni dalle varie fonti giuridiche direttamente in lingua inglese.

In base all’art. 4, co. 1 della Direttiva 95/46/EC la legge privacy europea è applicabile:

(i) se il trattamento di dati personali è effettuato “nel contesto delle attività” di uno stabilimento del titolare del trattamento nel territorio di uno Stato Membro (art. 4, co. 1, let. a: the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable“); oppure

(ii) se il titolare non è stabilito nel territorio di uno Stato Membro ma ricorre, ai fini del trattamento di dati personali, a “strumenti”, automatizzati o non automatizzati, situati nel territorio di uno Stato Membro, salvo che tali strumenti non siano utilizzati ai soli fini di transito nel territorio europeo (art. 4, co. 1, let. c: “the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community“).

Venendo al caso di specie, il motore di ricerca Google Search è gestito da Google Inc., una società avente sede legale negli Stati Uniti e tutti i trattamenti di dati personali relativi al servizio Google Search sono interamente effettuati in vari territori extra europei. Tuttavia, Google Inc. è stabilita in molti Stati europei, Spagna inclusa, con una società controllata o con una sede secondaria, la cui attività consiste esclusivamente nel vendere a clienti europei (tipicamente si tratta di imprese e clienti professionali) degli spazi pubblicitari sulle pagine di Google Search su cui compaiono i risultati delle ricerche. Dunque la società spagnola, come le altre società europee di Google, non tratta fisicamente alcun dato personale connesso ai risultati di Google Search e si limita a vendere spazi pubblicitari, trattando al limite solo i dati dei clienti europei con cui conclude i contratti di vendita.

Ad avviso della Corte la legge privacy europea deve ritenersi applicabile al caso di specie, in quanto Google è stabilita in Spagna ed il trattamento di dati effettuato da Google Inc. tramite Google Search si colloca nel “contesto delle attività” del suo stabilimento spagnolo. La vendita di spazi pubblicitari da parte dello stabilimento spagnolo sarebbe, infatti, funzionale alla profittabilità economica del motore di ricerca Google Search gestito da Google Inc., poiché sono gli introiti pubblicitari che permettono a Google Inc. di poter offrire gratuitamente il servizio Google Search agli utenti dello stesso. Ad avviso della Corte, l’art. 4 della Direttiva non richiede, infatti, che il trattamento in questione sia concretamente effettuato dallo stabilimento europeo del titolare extracomunitario, ma solo che esso sia effettuato “nel contesto delle attività” di tale stabilimento. La Corte conclude così che “Directive 95/46 is to be interpreted as meaning that processing of personal data is carried out in the context of the activities of an establishment of the controller on the territory of a Member State, within the meaning of that provision, when the operator of a search engine sets up in a Member State a branch or subsidiary which is intended to promote and sell advertising space offered by that engine and which orientates its activity towards the inhabitants of that Member State”.

Ora, posto che, come ammesso anche da Niilo Jääskinen, avvocato generale della Corte, la formulazione dell’art. 4 della Direttiva è ambigua e poco chiara, a mio avviso l’interpretazione adottata dalla Corte, oltre a non essere sufficientemente argomentata in rapporto all’importanza della questione ai fini della decisione sul caso, potrebbe aver forzato la portata della norma, seppur al nobile, ma ad essa estraneo, fine di estendere il più possibile il livello di tutela della privacy dei cittadini europei. In particolare, l’impressione è che la Corte abbia fornito un’interpretazione poco coerente con il dettato dell’art. 4, co. 1, let. a) della Direttiva, ritenendo che, affinché possa trovare applicazione la legge privacy europea, il trattamento di dati non debba essere concretamente effettuato dallo stabilimento europeo del titolare extracomunitario, essendo solo sufficiente che tale trattamento, seppur concretamente effettuato dal titolare extracomunitario al di fuori dell’Unione Europea, possa collocarsi “nel contesto delle attività” dello stabilimento europeo. Sarebbe, così, sufficiente individuare un qualsiasi nesso funzionale tra il trattamento effettuato dal titolare extracomunitario e le “attività” svolte dallo stabilimento europeo – anche se tali attività non si sostanziano in trattamenti di dati personali – per ritenere applicabile la legge privacy europea.

È assai interessante notare che su questo specifico punto la Corte ha sostanzialmente seguito l’orientamento proposto dall’avvocato generale Jääskinen nella proprie conclusioni (“In conclusion, processing of personal data takes place within the context of a controller’s establishment if that establishment acts as the bridge for the referencing service to the advertising market of that Member State, even if the technical data processing operations are situated in other Member States or third countries“). Dopo aver esposto la tesi del collegamento funzionale tra la vendita degli spazi pubblicitari e la profittabilità del motore di ricerca, l’avvocato generale, al paragrafo 65 della propria opinione, dichiara che “I would adhere to the Article 29 Working Party’s conclusion to the effect that the business model of an internet search engine service provider must be taken into account in the sense that its establishment plays a relevant role in the processing of personal data if it is linked to a service involved in selling targeted advertisement to inhabitants of that Member State” (il riferimento è alla pag. 10 dell’Opinione 08/2008 del Working Party – “Opinion 1/2008 on data protection issues related to search engines”.). Il passaggio dell’opinione del Working Party richiamato dall’avvocato generale è il seguente: “a further requirement is that the processing operation is carried out “in the context of the activities” of the establishment. This means that the establishment should also play a relevant role in the particular processing operation. This is clearly the case, if […] a search engine provider establishes an office in a Member State (EEA) that is involved in the selling of targeted advertisements to the inhabitants of that state”.

Ebbene, questo passaggio dell’opinione del Working Party, che potrebbe aver avuto un peso non secondario nell’orientare le conclusioni dell’avvocato generale e, indirettamente, nel condizionare la posizione della Corte sul caso, può essere a mio avviso interpretato diversamente, ovvero nel senso che un titolare del trattamento extracomunitario, che abbia aperto uno stabilimento in uno Stato membro per la vendita di pubblicità, dovrà sì rispettare la legge sulla privacy di detto Stato, ma solo in relazione ai trattamenti aventi ad oggetto i dati personali dei soggetti con i quali sono state concluse le vendite degli spazi pubblicitari. In questo scenario, a differenza del caso Google, è, infatti, direttamente lo stabilimento europeo che effettua il trattamento e lo fa nel contesto della propria attività, ovvero per la vendita di spazi pubblicitari. In altri termini, presupposto indefettibile per l’applicazione della legge privacy europea sarebbe, contrariamente a quanto sostenuto dalla Corte, la circostanza che sia proprio lo stabilimento europeo del titolare ad effettuare concretamente il trattamento nel contesto delle sue attività.

A conferma di tale interpretazione sembrerebbe esservi la ben più importante opinione del Working Party sul tema della legge applicabile (Opinion 8/2010 on applicable law). Nell’intero paragrafo III.1(b) di tale opinione il Working Party sembra accogliere complessivamente tale impostazione, come emerge particolarmente dal seguente caso esemplificativo riportato nel documento (enfasi aggiunta):

“Example No. 5: Internet service provider

An internet service provider (the data controller) has its headquarters outside the EU, e.g. in Japan. It has commercial offices in most Member States of the EU, and an office in Ireland dealing with issues connected with the processing of personal data, including in particular IT support. The controller is developing a data centre in Hungary, with employees and servers devoted to the processing and storage of data relating to the users of its services.

The controller in Japan also has other establishments in various Member States of the EU, with different activities:

– the data centre in Hungary is only involved in technical maintenance;

– the commercial offices of the ISP organise general advertising campaigns;

– the office in Ireland is the only establishment within the EU, with activities in the context of which personal data are effectively being processed (notwithstanding the input from the Japanese headquarters).

The activities of the Irish office trigger the application of EU data protection law: personal data are processed in the context of the Irish office’s activities, therefore such processing is subject to EU data protection legislation.

The law applicable to processing carried out in the context of the Irish office’s activities is Irish data protection legislation, regardless of whether the processing takes place in Portugal, Italy or any other Member State.

This means that, in this hypothesis, the data centre in Hungary would have to comply with Irish data protection law with regard to the processing of the personal data of the users of the service provider. This would be without prejudice however to the application of Hungarian law to a distinct processing of personal data by the Hungarian data centre, in relation to its own activities – for instance processing of personal data concerning the employees of the data centre.

For the commercial offices based in other Member States, if their activity is limited to general non-user-targeted advertising campaigns which do not involve the processing of users’ personal data, they are not subject to EU data protection laws. However, if they decide to conduct a processing in the context of their activities involving the personal data of individuals in the country where they are established (such as sending targeted advertisements to users and possible future users for their own business purposes), they will have to comply with the local data protection legislation.

If no connection can be established between the processing of data and the Irish establishment (IT support is very limited and there is no involvement in the processing of personal data), other provisions of the Directive could still trigger the application of data protection principles, for example if the controller uses equipment in the EU. This is considered in chapter III.3 below.”

Nel caso prospettato dal Working Party il titolare del trattamento è un Internet Service Provider (ISP) stabilito in Giappone e, dunque, come Google, un soggetto stabilito al di fuori dell’Unione Europea. L’ISP ha degli uffici commerciali in diversi Stati europei, che si limitano a fare pubblicità all’attività dell’ISP senza trattare dati personali di utenti. Secondo il Working Party tali uffici non sono soggetti alla legge privacy europea. Eppure, utilizzando il criterio ermeneutico della Corte, l’attività di questi uffici, come quella della società spagnola di Google, sarebbe funzionale a remunerare l’attività del titolare del trattamento extracomunitario. Invece, secondo il Working Party, il fatto che lo stabilimento europeo non effettui direttamente un trattamento di dati è di per sé motivo sufficiente per escludere l’applicabilità della legge privacy europea; diversamente, ove lo stabilimento europeo dovesse direttamente trattare dei dati personali degli utenti, inviando pubblicità mirata agli stessi, la legge privacy europea troverebbe invece applicazione.

È davvero singolare che, con riferimento ad una fattispecie simile a quella del caso Google, il Working Party sia giunto a conclusioni opposte a quelle dell’avvocato generale (e dunque a quelle della Corte), e ciononostante che l’avvocato generale abbia chiamato in causa proprio il Working Party per suffragare la propria interpretazione dell’art. 4 della Direttiva.

Nonostante tale apparente difformità di vedute, in un comunicato stampa dello sorso 23 maggio il Working Party ha accolto con favore la decisione della Corte (“The European data protection authorities assembled in the Article 29 Working Party (WP29) welcome the European Court of Justice (ECJ) ruling of 13 May 2014“), pur ammettendo che con questa sentenza la Corte ha adottato un’interpretazione ampia del concetto di “stabilimento” per determinare l’applicabilità della Direttiva 95/46 (“[the Court]retains a wide interpretation of the notion of “establishment” for determining the applicability of the EU Directive 95/46/EC and national law to search engines”), da cui sembra ricavarsi che, diversamente da quanto ha lasciato trasparire l’avvocato generale, il Working Party avesse effettivamente adottato un’interpretazione dell’art. 4 della Direttiva più restrittiva e sostanzialmente difforme da quella della Corte.

A riprova vi è il fatto che, con una decisione del 2006, anche il nostro Garante per la protezione dei dati aveva adottato un orientamento opposto a quello espresso dalla Corte, peraltro proprio in tema di diritto all’oblio, negando l’applicabilità della legge privacy italiana ai trattamenti effettuati da Google Inc. tramite Google Search, per il fatto che lo stabilimento italiano di Google Inc. era totalmente estraneo a detti trattamenti. Una cittadina italiana aveva, infatti, chiesto alla filiale italiana di Google (Google Italy s.r.l.) di rimuovere dai risultati di ricerca di Google Search taluni link a pagine web contenenti informazioni che la riguardavano e, stante il rifiuto di Google, aveva successivamente presentato ricorso al Garante, affinché quest’ultimo ordinasse a Google di rimuovere tali link. Google Italy S.r.l. si era difesa sostenendo di non essere il titolare del trattamento dei dati personali oggetto del ricorso, ed indicando che tale ruolo sarebbe stato invece rivestito da una diversa società avente sede negli Stati Uniti (Google Inc.), la sola “ad avere la disponibilità dei server attraverso i quali il motore di ricerca opera“. Google Italy S.r.l. aveva altresì sostenuto di essere “del tutto estranea al trattamento di qualsivoglia dato personale connesso al funzionamento del motore di ricerca denominato Google“, essendo “l’attività di Google Italy (…) esclusivamente limitata alla ricerca di clienti ed alla raccolta di pubblicità che, una volta raccolta, viene diffusa e gestita da Google Inc. per il tramite del software Google“. Il Garante aveva dichiarato inammissibile il ricorso della cittadina italiana, atteso che “nella fattispecie non risulta però provato che il trattamento contestato, svolto attraverso il sito “www.google.it“, sia effettuato da un soggetto stabilito sul territorio dello Stato, oppure da un soggetto che utilizzi per tale trattamento strumenti situati nel medesimo territorio (art. 5, comma 2, del Codice)” e che “in particolare, che non risulta che la società resistente tratti dati personali della ricorrente attraverso la vendita di servizi pubblicitari o una delle altre attività da essa effettuate per il “gruppo Google“.

Sebbene sia il Working Party che il Garante abbiano accolto favorevolmente la decisione della Corte, l’approccio da essi  adottato in passato, ovvero quello di ritenere applicabile la legge europea solo nei casi in cui lo stabilimento europeo di un titolare del trattamento extracomunitario effettui concretamente dei trattamenti di dati personali e tali trattamenti siano effettuati nel “contesto delle proprie attività”, sembra essere, a mio avviso, più aderente al dettato della Direttiva. Interpretando diversamente, come ha fatto la Corte, la legge privacy dei diversi Stati Membri si applicherebbe praticamente in qualsiasi circostanza, con effetti evidentemente abnormi ed irragionevoli. Basterebbe, infatti, dimostrare la sussistenza di un qualsiasi collegamento funzionale tra l’attività dello stabilimento europeo e quella del titolare extraeuropeo – collegamento che a mio avviso è in re ipsa – per giustificare l’applicabilità della legge privacy europea. Inoltre, il criterio ermeneutico adottato dalla Corte ha come conseguenza la simultanea e sovrapposta applicazione di tutte le leggi nazionali sulla privacy degli Stati europei in cui Google è stabilita, rendendo di fatto piuttosto difficile per Google la fornitura del servizio Google Search in maniera standardizzata per i diversi Stati europei.

Una singolare conseguenza di questo conflitto di leggi potrebbe riguardare da vicino l’Italia: secondo la Corte un motore di ricerca può trattare dati personali senza il consenso degli interessati poiché, ai sensi dell’art. 7(f) della Direttiva, il trattamento “è necessario per il perseguimento dell’interesse legittimo del titolare del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata“; ebbene, in base all’art. 24, co.1, let. g) del Codice della Privacy, che ha recepito l’art. 7(f) della Direttiva, “il consenso dell’interessato non è richiesto quando il trattamento, con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato“. Posto che non sembra che il Garante abbia mai emanato un provvedimento c.d. di “bilanciamento di interessi” per legittimare i trattamenti effettuati dai motori di ricerca, in ogni caso appare anche dubbio che, stante l’attuale formulazione dell’art. 24, co.1, let. g) del Codice della Privacy, l’Autorità possa effettivamente emanare un tale provvedimento, atteso che se il trattamento consiste nella “diffusione“, come nel caso dei motori di ricerca, allora non sarebbe comunque possibile far ricorso all’istituto del bilanciamento di interessi. Pertanto, accogliendo l’impostazione della Corte, il medesimo trattamento di dati effettuato da Google tramite Google Search sarebbe allo stesso tempo ammissibile senza il consenso degli interessati secondo la legge privacy spagnola (o di altri Stati Membri) e probabilmente (e paradossalmente) inammissibile ai sensi della legge privacy italiana, salvo che si riesca a rinvenire una base giuridica alternativa al “legittimo interesse” all’interno del Codice della Privacy, sebbene, anche in questo caso, ci troveremmo nell’indesiderabile situazione di avere uno stesso trattamento di dati soggetto contemporaneamente a due o più leggi privacy diverse e giustificato da presupposti giuridici differenti.

In conclusione, la sentenza della Corte potrebbe compromettere in maniera significativa la coerenza del diritto europeo della privacy, almeno fino a quando non sarà approvato il nuovo regolamento europeo in materia. Desta comunque perplessità il tentativo della Corte di estendere la tutela della privacy dei cittadini europei forzando l’interpretazione del diritto esistente, quasi a voler sopperire alla stasi del legislatore europeo al cospetto del rapido evolversi delle nuove tecnologie e dell’obsolescenza del proprio ordinamento.

È comunque criticabile, a mio avviso, qualsiasi tentativo di far varcare alle leggi i confini delle giurisdizioni che le riconoscono. Proviamo per un attimo ad invertire la prospettiva: cosa penseremmo se la legge di un Paese extracomunitario (uno a caso, l’India) pretendesse di trovare applicazione all’attività di un sito Internet gestito da una società italiana direttamente dall’Italia, per il sol fatto che tale società italiana abbia aperto un semplice ufficio commerciale sul territorio indiano? Allo sgomento seguirebbe la logica chiusura del (non indispensabile) ufficio commerciale ed il (legittimo) disconoscimento della legge “aliena”. Cosa che potrebbe fare la stessa Google, continuando, giustamente ed a buon diritto, a fornire il servizio Google Search ai cittadini europei standosene negli Stati Uniti, con buona pace dell’oblio e dei tentativi di dettar legge in casa altrui. Solo la cooperazione tra gli Stati, nel rispetto dei principi del diritto internazionale, può portare ad un governo ragionevole ed efficiente della Rete. La sentenza della Corte potrebbe, invece, aver inaugurato una pericolosa ed imprevedibile “guerra fredda” del diritto della privacy.