La dimensione territoriale dell'oblio in uno spazio globale e universale - di Giorgia Bevilacqua - Sipotra
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
ISSN 1826-3534
18 DICEMBRE 2019
La dimensione territoriale dell’oblio in
uno spazio globale e universale
di Giorgia 2Bevilacqua
Ricercatrice di Diritto internazionale
Università degli Studi della Campania Luigi VanvitelliLa dimensione territoriale dell’oblio in uno
spazio globale e universale *
di Giorgia Bevilacqua
Ricercatrice di Diritto internazionale
Università degli Studi della Campania Luigi Vanvitelli
Abstract [It]: L’interpretazione della dimensione territoriale del diritto all’oblio online genera importanti
frizioni nella prassi di legislatori, autorità garanti della privacy e tribunali nazionali e internazionali. In
seguito a una preliminare analisi della natura giuridica di questo emergente diritto fondamentale,
orienteremo l’indagine sulle argomentazioni favorevoli e contrarie all’applicazione extraterritoriale
dell’oblio. Per stabilire fino a che punto internet può dimenticare risulterà poi cruciale chiarire se in base
al diritto internazionale pubblico questo spazio globale e universale può essere soggetto al tradizionale
esercizio dell’autorità statale.
Abstract [En]: The interpretation of the territorial dimension of the right to be forgotten online raises
important frictions in the practice of policy makers, data protection authorities, national and international
courts. After a preliminary analysis of the legal nature of this emerging fundamental right, we will focus
on both sides of the coin, exploring arguments against and in favor of its extraterritorial application.
Then, in order to establish how far can the internet forget, we will approach the core issue regarding
whether and to which extent this global and universal space can be subject to the traditional exercise of
State powers and authority under public international law.
Sommario: 1. Introduzione. 2. L’evoluzione del diritto all’oblio online nelle fonti normative e negli
sviluppi giurisprudenziali in materia di vita privata e protezione dei dati personali. 2.1. Dai principi sulla
qualità delle informazioni della Convenzione n. 108 al diritto all’autodeterminazione informativa
derivante dall’art. 8 della Convenzione europea dei diritti dell’uomo. 2.2. Dal frammentato diritto alla
deindicizzazione della Direttiva sul trattamento dei dati personali all’esplicito diritto all’oblio del
Regolamento generale sulla protezione dei dati. 3. L’ambito di applicazione territoriale del diritto all’oblio
al bivio tra due opposte direzioni. 3.1. Le argomentazioni in favore di una deindicizzazione circoscritta al
territorio dell’Ue. 3.2. La tendenza a una deindicizzazione extraterritoriale. 4. Internet, la libertà dei mari
e l’applicazione del diritto in spazi privi di confini. 5. L’applicazione extraterritoriale del diritto all’oblio
alla luce della prassi in materia di tutela internazionale dei diritti umani. 6. Conclusioni.
1. Introduzione
Internet è comunemente considerato una risorsa globale e universale che rende la società moderna più
aperta, libera e democratica1. Come evidenziato nella Dichiarazione dei diritti in internet, la sua creazione
ha profondamente trasformato le abitudini delle persone, introducendo nuove modalità di produzione e
*Articolo sottoposto a referaggio.
1 Commissario per i diritti umani (Consiglio d’Europa), The Rule of Law on the Internet and in the Wider Digital World,
Issue Paper, dicembre 2014. p. 31 ss.; disponibile sul sito del Consiglio d’Europa: https://rm.coe.int/16806da51c.
2 federalismi.it - ISSN 1826-3534 |n. 23/2019utilizzazione della conoscenza2. L’aspetto più rivoluzionario di internet è che le notizie diffuse in questo ambito hanno natura ubiquitaria. Quest’aspetto è normalmente ritenuto un formidabile vantaggio per le persone che lo utilizzano; al contempo, quando le informazioni raccolte, elaborate e utilizzate dai motori di ricerca riguardano la loro vita privata, non è improbabile l’esposizione a rischi e pericoli finora sconosciuti. È chiaro che il diritto alla vita privata di un individuo debba essere riconosciuto e garantito in qualunque luogo egli si trovi e, dunque, anche in internet. In virtù di questa esigenza, è stata individuata una serie di strumenti giuridici idonei a salvaguardare l’identità personale di un individuo anche in rete. Uno di questi strumenti prende l’ambiguo nome di diritto all’oblio. Esso, in pratica, consente a qualunque individuo di chiedere a un motore di ricerca, come ad esempio Google, di deindicizzare dal web i risultati che compaiono in esito ad una ricerca in internet che includa il suo nome3. Dalle peculiarità di internet, tuttavia, sono derivati numerosi dubbi interpretativi che riguardano le modalità con cui il gestore di un motore di ricerca debba concretamente dare attuazione a tale diritto, qualora riconosca che l’interessato abbia il diritto a veder cancellati dall’elenco dei risultati di una ricerca uno o più link a pagine web contenenti dati personali che lo riguardano. Ciò che al momento risulta in particolar modo controverso è l’ambito di applicazione geografico e, dunque, se il diritto all’oblio online debba essere interpretato nel senso che il gestore di un motore di ricerca è tenuto a eseguire la cancellazione dei risultati della ricerca su tutti i nomi di dominio di riferimento, oppure soltanto sui nomi di dominio nazionali, come ad esempio google.fr, google.it o google.de4. Alla luce delle importanti implicazioni pratiche e teoriche derivanti dalla risoluzione dei dubbi interpretativi citati, questo studio si propone di indagare la portata territoriale del diritto a essere dimenticati in uno spazio globale e universale come internet. A tal fine, procederemo innanzitutto a una ricostruzione del quadro normativo internazionale ed europeo che risulta applicabile a tale diritto (sezione 2). Questa preliminare ricostruzione mira soprattutto a chiarire la natura giuridica dell’emergente diritto all’oblio, sulla quale si sono recentemente pronunciate sia la Corte europea dei diritti dell’uomo (Corte 2 Camera dei deputati (Commissione per i diritti e i doveri relativi ad Internet), Dichiarazione dei diritti in internet, 28 luglio 2015, preambolo, disponibile sul sito della Camera dei deputati: https://www.camera.it/leg17/1179. 3 Corte di giustizia dell’Unione europea (Grande sezione), caso C-131/12, Google Spain e Google, sentenza del 13 maggio 2014, p. 93. 4 Sulla portata territoriale del diritto all’oblio, si vedano G. FROSIO, The Right to Be Forgotten Much Ado about Nothing, in Colorado Technology Law Journal, 2017, pp. 307-669, specie in 329; A. MIGLIO, Enforcing the Right to Be Forgotten Beyond EU Borders. In E. CARPANELLI, N. LAZZERINI (a cura di), Use and Misuse of New Technologies. Contemporary Challenges in International and European Law, 2019, pp. 305-326; B. VAN ALSENOY, M. KOEKKOEK, The Territorial Reach of the EU’s “Right To Be Forgotten”: Think Locally, but Act Globally?, in EJIL: Talk!, 14 agosto 2014, disponibile su: https://www.ejiltalk.org/the-territorial-reach-of-the-eus-right-to-be-forgotten-think-locally-but- act-globally/. 3 federalismi.it - ISSN 1826-3534 |n. 23/2019
europea o Corte di Strasburgo) sia la Corte di giustizia dell’Unione europea (Corte di giustizia o Corte di Lussemburgo). Delineare l’ambito geografico di applicazione del diritto alla deindicizzazione significa imbattersi in due tendenze della prassi sostanzialmente opposte: una – quella che incontra il sostegno della Grande sezione della Corte di giustizia nel caso Google Cnil5 – è in favore di una deindicizzazione limitata al territorio europeo; l’altra – quella che invece incontra il sostegno delle autorità garanti della protezione dei dati personali6 e della Corte Suprema canadese7 – è in favore di una deindicizzazione extraterritoriale (sezione 3). Esaminate le argomentazioni rilevanti di entrambe le posizioni, focalizzeremo il prosieguo dell’analisi sulla possibilità di esercitare unilateralmente autorità di imperio in internet e in mare, dal momento che questi spazi, sebbene estremamente diversi, risultano entrambi privi di confini territoriali (sezione 4). La ricorrente tendenza a esercitare autorità e controllo anche al di là dei tradizionali spazi sovrani, insieme all’impellente necessità di assicurare il fondamentale diritto all’oblio online, ci indurranno infine a verificare l’applicabilità della dinamica nozione di giurisdizione progressivamente sviluppata dagli organi di controllo dei meccanismi internazionali di protezione dei diritti umani, ovunque si trovino i dati personali di un individuo (sezione 5). 2. L’evoluzione del diritto all’oblio online nelle fonti normative e negli sviluppi giurisprudenziali in materia di vita privata e protezione dei dati personali Il diritto all’oblio online è frequentemente definito un’invenzione europea8 alla quale si sono successivamente ispirati altri ordinamenti nazionali al di fuori del nostro continente9. Molteplici sono, in effetti, gli strumenti giuridici in materia di vita privata e protezione dei dati personali che da tempo se ne occupano, sia nell’ambito delle fonti del Consiglio d’Europa che nell’ambito dell’ordinamento dell’Unione europea (Ue o Unione). Altrettanto rigogliosa è la giurisprudenza delle corti sovranazionali europee che si sono soffermate su aspetti riguardanti il significato, il campo di applicazione materiale e, 5 Corte di giustizia dell’Unione europea (Grande sezione), caso C-507/17, Google LL c. Commission nationale de l’informatique et des liberté, sentenza del 24 settembre 2019, p. 57. 6 Working Party, Guidelines on the Implementation of the Court of Justice of the European Union Judgment on Google Spain, 26 novembre 2014, disponibile su: https://www.pdpjournals.com/docs/88377.pdf. Il Working Party è stato istituito in ossequio all’art. 29 della Direttiva 95/46/CE e rappresenta un ente europeo indipendente avente funzione consultiva in materia di protezione dei dati e privacy. Per un approfondimento sui suoi compiti, si rimanda all’art. 30 della Direttiva 95/46/CE e all’art. 15 della Directive 2002/58/CE. 7 Corte Suprema canadese, Google Inc. c. Equustek Solutions Inc, sentenza n. 36602 del 28 giugno 2017. 8 Sul diritto all’oblio in Europa, si veda, S. KULK, F. ZUIDERVEEN BORGESIUS, Privacy, Freedom of Expression, and the Right to Be Forgotten in Europe, in Cambridge Handbook of Consumer Privacy, 2017, pp. 1-33. 9 Sull’evoluzione della normativa in materia scaturita in seguito alla succitata sentenza della Corte di giustizia nel caso Google Spain, si veda R. PARDOLESI, L’ombra del tempo e (il diritto al)l’oblio, in Questione Giustizia, 2017, pp. 76-85; G. VAN CALSTER, A. GONZALEZ ARREAZA, E. APERS, Not Just One, but Many ‘Rights to Be Forgotten, in Internet Policy Review, maggio 2018, pp. 1-18, disponibile su: https://policyreview.info/articles/analysis/not-just-one-many-rights-be-forgotten. 4 federalismi.it - ISSN 1826-3534 |n. 23/2019
per quanto qui più rileva, la natura giuridica di tale diritto. Pertanto, neile seguenti sotto-sezioni proponiamo una ricostruzione del contesto normativo rilevante, così come interpretato dalla Corte europea (sezione 2.1) e dalla Corte di giustizia (sezione 2.2). 2.1. Dai principi sulla qualità delle informazioni della Convenzione n. 108 al diritto all’autodeterminazione informativa derivante dall’art. 8 della Convenzione europea dei diritti dell’uomo Sin dagli albori degli anni ’80, gli Stati membri del Consiglio d’Europa compresero che la tutela della vita privata nei processi di elaborazione automatica di dati personali avrebbe dovuto avere un ruolo decisivo per la realizzazione di un progetto di sviluppo comune, ispirato dal rispetto dello stato di diritto, dai diritti umani e dalle libertà fondamentali10. Un crescente numero di attività, sia nel settore pubblico che in quello privato, cominciava a basarsi sull’elaborazione automatizzata di informazioni di carattere personale. Il processo di informatizzazione in atto doveva essere accompagnato da un parallelo processo di responsabilizzazione di coloro che raccolgono, trattengono e utilizzano tali informazioni11. Questo, in sintesi, lo scenario in cui il Consiglio d’Europa apriva alla firma la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione n. 108)12, la cui importanza è innanzitutto data dal fatto che essa era – e rimane ancora oggi – l’unico strumento giuridico internazionale vincolante in materia di protezione di dati13. Con riguardo al suo contenuto, tale Convenzione risulta essenzialmente ispirata da principi cardine riguardanti la qualità delle informazioni, quali, ad esempio, la liceità, la sicurezza, la correttezza e la trasparenza14, cui ciascuna Parte 10 In realtà, già negli anni ’70, il Comitato dei Ministri del Consiglio d’Europa ha adottato una serie di risoluzioni meramente esortative in materia di protezione dei dati personali, facendo riferimento all’art. 8 della Cedu. Si vedano, ad esempio, Consiglio d’Europa, Comitato dei Ministri, Risoluzione (73) 22 sulla tutela della riservatezza delle persone in rapporto alle banche di dati elettroniche nel settore privato, 26 settembre 1973; Risoluzione (74) 29 sulla tutela della riservatezza delle persone in rapporto alle banche di dati elettroniche nel settore pubblico, 20 settembre 1974. 11 Consiglio d’Europa, Agenzia sui diritti fondamentali, Manuale sul diritto europeo in materia di protezione dei dati, Lussemburgo, 2018, p. 27 ss. 12 Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, Strasburgo, 28 gennaio 1981, preambolo. 13 Tutti gli Stati membri dell'UE hanno ratificato la Convenzione n. 108 e, nel 1999, anche la stessa Unione ha ratificato tale Convenzione. Lo stesso anno la Convenzione entrava in vigore anche in Italia, dove è stata ratificata con la Legge n. 98, del 21 febbraio 1989, “Ratifica ed esecuzione della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale”, in Gazzetta Ufficiale n. 66 del 20 marzo 1989 – Suppl. Ordinario n. 19. È importante sottolineare che la Convenzione risulta aperta all'adesione anche di Stati non membri del Consiglio d’Europa. Tra gli Stati non membri che hanno già aderito, ricordiamo: Argentina, Burchina Faso, Capo Verde, Mauritius, Messico, Marocco, Senegal, Tunisia e Uruguay. 14 Convenzione n. 108, Capitolo II “Principi basilari per la protezione dei dati”. 5 federalismi.it - ISSN 1826-3534 |n. 23/2019
contraente deve dare attuazione nel proprio ordinamento interno15. Per quanto più importa ai fini di questa analisi, evidenziamo che la Convenzione n. 108 prescrive il diritto delle persone interessate a conoscere i dati conservati e quello di chiederne la loro rettifica o cancellazione, se non conformi ai principi cardine appena richiamati e, dunque, se non corretti, non (o non più) pertinenti allo scopo ed eccessivi rispetto alle finalità perseguite16. Dal momento che la società dell’informazione è in continua evoluzione, nel corso degli ultimi due decenni la Convenzione n. 108 è stata sottoposta a un processo di modernizzazione che si è concluso il 10 ottobre 2018 con l’apertura alla firma di un protocollo di modifica, il Protocollo Cets n. 22317. In un quadro di norme che complessivamente si propone di rafforzare la protezione dei dati personali nel settore digitale e di consolidare i meccanismi di attuazione della Convenzione, il nuovo Protocollo mantiene la facoltà per il singolo individuo di opporsi al trattamento di informazioni sul suo conto, consentendogli di chiedere la loro cancellazione, e integra il novero di strumenti che più in generale consentono di controllare l’identità personale sul web18. Sempre nel contesto del Consiglio d’Europa, la protezione dei dati personali nei processi di informatizzazione ha gradualmente guadagnato significato anche nella giurisprudenza della Corte europea. A tal riguardo, ricordiamo innanzitutto che sebbene la Convenzione n. 108 non sia soggetta al suo controllo, la Corte di Strasburgo si è ispirata ai suddetti principi cardine di liceità, sicurezza, correttezza e trasparenza ivi sanciti al fine di determinare se vi fosse stata o meno un’ingerenza nel diritto alla vita privata di un individuo19. A ciò si aggiunga che, poiché i giudici di Strasburgo monitorano, com’è noto, l’applicazione della Convenzione europea dei diritti dell’uomo (Cedu)20, è anche attraverso di essa che si è andato affermando il diritto alla protezione dei dati personali. E anche se la Cedu è stata adottata ben prima dello sviluppo dei computer e di internet e dell’avvento della società dell’informazione, la Corte non ha esitato a chiarire che la protezione dei dati rappresenta una parte significativa del diritto al rispetto 15 Convenzione n. 108, Capitolo II, Art. 4 “Obblighi delle Parti”. 16 Convenzione n. 108, Capitolo II, Art. 8 “Garanzie addizionali per il titolare dei dati”, lett. b) e c). 17 Protocollo di emendamento alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, Strasburgo, 10 ottobre 2018. Sulla ratifica dell’Unione anche di questo strumento, si veda, Commissione europea, proposta di Decisione del Consiglio che autorizza gli Stati membri a ratificare, nell’interesse dell’Unione europea, il protocollo che modifica la Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (STE 108), Bruxelles, 5 giugno 2018 COM(2018) 451 final 2018/0238 (NLE) 18 Convenzione n. 108, Art. 9 “Diritti dei titolari dei dati”, lett. e). 19 Per esempio, Corte europea dei diritti dell’uomo, Z c. Finlandia, ricorso n. 22009/93, sentenza del 25 febbraio 1997. 20 Cedu, elaborata nell’ambito del Consiglio d’Europa e aperta alla firma a Roma il 4 novembre 1950, è entrata in vigore il 3 settembre del 1953 tra dieci Parti contraenti ed è oggi applicabile nel territorio di 48 Stati. Il testo originario della CEDU è stato successivamente modificato e integrato da numerosi protocolli addizionali. Il testo della Carta può essere consultato sul sito della Corte europea dei diritti umani: http://www.echr.coe.int. 6 federalismi.it - ISSN 1826-3534 |n. 23/2019
della vita privata, espressamente sancito all’art. 8 della Cedu. Ciò è possibile poiché la nozione di vita privata è estremamente ampia, non è suscettibile di una delimitazione esaustiva, ma in ogni caso comprende tutte le informazioni personali di cui un individuo può legittimamente disporre che non siano rese pubbliche senza il suo consenso21. Dal diritto alla vita privata si ricava un nuovo concetto noto come diritto all’”autodeterminazione informativa”, che consente al singolo individuo titolare dei dati personali di partecipare attivamente alla formazione dell’informazione22. In particolare, al riguardo la Corte ha sottolineato come: “[…] Article 8 of the Convention thus provides for the right to a form of informational self-determination, allowing individuals to rely on their right to privacy as regards data which, albeit neutral, are collected, processed and disseminated collectively and in such a form or manner that their Article 8 rights may be engaged”.23 Dalla nuova definizione di autodeterminazione informativa si fa dunque derivare anche il diritto all’oblio, quale strumento che permette al singolo individuo di controllare l’esattezza, l’adeguatezza e la pertinenza delle informazioni che riguardano la sua vita privata. Nella più recente pronuncia nel caso M.L. e W.W. c. Germania24, avente ad oggetto il rifiuto da parte della Corte di giustizia federale tedesca di adottare una misura che vieti l’accesso degli utenti di internet a determinati documenti contenenti informazioni personali, la Corte europea ha escluso la violazione dell’art. 8 Cedu, ma ha ulteriormente definito il campo di applicazione materiale di questo fondamentale diritto. Nello specifico ha individuato i presupposti necessari affinché il soggetto interessato possa ricorrere a questa forma di autodeterminazione informativa, precisando espressamente che: 21 Corte europea dei diritti dell’uomo (Grande camera), Satakunnan Markkinapörssi Oy e Satamedia Oy c. Finlandia, ricorso n. 931/13, sentenza del 17 giugno 2017, par 136; corte europèa dei diritti dell’uomo (Grande camera), Uzun c. Germania, ricorso n. 35623/05, sentenza del 2 settembre 2010, parr. 44-46; Saaristo e al. c. Finlandia, ricorso n. 184/06, sentenza del 12 ottobre 2010, par 61; così anche, Flinkkilä e al. c. Finlande, ricorso n. 25576/04, sentenza del 6 aprile 2010, par 75. 22 Anche la Corte costituzionale federale tedesca ha affermato un diritto di autodeterminazione informativa già in una sentenza del 1983, Volkszählungsurteil, BVerfGE Vol. 65, p. 1 ss. La Corte ha stabilito che tale autodeterminazione sorge dal diritto fondamentale al rispetto della personalità, protetto in Germania dalla costituzione tedesca. In dottrina, G. FROSIO, op. cit., p. 313; T.E. FROSINI, Diritto all’oblio e internet, in Federalismi.it, 10 giugno 2014, quest’ultimo rimanda alla giurisprudenza italiana di legittimità sul tema dell’autodeterminazione informativa e, per evidenziarne l’aspetto attivo, la definisce anche libertà informatica. 23 Corte europea dei diritti dell’uomo (Grande camera), Satakunnan Markkinapörssi Oy e Satamedia Oy c. Finlandia, cit., par 137. 24 Corte europea dei diritti dell’uomo, M.L. et W.W. c. Germania, ricorso n. 60798/10 e 65599/10, sentenza del 28 settembre 2018. 7 federalismi.it - ISSN 1826-3534 |n. 23/2019
“[…] where there has been compilation of data on a particular individual, processing or use of personal data or publication of the material concerned in a manner or degree beyond that normally foreseeable, private life considerations arise.”25. Da questa prima analisi del contesto normativo e giurisprudenziale delineatosi nel corso degli ultimi quattro decenni nell’ambito del Consiglio d’Europa emerge come il diritto all’oblio online si sia progressivamente affermato sia in via autonoma nel quadro delle norme previste nella Convenzione n. 108, sia in via strumentale in relazione al diritto al rispetto della vita privata sancito nella Cedu. Entrambi gli strumenti giuridici convergono sulla necessità di offrire agli individui protezione e garanzia, anche laddove i loro dati personali siano raccolti ed elaborati in maniera automatizzata. 2.2. Dal frammentato diritto alla deindicizzazione della Direttiva sul trattamento dei dati personali all’esplicito diritto all’oblio del Regolamento generale sulla protezione dei dati Muovendo ora l’analisi verso il regime giuridico dell’Unione, desideriamo innanzitutto chiarire che anch’esso è stato recentemente oggetto di un importante processo di riforma, che si è concluso con l’adozione del Regolamento generale sulla protezione dei dati (Rgpd), entrato in vigore nel 2016 e pienamente applicabile in tutti gli Stati membri dal 25 maggio 201826. In questo Regolamento, che si propone di tutelare le persone fisiche in riferimento al trattamento dei dati personali 27, il diritto all’oblio è finalmente disciplinato da un’apposita norma, l’art. 17, il quale introduce espressamente il diritto di ottenere dal titolare del trattamento dei dati una vera e propria cancellazione dei dati personali che lo riguardano. In linea con la Convenzione n. 108, esso stabilisce in sostanza che il diritto a essere dimenticati può essere esercitato se i dati personali non sono più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati; se il titolare dei dati abbia revocato il proprio consenso o si sia opposto al trattamento dei dati che lo riguardano, o se il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento28. Dal 1995 al maggio 2018 il principale strumento giuridico dell’Ue in materia di protezione dei dati era costituito dalla Direttiva 95/46/CE (Direttiva), relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tale Direttiva è stata adottata in 25 Corte europea dei diritti dell’uomo, M.L. et W.W. c. Germania, cit., par. 87. 26 Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in Gazzetta ufficiale dell'Unione europea n. L 119/1 del 4 maggio 2018. 27 Rgpd, Art. 1, par. 1. 28 Rgpd, considerando 65 e 66 e Art. 17. In argomento, S. ZANINI, Il diritto all’oblio nel Regolamento europeo 679/2016: quid novi?, in Federalismi.it, 2018. 8 federalismi.it - ISSN 1826-3534 |n. 23/2019
un periodo in cui anche gli Stati membri avevano già cominciato ad adottare leggi interne in materia di protezione dei dati, anche per dare attuazione agli obblighi derivanti dalla Convenzione n. 10829. Da ciò derivava l’esigenza di armonizzare tali leggi al fine di garantire in tutti gli Stati membri un livello adeguato di protezione e la libera circolazione dei dati personali30. La libera circolazione di merci, persone, servizi e capitali nel mercato interno implicava la libera circolazione dei dati, che non poteva essere realizzata se gli Stati membri non avessero potuto contare su un livello elevato e uniforme di protezione di questi31. Pur senza prevedere una disposizione che disciplinasse espressamente il diritto all’oblio, la normativa europea di armonizzazione contemplava una serie di norme da cui è possibile desumere che una persona fisica avesse il diritto di opporsi al trattamento dei propri dati personali e di chiedere, in presenza di determinate condizioni, la loro rettifica o cancellazione32. L’ambito materiale di applicazione della Direttiva, con specifico riferimento al diritto all’oblio in rete, è stato successivamente precisato dalla Corte di giustizia nella nota pronuncia riguardante il caso Google Spain33. In particolare, con questa decisione i giudici di Lussemburgo hanno chiarito che un individuo può chiedere a un motore di ricerca la cancellazione delle informazioni che lo riguardano e che appaiono in seguito ad una ricerca in base al suo nominativo, quando i risultati comprendano dati personali che “[…] risultino inadeguati, non siano o non siano più pertinenti, ovvero siano eccessivi in rapporto alle finalità suddette e al tempo trascorso” 34. Al fine di delineare la natura giuridica del diritto all’oblio, ci preme soprattutto sottolineare che in questa pronuncia la Corte di giustizia spiega chiaramente che la Direttiva si propone di proteggere i diritti fondamentali delle persone ricercate in rete conformemente agli artt. 7 e 8 della Carta sui diritti fondamentali dell’Unione europea (Carta)35, rispettivamente dedicati al diritto alla vita privata e al diritto 29 Il Land tedesco dell’Assia ha adottato la prima legge al mondo sulla protezione dei dati nel 1970, la quale era applicabile solo in tale Stato. La Svezia ha adottato il Datalagen nel 1973; la Germania ha adottato il Bundesdatenschutzgestez nel 1976; e la Francia ha adottato la Loi relative à l’informatique, aux fichiers et aux libertés nel 1977. Nel Regno Unito, il Data Protection Act è stato adottato nel 1984. Infine, i Paesi Bassi hanno adottato la Wet Persoonregistraties nel 1989. Per un approfondimento, si veda Consiglio d’Europa, Agenzia sui diritti fondamentali, op. cit., supra nota 11. 30 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in Gazzetta ufficiale dell'Unione europea n. L 281/32 del 23 novembre 1995. 31 Consiglio d’Europa, Agenzia sui diritti fondamentali, op. cit., supra nota 11, p. 30 ss. 32 Direttiva, art. 12, lett. c), art. 14 lett. b). 33 Corte di giustizia, Google Spain, cit., supra nota 3. 34 Ibid, p. 93. 35 Carta sui diritti fondamentali dell’Unione Europea, approvata dal Parlamento europeo nel novembre 2000, è stata sottoscritta dal presidente dell’Unione Europea nel 2007. Come stabilito nell’art. 6 del Trattato sull’Unione Europea, pur non essendo integrata nel Trattato, la Carta ha lo stesso valore giuridico di quest’ultimo. La Carta è disponibile su: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=LEGISSUM%3Al33501. 9 federalismi.it - ISSN 1826-3534 |n. 23/2019
alla protezione dei dati personali36. Più nel dettaglio, la Corte sottolinea come il trattamento di dati personali effettuato dal gestore di un motore di ricerca possa: “[…] incidere significativamente sui diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, nel caso in cui la ricerca con l’aiuto di tale motore venga effettuata a partire dal nome di una persona fisica, dal momento che detto trattamento consente a qualsiasi utente di Internet di ottenere, mediante l’elenco di risultati, una visione complessiva strutturata delle informazioni relative a questa persona reperibili su Internet, che toccano potenzialmente una moltitudine di aspetti della sua vita privata e che, senza il suddetto motore di ricerca, non avrebbero potuto – o solo difficilmente avrebbero potuto – essere connesse tra loro, e consente dunque di stabilire un profilo più o meno dettagliato di tale persona”37. In pratica, quando chiamata a interpretare il regime giuridico applicabile al diritto all’oblio, come quella di Strasburgo anche la Corte di Lussemburgo non si lascia sfuggire l’occasione di evidenziare come la tutela di questo diritto emergente debba essere desunta dal fondamentale diritto alla vita privata e dal correlato diritto alla protezione dei dati personali38. A fronte di questa soluzione interpretativa, ci sembra opportuno ricordare che anche altri strumenti internazionali riguardanti la tutela dei diritti umani prescrivono protezione e garanzie a tutela della privacy. Così, ad esempio, l’art. 12 della Dichiarazione universale dei diritti dell’uomo39 e, tra gli strumenti aventi carattere vincolante, il Patto delle Nazioni Unite sui diritti civili e politici (Patto), il cui art. 17 prevede espressamente che: ”[n]o one shall be subjected to arbitrary or unlawful interference with his privacy, family, home or correspondence“40. Pertanto, sebbene nessuno di questi strumenti – regionali e universali – sanciscano un diritto fondamentale all’oblio, dal momento che quest’ultimo si presenta come parte integrante della realizzazione del diritto alla vita privata in rete, ci sembra che meriti lo stesso livello di protezione riconosciuto ad altri diritti fondamentali dai molteplici meccanismi internazionali di tutela dei diritti umani. Notiamo, inoltre, che all’interpretazione fornita dalle corti sovranazionali si stanno allineando le corti supreme nazionali. Secondo la Corte di cassazione italiana41 e la High Court of 36 Così anche il Rgpd, conformemente alla giurisprudenza richiamata nel testo, precisa in numerose parti che la protezione dei dati personali deve avvenire in ossequio ai meccanismi di tutela internazionale dei diritti umani in materia. 37 Google Spain, p. 80. 38 O. DIGGELMANN, M N. CLEIS, How the Right to Privacy Became a Human Right, in Human Rights Law Review, 2014, pp. 441–458. 39 Dichiarazione Universale dei diritti dell’uomo, adottata e proclamata dall’Assemblea Generale delle Nazioni Unite con la Risoluzione 217 A (III) del 10 dicembre 1948, UN Doc. A/810 (1948), p. 71. Il testo della Dichiarazione è disponibile su: https://www.un.org/en/universal-declaration-human-rights. 40 Patto, art. 6, adottato a New York il 16 dicembre 1966, entrato in vigore il 23 marzo 1976, United Nations, Treaty Series, vol. 999, p. 171 e vol. 1057, p. 407. 41 Corte di cassazione (sez. I), Antonio Venditti c. Radiotelevisione Italiana SpA, ordinanza n. 6919, del 20 marzo 2018. 10 federalismi.it - ISSN 1826-3534 |n. 23/2019
England42, ad esempio, il legame strumentale esistente tra il diritto all’oblio e alla vita privata e il diritto alla protezione dei dati personali deve essere riconosciuto alla luce di quanto prescritto nei richiamati trattati sui diritti umani. 3. L’ambito di applicazione territoriale del diritto all’oblio al bivio tra due opposte direzioni Compresa la natura del diritto all’oblio online, quale strumento fondamentale per coloro che intendono limitare la crescente ingerenza di internet sulla propria vita privata, proseguiamo l’analisi indagando l’ambito geografico di applicazione di tale diritto. Più nel dettaglio, nelle due sezioni seguenti illustriamo ed esaminiamo le argomentazioni contrarie e quelle favorevoli a un’applicazione extraterritoriale delle misure di deindicizzazione dei dati. 3.1. Le argomentazioni in favore di una deindicizzazione circoscritta al territorio dell’Ue Rammentiamo sin d’ora che sulla portata territoriale del diritto all’oblio si è recentemente pronunciata la Grande sezione della Corte di giustizia in seguito a un rinvio pregiudiziale proposto dal Consiglio di Stato francese43. La Corte, in particolare, si è espressa a proposito di una vicenda che ha visto contrapporsi un’autorità garante della privacy, nello specifico l’autorità francese (Commission nationale de l’informatique et des libertés, Cnil), e il motore di ricerca più utilizzato al mondo dagli utenti di internet, Google. Nella sostanza, mentre l’autorità garante francese ordinava a Google di cancellare delle informazioni personali su tutti i domini del suo motore di ricerca44, la società americana dava soltanto parziale attuazione al provvedimento dell’autorità francese e rimuoveva tali informazioni unicamente dalle estensioni di dominio che corrispondono agli Stati membri dell’Ue. In questa vicenda, la Corte si è prudentemente espressa in favore del motore di ricerca della società americana45. Ciò perché, secondo la Corte, l’obiettivo del diritto dell’Ue in materia di protezione dei dati personali è quello di garantire un elevato livello di protezione su tutto il territorio degli Stati membri, ma non anche al di fuori dei loro confini46. Nell’interpretazione della Corte di giustizia, tanto la Direttiva47 42 High Court of Justice (Queen's Bench Division Media and Communications List), NT1 e NT2 c. Google LLC e Information Commissioner, sentenza del 13 aprile 2018, p. 13. 43 Corte di giustizia dell’Unione europea (Grande sezione), Google Cnil, cit. supra nota 5. 44 CNIL (Comitato ristretto), provvedimento n. 2016-054 del 10 marzo 2016, concernente una sanzione nei confronti di Google Inc. 45 Corte di giustizia dell’Unione europea, Google Cnil, cit., p. 64. Per un commento sulla sentenza, si veda O. POLLICINO, L' ''autunno caldo'' della Corte di giustizia in tema di tutela dei diritti fondamentali in rete e le sfide del costituzionalismo alle prese con i nuovi poteri privati in ambito digitale, in Federalismi.it, 2019, pp.1-13. 46 Ibid, p. 54. 47 Direttiva, considerando 10. 11 federalismi.it - ISSN 1826-3534 |n. 23/2019
quanto il Rgpd48 stabiliscono che gli interessati possono far valere i diritti ivi previsti e, dunque, anche il diritto all’oblio, quando il gestore di un motore di ricerca abbia uno o più stabilimenti nel territorio dell’Unione, nel cui ambito effettua un trattamento di dati personali che li riguardano, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. Sul punto, peraltro, i giudici di Lussemburgo avevano già precisato in Google Spain che un trattamento di dati personali risulta effettuato nel contesto delle attività di uno stabilimento nel territorio di uno Stato membro, quando il gestore di un motore di ricerca apra in uno Stato membro una succursale o una controllata destinata alla promozione e alla vendita degli spazi pubblicitari e l’attività della quale è rivolta agli abitanti di tale Stato49. Nell’opinione della Corte, l’ambito geografico di applicazione della disciplina in materia di dati personali va ancorata a criteri di collegamento territoriali. L’applicazione di tali criteri troverebbe giustificazione alla luce del summenzionato percorso di armonizzazione. Come ricordato, sin dall’adozione della Direttiva e, dunque, sin dalla seconda metà degli anni ’90, si è cercato di armonizzare le legislazioni nazionali degli Stati membri allo scopo di assicurare in tutto il territorio dell’Unione un livello di protezione uniforme e la libera circolazione dei dati. Per continuare ad assicurare un livello di protezione adeguato, il Rgdp ha introdotto dei meccanismi di cooperazione tra le autorità nazionali garanti della protezione dei dati personali per un’applicazione uniforme della normativa50. Realizzare quest’obiettivo è tutt’altro che scontato, poiché il diritto alla protezione dei dati personali non è, com’è noto, un diritto assoluto. Esso va necessariamente considerato alla luce della sua funzione sociale e, soprattutto, va contemperato con altri diritti fondamentali51. Occorre, in particolare, ricercare un punto di equilibrio tra il diritto al rispetto della vita privata e la protezione dei dati personali, da un lato, e la libertà di informazione degli utenti di internet, dall’altro52. Nel ricordato caso M.L. e W.W. c. Germania, ad esempio, anche la Corte di Strasburgo ha operato un bilanciamento tra diritti confliggenti, prendendo in particolare considerazione sia il crescente impatto di internet sulla vita privata degli individui sia il suo importante contributo alla formazione di un dibattito pubblico e alla formazione degli archivi scientifici53. 48 Rgpd, considerando 10, 11 e 13 e Art. 3. Sulla portata territoriale del Rgpd, si veda, European Data Protection Board, Guidelines 3/2018 on the Territorial Scope of the GDPR (Article 3), 16 novembre 2018. 49 Corte di giustizia dell’Unione europea, Google Cnil, cit., p. 60; Google Spain, cit., p. 60. In argomento, A. MIGLIO, Enforcing the Right to Be Forgotten Beyond EU Borders, op. cit., p. 307 ss. 50 Rgpd, artt. 61 e 62. Per un approfondimento, Consiglio d’Europa, Agenzia sui diritti fondamentali, op. cit. supra nota 10, p. 219 ss. 51 In tal senso, Corte di giustizia dell’Unione europea, Volker und Markus Schecke e Eifert, C-92/09 e C-93/09, sentenza del 9 novembre 2010, p. 48, nonché parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, p. 136. 52 Corte di giustizia dell’Unione europea, Google Spain, cit., p. 60. 53 Corte europea dei diritti dell’uomo, M.L. e W.W. c. Germania, cit., par. 89. 12 federalismi.it - ISSN 1826-3534 |n. 23/2019
Tale punto di equilibrio può variare notevolmente nei diversi ordinamenti giuridici. Talvolta, la ricerca può risultare complessa e ambiziosa anche nell’ambito del medesimo ordinamento giuridico54. A ciò si aggiunga che alcuni Stati al di fuori dell’Ue ancora non hanno adottato una disciplina in materia di protezione di dati personali, né tanto meno hanno riconosciuto lo specifico strumento del diritto alla deindicizzazione sul web. Problematica solo accennata dalla Corte, su cui fa però luce l’Avvocato generale. Nelle sue conclusioni rese lo scorso 10 gennaio sulla vicenda Google Cnil55, spiega nel dettaglio che l’applicazione extraterritoriale del diritto all’oblio da parte di un’autorità europea rischia di influenzare il comportamento di altre autorità nazionali presenti in paesi meno inclini al rispetto del diritto alla vita privata e alla protezione dei dati personali. In altri termini, ciò che l’Avvocato generale chiaramente teme è che dalla deindicizzazione su tutti i nomi di dominio di un motore di ricerca derivi una sorta di censura globale. Alla luce del precedente europeo, anche altre autorità straniere potrebbero sentirsi legittimate ad autorizzare delle ingerenti misure di deindicizzazione dei risultati di ricerca in internet. Al riguardo, ci sembra importante evidenziare che il timore prospettato dall’Avvocato generale non sembra infondato. Infatti, esso pare già concretizzarsi in almeno un caso specifico. Dopo la ricordata sentenza nel caso Google Spain, anche la Russia ha adottato una legge nazionale sul diritto all’oblio online56 che è stata immediatamente impugnata dinanzi alla Corte costituzionale russa. Secondo l’organizzazione non governativa che è Parte ricorrente nel caso, la nuova legge russa limiterebbe la libera circolazione delle informazioni sul web. In virtù di questa legge, Google avrebbe provveduto a oscurare una serie di articoli riguardanti crimini odiosi, presumibilmente perpetrati da autorità governative57. Limitare una misura di deindicizzazione al territorio degli Stati membri dell’Unione mira pertanto a conciliare i divergenti interessi in gioco: da un lato il diritto di un singolo individuo alla vita privata e alla protezione dei dati personali, dall’altro lato l’interesse di una generalità di utenti alla libertà di espressione e informazione58. D’altra parte, tanto le fonti del Consiglio d’Europa quanto le fonti dell’Ue, pur 54 Sulle problematiche connesse al bilanciamento tra diritti umani confliggenti, si veda C. FOCARELLI, La persona umana nel diritto internazionale, Bologna, 2013, pp. 44-45. 55 Avvocato generale, conclusioni del 10 gennaio 2019, caso C-507/17, Google LLC c. Commission nationale de l’informatique et des libertés. In dottrina, G. BEVILACQUA, The Territorial Scope of the Right to Be Forgotten Online in the Opinion of the Advocate General on the Case Google CNIL, in European Papers, 31 luglio 2019; A. MIGLIO, Setting Borders to Forgetfulness: AG Suggests Limiting the Scope of the Search Engine Operators’ Obligation to Dereference Personal Data, in European Data Protection Law Review, 2019, p. 136 ss. 56 Legge federale n. 264-FZ del 13 luglio 2015 che introduce emendamenti alla Legge federale sull’informazione tecnologica e la protezione di informazioni e agli artt. 29 e 402 del Codice di procedura civile russa. 57 ARTICLE 19, Russia: ARTICLE 19 Opposes Google in Neo-Nazi ‘Right to Be Forgotten’ Case, 28 marzo 2019, disponibile su: https://www.article19.org/blog/resources/russia-article-19-opposes-google-in-neo-nazi-right-to- be-forgotten-case/. 58 Avvocato generale, Google Cnil, cit., p. 58; Corte europea dei diritti dell’uomo, M.L. et W.W. c. Germany, cit., par. 89. 13 federalismi.it - ISSN 1826-3534 |n. 23/2019
riconoscendo un elevato livello di tutela al diritto alla vita privata e alla protezione dei dati personali, contemplano sempre la necessità di far conciliare tale diritto con la libertà di espressione e di informazione59. 3.2. La tendenza a una deindicizzazione extraterritoriale La seconda strada percorribile è quella della deindicizzazione dei risultati su tutti i nomi di dominio del motore di ricerca, indipendentemente dal luogo in cui la ricerca viene eseguita. Restringere il campo di applicazione territoriale del diritto all’oblio online, significa trascurare la prassi osservata da diverse autorità nazionali che tendono ad adottare misure di deindicizzazione dei risultati elencati dai motori di ricerca a livello globale. Obiettivo di questa prassi è chiaramente quello di assicurare al soggetto interessato una protezione completa ed effettiva dei suoi dati personali. La tendenza delle autorità nazionali ha un fondamento logico: l’applicazione del diritto all’oblio circoscritta ai confini virtuali di un singolo Stato può essere facilmente aggirata da qualunque utente di internet, che può eseguire la sua ricerca ricorrendo a un diverso nome di dominio. In pratica, l’utente, anche se si trova in Italia, può sempre utilizzare Google.com, invece che Google.it. Il passaggio a Google.com resterà ovviamente sempre possibile anche laddove l’applicazione della cancellazione sia circoscritta ai confini di tutti gli Stati membri dell’Unione. Anche la tecnica della geolocalizzazione dell’utente – tecnica proposta da Google60 e accolta sia dall’Avvocato generale61 che dalla Corte62 nel summenzionato caso Google Cnil – risulta facilmente aggirabile. Questa tecnica, in sostanza, consente di escludere l’accesso alle informazioni ricercate, quando la ricerca viene eseguita all’interno di uno specifico territorio, indipendentemente dal nome di dominio utilizzato e, dunque, anche qualora venga utilizzato Google.com. La ricerca dell’utente di internet, infatti, può essere ugualmente eseguita o in un altro paese al di fuori dell’Ue o, ancor più facilmente, utilizzando un indirizzo IP straniero. Peraltro, la tecnica della geolocalizzazione ci riporta al noto caso francese Yahoo! che pure ha visto contrapporsi un’autorità francese a una società americana. In quel caso, il Tribunale di grande istanza di Parigi ha ordinato al 59 Sulle limitazioni alla protezione dei dati personali, Consiglio d’Europa, Agenzia sui diritti fondamentali, op. cit., p. 40 ss. 60 Dopo la scadenza del termine fissato nel provvedimento della Cnil, Google ha presentato una proposta complementare di geolocalizzazione, che però l’Autorità francese ha reputato insufficiente; sul punto, si veda Cnil (Comitato ristretto), provvedimento cit., supra nota 44. 61 Avvocato generale, Google Cnil, p. 78. 62 Corte di giustizia dell’Unione europea, Coogle Cnil, p.43. 14 federalismi.it - ISSN 1826-3534 |n. 23/2019
gestore del motore di ricerca di impedire l’accesso alle vendite di prodotti nazisti a coloro che su siti web americani utilizzavano un indirizzo IP francese63. In concreto, la strada proposta dalla Corte di giustizia sembra difficilmente percorribile in uno spazio virtuale dal momento che internet è per sua natura privo di frontiere. Sul punto, ci sembra interessante notare che, già nel 2014, tutte le Autorità nazionali garanti della protezione dei dati presenti negli Stati membri dell’Unione hanno elaborato delle linee guida che mirano a dare coerente attuazione alla decisione della Corte nel caso Google Spain. Tra i vari aspetti considerati, il documento si occupa anche di delineare la portata territoriale del diritto all’oblio. Secondo le autorità garanti, un individuo risulta completamente ed effettivamente protetto rispetto alla capacità divulgativa universale offerta dal web soltanto se le misure di deindicizzazione riguardano l’intero processo di elaborazione di dati personali svolto dal motore di ricerca64. Dal loro punto di vista, la decisione nel caso Google Spain implica un obbligo di risultato che non risulta soddisfatto quando a internet viene chiesto di “dimenticare” nelle sole versioni nazionali o europee. Pertanto, “[…] limiting de-listing to EU domains on the grounds that users tend to access search engines via their national domains cannot be considered a sufficient means to satisfactorily guarantee the rights of data subjects according to the judgment. In practice, this means that in any case de-listing should also be effective on all relevant domains, including .com65. L’interpretazione resa dai Garanti nelle linee guida del 2014 non ha natura vincolante. Essa mira unicamente a orientare la prassi applicativa successiva alla sentenza Google Spain. E, in effetti, il documento non sembra mancare questo obiettivo. Nella medesima prospettiva si inscrive un provvedimento del 17 dicembre 2017 dell’Autorità garante italiana per la protezione dei dati con cui si ordina a Google di applicare la deindicizzazione dei link a livello extraterritoriale66. Scopo del provvedimento è assicurare tutela completa ed effettiva al ricorrente che, nel caso di specie, è un cittadino italiano, professore universitario, residente all’estero.67 Questa misura è evidentemente tesa a salvaguardare il diritto alla protezione dei dati del soggetto interessato ovunque i suoi dati siano processati e ovunque egli si trovi. 63 Yaman Akdeniz, “Case analysis of League Against racism and Antisemitism (LICRA), Associazione francese di student ebrei c. Yahoo! Inc. (USA), Yahoo Francia, Tribunale di Grande Istanza di Parigi, Ordinanza del 20 novembre 2000”, Electronic Business Law Reports 1(3) (2001) 110-20. 64 Working Party, cit., supra nota 6. In argomento, B. VAN ALSENOY, M. KOEKKOEK, The Extra-Territorial Reach of the Eu's Right to Be Forgotten, in CiTiP Working paper, 18 gennaio 2015. 65 Ibid, p. 9. 66 Autorità garante per la protezione dei dati personali, provvedimento n. 557 del 21 dicembre 2017; così anche Cnil (Comitato ristretto), provvedimento, cit. 67 Corte Suprema canadese,, cit., supra nota 7. Sugli effetti extraterritoriali delle decisioni giudiziarie, si vedano, M. DOUGLAS, Extraterritorial Injunctions Affecting the Internet, in Journal of Equity, 2018, pp. 34-57; H.G, MAIER, Extraterritorial Jurisdiction at a Crossroads: An Intersection between Public and Private International Law, in The American Journal of International Law, 1982, pp. 280-320; D.J.B. SVANTESSON, Solving the Internet Jurisdiction Puzzle, Oxford, 2017, p. 40 ss. 15 federalismi.it - ISSN 1826-3534 |n. 23/2019
D’altra parte, l’obiettivo di riconoscere un elevato livello di protezione dei dati personali è ben noto anche alla stessa Corte di giustizia che nel più recente caso Google Cnil, pur disponendo un’applicazione limitata della deindicizzazione, riconosce espressamente che internet è “una rete globale senza frontiere e i motori di ricerca conferiscono ubiquità alle informazioni e ai link contenuti in un elenco di risultati visualizzato a seguito di una ricerca effettuata a partire dal nome di una persona fisica”68. Le argomentazioni che ruotano intorno alla peculiare natura globale di internet trovano ulteriore conferma anche al di fuori dei confini dell’Unione. Le peculiarità di internet vengono utilizzate per giustificare l’applicazione extraterritoriale di una misura di deindicizzazione anche in una decisione della Suprema Corte canadese secondo cui “[…] the internet has no borders – its natural habitat is global, [i]f [its] injunction were restricted to Canada alone or to google.ca, the remedy would be deprived of its intended ability to prevent irreparable harm […]”. Nello specifico, i giudici canadesi hanno ordinato di cancellare i link ‘incriminati’ riguardanti un prodotto pubblicizzato mediante un marchio illegittimo. Se la cancellazione non avesse prodotto effetti extraterritoriali, il prodotto avrebbe continuato a trovare diffusione online in maniera illegittima. Nei diversi documenti appena esaminati risulta dunque centrale il fatto che la problematica concernente la delimitazione del campo di applicazione geografico del diritto all’oblio si pone in uno spazio che presenta delle peculiarità intrinseche non trascurabili. I garanti in materia di protezione dei dati personali e le autorità giudiziarie ritengono opportuno ricorrere a misure che producono effetti anche al di fuori dei rispettivi ordinamenti nazionali, proprio perché internet è un ambito per sua natura privo di confini. L’effetto dell’ingerenza nella vita privata del soggetto interessato risulta in internet moltiplicato in ragione del suo carattere ubiquitario. 4. Internet, la libertà dei mari e l’applicazione del diritto in spazi privi di confini Prendendo spunto dalle argomentazioni favorevoli a un’applicazione extraterritoriale del diritto all’oblio online, proseguiamo l’analisi esaminando la rilevanza giuridica delle caratteristiche peculiari di internet, evidenziando alcune somiglianze esistenti con un altro spazio altrettanto privo di confini territoriali e chiarendo se tali caratteristiche possono realmente condizionare l’esercizio di poteri sovrani. All’epoca in cui internet fu creato, negli anni ’90, il manifesto sul cyberspazio annunciava la nascita di nuove tecnologie che avrebbero resistito all’applicazione di confini territoriali69. L’avvento di internet 68Corte di giustizia dell’Unione europea, Google Cnil, cit., p. 56; ma anche, in tal senso, Google Spain, cit., p. 80 e C-194/16, Bolagsupplysningen e Ilsjan, sentenza del 17 ottobre 2017, p. 48. 69 J.P. BARLOW, A Declaration of the Independence of Cyberspace, Davos, Svizzera: 1996, disponibile su: http://w2.eff.org/Censorship/Internet censorship bills/barlow 0296.declaration. 16 federalismi.it - ISSN 1826-3534 |n. 23/2019
avrebbe segnato la fine dello Stato nazione basato sul riconoscimento reciproco della giurisdizione esclusiva da parte di ciascuno Stato70. La presenza di confini territoriali nello spazio virtuale veniva equiparata alla presenza di dinosauri nella società della rete in piena evoluzione. In altri termini, internet era considerato uno spazio separato e distinto per cui la nozione di confini geografici e giurisdizione territoriale non aveva alcun significato. Dal momento che internet non poteva corrispondere a un vero e proprio spazio fisico, ne conseguiva che in esso non si sarebbero neppure potuti esercitare gli stessi poteri sovrani che normalmente si esercitano nei confronti di una comunità stanziata su un determinato territorio71. Questa concezione di internet, quale spazio aperto e globale, richiama sotto certi aspetti la più risalente teoria della libertà dei mari. Questa teoria venne sviluppata nel Mare Liberum di Ugo Grozio pubblicato per la prima volta anonimo nel 160972. Nella sua opera l’autore olandese sosteneva che i mari non potevano essere soggetti ad appropriazione. Mentre la terraferma poteva essere occupata, suddivisa e distribuita a diverso titolo tra gli individui, i mari dovevano necessariamente restare liberi e aperti a tutti. Pertanto, così come Grozio riteneva che il mare dovesse essere soggetto a una differente concezione spaziale, in virtù della quale esso non poteva essere ripartito in reciproche giurisdizioni esclusive, così anche le suddette autorità nazionali sembrano contestare l’esercizio esclusivo del diritto all’oblio in rete su base territoriale. Come gli spazi marini, anche lo spazio virtuale non può essere suddiviso mediante confini fisici e per questo motivo non può essere soggetto al tradizionale esercizio della sovranità territoriale. Proprio a questo proposito, il 28 luglio 2015, nel preambolo alla già richiamata Dichiarazione dei diritti in internet, la Commissione per i diritti e i doveri in internet, proclamava espressamente che “internet ha contribuito in maniera decisiva a ridefinire lo spazio pubblico e privato, a strutturare i rapporti tra le persone e tra queste e le istituzioni. Ha cancellato confini […]. Ha [poi] consentito lo sviluppo di una società più aperta e libera”73. A ciò si aggiunga che secondo l’autore olandese qualunque proprietà doveva avere origine da un atto di occupazione74. Poiché beni come il sole, l’aria e il mare non potevano (e non dovevano) essere occupati, 70 Sulla relazione tra Stato e territorio, si vedano M. NINO, Land Grabbing e sovranità territoriale in diritto internazionale, Napoli, 2018, p. 128 ss.; M.C. VITUCCI, voce “Territorio (dir. int.)”, in Treccani.it, 2014, disponibile su: http://www.treccani.it/enciclopedia/territorio-dir-int_(Diritto-on-line). 71 D. R JOHNSON, David B Post, Law and Borders - The Rise of Law in Cyberspace, 1996. 72 Sugli aspetti storici del diritto internazionale del mare, si vedano B. CONFORTI, Il regime giuridico dei mari, Napoli, 1957; M. HILDEBRANDT, Extraterritorialjurisdiction to Enforce in Cyberspace? Bodin, Schmitt, Grotius in Cyberspace, in University of Toronto Law Journal, 2013, pp. 196-224, specie in 210; U. LEANZA, L. SICO, Il regime giuridico dell’alto mare e delle acque adiacenti, Milano, 1972; T. SCOVAZZI, Elementi di diritto internazionale del mare, III ed., Milano, 2002, p. 23 ss. 73 Camera dei deputati (Commissione per i diritti e i doveri relativi ad Internet), cit., supra nota 2. 74 Sull’individuazione del diritto all’utilizzazione del territorio, si veda M. NINO, op. cit., p. 144 ss. 17 federalismi.it - ISSN 1826-3534 |n. 23/2019
Puoi anche leggere
