Accogliendo un ricorso in tema di diritto all’oblio, il Garante della privacy affronta la questione dell’ambito della propria giurisdizione rispetto a un provider straniero e la risolve con un’interpretazione estensiva del criterio di “stabilimento” secondo la più recente giurisprudenza comunitaria. Versione originale dell’articolo pubblicata su Diritto 24.

Con il Provvedimento n. 30 del 26 febbraio 2017 , il Garante della privacy ha accolto il ricorso proposto da un residente italiano contro il noto provider Yahoo!, volto ad ottenere la rimozione dal motore di ricerca Yahoo! Search di link alla pagina di un sito statunitense, nella quale erano riportate notizie relative a una propria disavventura giudiziaria occorsa in quel Paese. Le notizie in questione erano state superate dai fatti: il reato, infatti, era stato nel frattempo derubricato in una fattispecie di minore gravità rispetto a quella originariamente contestata, e l’intera vicenda archiviata con un non luogo a provvedere. Il ricorrente aveva già rivolto direttamente a Yahoo! la medesima richiesta, ma senza risultato.

In accoglimento del ricorso, il Garante ha ordinato a Yahoo! di provvedere alla rimozione di link alla pagina contestata, a tutela del diritto all’oblio del ricorrente, e in considerazione della presenza in detta pagina di notizie “non aggiornate e riferite ad una vicenda conclusasi in modo differente rispetto a quanto desumibile dalla consultazione della pagina stessa”.

Fin qui, nessuna novità rispetto all’ormai consolidata giurisprudenza nazionale in tema di diritto all’oblio in Internet (che abbiamo in passato esaminato, ad esempio qui,  qui e qui ). Ciò che, invece, è più interessante della pronuncia in commento è la risoluzione da parte del Garante delle questioni di legge applicabile e giurisdizione, sollevate dal provider.

Il ricorso era stato proposto congiuntamente contro Yahoo! Emea Limited, quartier generale di Yahoo! in Europa con sede in Irlanda, e la filiale italiana Yahoo! Srl Italia. Queste ultime si erano difese sostenendo che la sola a potersi qualificare come “titolare” del trattamento di dati personali oggetto del giudizio fosse la società irlandese, quale soggetto avente potere decisionale in merito alla gestione del motore di ricerca, mentre la seconda non avrebbe avuto alcun controllo sui contenuti dello stesso. Ne sarebbe derivato il difetto di giurisdizione del Garante italiano sulla materia oggetto del procedimento.[1]

Ebbene, il Garante in rigetto dell’eccezione ha affermato l’applicabilità del diritto nazionale e la propria giurisdizione, ritenendo Yahoo!Italia S.r.l. un’organizzazione stabile di Yahoo!Emea Limited sul territorio nazionale, “in virtù del fatto che l’attività svolta dalla prima è diretta quanto meno a rendere economicamente redditizio il servizio reso da Yahoo! Emea Limited”.

In altre parole, il Garante ha fatto propria la giurisprudenza comunitaria nei casi Google Spain e Weltimmo (espressamente citati), nei quali la CGUE ha allargato il concetto di “stabilimento” in uno Stato membro e di trattamento di dati personali effettuato “nel contesto” delle attività di detto stabilimento, ricomprendendovi i casi di filiali locali (del titolare del trattamento straniero) impegnate in un’attività che, per quanto minima, sia inestricabilmente connessa a quella vera e propria di trattamento dati effettuata dal titolare. Il Garante ha altresì citato, a sostegno della propria tesi, una sentenza (inedita) del gennaio 2017 del Tribunale di Milano, per la quale all’affermazione della giurisdizione del Garante dovrebbe pervenirsi anche per la considerazione della necessità di garantire il principio di effettività della tutela a fronte di una lesione derivante da un illecito trattamento di dati personali avvenuti on line ed i cui effetti dannosi si sono verificati in Italia.

Il provvedimento conferma la linea di tendenza giurisprudenziale volta a rendere quanto più accessibile ed effettiva possibile la tutela dell’individuo di fronte a casi di trattamento illegittimo dei dati personali da parte di titolari del trattamento stranieri e/o con pluralità di stabilimenti in Europa. Esso è, comunque, ancora opponibile dalle resistenti innanzi all’autorità giudiziaria ordinaria.

 

[1] Va ricordato, a tale proposito, che il Codice della privacy (D. lgs. 196/2003) stabilisce all’art. 4 che il criterio principale per l’applicazione del Codice stesso è quello di stabilimento del titolare del trattamento in Italia, in attuazione del principio stabilito a monte dalla Direttiva 95/46/CE. Sebbene si tratti formalmente di una norma sul diritto applicabile, essa reca conseguenze anche sul piano della giurisdizione del Garante, perché l’ambito di quest’ultima coincide esattamente con quello di applicazione del Codice.