Google deve deindicizzare i dati sensibili degli interessati da tutte le sue “versioni europee”

I gestori dei motori di ricerca sono obbligati ex artt. 8 Direttiva 95/46/CE, 9 e 10 Regolamento 2016/679/UE GDPR ad accogliere le richieste di deindicizzazione dei dati sensibili giudiziari, opinioni politiche, religiose, vita sessuale etc. su richiesta dell’interessato, previo equo bilanciamento con i diritti e libertà degli internauti e salvo le eccezioni previste dalla Direttiva di cui sopra e dal GDPR. Tale onere attua il diritto all’oblio ed è limitato alle sole versioni dei motori riferibili agli Stati dell’UE, non a tutte quelle, a livello mondiale, del dominio dei gestori.

È quanto deciso dalla CGUE in due sentenze EU C 2019 773 e 772, C-136 e 507/17 del 24/9/19 strettamente connesse tra di loro, confermando le Conclusioni dell’AG v. quotidiano del 10/1/19 . I casi. Entrambi riguardano ricorsi contro decisioni della Commissione nazionale per l’informatica e le libertà CNIL . Nel caso C-136/17 i ricorrenti impugnavano innanzi al Consiglio di Stato francese il rifiuto della CNIL di imporre a Google di accogliere la loro richiesta di cancellare link reperibili effettuando una ricerca col loro nome e relativi a dati sensibili. Nel dettaglio rinviavano a pagine Internet pubblicate da terzi contenenti, nello specifico, un fotomontaggio satirico riguardante un’esponente di politica messo in linea sotto pseudonimo, articoli che menzionavano la qualità di responsabile delle pubbliche relazioni della Chiesa di Scientology di uno degli interessati relativi al suicidio di una adepta della Chiesa, reportages relativi all’indagine giudiziaria a carico di un politico per finanziamenti illeciti ed alla condanna di un altro interessato per violenza sessuale su minore. Il Consiglio di Stato sollevava una pregiudiziale per sapere se il divieto imposto ai responsabili del trattamento di dati relativi alle suddette categorie particolari fosse applicabile anche a tale gestore di un motore di ricerca, in considerazione delle responsabilità, delle competenze e delle sue possibilità specifiche. Nel C-507/17 il CNIL infliggeva un’esosa multa a Google per aver rifiutato di deindicizzare dati sensibili su richiesta di un interessato da tutte le estensioni riferibili al suo dominio, non accogliendo la proposta del gestore di imporre un blocco geografico relativo al solo territorio di residenza del richiedente la cancellazione di tali dati. Il Consiglio di Stato, anche in questo caso, chiedeva se l’onere di deindicizzare i dati richiesti dall’interessato dovesse avvenire senza limitazioni geografiche o solo relativamente al suo paese di residenza. LA CGUE risponde come sintetizzato in epigrafe. Il gestore del motore di ricerca è responsabile per il trattamento dei dati. Dopo la sentenza Google Spain EU C 2014 317 nel quotidiano del 13/5/14 di cui entrambi i provvedimenti recepiscono i principi cardine da essa dettati, è pacifico che il gestore del motore di ricerca svolga una funzione di responsabile del trattamento dei dati proprio per la sua attività di ricercare, selezionare ed indicizzare dette informazioni reperite in rete e contenute in pagine web edite da terzi. Deve perciò sottostare ai limiti imposti dalla Direttiva 95/46/CE e dal GDPR artt. 9 e 10 . Perciò c’è un ambito di riserva, relativa a categorie di dati protetti dati da cui si evincono lo stato di salute, la vita sessuale, le opinioni politiche, le convinzioni religiose, filosofiche, l’appartenenza sindacale etc. sottratti alla pubblicazione, salvo che l’interessato non abbia prestato il consenso alla diffusione, siano di pubblico dominio o vengano pubblicati per scopi giornalistici e/o di espressione artistica-letteraria. Si deve sempre bilanciare l’interesse di una persona alla protezione della sua privacy ex artt. 7 e 8 Carta di Nizza e dei suoi diritti fondamentali con quello di terzi che vogliono avere accesso agli stessi in nome della loro libertà di espressione e d’informazione ex articolo 11 Carta di Nizza. Più precisamente, nell’ambito delle sue responsabilità, competenze e possibilità, su istanza dell’interessato, il gestore deve solo cancellare i dati relativi alla sua attività di indicizzazione dei documenti reperiti online riferibili a quella persona, facendo una ricerca col suo nome, mentre nulla gli potrà essere ascritto se i dati controversi non fossero cancellati dalle pagine web cui rinviava ed in cui eventualmente erano stati diffusi legalmente. La verifica dell’ottemperanza a questo onere avviene sotto il controllo delle autorità nazionali Garanti o giudiziarie . Limiti al diritto all’oblio. È indubbio l’impatto che la diffusione di queste informazioni sensibili possa avere sulla via privata e professionale dell’interessato e come la portata lesiva della stessa sia ampliata dall’infinito bacino di utenti del web. L’articolo 17 GDPR prevede il diritto all’oblio, ossia alla cancellazione di questi dati dai motori di ricerca non è un diritto assoluto, ma come sottolinea il considerando 4 di detto regolamento, deve essere considerato in relazione alla sua funzione sociale ed essere bilanciato con altri diritti fondamentali, conformemente al principio di proporzionalità EU C 2017 592 nella rassegna del 4/8/17 . In breve il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione, deve verificare, alla luce dei motivi di interesse pubblico rilevante di cui all’articolo 8 § . 4 Direttiva 95/46 o all’articolo 9 § .2 Lett. g Regolamento 2016/679 e conformemente alle condizioni previste da tali disposizioni, se l’inserimento del link verso la pagina web in questione nell’elenco visualizzato in esito ad una ricerca effettuata a partire dal nome della persona interessata sia necessario per l’esercizio del diritto alla libertà di informazione degli utenti Internet che hanno potenzialmente interesse ad accedere a detta pagina web attraverso tale ricerca, libertà che è tutelata dall’articolo 11 della Carta di Nizza. In questi casi potrà validamente rifiutare la loro deindicizzazione. Limiti alla pubblicazione dei dati giudiziari. La loro pubblicazione è disciplinata dagli artt. 8 § .5 Direttiva 95/46 e 10 GDPR nell’effettuare detto bilanciamento di contrapposti interessi si deve tenere conto del ruolo essenziale che è svolto dalla stampa in una società democratica e che comprende la redazione di resoconti e commenti sui procedimenti giudiziari. Inoltre, alla funzione dei media consistente nel comunicare informazioni e idee del genere si aggiunge il diritto del pubblico di riceverle . La CEDU ha evidenziato come la collettività nel ricercare notizie su avvenimenti di attualità, possa essere interessata anche ad eventi passati pur essendo, tuttavia, variabile l’ampiezza dell’interesse del pubblico quanto ai procedimenti penali e pur potendo evolvere nel corso del tempo a seconda, in particolare, delle circostanze del caso . M.L. e W.W. c. Germania, relativo al diritto all’oblio di un processo per omicidio del 1993, nel quotidiano del 28/6/18 . In breve si deve tenere conto anche della natura e della gravità dell’infrazione di cui trattasi, dello svolgimento e dell’esito di tale procedura, del tempo trascorso, del ruolo rivestito da questa persona nella vita pubblica e del suo comportamento in passato, sì da riflettere l’attuale situazione giudiziaria dell’interessato. Il gestore dovrà, quindi, provvedere rapidamente ad aggiornare gli indici dei risultati della ricerca in tal senso, laddove costati che i suoi diritti fondamentali prevalgano sulle libertà d’informazione e di espressione degli utenti del web. Limiti geografici del diritto all’oblio. Il divieto di indicizzare dati sensibili non è attuabile a livello mondiale, id est per tutte le versioni riferibili al dominio del motore di ricerca, dato che, per la vastità della rete, alcuni potrebbero essere reperibili in siti web extra UE. Più precisamente dalla normativa non emerge che il legislatore dell’UE abbia proceduto a tale bilanciamento per quanto riguarda la portata di una deindicizzazione al di fuori dell’UE né che abbia scelto di attribuire ai diritti dei singoli una portata che vada oltre il territorio degli Stati membri. Non risulta neppure che esso abbia inteso imporre a un operatore, come Google, un obbligo di deindicizzazione riguardante anche le versioni nazionali del suo motore di ricerca che non corrispondono agli Stati membri. Il diritto dell’UE non prevede, per giunta, strumenti e meccanismi di cooperazione per quanto riguarda la portata di una deindicizzazione al di fuori dell’UE . Il diritto all’oblio, perciò, sarà limitato al solo territorio dell’UE tutte le versioni del motore riferibili agli Stati membri ed il gestore dovrà parimenti adottare misure atte a scoraggiare ed impedire che gli utenti li reperiscano da versioni extra UE del motore di ricerca, spettando al giudice nazionale verificare se le misure adottate, nella fattispecie dalla Google Inc., soddisfino le sopra descritte esigenze di tutela EU C 2016 689 nel quotidiano del 19/6/16 . Dall’altro lato, però, rileva che il diritto dell’UE, pur non imponendo, allo stato attuale, che la deindicizzazione verta su tutte le versioni del motore di ricerca, neppure lo vieta. Pertanto, un’autorità di controllo o un’autorità giudiziaria di uno Stato membro resta competente ad effettuare, conformemente agli standard nazionali di protezione dei diritti fondamentali detto bilanciamento di contrapposti interessi, può, però, chiedere se del caso, che il gestore di tale motore di ricerca effettui una deindicizzazione su tutte le versioni del suddetto motore .

Corte di Giustizia EU, Grande Sezione, sentenza 24 settembre 2019, causa C-507/17 * Rinvio pregiudiziale – Dati personali – Protezione delle persone fisiche con riguardo al trattamento di tali dati – Direttiva 95/46/CE – Regolamento UE 2016/679 – Motori di ricerca su Internet – Trattamento dei dati contenuti nei siti web – Portata territoriale del diritto alla deindicizzazione Sentenza 1 La domanda di pronuncia pregiudiziale verte sull’interpretazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati GU 1995, L 281, pag. 31 . 2 Tale domanda è stata presentata nell’ambito di una controversia tra la società Google LLC, succeduta alla Google Inc., e la Commission nationale de l’informatique et des libertés CNIL Commissione nazionale per l’informatica e le libertà in prosieguo la CNIL , Francia relativamente a una sanzione di EUR 100 000, da quest’ultima irrogata nei confronti di Google, sulla base di un rifiuto da parte di tale società, nell’accogliere una domanda di deindicizzazione, di applicare la deindicizzazione su tutte le estensioni del nome di dominio del suo motore di ricerca. Contesto normativo Diritto dell’Unione Direttiva 95/46 3 A norma del suo articolo 1, paragrafo 1, la direttiva 95/46 ha ad oggetto la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, riguardo al trattamento dei dati personali, nonché l’eliminazione degli ostacoli alla libera circolazione di tali dati. 4 I considerando 2, 7, 10, 18, 20 e 37 della direttiva 95/46 così recitano 2 considerando che i sistemi di trattamento dei dati sono al servizio dell’uomo che essi, indipendentemente dalla nazionalità o dalla residenza delle persone fisiche, debbono rispettare le libertà e i diritti fondamentali delle stesse, in particolare la vita privata, e debbono contribuire al benessere degli individui 7 considerando che il divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata, garantiti negli Stati membri relativamente al trattamento di dati personali può impedire la trasmissione dei dati stessi fra territori degli Stati membri e che tale divario può pertanto costituire un ostacolo all’esercizio di una serie di attività economiche su scala comunitaria, 10 considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali[, firmata a Roma il 4 novembre 1950,] e dai principi generali del diritto comunitario che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità 18 considerando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, è necessario che qualsiasi trattamento di dati personali effettuato nella Comunità rispetti la legislazione di uno degli Stati membri 20 considerando che la tutela delle persone prevista dalla presente direttiva non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo che, in tal caso, è opportuno che i trattamenti effettuati siano disciplinati dalla legge dello Stato membro nel quale sono ubicati i mezzi utilizzati per il trattamento in oggetto e che siano prese le garanzie necessarie per consentire l’effettivo rispetto dei diritti e degli obblighi previsti dalla presente direttiva 37 considerando che il trattamento di dati personali a scopi giornalistici o di espressione artistica o letteraria, in particolare nel settore audiovisivo deve beneficiare di deroghe o di limitazioni a determinate disposizioni della presente direttiva ove sia necessario per conciliare i diritti fondamentali della persona con la libertà di espressione ed in particolare la libertà di ricevere o di comunicare informazioni, quale garantita in particolare dall’articolo 10 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali che pertanto, al fine di stabilire un equilibrio fra i diritti fondamentali, gli Stati membri devono prevedere le deroghe e le limitazioni necessarie in materia di misure generali concernenti la legittimità del trattamento di dati, . 5 L’articolo 2 della direttiva in parola dispone quanto segue Ai fini della presente direttiva si intende per a dati personali” qualsiasi informazione concernente una persona fisica identificata o identificabile persona interessata” b trattamento di dati personali” trattamento” qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione d responsabile del trattamento” la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali . 6 L’articolo 4 di detta direttiva, intitolato Diritto nazionale applicabile , così dispone 1. Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali a effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile b il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico c il cui responsabile, non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea. 2. Nella fattispecie di cui al paragrafo 1, lettera c , il responsabile del trattamento deve designare un rappresentante stabilito nel territorio di detto Stato membro, fatte salve le azioni che potrebbero essere promosse contro lo stesso responsabile del trattamento . 7 L’articolo 9 della direttiva 95/46, intitolato Trattamento di dati personali e libertà d’espressione , è del seguente tenore Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI solo qualora si rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla libertà d’espressione . 8 L’articolo 12 di tale direttiva, recante il titolo Diritto di accesso , prevede quanto segue Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento b a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati . 9 L’articolo 14 della medesima direttiva, intitolato Diritto di opposizione della persona interessata , così dispone Gli Stati membri riconoscono alla persona interessata il diritto a almeno nei casi di cui all’articolo 7, lettere e e f , di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. In caso di opposizione giustificata il trattamento effettuato dal responsabile non può più riguardare tali dati . 10 L’articolo 24 della direttiva 95/46, rubricato Sanzioni , prevede quanto segue Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva . 11 L’articolo 28 di detta direttiva, intitolato Autorità di controllo , è così formulato 1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri. 3. Ogni autorità di controllo dispone in particolare – di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo – di poteri effettivi d’intervento, come quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio. 4. Qualsiasi persona, o associazione che la rappresenti, può presentare a un’autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alla sua domanda. 6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro. Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile. . Regolamento UE 2016/679 12 Il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati GU 2016, L 119, pag. 1 e rettifiche in GU 2016, L 314, pag.72, e in GU 2018, L 127, pag. 3 , basato sull’articolo 16 TFUE, ai sensi dell’articolo 99, paragrafo 2, è applicabile a decorrere dal 25 maggio 2018. Il suo articolo 94, paragrafo 1, stabilisce che la direttiva 95/46 è abrogata a decorrere dalla stessa data. 13 I considerando 1, 4, da 9 a 11, 13, da 22 a 25 e 65 di detto regolamento così recitano 1 La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea Carta” e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 4 Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, 9 la direttiva [95/46] non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione . La compresenza di diversi livelli di protezione negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione . 10 Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. 11 Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri. 13 Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un controllo coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. Per il buon funzionamento del mercato interno è necessario che la libera circolazione dei dati personali all’interno dell’Unione non sia limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. 22 Qualsiasi trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione. 23 Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento, è opportuno che questo disciplini il trattamento dei dati personali degli interessati che si trovano nell’Unione effettuato da un titolare del trattamento o da un responsabile del trattamento non stabilito nell’Unione, quando le attività di trattamento sono connesse all’offerta di beni o servizi a detti interessati indipendentemente dal fatto che vi sia un pagamento correlato. Per determinare se tale titolare o responsabile del trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione. 24 È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione. Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su [I]nternet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali. 25 Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un titolare del trattamento non stabilito nell’Unione. 65 Un interessato dovrebbe avere il diritto all’oblio” se la conservazione di tali dati violi il presente regolamento o il diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento. Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione . 14 L’articolo 3 del regolamento 2016/679, intitolato Ambito di applicazione territoriale , è formulato come segue 1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano a l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato oppure b il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione. 3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico . 15 L’articolo 4, punto 23, di tale regolamento definisce il concetto di trattamento transfrontaliero come segue a trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro oppure b trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro . 16 L’articolo 17 del citato regolamento, intitolato Diritto alla cancellazione diritto all’oblio” , è formulato nel modo seguente 1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti a i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati b l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a , o all’articolo 9, paragrafo 2, lettera a , e se non sussiste altro fondamento giuridico per il trattamento c l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2 d i dati personali sono stati trattati illecitamente e i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento f i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1. 3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario a per l’esercizio del diritto alla libertà di espressione e di informazione . 17 L’articolo 21 di tale regolamento, rubricato Diritto di opposizione , al suo paragrafo 1 così prevede L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e o f , compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria . 18 L’articolo 55 del regolamento 2016/679, intitolato Competenza , che fa parte del capo VI di tale regolamento, a sua volta rubricato Autorità di controllo indipendenti , prevede quanto segue al paragrafo 1 Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro . 19 L’articolo 56 di tale regolamento, intitolato Competenza dell’autorità di controllo capofila , stabilisce che 1. Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60. 2. In deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro. 3. Nei casi indicati al paragrafo 2 del presente articolo, l’autorità di controllo informa senza ritardo l’autorità di controllo capofila in merito alla questione. Entro un termine di tre settimane da quando è stata informata, l’autorità di controllo capofila decide se intende o meno trattare il caso secondo la procedura di cui all’articolo 60, tenendo conto dell’esistenza o meno di uno stabilimento del titolare del trattamento o responsabile del trattamento nello Stato membro dell’autorità di controllo che l’ha informata. 4. Qualora l’autorità di controllo capofila decida di trattare il caso, si applica la procedura di cui all’articolo 60. L’autorità di controllo che ha informato l’autorità di controllo capofila può presentare a quest’ultima un progetto di decisione. L’autorità di controllo capofila tiene nella massima considerazione tale progetto nella predisposizione del progetto di decisione di cui all’articolo 60, paragrafo 3. 5. Nel caso in cui l’autorità di controllo capofila decida di non trattarlo, l’autorità di controllo che ha informato l’autorità di controllo capofila tratta il caso conformemente agli articoli 61 e 62. 6. L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento . 20 L’articolo 58 dello stesso regolamento, intitolato Poteri , prevede, al suo paragrafo 2, quanto segue Ogni autorità di controllo ha tutti i poteri correttivi seguenti g ordinare la cancellazione di dati personali a norma degli articoli 17 i infliggere una sanzione amministrativa in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso . 21 Nel capo VII del regolamento 2016/679, intitolato Cooperazione e coerenza , la sezione I, intitolata Cooperazione , comprende gli articoli da 60 a 62 del regolamento. L’articolo 60, intitolato Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate , dispone quanto segue 1. L’autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell’adoperarsi per raggiungere un consenso. L’autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili. 2. L’autorità di controllo capofila può chiedere in qualunque momento alle altre autorità di controllo interessate di fornire assistenza reciproca a norma dell’articolo 61 e può condurre operazioni congiunte a norma dell’articolo 62, in particolare per lo svolgimento di indagini o il controllo dell’attuazione di una misura riguardante un titolare del trattamento o responsabile del trattamento stabilito in un altro Stato membro. 3. L’autorità di controllo capofila comunica senza ritardo le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni. 4. Se una delle altre autorità di controllo interessate solleva un’obiezione pertinente e motivata al progetto di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l’autorità di controllo capofila, ove non dia seguito all’obiezione pertinente e motivata o ritenga l’obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all’articolo 63. 5. L’autorità di controllo capofila, qualora intenda dare seguito all’obiezione pertinente e motivata sollevata, trasmette un progetto di decisione riveduto alle altre autorità di controllo interessate per ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui al paragrafo 4 entro un termine di due settimane. 6. Se nessuna delle altre autorità di controllo interessate ha sollevato obiezioni al progetto di decisione trasmesso dall’autorità di controllo capofila entro il termine di cui ai paragrafi 4 e 5, si deve considerare che l’autorità di controllo capofila e le autorità di controllo interessate concordano su tale progetto di decisione e sono da esso vincolate. 7. L’autorità di controllo capofila adotta la decisione e la notifica allo stabilimento principale o allo stabilimento unico del titolare del trattamento o responsabile del trattamento, a seconda dei casi, e informa le altre autorità di controllo interessate e il comitato la decisione in questione, compresa una sintesi dei fatti e delle motivazioni pertinenti. L’autorità di controllo cui è stato proposto un reclamo informa il reclamante riguardo alla decisione. 8. In deroga al paragrafo 7, in caso di archiviazione o di rigetto di un reclamo, l’autorità di controllo cui è stato proposto il reclamo adotta la decisione e la notifica al reclamante e ne informa il titolare del trattamento. 9. Se l’autorità di controllo capofila e le autorità di controllo interessate convengono di archiviare o rigettare parti di un reclamo e di intervenire su altre parti di tale reclamo, è adottata una decisione separata per ciascuna di tali parti della questione. 10. Dopo aver ricevuto la notifica della decisione dell’autorità di controllo capofila a norma dei paragrafi 7 e 9, il titolare del trattamento o responsabile del trattamento adotta le misure necessarie per garantire la conformità alla decisione per quanto riguarda le attività di trattamento nel contesto di tutti i suoi stabilimenti nell’Unione. Il titolare del trattamento o responsabile del trattamento notifica le misure adottate per conformarsi alla decisione all’autorità di controllo capofila, che ne informa le altre autorità di controllo interessate. 11. Qualora, in circostanze eccezionali, un’autorità di controllo interessata abbia motivo di ritenere che urga intervenire per tutelare gli interessi degli interessati, si applica la procedura d’urgenza di cui all’articolo 66. . 22 L’articolo 61 di detto regolamento, intitolato Assistenza reciproca , così recita al paragrafo 1 Le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini . 23 L’articolo 62 del medesimo regolamento, intitolato Operazioni congiunte delle autorità di controllo , dispone quanto segue 1. Se del caso, le autorità di controllo conducono operazioni congiunte, incluse indagini congiunte e misure di contrasto congiunte, cui partecipano membri o personale di autorità di controllo di altri Stati membri. 2. Qualora il titolare del trattamento o responsabile del trattamento abbia stabilimenti in vari Stati membri o qualora esista la probabilità che il trattamento abbia su un numero significativo di interessati in più di uno Stato membro un impatto negativo sostanziale, un’autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle operazioni congiunte. . 24 La sezione 2, intitolata Coerenza , del capo VII del regolamento 2016/679 comprende gli articoli da 63 a 67 del regolamento medesimo. L’articolo 63, intitolato Meccanismo di coerenza , è formulato come segue Al fine di contribuire all’applicazione coerente del presente regolamento in tutta l’Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione . 25 L’articolo 65 del presente regolamento, intitolato Composizione delle controversie da parte del comitato , così dispone al paragrafo 1 Al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante nei seguenti casi a se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento b se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale . 26 L’articolo 66 del medesimo regolamento, intitolato Procedura d’urgenza , stabilisce, al paragrafo 1, quanto segue In circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o alla procedura di cui all’articolo 60, adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi. L’autorità di controllo comunica senza ritardo tali misure e la motivazione della loro adozione alle altre autorità di controllo interessate, al comitato e alla Commissione . 27 L’articolo 85 del regolamento 2016/679, intitolato Trattamento e libertà d’espressione e di informazione , enuncia quanto segue 1. Il diritto degli Stati membri concilia la protezione dei dati personali ai sensi del presente regolamento con il diritto alla libertà d’espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria. 2. Ai fini del trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, gli Stati membri prevedono esenzioni o deroghe rispetto ai capi II principi , III diritti dell’interessato , IV titolare del trattamento e responsabile del trattamento , V trasferimento di dati personali verso paesi terzi o organizzazioni internazionali , VI autorità di controllo indipendenti , VII cooperazione e coerenza e IX specifiche situazioni di trattamento dei dati qualora siano necessarie per conciliare il diritto alla protezione dei dati personali e la libertà d’espressione e di informazione. . Diritto francese 28 L’attuazione della direttiva 95/46 in diritto francese è garantita dalla loi n. 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés legge n. 78-17 del 6 gennaio 1978, relativa all’informatica, ai file e alle libertà individuali in prosieguo la legge del 6 gennaio 1978 nella versione applicabile ai fatti di cui al procedimento principale. 29 L’articolo 45 della legge prevede che, qualora il responsabile di un trattamento non rispetti gli obblighi derivanti da tale normativa, il Presidente della CNIL può intimargli di porre fine all’inadempimento constatato entro un termine stabilito. Se il responsabile del trattamento non si conforma alla diffida che gli è stata rivolta, la formazione ristretta della CNIL può infliggere, dopo lo svolgimento di una fase in contraddittorio, in particolare, una sanzione pecuniaria. Procedimento principale e questioni pregiudiziali 30 Con decisione del 21 maggio 2015, la presidente della CNIL, avendo accolto la domanda di una persona fisica diretta a ottenere la soppressione di taluni link dall’elenco di risultati visualizzato in esito a una ricerca effettuata a partire dal suo nome, ha intimato a Google di procedere alla cancellazione richiesta su tutte le estensioni del nome di dominio del suo motore di ricerca. 31 Google si è rifiutata di dar seguito a detta diffida, limitandosi a sopprimere i link di cui trattasi dai soli risultati visualizzati in esito a ricerche effettuate sulle declinazioni del suo motore il cui nome di dominio corrisponde a uno Stato membro. 32 La CNIL ha peraltro reputato insufficiente la proposta complementare di un cosiddetto blocco geografico , formulata da Google dopo la scadenza del termine fissato nella diffida, consistente nel sopprimere la possibilità di accedere, da un indirizzo IP Internet Protocol che si considera localizzato nello Stato di residenza dell’interessato, ai risultati controversi in esito ad una ricerca effettuata a partire dal nome di quest’ultimo, e ciò indipendentemente dalla declinazione del motore di ricerca richiesta dall’utente di Internet. 33 Dopo aver preso atto del fatto che Google non si era conformata alla diffida entro il termine ivi impartito, con deliberazione del 10 marzo 2016, la CNIL ha inflitto a detta società una sanzione, resa pubblica, di EUR 100 000. 34 Con ricorso proposto dinanzi al Conseil d’État Consiglio di Stato, Francia , Google chiede l’annullamento di detta deliberazione. 35 Il Conseil d’État Consiglio di Stato osserva che il trattamento dei dati personali compiuto dal motore di ricerca gestito da Google rientra – tenuto conto delle attività di promozione e di vendita degli spazi pubblicitari esercitate, in Francia, attraverso la sua controllata Google France – nell’ambito di applicazione della legge del 6 gennaio 1978. 36 Il Conseil d’État Consiglio di Stato osserva, inoltre, che il motore di ricerca gestito da Google si declina in nomi di dominio diversi attraverso estensioni geografiche, al fine di adattare i risultati visualizzati alle specificità, in particolare linguistiche, dei diversi paesi in cui tale società svolge la propria attività. Allorché la ricerca è effettuata a partire da google.com , Google procederebbe, in linea di principio, a un reindirizzamento automatico della suddetta ricerca verso il nome di dominio corrispondente allo Stato a partire dal quale si ritiene, in base all’identificazione dell’indirizzo IP dell’utente Internet, che sia stata effettuata la ricerca. Tuttavia, a prescindere dalla sua localizzazione, l’utente di Internet rimane libero di effettuare le proprie ricerche sugli altri nomi di dominio del motore di ricerca. Peraltro, anche se i risultati possono differire a seconda del nome di dominio a partire dal quale viene effettuata la ricerca sul motore in questione, sarebbe pacifico che i link visualizzati in risposta a una ricerca provengono da banche dati e da operazioni di indicizzazione comuni. 37 Il Conseil d’État Consiglio di Stato ritiene che, tenuto conto, da un lato, del fatto che i nomi di dominio del motore di ricerca di Google sono tutti accessibili dal territorio francese e, dall’altro, dell’esistenza di applicazioni-ponte gateway tra i suddetti diversi nomi di dominio, che illustrano, in particolare, il reindirizzamento automatico, nonché la presenza di marcatori cookies su estensioni del motore diverse da quella sulla quale sono stati inizialmente posizionati, tale motore, il quale peraltro è stato oggetto di un’unica dichiarazione presso la CNIL, deve essere considerato come un trattamento unico di dati personali, ai fini dell’applicazione della legge del 6 gennaio 1978. Ne risulterebbe che il trattamento di dati personali da parte del motore di ricerca gestito da Google è eseguito nell’ambito di uno dei suoi stabilimenti, Google France, situato in territorio francese, e che, a tale titolo, è soggetto alla legge del 6 gennaio 1978. 38 Dinanzi al Conseil d’État Consiglio di Stato , Google sostiene che la sanzione controversa si baserebbe su un’interpretazione erronea delle disposizioni della legge del 6 gennaio 1978 che recepiscono l’articolo 12, lettera b , e l’articolo 14, primo comma, lettera a , della direttiva 95/46, sulla cui base, nella sentenza del 13 maggio 2014, Google Spain e Google C 131/12, EU C 2014 317 , la Corte ha riconosciuto un diritto alla deindicizzazione . Secondo Google, il diritto succitato non comporta necessariamente che i link controversi debbano essere soppressi, senza limitazioni geografiche, in tutti i nomi di dominio del suo motore di ricerca. Inoltre, attenendosi ad un’interpretazione siffatta, la CNIL avrebbe violato i principi di cortesia e di non ingerenza riconosciuti dal diritto internazionale pubblico e leso in modo sproporzionato le libertà d’espressione, d’informazione, di comunicazione e di stampa, garantite, in particolare, dall’articolo 11 della Carta. 39 Avendo constatato che le argomentazioni di cui trattasi sollevano numerose e serie difficoltà sotto il profilo dell’interpretazione della direttiva 95/46, il Conseil d’État Consiglio di Stato ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali 1 Se il diritto alla deindicizzazione”, come sancito dalla [Corte] nella sentenza del 13 maggio 2014, [Google Spain e Google C 131/12, EU C 2014 317 ,] sulla base delle disposizioni di cui all’articolo 12, lettera b , e all’articolo 14, [primo comma,] lettera a , della direttiva [95/46], debba essere interpretato nel senso che il gestore di un motore di ricerca, nel dare seguito a una richiesta di deindicizzazione, è tenuto ad eseguire tale deindicizzazione su tutti i nomi di dominio del suo motore, affinché i link controversi non appaiano più – indipendentemente dal luogo a partire dal quale viene effettuata la ricerca avviata sul nome del richiedente – e ciò anche al di fuori dell’ambito di applicazione territoriale della direttiva [95/46]. 2 In caso di risposta negativa alla prima questione, se il diritto alla deindicizzazione , come sancito dalla [Corte] nella summenzionata sentenza, debba essere interpretato nel senso che il gestore di un motore di ricerca, nel dare seguito a una richiesta di deindicizzazione, sia tenuto solamente a sopprimere i link controversi che appaiono in esito a una ricerca effettuata a partire dal nome del richiedente sul nome di dominio corrispondente allo Stato in cui si ritiene sia stata effettuata la domanda o, più in generale, sui nomi di dominio del motore di ricerca corrispondenti alle estensioni nazionali di tale motore per tutti gli Stati membri . 3 Inoltre se, a complemento degli obblighi richiamati [nella seconda questione], il diritto alla deindicizzazione”, come sancito dalla [Corte] nella summenzionata sentenza, debba essere interpretato nel senso che il gestore di un motore di ricerca, quando accoglie una richiesta di deindicizzazione, è tenuto a sopprimere, con la cosiddetta tecnica del blocco geografico”, a partire da un indirizzo IP che si ritiene localizzato nello Stato di residenza del beneficiario del diritto alla deindicizzazione”, i risultati controversi delle ricerche effettuate a partire dal nome di quest’ultimo, o persino, più in generale, a partire da un indirizzo IP che si ritiene localizzato in uno degli Stati membri assoggettati alla direttiva [95/46], e ciò indipendentemente dal nome di dominio utilizzato dall’utente di Internet che effettua la ricerca . Sulle questioni pregiudiziali 40 Il procedimento principale trae origine da una controversia tra Google e la CNIL relativa alle modalità con cui il gestore di un motore di ricerca – qualora constati che l’interessato ha il diritto di ottenere che dall’elenco di risultati, che compare in esito a una ricerca effettuata a partire dal suo nome, siano cancellati uno o più link a pagine web contenenti dati personali che lo riguardano – deve dare attuazione al diritto di deindicizzazione. Sebbene alla data di presentazione della domanda di pronuncia pregiudiziale fosse vigente la direttiva 95/46, essa è stata abrogata con effetto dal 25 maggio 2018, data a partire dalla quale è applicabile il regolamento 2016/679. 41 La Corte esaminerà le questioni sollevate tanto alla luce di tale direttiva quanto del suddetto regolamento per garantire che le sue risposte siano, in ogni caso, utili al giudice del rinvio. 42 Nel corso del procedimento dinanzi alla Corte, Google ha dichiarato che, successivamente al rinvio pregiudiziale, ha introdotto una nuova presentazione delle versioni nazionali del suo motore di ricerca, nell’ambito della quale il nome di dominio introdotto dall’utente di Internet non determinerebbe più la versione nazionale del motore di ricerca a cui questi ha accesso. In tal modo, l’utente di Internet sarebbe oramai automaticamente diretto verso la versione nazionale del motore di ricerca Google che corrisponde al luogo a partire dal quale si presume questi stia effettuando la ricerca e i risultati della ricerca sarebbero visualizzati in funzione di tale luogo, il quale sarebbe determinato da Google grazie ad un processo di geolocalizzazione. 43 Occorre pertanto intendere le questioni poste, che è opportuno trattare congiuntamente, nel senso che esse sono dirette a stabilire, in sostanza, se l’articolo 12, lettera b , e l’articolo 14, primo comma, lettera a , della direttiva 95/46 e l’articolo 17, paragrafo 1, del regolamento 2016/679 debbano essere interpretati nel senso che, quando il gestore di un motore di ricerca accoglie una domanda di deindicizzazione ai sensi delle suddette disposizioni, è tenuto ad effettuare quest’ultima su tutte le versioni del suo motore di ricerca o se, al contrario, è tenuto ad effettuare tale deindicizzazione solo sulle versioni del suddetto motore corrispondenti a tutti gli Stati membri, oppure solo su quella corrispondente allo Stato membro in cui è stata presentata la domanda di deindicizzazione, se del caso, in combinazione con l’uso della cosiddetta tecnica del blocco geografico per garantire che, nell’ambito di una ricerca effettuata a partire da un indirizzo IP che si ritiene localizzato nello Stato membro di residenza del beneficiario del diritto alla deindicizzazione o, più in generale, in uno Stato membro, un utente di Internet non possa accedere ai link oggetto della deindicizzazione, indipendentemente dalla versione nazionale del motore di ricerca utilizzata. 44 In via preliminare, occorre ricordare che la Corte ha dichiarato che gli articoli 12, lettera b , e 14, primo comma, lettera a , della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 88 . 45 La Corte ha inoltre precisato che, nel valutare i presupposti di applicazione di quelle stesse disposizioni, si deve verificare in particolare se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato. Dato che l’interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli articoli 7 e 8 della Carta, chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, mediante l’inclusione summenzionata, all’informazione di cui trattasi sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 99 . 46 Nell’ambito del regolamento 2016/679, tale diritto dell’interessato alla deindicizzazione si basa ormai sull’articolo 17 del regolamento stesso, che disciplina specificamente il diritto alla cancellazione , denominato anche, nel titolo di detto articolo, diritto all’oblio . 47 Ai sensi dell’articolo 17, paragrafo 1, del regolamento 2016/679, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo tali dati, se sussiste uno dei motivi di cui alla disposizione in esame. L’articolo 17, paragrafo 3, di tale regolamento specifica che l’articolo 17, paragrafo 1, non si applica quando il trattamento in questione è necessario per uno dei motivi elencati nella suddetta prima disposizione. Tali motivi riguardano, in particolare, ai sensi dell’articolo 17, paragrafo 3, lettera a , del medesimo regolamento, l’esercizio del diritto relativo, segnatamente, alla libertà d’informazione degli utenti di Internet. 48 Dall’articolo 4, paragrafo 1, lettera a della direttiva 95/46 e dall’articolo 3, paragrafo 1, del regolamento 2016/679, risulta che tanto la direttiva quanto il regolamento summenzionati consentono agli interessati di far valere il loro diritto alla deindicizzazione nei confronti del gestore di un motore di ricerca che ha uno o più stabilimenti nel territorio dell’Unione, nell’ambito delle attività dei quali effettua un trattamento di dati personali che riguardano tali interessati, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. 49 A tal riguardo, la Corte ha affermato che un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una controllata destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 60 . 50 Infatti, in circostanze del genere, le attività del gestore del motore di ricerca e quelle del suo stabilimento situato nell’Unione sono inscindibilmente connesse, dal momento che le attività relative agli spazi pubblicitari costituiscono il mezzo per rendere il motore di ricerca in questione economicamente redditizio e che tale motore è, al tempo stesso, lo strumento che consente lo svolgimento di dette attività, poiché la visualizzazione dell’elenco dei risultati è accompagnata, sulla stessa pagina, da quella di pubblicità correlate ai termini di ricerca v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punti 56 e 57 . 51 Pertanto, il fatto che il suddetto motore di ricerca sia gestito da un’impresa di uno Stato terzo non può avere come conseguenza che il trattamento di dati personali effettuato per le esigenze del funzionamento del motore di ricerca stesso, nel contesto dell’attività pubblicitaria e commerciale di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, venga sottratto agli obblighi e alle garanzie previsti dalla direttiva 95/46 e dal regolamento 2016/679 v. in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 58 . 52 Nel caso di specie, dalle informazioni fornite nella decisione di rinvio risulta, da un lato, che lo stabilimento di cui dispone Google nel territorio francese svolge attività, in particolare attività commerciali e pubblicitarie, che sono inscindibilmente connesse al trattamento di dati personali effettuato per le esigenze del funzionamento del motore di ricerca in questione e, dall’altro, che il suddetto motore di ricerca deve essere considerato – tenuto conto, in particolare, dell’esistenza di applicazioni-ponte gateway tra le sue diverse versioni nazionali – un soggetto che procede ad un unico trattamento di dati personali. Il giudice del rinvio ritiene che, in tali circostanze, il suddetto trattamento sia effettuato nel contesto dello stabilimento di Google situato in territorio francese. Appare quindi che tale situazione rientri nell’ambito di applicazione territoriale della direttiva 95/46 e del regolamento 2016/679. 53 Con le sue questioni, il giudice del rinvio mira a determinare la portata territoriale che occorre attribuire a una deindicizzazione in una siffatta situazione. 54 Al riguardo, si evince dal considerando 10 della direttiva 95/46 e dai considerando 10, 11 e 13 del regolamento 2016/679, che è stato adottato sulla base dell’articolo 16 TFUE, che l’obiettivo della direttiva e del regolamento suddetti è quello di garantire un elevato livello di protezione dei dati personali in tutta l’Unione. 55 È vero che una deindicizzazione effettuata su tutte le versioni di un motore di ricerca è idonea a soddisfare pienamente tale obiettivo. 56 Internet è infatti una rete globale senza frontiere e i motori di ricerca conferiscono ubiquità alle informazioni e ai link contenuti in un elenco di risultati visualizzato a seguito di una ricerca effettuata a partire dal nome di una persona fisica v., in tal senso, sentenze del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 80, e del 17 ottobre 2017, Bolagsupplysningen e Ilsjan, C 194/16, EU C 2017 766, punto 48 . 57 In un mondo globalizzato l’accesso da parte degli utenti di Internet, in particolare quelli localizzati al di fuori dell’Unione, all’indicizzazione di un link, che rinvia a informazioni concernenti una persona il cui centro di interessi si trova nell’Unione, può quindi produrre effetti immediati e sostanziali sulla persona in questione anche all’interno dell’Unione. 58 Tali considerazioni sono atte a giustificare l’esistenza di una competenza del legislatore dell’Unione a prevedere un obbligo, per il gestore di un motore di ricerca, di procedere, quando accoglie una richiesta di deindicizzazione formulata da una persona siffatta, alla deindicizzazione su tutte le versioni del suo motore di ricerca. 59 Occorre, tuttavia, sottolineare che molti Stati terzi non riconoscono il diritto alla deindicizzazione o comunque adottano un approccio diverso per tale diritto. 60 Inoltre, il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità [v., in tal senso, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert, C 92/09 e C 93/09, EU C 2010 662, punto 48, nonché parere 1/15 Accordo PNR UE-Canada , del 26 luglio 2017, EU C 2017 592, punto 136]. A ciò si aggiunge che l’equilibrio tra il diritto al rispetto della vita privata e alla protezione dei dati personali, da un lato, e la libertà di informazione degli utenti di Internet, dall’altro, può variare notevolmente nel mondo. 61 Orbene, pur se il legislatore dell’Unione, nell’articolo 17, paragrafo 3, lettera a , del regolamento 2016/679, ha effettuato un bilanciamento tra tale diritto e tale libertà per quanto concerne l’Unione [v., in tal senso, sentenza in data odierna, GC e a. Deindicizzazione dei dati sensibili , C 136/17, punto 59], si deve necessariamente constatare che, d’altro lato, esso non ha, allo stato attuale, proceduto a tale bilanciamento per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione. 62 In particolare, dal tenore letterale delle disposizioni dell’articolo 12, lettera b , e dell’articolo 14, primo comma, lettera a , della direttiva 95/46 o dell’articolo 17 del regolamento 2016/679 non risulta affatto che il legislatore dell’Unione abbia scelto, al fine di garantire la realizzazione dell’obiettivo menzionato al punto 54 della presente sentenza, di attribuire ai diritti sanciti da tali disposizioni una portata che vada oltre il territorio degli Stati membri e che abbia inteso imporre a un operatore che, come Google, rientra nell’ambito di applicazione della direttiva o del regolamento suddetti, un obbligo di deindicizzazione riguardante anche le versioni nazionali del suo motore di ricerca che non corrispondono agli Stati membri. 63 Inoltre, mentre il regolamento 2016/679 fornisce, agli articoli 56 e da 60 a 66, alle autorità di controllo degli Stati membri gli strumenti e i meccanismi che consentono loro, se del caso, di cooperare per raggiungere una decisione comune basata su un bilanciamento tra, da un lato, il diritto alla tutela della vita privata dell’interessato e la protezione dei dati personali che lo riguardano e, dall’altro, l’interesse del pubblico di diversi Stati membri ad avere accesso alle informazioni, si deve necessariamente rilevare che il diritto dell’Unione non prevede attualmente strumenti e meccanismi di cooperazione siffatti per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione. 64 Ne consegue che, allo stato attuale, non sussiste, per il gestore di un motore di ricerca che accoglie una richiesta di deindicizzazione presentata dall’interessato, eventualmente, a seguito di un’ingiunzione di un’autorità di controllo o di un’autorità giudiziaria di uno Stato membro, un obbligo, derivante dal diritto dell’Unione, di effettuare tale deindicizzazione su tutte le versioni del suo motore. 65 Alla luce di tutte le suesposte considerazioni, il gestore di un motore di ricerca non può essere tenuto, ai sensi dell’articolo 12, lettera b e dell’articolo 14, primo comma, lettera a , della direttiva 95/46 e dell’articolo 17, paragrafo 1, del regolamento 2016/679, a procedere ad una deindicizzazione in tutte le versioni del suo motore. 66 Per quanto riguarda la questione se una deindicizzazione del genere debba essere effettuata nelle versioni del motore di ricerca corrispondenti agli Stati membri o nella sola versione di tale motore corrispondente allo Stato membro di residenza del beneficiario della deindicizzazione, dal fatto, in particolare, che il legislatore dell’Unione ha ormai scelto di fissare le norme sulla protezione dei dati mediante un regolamento, direttamente applicabile in tutti gli Stati membri, e ciò, come sottolineato dal considerando 10 del regolamento 2016/679, al fine di assicurare un livello coerente ed elevato di protezione in tutta l’Unione e di rimuovere gli ostacoli alla circolazione dei dati all’interno della stessa risulta che si ritiene che la deindicizzazione in questione sia da effettuare, in linea di principio, per tutti gli Stati membri. 67 È tuttavia importante rilevare che l’interesse del pubblico ad accedere alle informazioni può, anche all’interno dell’Unione, variare da uno Stato membro all’altro, cosicché il risultato del bilanciamento da realizzare tra tale interesse, da un lato, e i diritti alla tutela della vita privata e alla protezione dei dati personali dell’interessato, dall’altro, non è necessariamente identico per tutti gli Stati membri, tanto più che, ai sensi dell’articolo 9 della direttiva 95/46 e dell’articolo 85 del regolamento 2016/679, spetta agli Stati membri prevedere, in particolare per il trattamento a fini esclusivamente giornalistici o di espressione artistica o letteraria, le esenzioni e le deroghe necessarie per conciliare tali diritti con, in particolare, la libertà di informazione. 68 Dagli articoli 56 e 60 del regolamento 2016/679 risulta, in particolare, che, per i trattamenti transfrontalieri, ai sensi dell’articolo 4, punto 23, del suddetto regolamento, e fatto salvo l’articolo 56, paragrafo 2, le varie autorità di controllo nazionali considerate devono cooperare, secondo la procedura prevista da tali disposizioni, al fine di raggiungere un consenso e una decisione unica che vincoli tutte queste autorità, il cui rispetto deve essere garantito dal responsabile del trattamento per quanto riguarda le attività di trattamento effettuate nell’ambito di tutti i suoi stabilimenti nell’Unione. Inoltre, l’articolo 61, paragrafo 1, del regolamento 2016/679 obbliga le autorità di controllo a scambiarsi, in particolare, le informazioni utili e a prestarsi l’assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente in tutta l’Unione e l’articolo 63 di tale regolamento prevede a tal fine il meccanismo di coerenza, di cui agli articoli 64 e 65 del medesimo regolamento. Infine, la procedura d’urgenza di cui all’articolo 66 del regolamento 2016/679 consente – in circostanze eccezionali, qualora un’autorità di controllo interessata ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati – di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi. 69 Tale quadro normativo fornisce pertanto alle autorità di controllo nazionali gli strumenti e i meccanismi necessari per conciliare i diritti alla tutela della vita privata e alla protezione dei dati personali dell’interessato con l’interesse di tutto il pubblico degli Stati membri all’accesso alle informazioni in questione e, quindi per adottare, se del caso, una decisione di deindicizzazione che riguardi tutte le ricerche effettuate in base al nome di tale persona a partire dal territorio dell’Unione. 70 È compito, inoltre, del gestore del motore di ricerca adottare, se necessario, misure sufficientemente efficaci per garantire una tutela effettiva dei diritti fondamentali della persona interessata. Tali misure devono soddisfare tutte le esigenze giuridiche e avere l’effetto di impedire agli utenti di Internet negli Stati membri di avere accesso ai link in questione a partire da una ricerca effettuata sulla base del nome di tale persona o, perlomeno, di scoraggiare seriamente tali utenti v., per analogia, sentenze del 27 marzo 2014, VUPC Telekabel Wien, C 314/12, EU C 2014 192, punto 62 e del 15 settembre 2016, Mc Fadden, C 484/14, EU C 2016 689, punto 96 . 71 Spetta al giudice del rinvio verificare se, alla luce anche delle recenti modifiche apportate al suo motore di ricerca, menzionate al punto 42 della presente sentenza, le misure adottate o proposte da Google soddisfino tali esigenze. 72 Occorre infine sottolineare che il diritto dell’Unione, pur se – come rilevato al punto 64 della presente sentenza – non impone, allo stato attuale, che la deindicizzazione accolta verta su tutte le versioni del motore di ricerca in questione, neppure lo vieta. Pertanto, un’autorità di controllo o un’autorità giudiziaria di uno Stato membro resta competente ad effettuare, conformemente agli standard nazionali di protezione dei diritti fondamentali v., in tal senso, sentenze del 26 febbraio 2013, Åkerberg Fransson, C 617/10, EU C 2013 105, punto 29, e del 26 febbraio 2013, Melloni, C 399/11, EU C 2013 107, punto 60 , un bilanciamento tra, da un lato, il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e, dall’altro, il diritto alla libertà d’informazione e, al termine di tale bilanciamento, richiedere, se del caso, al gestore di tale motore di ricerca di effettuare una deindicizzazione su tutte le versioni di suddetto motore. 73 Alla luce di tutto quel che precede, occorre rispondere alle questioni poste dichiarando che l’articolo 12, lettera b , e l’articolo 14, primo comma, lettera a , della direttiva 95/46 e l’articolo 17, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione in applicazione delle suddette disposizioni, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti. Sulle spese 74 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte Grande Sezione dichiara L’articolo 12, lettera b , e l’articolo 14, primo comma, lettera a , della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 17, paragrafo 1, del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 regolamento generale sulla protezione dei dati , devono essere interpretati nel senso che il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione in applicazione delle suddette disposizioni, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti. Fonte curia.eu

Corte di Giustizia EU, Grande Sezione, sentenza 24 settembre 2019, causa C-136/17 * Rinvio pregiudiziale – Dati personali – Protezione delle persone fisiche con riguardo al trattamento di tali dati che compaiono in pagine web – Direttiva 95/46/CE – Regolamento UE 2016/679 – Motori di ricerca su Internet – Trattamento dei dati contenuti nei siti web – Categorie di dati specifiche di cui all’articolo 8 di tale direttiva e agli articoli 9 e 10 di tale regolamento – Applicabilità dei suddetti articoli al gestore di un motore di ricerca – Portata degli obblighi di tale gestore alla luce dei suddetti articoli – Pubblicazione dei dati in siti web a soli fini di giornalismo o di espressione artistica o letteraria – Incidenza sul trattamento di una domanda di deindicizzazione – Articoli 7, 8 e 11 della Carta dei diritti fondamentali dell’Unione europea Sentenza 1 La domanda di pronuncia pregiudiziale verte sull’interpretazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati GU 1995, L 281, pag. 31 . 2 Tale domanda è stata presentata nell’ambito di una controversia che vede opposti GC, AF, BH e ED alla Commission nationale de l’informatique et des libertés CNIL Commissione nazionale per l’informatica e le libertà in prosieguo la CNIL , Francia relativamente a quattro decisioni di quest’ultima recanti rifiuto di ingiungere a Google Inc., divenuta Google LLC, di procedere alla deindicizzazione di vari link, contenuti nell’elenco dei risultati che compare sullo schermo in esito ad una ricerca effettuata a partire dal loro nome, che dirigono verso pagine web pubblicate da terzi. Contesto normativo Diritto dell’Unione La direttiva 95/46 3 Conformemente al suo articolo 1, paragrafo 1, la direttiva 95/46 ha ad oggetto la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali, nonché l’eliminazione degli ostacoli alla libera circolazione di tali dati. 4 I considerando 33 e 34 della direttiva 95/46 così recitano 33 considerando che i dati che possono per loro natura ledere le libertà fondamentali o la vita privata non dovrebbero essere oggetto di trattamento, salvo esplicito consenso della persona interessata che tuttavia le deroghe a questo divieto devono essere espressamente previste nei casi di necessità specifiche 34 considerando che gli Stati membri devono anche essere autorizzati, quando un motivo di interesse pubblico rilevante lo giustifichi, a derogare al divieto di trattamento di categorie di dati di natura delicata che spetta loro tuttavia prevedere le garanzie appropriate e specifiche per tutelare i diritti fondamentali e la vita privata delle persone . 5 L’articolo 2 della direttiva in parola così dispone Ai fini della presente direttiva si intende per a dati personali” qualsiasi informazione concernente una persona fisica identificata o identificabile persona interessata” b trattamento di dati personali” trattamento” qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione d responsabile del trattamento” la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. h consenso della persona interessata” qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento . 6 Al capo II, sezione I, intitolata Principi relativi alla qualità dei dati , della suddetta direttiva, l’articolo 6 dispone quanto segue 1. Gli Stati membri dispongono che i dati personali devono essere a trattati lealmente e lecitamente b rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. c adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati d esatti e, se necessario, aggiornati devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati e conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici. 2. Il responsabile del trattamento è tenuto a garantire il rispetto delle disposizioni del paragrafo 1 . 7 Al capo II, sezione II, intitolata Principi relativi alla legittimazione del trattamento dei dati , della direttiva 95/46, l’articolo 7 è così formulato Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando f è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1 . 8 Al capo II, sezione III, intitolata Categorie particolari di trattamenti , della direttiva in parola, compaiono gli articoli 8 e 9 della stessa direttiva. Il suddetto articolo 8, intitolato Trattamenti riguardanti categorie particolari di dati , così dispone 1. Gli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale. 2. Il paragrafo 1 non si applica qualora a la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1, oppure e il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria. 4. Purché siano previste le opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell’autorità di controllo. 5. I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza possono essere effettuati solo sotto controllo dell’autorità pubblica, o se vengono fornite opportune garanzie specifiche, sulla base del diritto nazionale, fatte salve le deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate e specifiche. Tuttavia un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell’autorità pubblica. Gli Stati membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto controllo dell’autorità pubblica. . 9 L’articolo 9 della direttiva 95/46, intitolato Trattamento di dati personali e libertà d’espressione , è del seguente tenore Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI solo qualora si rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla libertà d’espressione . 10 L’articolo 12 della stessa direttiva, recante il titolo Diritto di accesso , prevede quanto segue Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento b a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati . 11 L’articolo 14 della medesima direttiva, intitolato Diritto di opposizione della persona interessata , così dispone Gli Stati membri riconoscono alla persona interessata il diritto a almeno nei casi di cui all’articolo 7, lettere e e f , di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. In caso di opposizione giustificata il trattamento effettuato dal responsabile non può più riguardare tali dati . 12 L’articolo 28 di detta direttiva, intitolato Autorità di controllo , è così formulato 1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri. 3. Ogni autorità di controllo dispone in particolare – di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo – di poteri effettivi d’intervento, come quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio. 4. Qualsiasi persona, o associazione che la rappresenti, può presentare a un’autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alla sua domanda. 6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro. Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile. . Il regolamento UE 2016/679 13 Il regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 regolamento generale sulla protezione dei dati GU 2016, L 119, pag. 1, e rettifiche GU 2016, L 314, pag. 72, nonché GU 2018, L 127, pag. 3 , ai sensi del suo articolo 99, paragrafo 2, è applicabile dal 25 maggio 2018. L’articolo 94, paragrafo 1, di tale regolamento stabilisce che la direttiva 95/46 è abrogata a decorrere dalla stessa data. 14 I considerando 1, 4, 51, 52 e 65 di detto regolamento così recitano 1 La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea [in prosieguo la Carta” ] e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 4 Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, . 51 Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. 52 La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali 65 Un interessato dovrebbe avere il diritto all’oblio” se la conservazione di tali dati violi il presente regolamento o il diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento. Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione . 15 L’articolo 4, punto 11, del regolamento 2016/679 definisce la nozione di consenso dell’interessato come qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento . 16 L’articolo 5 di tale regolamento, intitolato Principi applicabili al trattamento di dati personali , enuncia al suo paragrafo 1, lettere da c ad e , che I dati personali sono c adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati minimizzazione dei dati” d esatti e, se necessario, aggiornati devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati esattezza” e conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati limitazione della conservazione” . 17 L’articolo 9 del suddetto regolamento, intitolato Trattamento di categorie particolari di dati personali , così dispone 1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. 2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi a l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1 e il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato g il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato . 18 L’articolo 10 dello stesso regolamento, dal titolo Trattamento dei dati personali relativi a condanne penali e reati , enuncia quanto segue Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica . 19 L’articolo 17 del regolamento 2016/679, intitolato Diritto alla cancellazione diritto all’oblio” , è formulato nel modo seguente 1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti a i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati b l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a , o all’articolo 9, paragrafo 2, lettera a , e se non sussiste altro fondamento giuridico per il trattamento c l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2 d i dati personali sono stati trattati illecitamente e i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento f i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1. 2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. 3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario a per l’esercizio del diritto alla libertà di espressione e di informazione . 20 L’articolo 21 di tale regolamento, rubricato Diritto di opposizione , al suo paragrafo 1 così prevede L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e o f , compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria . 21 L’articolo 85 del suddetto regolamento, intitolato Trattamento e libertà d’espressione e di informazione , enuncia quanto segue 1. Il diritto degli Stati membri concilia la protezione dei dati personali ai sensi del presente regolamento con il diritto alla libertà d’espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria. 2. Ai fini del trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, gli Stati membri prevedono esenzioni o deroghe rispetto ai capi II principi , III diritti dell’interessato , IV titolare del trattamento e responsabile del trattamento , V trasferimento di dati personali verso paesi terzi o organizzazioni internazionali , VI autorità di controllo indipendenti , VII cooperazione e coerenza e IX specifiche situazioni di trattamento dei dati qualora siano necessarie per conciliare il diritto alla protezione dei dati personali e la libertà d’espressione e di informazione. . Diritto francese 22 L’attuazione della direttiva 95/46 in diritto francese è garantita dalla loi n°78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés legge n. 78-17 del 6 gennaio 1978, relativa all’informatica, ai file e alle libertà , nella versione applicabile ai fatti di cui al procedimento principale. 23 L’articolo 11 di tale legge precisa che, tra le sue missioni, la CNIL assicura che il trattamento di dati personali si svolga in conformità delle disposizioni di detta legge e che, a tale titolo, essa riceve reclami, petizioni e denunce relativi all’attuazione del trattamento dei dati personali e informa i loro autori del seguito dato ad essi. Procedimenti principali e questioni pregiudiziali 24 GC, AF, BH e ED hanno chiesto, ciascuno individualmente, a Google di deindicizzare vari link che rinviano a pagine web pubblicate da terzi dall’elenco dei risultati visualizzato dal motore di ricerca, gestito da tale società, in esito ad una ricerca effettuata a partire dai rispettivi nomi, la suddetta società ha tuttavia rifiutato di aderire a tale richiesta. 25 In particolare, GC ha chiesto la deindicizzazione di un link che rinvia a un fotomontaggio satirico – messo in linea su Youtube, sotto pseudonimo, il 18 febbraio 2011 – che la raffigura accanto al sindaco di un comune del quale era direttrice di gabinetto ed evoca in modo esplicito la relazione intima che li legherebbe, nonché l’incidenza di tale relazione sulla sua carriera politica. Tale fotomontaggio è stato messo in linea in occasione della campagna elettorale per le elezioni cantonali alle quali la ricorrente era allora candidata. Alla data in cui è stato opposto un rifiuto alla sua richiesta di deindicizzazione, l’interessata non era né eletta, né candidata ad una carica elettiva locale e non esercitava più le funzioni di direttrice di gabinetto del sindaco del comune. 26 AF ha chiesto la deindicizzazione di link che rimandano a un articolo, apparso sul quotidiano Libération il 9 settembre 2008 e riprodotto sul sito del Centre contre les manipulations mentales CCMM Centro contro le manipolazioni mentali, Francia , riguardante il suicidio di una adepta della Chiesa di Scientology nel dicembre 2006. AF è menzionato in tale articolo in qualità di responsabile delle relazioni pubbliche della Chiesa di Scientology, professione che, da allora, egli ha cessato di esercitare. Inoltre, l’autore del suddetto articolo afferma di aver contattato AF per ottenere la sua versione dei fatti, e riferisce le dichiarazioni raccolte in quell’occasione. 27 BH ha chiesto la deindicizzazione di link verso articoli, principalmente di stampa, riguardanti l’indagine giudiziaria avviata nel giugno 1995 sul finanziamento del parti républicain Partito Repubblicano, PR , nell’ambito della quale è stato sottoposto ad indagine, insieme a diversi uomini d’affari e personalità politiche. Il procedimento a suo carico è stato archiviato il 26 febbraio 2010 con ordinanza di non luogo a procedere. I link controversi, per la maggior parte, rinviano ad articoli che sono contemporanei all’apertura dell’indagine e, pertanto, non danno atto dell’esito del procedimento. 28 ED ha chiesto la deindicizzazione di link che rinviano a due articoli, pubblicati su Nice Matin e Le Figaro, che danno conto dell’udienza penale nel corso della quale egli è stato condannato a una pena di sette anni di reclusione e a una pena accessoria di dieci anni di sorveglianza socio-giudiziaria per fatti di violenza sessuale su minori di quindici anni. Una delle suddette cronache giudiziarie menziona, inoltre, vari dettagli intimi relativi a ED, che sono stati rivelati in occasione del processo. 29 A fronte dei rifiuti opposti da Google alle loro domande di deindicizzazione, i ricorrenti nel procedimento principale hanno adito la CNIL con denunce dirette a far ingiungere a detta società di procedere alla deindicizzazione dei link in questione. Con lettere datate, rispettivamente, 24 aprile 2015, 28 agosto 2015, 21 marzo 2016 e 9 maggio 2016, la presidente della CNIL ha informato i ricorrenti nel procedimento principale dell’archiviazione delle loro denunce. 30 I ricorrenti nel procedimento principale hanno quindi proposto ricorsi dinanzi al giudice del rinvio, ossia il Conseil d’État Consiglio di Stato, Francia , avverso i suddetti rifiuti, da parte della CNIL, di intimare a Google di procedere alle deindicizzazioni richieste. Il giudice del rinvio ha disposto la riunione di detti ricorsi. 31 Avendo constatato che i succitati ricorsi sollevano numerose e serie difficoltà sotto il profilo dell’interpretazione della direttiva 95/46, il Conseil d’État Consiglio di Stato , ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali 1 Se, alla luce delle responsabilità, delle competenze e delle possibilità specifiche del gestore di un motore di ricerca, il divieto imposto agli altri responsabili del trattamento di trattare i dati di cui ai paragrafi 1 e 5 dell’articolo 8 della direttiva [95/46], fatte salve le eccezioni previste da detto testo, sia applicabile anche a tale gestore quale responsabile del trattamento che costituisce tale motore. 2 In caso di risposta affermativa alla prima questione [a ] se le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva [95/46] debbano essere interpretate nel senso che il divieto così imposto, fatte salve le eccezioni previste da tale direttiva, al gestore di un motore di ricerca di trattare i dati che rientrano nell’ambito di tali disposizioni lo obblighi ad accogliere sistematicamente le richieste di deindicizzazione relative a link che rinviano a pagine web che trattano dati siffatti [b ] in una simile prospettiva, come debbano essere interpretate le eccezioni previste all’articolo 8, paragrafo 2, lettere a ed e , della direttiva [95/46], quando esse si applicano al gestore di un motore di ricerca, alla luce delle sue responsabilità, delle sue competenze e delle sue possibilità specifiche. In particolare, se un gestore siffatto possa rifiutarsi di accogliere una domanda di deindicizzazione qualora constati che i link in questione rinviano a contenuti che, sebbene comprendano dati che rientrano nelle categorie elencate al paragrafo 1 dell’articolo 8, rientrano anche nell’ambito d’applicazione delle eccezioni previste dal paragrafo 2 del medesimo articolo, in particolar modo [dalle lettere a ed e di tale paragrafo] [c ] allo stesso modo, se le disposizioni della direttiva [95/46] debbano essere interpretate nel senso che, qualora i link di cui è richiesta la deindicizzazione rinviino a trattamenti di dati personali effettuati esclusivamente a scopi giornalistici o di espressione artistica o letteraria che, a tale titolo, possono, ai sensi dell’articolo 9 della direttiva [95/46], raccogliere e trattare dati che rientrano nelle categorie menzionate all’articolo 8, paragrafi 1 e 5, di tale direttiva, il gestore di un motore di ricerca può, per tale motivo, rifiutarsi di accogliere una domanda di cancellazione. 3 In caso di risposta negativa alla prima questione [a ] quali requisiti specifici della direttiva [95/46] debba soddisfare il gestore di un motore di ricerca, tenuto conto delle sue responsabilità, delle sue competenze e delle sue possibilità [b ] se, qualora egli constati che le pagine web, alle quali rinviano i link di cui è chiesta la deindicizzazione, comprendono dati la cui pubblicazione, sulle suddette pagine, è illecita, le disposizioni della direttiva [95/46] debbano essere interpretate nel senso – che esse obbligano il gestore di un motore di ricerca ad eliminare tali link dall’elenco di risultati che compaiono allo schermo a seguito di una ricerca effettuata a partire dal nome del richiedente – o che esse implicano solamente che egli tenga conto di tale circostanza per valutare la fondatezza della domanda di cancellazione – o che tale circostanza è irrilevante rispetto alla valutazione che egli deve compiere. Inoltre, qualora tale circostanza non sia inconferente, come debba essere valutata la liceità della pubblicazione dei dati controversi sulle pagine web provenienti da trattamenti che non rientrano nell’ambito d’applicazione territoriale della direttiva [95/46] e, di conseguenza, delle normative nazionali che la attuano. 4 Qualunque sia la risposta fornita alla prima questione [a ] indipendentemente dalla liceità della pubblicazione dei dati personali sulla pagina web cui rinvia il link controverso, se le disposizioni della direttiva [95/46] debbano essere interpretate nel senso che – qualora il richiedente dimostri che tali dati sono divenuti incompleti o inesatti, o che non sono più attuali, il gestore di un motore di ricerca è tenuto ad accogliere la relativa richiesta di deindicizzazione – più precisamente, qualora il richiedente dimostri che, tenuto conto dello svolgimento del procedimento giudiziario, le informazioni relative ad uno stadio anteriore del procedimento non corrispondono più alla realtà attuale della sua situazione, il gestore di un motore di ricerca è tenuto a deindicizzare i link che rinviano a pagine web che contengono siffatte informazioni [b ] se le disposizioni dell’articolo 8, paragrafo 5, della direttiva [95/46] debbano essere interpretate nel senso che le informazioni relative alla sottoposizione a indagine di un individuo o che riferiscono di un processo, e della condanna che ne consegue, costituiscono dati relativi alle infrazioni e alle condanne penali. In generale, se una pagina web comprendente dati che menzionano condanne o procedimenti giudiziari a carico di una persona fisica rientri nell’ambito di applicazione di tali disposizioni . Sulle questioni pregiudiziali 32 Le questioni poste riguardano l’interpretazione della direttiva 95/46, che era applicabile alla data di presentazione della domanda di pronuncia pregiudiziale. Tale direttiva è stata abrogata con effetto dal 25 maggio 2018, data a partire della quale è applicabile il regolamento 2016/679. 33 La Corte esaminerà le questioni poste dal punto di vista della direttiva 95/46, tenendo conto, tuttavia, nella sua analisi delle suddette questioni, anche del regolamento 2016/679, al fine di garantire che le sue risposte siano, in ogni caso, utili al giudice del rinvio. Sulla prima questione 34 Con la sua prima domanda, il giudice del rinvio chiede, in sostanza, se le disposizioni di cui all’articolo 8, paragrafi 1 e 5, della direttiva 95/46 debbano essere interpretate nel senso che il divieto o le restrizioni relative al trattamento delle categorie particolari di dati personali, di cui alle suddette disposizioni, si applicano, fatte salve le eccezioni previste dalla stessa direttiva, anche all’operatore di un motore di ricerca nel quadro delle sue responsabilità, competenze e possibilità in quanto responsabile del trattamento effettuato per le necessità del funzionamento di tale motore. 35 In proposito, occorre ricordare che, da un lato, l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come trattamento di dati personali , ai sensi dell’articolo 2, lettera b , della direttiva 95/46 qualora tali informazioni contengano dati personali, e che, dall’altro lato, il gestore di detto motore di ricerca deve essere considerato come il responsabile del trattamento summenzionato, ai sensi dell’articolo 2, lettera d , di tale direttiva sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 41 . 36 Il trattamento di dati personali effettuato nell’ambito dell’attività di un motore di ricerca, infatti, si distingue da e si aggiunge a quello effettuato dagli editori di siti web, consistente nel far apparire tali dati su una pagina web e tale attività svolge un ruolo decisivo nella diffusione globale dei suddetti dati, in quanto rende accessibili questi ultimi a qualsiasi utente di Internet che effettui una ricerca a partire dal nome della persona interessata, anche a quegli utenti che non avrebbero altrimenti trovato la pagina web su cui questi stessi dati sono pubblicati. Per di più, l’organizzazione e l’aggregazione delle informazioni pubblicate su Internet, realizzate dai motori di ricerca allo scopo di facilitare ai loro utenti l’accesso a dette informazioni, possono avere come effetto che tali utenti, quando la loro ricerca viene effettuata a partire dal nome di una persona fisica, ottengono attraverso l’elenco di risultati una visione complessiva strutturata delle informazioni relative a questa persona reperibili su Internet, che consente loro di stabilire un profilo più o meno dettagliato di tale persona sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punti da 35 a 37 . 37 Pertanto, nei limiti in cui l’attività di un motore di ricerca può incidere, in modo significativo e in aggiunta all’attività degli editori di siti web, sui diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, il gestore di tale motore di ricerca in quanto soggetto che determina le finalità e gli strumenti di detta attività deve garantire, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che detta attività soddisfi le prescrizioni della direttiva 95/46, affinché le garanzie previste da quest’ultima possano spiegare pienamente i loro effetti e possa essere realizzata una tutela efficace e completa delle persone interessate, in particolare del loro diritto al rispetto della loro vita privata sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 38 . 38 La prima questione pregiudiziale mira a determinare se, nel contesto delle sue responsabilità, competenze e possibilità, il gestore di un motore di ricerca debba soddisfare anche i requisiti che la direttiva 95/46 stabilisce per le categorie particolari di dati personali, di cui all’articolo 8, paragrafi 1 e 5, di quest’ultima, allorché tali dati compaiono tra le informazioni pubblicate o inserite in Internet da terzi e sono oggetto di una trasformazione da parte di tale gestore per le necessità del funzionamento del suo motore di ricerca. 39 Riguardo a tali categorie particolari di dati, l’articolo 8, paragrafo 1, della direttiva 95/46 dispone che gli Stati membri vietano il trattamento dei dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale. Alcune eccezioni e deroghe a tale divieto sono previste, in particolare, all’articolo 8, paragrafo 2. 40 L’articolo 8, paragrafo 5, della direttiva 95/46 stabilisce che i trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza possono essere effettuati solo sotto controllo dell’autorità pubblica, o se vengono fornite opportune garanzie specifiche, sulla base del diritto nazionale, fatte salve le deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate e specifiche. Tuttavia un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell’autorità pubblica. Gli Stati membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto controllo dell’autorità pubblica. 41 Il contenuto dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46 è stato ripreso, con alcune modifiche, nell’articolo 9, paragrafo 1, e nell’articolo 10 del regolamento 2016/679. 42 Occorre anzitutto rilevare che dalla formulazione di tali disposizioni della direttiva 95/46 e del regolamento 2016/679 risulta che il divieto e le restrizioni da esse stabiliti si applicano, fatte salve le eccezioni previste da tale direttiva e da tale regolamento, a qualsiasi tipo di trattamento delle categorie particolari di dati di cui alle suddette disposizioni e a tutti i responsabili del trattamento che effettuano siffatti trattamenti. 43 Inoltre, nessun’altra disposizione di detta direttiva o di detto regolamento prevede una deroga generale a tale divieto o a tali restrizioni a favore di un trattamento come quello effettuato nel contesto dell’attività di un motore di ricerca. Al contrario, come emerge già dal punto 37 della presente sentenza, dall’impianto generale dei testi in questione risulta che il gestore di un motore del genere, al pari di qualsiasi altro responsabile del trattamento, deve garantire, nell’ambito delle sue responsabilità, competenze e possibilità, che il trattamento dei dati personali che esso realizza soddisfi i requisiti, rispettivamente, della direttiva 95/46 o del regolamento 2016/679. 44 Infine, un’interpretazione dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46 o dell’articolo 9, paragrafo 1, e dell’articolo 10 del regolamento 2016/679 che escludesse, a priori e in generale, l’attività di un motore di ricerca dai requisiti specifici che tali disposizioni prevedono rispetto ai trattamenti riguardanti le categorie specifiche di dati in esse menzionate sarebbe contraria alla finalità di tali disposizioni, consistente nel garantire una maggiore protezione contro trattamenti del genere i quali, a causa della natura particolarmente sensibile di tali dati, possono costituire, come risulta anche dal considerando 33 della direttiva e dal considerando 51 del regolamento, un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta. 45 Pur se, contrariamente a quanto sostenuto in particolare da Google, le specificità del trattamento effettuato dal gestore di un motore di ricerca nell’ambito della sua attività non possono quindi giustificare l’esenzione di tale gestore dall’osservanza dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46 e degli articoli 9, paragrafo 1, e 10 del regolamento 2016/679, tali specificità possono tuttavia influenzare la portata della responsabilità e degli obblighi concreti di tale gestore alla luce di tali disposizioni. 46 A tal proposito, occorre rilevare che, come sottolinea la Commissione europea, il gestore di un motore di ricerca è responsabile non del fatto che i dati personali rientranti in tali disposizioni compaiono su una pagina web pubblicata da terzi, ma dell’indicizzazione di tale pagina e, in particolare, della visualizzazione del link verso di essa nell’elenco dei risultati presentati agli utenti di Internet in esito ad una ricerca effettuata a partire dal nome di una persona fisica, potendo una visualizzazione siffatta del link in questione in tale elenco incidere significativamente sui diritti fondamentali della persona considerata al rispetto della sua vita privata e alla protezione dei suoi dati personali v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 80 . 47 Pertanto, tenuto conto delle responsabilità, competenze e possibilità del gestore di un motore di ricerca in quanto responsabile del trattamento effettuato nell’ambito dell’attività di tale motore di ricerca, i divieti e le restrizioni di cui all’articolo 8, paragrafi 1 e 5, della direttiva 95/46 e all’articolo 9, paragrafo 1, e all’articolo 10 del regolamento 2016/679 possono applicarsi – come ha indicato l’avvocato generale al paragrafo 56 delle sue conclusioni e come hanno rilevato, in sostanza, tutti gli interessati che hanno preso posizione al riguardo – a tale gestore solo a causa di tale indicizzazione e, quindi, per il tramite di una verifica da effettuare, sotto il controllo delle autorità nazionali competenti, sulla base di una richiesta presentata dalla persona interessata. 48 Da quanto sopra esposto consegue che occorre rispondere alla prima questione dichiarando che le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46 devono essere interpretate nel senso che i divieti o le restrizioni riguardanti il trattamento di categorie particolari di dati personali, di cui alle suddette disposizioni, si applicano, fatte salve le eccezioni previste dalla stessa direttiva, anche al gestore di un motore di ricerca nell’ambito delle sue responsabilità, competenze e possibilità, quale responsabile del trattamento effettuato durante l’attività di tale motore di ricerca, in occasione di una verifica compiuta da tale gestore, sotto il controllo delle autorità nazionali competenti, a seguito di una richiesta presentata dalla persona interessata. Sulla seconda questione 49 Con la sua seconda questione, articolata in tre parti, il giudice chiede in sostanza – se le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46 debbano essere interpretate nel senso che, in base ad esse, il gestore di un motore di ricerca è tenuto, fatte salve le eccezioni previste da tale direttiva, ad accogliere le richieste di deindicizzazione riguardanti link che rinviano a pagine web nelle quali compaiono dati personali rientranti nelle categorie particolari contemplate da tali disposizioni – se l’articolo 8, paragrafo 2, lettere a ed e , della direttiva 95/46 debba essere interpretato nel senso che, in applicazione dello stesso, un gestore siffatto può rifiutarsi di accogliere una richiesta di deindicizzazione qualora constati che i link di cui trattasi dirigono verso contenuti nei quali compaiono dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafo 1, ma il cui trattamento rientra in una delle eccezioni previste al suddetto articolo 8, paragrafo 2, lettere a ed e , nonché – se le disposizioni della direttiva 95/46 debbano essere interpretate nel senso che il gestore di un motore di ricerca può del pari rifiutarsi di accogliere una richiesta di deindicizzazione sulla base del rilievo che i link dei quali si chiede la deindicizzazione dirigono verso pagine web nelle quali i dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafi 1 o 5, di tale direttiva sono pubblicati ai soli fini di giornalismo o di espressione artistica o letteraria, e pertanto tale pubblicazione rientra nell’eccezione di cui all’articolo 9 della stessa direttiva. 50 In via preliminare, occorre rilevare che, nel contesto della direttiva 95/46, le domande di deindicizzazione, come quelle di cui trattasi nel procedimento principale, trovano fondamento principalmente nell’articolo 12, lettera b , della stessa direttiva, in virtù del quale gli Stati membri garantiscono alle persone interessate il diritto di ottenere dal responsabile del trattamento la cancellazione dei dati il cui trattamento non è conforme a tale direttiva. 51 Inoltre, ai sensi dell’articolo 14, primo comma, lettera a , della direttiva 95/46, gli Stati membri riconoscono alla persona interessata, almeno nei casi di cui all’articolo 7, lettere e e f , della stessa, il diritto di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. 52 A tal proposito, occorre ricordare che la Corte ha già dichiarato che l’articolo 12, lettera b , e l’articolo 14, primo comma, lettera a , della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, i link verso pagine web, pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 88 . 53 La Corte ha inoltre precisato che, nel valutare i presupposti di applicazione di tali disposizioni, si deve verificare in particolare se la persona interessata abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detta persona. Dato che tale persona può, tenuto conto dei suoi diritti fondamentali derivanti dagli articoli 7 e 8 della Carta, chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca vertente sul nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, quali il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, mediante l’inclusione summenzionata, all’informazione di cui trattasi sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 99 . 54 Nell’ambito del regolamento 2016/679, il legislatore dell’Unione europea ha previsto, all’articolo 17 del suddetto regolamento, una disposizione che disciplina specificamente il diritto alla cancellazione , denominato anche diritto all’oblio nella rubrica di tale articolo. 55 Ai sensi dell’articolo 17, paragrafo 1, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi di cui alla suddetta disposizione. Quali motivi tale disposizione menziona il fatto che i dati non sono più necessari per le finalità del trattamento, che l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per quest’ultimo, che l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1 o 2, del regolamento 2016/679, il quale sostituisce l’articolo 14 della direttiva 95/46, che i dati personali sono stati trattati illecitamente, che devono essere cancellati per adempiere un obbligo legale o che essi sono stati raccolti relativamente all’offerta di servizi della società dell’informazione ai minori. 56 Nondimeno, l’articolo 17, paragrafo 3, del regolamento 2016/679 precisa che l’articolo 17, paragrafo 1, di detto regolamento non si applica nella misura in cui il trattamento in questione è necessario per uno dei motivi elencati nella prima disposizione. Tra detti motivi compare, all’articolo 17, paragrafo 3, lettera a , di tale regolamento, l’esercizio del diritto, in particolare, alla libertà di informazione. 57 La circostanza che l’articolo 17, paragrafo 3, lettera a , del regolamento 2016/679 oramai preveda espressamente che è escluso il diritto dell’interessato alla cancellazione allorché il trattamento è necessario all’esercizio del diritto relativo, in particolare, alla libertà di informazione, garantita dall’articolo 11 della Carta, è espressione del fatto che il diritto alla protezione dei dati personali non è un diritto assoluto, ma deve, come sottolinea il considerando 4 di detto regolamento, essere considerato in relazione alla sua funzione sociale ed essere bilanciato con altri diritti fondamentali, conformemente al principio di proporzionalità [v., del pari, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert, C 92/09 e C 93/09, EU C 2010 662, punto 48, e parere 1/15 accordo PNR UE-Canada del 26 luglio 2017, EU C 2017 592, punto 136]. 58 In tale contesto occorre ricordare che l’articolo 52, paragrafo 1, della Carta ammette che possano essere apportate limitazioni all’esercizio di diritti come quelli sanciti dagli articoli 7 e 8 dello della medesima, purché tali limitazioni siano previste dalla legge, rispettino il contenuto essenziale di detti diritti e libertà e, nel rispetto del principio di proporzionalità, siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert, C 92/09 e C 93/09, EU C 2010 662, punto 50 . 59 Il regolamento 2016/679, e in particolare l’articolo 17, paragrafo 3, lettera a , prevede quindi espressamente il requisito del bilanciamento tra, da un lato, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, sanciti agli articoli 7 e 8 della Carta e, d’altro lato, il diritto fondamentale alla libertà di informazione, garantito dall’articolo 11 della Carta. 60 È alla luce di tali considerazioni che è necessario esaminare a quali condizioni il gestore di un motore di ricerca sia tenuto ad accogliere una richiesta di deindicizzazione e quindi a cancellare dall’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome dell’interessato, il link verso una pagina web contenente dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafi 1 e 5, della direttiva 95/46. 61 A tale riguardo, occorre anzitutto rilevare che il trattamento, da parte del gestore di un motore di ricerca, delle categorie particolari di dati di cui all’articolo 8, paragrafo 1, della direttiva 95/46 può, in linea di principio, rientrare nelle eccezioni previste da tale articolo 8, paragrafo 2, lettere a ed e , al quale fa riferimento il giudice del rinvio e che prevede che il divieto di trattamento di tali categorie particolari di dati non si applica qualora la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro considerato vieti tale consenso, o qualora il trattamento riguardi in particolare dati resi manifestamente pubblici da tale persona. Tali eccezioni sono oramai contenute all’articolo 9, paragrafo 2, lettere a ed e del regolamento 2016/679. Inoltre, il suddetto articolo 9, paragrafo 2, lettera g , che riproduce sostanzialmente l’articolo 8, paragrafo 4, della direttiva 95/46, consente il trattamento di tali categorie di dati quando ciò è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. 62 Per quanto riguarda l’eccezione di cui all’articolo 8, paragrafo 2, lettera a , della direttiva 95/46 e all’articolo 9, paragrafo 2, lettera a , del regolamento 2016/679, dalla definizione della nozione di consenso di cui all’articolo 2, lettera h , di tale direttiva e all’articolo 4, paragrafo 11, di tale regolamento risulta che il suddetto consenso deve essere specifico e vertere quindi specificamente sul trattamento effettuato nell’ambito dell’attività del motore di ricerca e dunque sul fatto che tale trattamento consente a terzi di ottenere, attraverso una ricerca basata sul nome della persona considerata, un elenco di risultati che include link che rinviano a pagine web contenenti dati sensibili che la riguardano. Orbene, in pratica è difficilmente ipotizzabile – e non emerge, peraltro, dal fascicolo fornito alla Corte nella presente causa – che il gestore di un motore di ricerca chieda il consenso esplicito degli interessati prima di procedere, per le necessità della sua attività di indicizzazione, al trattamento dei dati personali che li riguardano. In ogni caso, come rilevato, in particolare, dai governi francese e polacco nonché dalla Commissione, il fatto stesso che una persona presenti una richiesta di deindicizzazione significa, in linea di principio, che, quanto meno alla data di tale richiesta, non acconsente più al trattamento effettuato dal gestore del motore di ricerca. In tale contesto, occorre altresì ricordare che l’articolo 17, paragrafo 1, lettera b , del medesimo regolamento prevede, tra i motivi che giustificano il diritto all’oblio , la circostanza che l’interessato revochi il consenso su cui si basa il trattamento conformemente all’articolo 9, paragrafo 2, lettera a , e non sussista altro fondamento giuridico per il trattamento. 63 La circostanza, prevista all’articolo 8, paragrafo 2, lettera e , della direttiva 95/46 e all’articolo 9, paragrafo 2, lettera e , del regolamento 2016/679, che i dati in questione siano stati resi manifestamente pubblici dall’interessato, si applica invece – come sottolineato, in sostanza, da tutti gli interessati che si sono espressi su tale punto – tanto nei confronti del gestore del motore di ricerca quanto nei confronti di chi pubblica la pagina web in questione. 64 Pertanto, in un’ipotesi del genere, nonostante la presenza, sulla pagina web indicizzata, di dati personali rientranti nelle categorie speciali di cui all’articolo 8, paragrafo 1, della direttiva 95/46 e all’articolo 9, paragrafo 1, del regolamento 2016/679, è conforme a detti testi il trattamento di tali dati da parte del gestore del motore di ricerca nell’ambito della sua attività, purché esso rispetti anche le altre condizioni di liceità previste, in particolare dall’articolo 6 di tale direttiva o dall’articolo 5 di tale regolamento v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 72 . 65 Tuttavia, anche in tale ipotesi, la persona interessata può, ai sensi dell’articolo 14, paragrafo 1, primo comma, lettera a , della direttiva 95/46 o dell’articolo 17, paragrafo 1, lettera c , e dell’articolo 21, paragrafo 1, del regolamento 2016/679, avere diritto alla deindicizzazione del link di cui trattasi per motivi derivanti dalla sua situazione specifica. 66 In ogni caso, il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione, deve verificare, alla luce dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della direttiva 95/46 o all’articolo 9, paragrafo 2, lettera g , del regolamento 2016/679 e conformemente alle condizioni previste da tali disposizioni, se l’inserimento del link verso la pagina web in questione nell’elenco visualizzato in esito ad una ricerca effettuata a partire dal nome della persona interessata sia necessario per l’esercizio del diritto alla libertà di informazione degli utenti Internet che hanno potenzialmente interesse ad accedere a detta pagina web attraverso tale ricerca, libertà che è tutelata dall’articolo 11 della Carta. Sebbene i diritti della persona interessata tutelati dagli articoli 7 e 8 della Carta prevalgano, di norma, sulla libertà di informazione degli utenti di Internet, tale equilibrio può nondimeno dipendere, in casi particolari, dalla natura dell’informazione di cui trattasi e dal suo carattere sensibile per la vita privata della persona interessata, nonché dall’interesse del pubblico a disporre di tale informazione, il quale può variare, in particolare, a seconda del ruolo che tale persona riveste nella vita pubblica v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 81 . 67 Oltre a ciò si aggiunga che, nell’ipotesi in cui il trattamento verta sulle categorie particolari di dati di cui all’articolo 8, paragrafi 1 e 5, della direttiva 95/46 o all’articolo 9, paragrafo 1, e all’articolo 10 del regolamento 2016/679, l’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali della persona interessata può, come indicato al punto 44 della presente sentenza, essere particolarmente grave a causa della natura sensibile di tali dati. 68 Pertanto, il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione riguardante un link verso una pagina web nella quale sono pubblicati dati sensibili del genere, deve – sulla base di tutte le circostanze pertinenti della fattispecie e tenuto conto della gravità dell’ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta – verificare, alla luce dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della direttiva 95/46 o dell’articolo 9, paragrafo 2, lettera g , del regolamento 2016/679 e nel rispetto delle condizioni previste in tali disposizioni, se l’inserimento di detto link nell’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web mediante una ricerca siffatta, libertà sancita all’articolo 11 della Carta. 69 Da tutte le considerazioni che precedono risulta che occorre rispondere alla seconda questione nel modo seguente – le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46 devono essere interpretate nel senso che, in base ad esse, il gestore di un motore di ricerca, in linea di principio, è tenuto ad accogliere, fatte salve le eccezioni previste da tale direttiva, le richieste di deindicizzazione riguardanti link che rinviano a pagine web nelle quali compaiono dati personali rientranti nelle categorie particolari contemplate da tali disposizioni. – L’articolo 8, paragrafo 2, lettera e , della direttiva 95/46 deve essere interpretato nel senso che, in conformità di tale articolo, un gestore siffatto può rifiutarsi di accogliere una richiesta di deindicizzazione ove constati che i link controversi dirigono verso contenuti che includono dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafo 1, ma il cui trattamento è incluso nell’eccezione di cui all’articolo 8, paragrafo 2, lettera e , sempre che tale trattamento risponda a tutte le altre condizioni di liceità poste dalla suddetta direttiva e salvo che la persona interessata abbia, in forza dell’articolo 14, primo comma, lettera a , della medesima direttiva, il diritto di opporsi a detto trattamento per motivi preminenti e legittimi, derivanti dalla sua situazione particolare. – Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione riguardante un link verso una pagina web nella quale sono pubblicati dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafi 1 o 5, di tale direttiva, deve – sulla base di tutti gli elementi pertinenti della fattispecie e tenuto conto della gravità dell’ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta – verificare, alla luce dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della suddetta direttiva e nel rispetto delle condizioni previste in quest’ultima disposizione, se l’inserimento di detto link nell’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web mediante una ricerca siffatta, libertà che è sancita all’articolo 11 della Carta. Sulla terza questione 70 Tale questione è stata posta unicamente per l’ipotesi di una risposta negativa alla prima questione, alla luce della risposta affermativa fornita per la prima questione, non occorre dunque rispondere ad essa. Sulla quarta questione 71 Con la sua quarta questione il giudice del rinvio chiede, in sostanza, se le disposizioni della direttiva 95/46 debbano essere interpretate nel senso che, – da un lato, le informazioni relative a un procedimento giudiziario di cui è stata oggetto una persona fisica e, se del caso, quelle relative alla condanna che ne è conseguita costituiscono dati relativi alle infrazioni e alle condanne penali ai sensi dell’articolo 8, paragrafo 5, della direttiva 95/46, e – d’altro lato, il gestore di un motore di ricerca è tenuto ad accogliere una richiesta di deindicizzazione vertente su link che dirigono verso pagine web, nelle quali compaiono le suddette informazioni, quando queste ultime si riferiscono ad una fase precedente del procedimento giudiziario considerato e non corrispondono più, tenuto conto dello svolgimento di quest’ultimo, alla situazione attuale. 72 Occorre, a tal riguardo, osservare che, come sottolineato dall’avvocato generale al paragrafo 100 delle sue conclusioni e come hanno sostenuto, in particolare, il governo francese, l’Irlanda, i governi italiano e polacco nonché la Commissione, le informazioni relative ad un procedimento giudiziario a carico di una persona fisica, come quelle riferentisi all’apertura di un’indagine o al processo, ed eventualmente alla condanna che ne è risultata, costituiscono dati relativi alle infrazioni e alle condanne penali ai sensi dell’articolo 8, paragrafo 5, primo comma, della direttiva 95/46 e dell’articolo 10 del regolamento 2016/679, e ciò indipendentemente dal fatto che, nel corso di tale procedimento giudiziario, sia stata effettivamente dimostrata o meno la commissione del reato per il quale la persona era perseguita. 73 Pertanto, con l’inserimento, nell’elenco dei risultati di una ricerca visualizzata in esito ad una ricerca effettuata a partire dal nome della persona interessata, di link verso pagine web in cui sono pubblicati tali dati, il gestore di un motore di ricerca effettua un trattamento che, ai sensi dell’articolo 8, paragrafo 5, primo comma, della direttiva 95/46 e dell’articolo 10 del regolamento 2016/679, è soggetto a restrizioni particolari. Come ha osservato la Commissione, un trattamento del genere può, in forza di tali disposizioni e fatto salvo il rispetto delle altre condizioni di liceità previste dalla direttiva e dal regolamento suddetti, essere lecito, in particolare, se dal diritto nazionale sono previste garanzie specifiche e appropriate, ipotesi che può ricorrere se le informazioni di cui trattasi sono state comunicate al pubblico dalle autorità pubbliche nel rispetto del diritto nazionale applicabile. 74 Per quanto riguarda le altre condizioni di liceità, occorre ricordare che dai requisiti previsti all’articolo 6, paragrafo 1, lettere da c ad e , della direttiva 95/46 – che attualmente figurano all’articolo 5, paragrafo 1, lettere da c , ad e , del regolamento 2016/679 – deriva che anche un trattamento inizialmente lecito di dati esatti può divenire, con il tempo, incompatibile con la direttiva o il regolamento suddetti qualora tali dati non siano più necessari in rapporto alle finalità per le quali sono stati raccolti o trattati. Tale situazione si configura in particolare nel caso in cui i dati appaiano inadeguati, non siano o non siano più pertinenti, oppure siano eccessivi rispetto alle finalità suddette e al tempo trascorso sentenza del 13 maggio 2014, Google Spain e Google, C 131/12, EU C 2014 317, punto 93 . 75 Nondimeno, come è stato constatato al punto 66 della presente sentenza, anche nel caso in cui il trattamento di dati di cui all’articolo 8, paragrafo 5, della direttiva 95/46 e all’articolo 10 del regolamento 2016/679 non corrisponda alle restrizioni previste da tali disposizioni o alle altre condizioni di liceità, come quelle di cui all’articolo 6, paragrafo 1, lettere da c ad e , di tale direttiva e all’articolo 5, paragrafo 1, lettere da c ad e , di tale regolamento, il gestore di un motore di ricerca deve comunque verificare – alla luce dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della stessa direttiva o all’articolo 9, paragrafo 2, lettera g , dello stesso regolamento e nel rispetto delle condizioni previste da tali disposizioni – se l’inserimento del link, verso la pagina web in questione, nell’elenco visualizzato in esito a una ricerca effettuata a partire dal nome della persona interessata sia necessario per l’esercizio del diritto alla libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web attraverso siffatta ricerca, libertà protetta dall’articolo 11 della Carta. 76 A tale riguardo, va osservato che dalla giurisprudenza della Corte europea dei diritti dell’uomo emerge che le richieste presentate dalle persone interessate al fine di far vietare, ai sensi dell’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950, la messa a disposizione su Internet, da parte dei vari media, di vecchi reportage su un processo penale a loro carico richiedono un esame del giusto equilibrio da trovare tra il diritto al rispetto della loro vita privata delle suddette persone e, in particolare, la libertà di informazione del pubblico. Nel ricercare tale giusto equilibrio si deve tenere conto del ruolo essenziale che è svolto dalla stampa in una società democratica e che comprende la redazione di resoconti e commenti sui procedimenti giudiziari. Inoltre, alla funzione dei media consistente nel comunicare informazioni e idee del genere si aggiunge il diritto del pubblico di riceverle. La Corte europea dei diritti dell’uomo ha riconosciuto, in detto contesto, che il pubblico aveva un interesse non solo ad essere informato di un avvenimento di attualità, ma anche a poter effettuare ricerche su avvenimenti passati, pur essendo, tuttavia, variabile l’ampiezza dell’interesse del pubblico quanto ai procedimenti penali e pur potendo evolvere nel corso del tempo a seconda, in particolare, delle circostanze del caso Corte EDU, 28 giugno 2018, M.L. e W.W. c. Germania, CE ECHR 2018 0628JUD006079810, § § 89 e da 100 a 102 . 77 Incombe quindi al gestore di un motore di ricerca valutare, nell’ambito di una richiesta di deindicizzazione riguardante link verso pagine web nelle quali sono pubblicate informazioni relative a un procedimento penale a carico della persona interessata, che si riferiscono a una fase precedente di tale procedimento e non corrispondono più alla situazione attuale, se – tenuto conto di tutte le circostanze del caso di specie, quali, in particolare, la natura e la gravità dell’infrazione di cui trattasi, lo svolgimento e l’esito di tale procedura, il tempo trascorso, il ruolo rivestito da tale persona nella vita pubblica e il suo comportamento in passato, l’interesse del pubblico al momento della richiesta, il contenuto e la forma della pubblicazione nonché le ripercussioni della pubblicazione per tale persona – la persona interessata abbia diritto a che le informazioni di cui trattasi non siano più, allo stato attuale, collegate al suo nome mediante un elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire da tale nome. 78 È comunque importante aggiungere che, quand’anche il gestore di un motore di ricerca dovesse constatare che tale ipotesi non ricorre per il fatto che l’inserimento di tale link si rivela strettamente necessario per conciliare i diritti della persona interessata al rispetto della vita privata e alla protezione dei dati con la libertà di informazione degli utenti di Internet potenzialmente interessati, tale gestore è in ogni caso tenuto, al più tardi al momento della richiesta di deindicizzazione, a sistemare l’elenco dei risultati in modo tale che l’immagine globale che ne risulta per l’utente di Internet rifletta la situazione giudiziaria attuale, il che necessita, in particolare, che compaiano per primi, nel suddetto elenco, i link verso pagine web contenenti informazioni a tal proposito. 79 Alla luce delle considerazioni che precedono, occorre rispondere alla quarta questione dichiarando che le disposizioni della direttiva 95/46 devono essere interpretate nel senso che – da un lato, le informazioni relative a un procedimento giudiziario di cui è stata oggetto una persona fisica e, se del caso, quelle relative alla condanna che ne è conseguita costituiscono dati relativi alle infrazioni e alle condanne penali ai sensi dell’articolo 8, paragrafo 5, della suddetta direttiva, e – d’altro lato, il gestore di un motore di ricerca è tenuto ad accogliere una richiesta di deindicizzazione vertente su link verso pagine web, nelle quali compaiono le suddette informazioni, quando queste ultime si riferiscono ad una fase precedente del procedimento giudiziario considerato e non corrispondono più, tenuto conto dello svolgimento di quest’ultimo, alla situazione attuale, nei limiti in cui si constati, nell’ambito della verifica dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della stessa direttiva, che, tenuto conto di tutte le circostanze pertinenti della fattispecie, i diritti fondamentali della persona interessata, garantiti dagli articoli 7 e 8 della Carta, prevalgono sui diritti degli utenti di Internet potenzialmente interessati, protetti dall’articolo 11 di tale Carta. Sulle spese 80 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte Grande Sezione dichiara 1 Le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, devono essere interpretate nel senso che i divieti o le restrizioni riguardanti il trattamento di categorie particolari di dati personali, di cui alle suddette disposizioni, si applicano, fatte salve le eccezioni previste dalla stessa direttiva, anche al gestore di un motore di ricerca nell’ambito delle sue responsabilità, competenze e possibilità, quale responsabile del trattamento effettuato durante l’attività di tale motore di ricerca, in occasione di una verifica compiuta da tale gestore, sotto il controllo delle autorità nazionali competenti, a seguito di una richiesta presentata dalla persona interessata. 2 Le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46 devono essere interpretate nel senso che, in base ad esse, il gestore di un motore di ricerca, in linea di principio, è tenuto ad accogliere, fatte salve le eccezioni previste da tale direttiva, le richieste di deindicizzazione riguardanti link che rinviano a pagine web nelle quali compaiono dati personali rientranti nelle categorie particolari contemplate da tali disposizioni. L’articolo 8, paragrafo 2, lettera e , della direttiva 95/46 deve essere interpretato nel senso che, in conformità di tale articolo, un gestore del genere può rifiutarsi di accogliere una richiesta di deindicizzazione ove constati che i link controversi dirigono verso contenuti che comprendono dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafo 1, ma il cui trattamento è incluso nell’eccezione di cui all’articolo 8, paragrafo 2, lettera e , sempre che tale trattamento risponda a tutte le altre condizioni di liceità poste dalla suddetta direttiva e salvo che la persona interessata abbia, in forza dell’articolo 14, primo comma, lettera a , della medesima direttiva, il diritto di opporsi a detto trattamento per motivi preminenti e legittimi, derivanti dalla sua situazione particolare. Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione riguardante un link verso una pagina web nella quale sono pubblicati dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafi 1 o 5, di tale direttiva, deve – sulla base di tutti gli elementi pertinenti della fattispecie e tenuto conto della gravità dell’ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea – verificare, alla luce dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della suddetta direttiva e nel rispetto delle condizioni previste in quest’ultima disposizione, se l’inserimento di detto link nell’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web mediante una ricerca siffatta, libertà che è sancita all’articolo 11 della Carta. 3 Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che, – da un lato, le informazioni relative a un procedimento giudiziario di cui è stata oggetto una persona fisica e, se del caso, quelle relative alla condanna che ne è conseguita costituiscono dati relativi alle infrazioni e alle condanne penali ai sensi dell’articolo 8, paragrafo 5, della suddetta direttiva, e – d’altro lato, il gestore di un motore di ricerca è tenuto ad accogliere una richiesta di deindicizzazione vertente su link verso pagine web, nelle quali compaiono le suddette informazioni, quando queste ultime si riferiscono ad una fase precedente del procedimento giudiziario considerato e non corrispondono più, tenuto conto dello svolgimento di quest’ultimo, alla situazione attuale, nei limiti in cui si constati, nell’ambito della verifica dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della stessa direttiva, che, tenuto conto di tutte le circostanze pertinenti della fattispecie, i diritti fondamentali della persona interessata, garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, prevalgono su quelli degli utenti di Internet potenzialmente interessati, protetti dall’articolo 11 di tale Carta. Fonte curia.eu