Nel 1995, il Consiglio europeo ha approvato la direttiva 95/46 sulla protezione delle persone in relazione al trattamento dei dati personali e sulla libera circolazione di tali dati (“la direttiva”).1×1. Direttiva 95/46 del Consiglio, 1995 O.J. (L 281) 31 (CE). Proposta nel 1990, quando Internet non esisteva ancora nella sua forma moderna,2×2. Conclusioni dell’avvocato generale Jääskinen ¶ 10, Google Spain SL v. Agencia Española de Protección de Datos (13 maggio 2014) (Causa C-131/12), http://curia.europa.eu/juris/document/document.jsf?text=&docid=138782&doclang=EN . ed è passata tre anni prima che Google fosse fondata,3×3. Our History in Depth, Google, http://www.google.com/about/company/history (ultima visita il 26 ottobre 2014) . la direttiva aveva lo scopo di regolamentare e controllare i responsabili del trattamento dei dati4×4. La direttiva definisce un responsabile del trattamento dei dati come qualsiasi entità “che, da sola o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.” Direttiva 95/46 del Consiglio, supra nota 1, art. 2(d), punto 38. e garantire che i sistemi di trattamento dei dati “tutelino i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla vita privata”.5×5. Id. art. 1(1), a 38. Recentemente, nella causa Google Spain SL v. Agencia Española de Protección de Datos,6×6. Causa C-131/12, Google Spain SL v. Agencia Española de Protección de Datos (13 maggio 2014), http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&doclang=IT . la Corte di giustizia dell’Unione europea (CGUE) ha interpretato la direttiva nel senso di creare una presunzione che Google deve cancellare i link a informazioni personali dai risultati di ricerca su richiesta di un interessato7×7. Una persona interessata è la persona a cui si riferiscono i dati. Cfr. direttiva 95/46 del Consiglio, nota 1, art. 2(a), a 38. a meno che un forte interesse pubblico suggerisca altrimenti. Molti analisti americani ed europei hanno attaccato la decisione come un’errata interpretazione giuridica della direttiva che ha dato troppo potere alle entità private di controllare l’accesso alle informazioni pubbliche. Queste critiche sollevano preoccupazioni valide, ma il suggerimento che sia l’interpretazione della corte ad essere sbagliata manca il punto; l’interpretazione legale era un riflesso ragionevole del testo della direttiva e dei valori in essa incorporati. I critici che cercano un cambiamento significativo dovrebbero quindi utilizzare la decisione e la conversazione che ha generato per modellare il dibattito su quali valori dovrebbero essere rappresentati – e come – in un nuovo regime normativo.
Il 5 marzo 2010, Mario Costeja González, un cittadino spagnolo, ha presentato una denuncia all’agenzia spagnola per la protezione dei dati, AEPD,8×8. Nel 1999, la Spagna ha incorporato le disposizioni e le protezioni della direttiva 95/46 nella legislazione nazionale e ha istituito un’agenzia nazionale per attuare la direttiva e gestire i reclami. Vedi Ley de Protección de Datos de Carácter Personal (B.O.E. 1999, 298); vedi anche la Direttiva del Consiglio 95/46, supra nota 1, art. 28, a 47-48; Privacy Int’l, Spain ch. I (2011), https://www.privacyinternational.org:4443/reports/spain/i-legal-framework . contro un giornale spagnolo, Google Spain SL (“Google Spain”), e Google Inc.9×9. Google Spain SL, causa C-131/12, ¶ 14. Google Spain è una filiale spagnola di Google che agisce come “rappresentante commerciale di Google . . . per le sue funzioni pubblicitarie”. Conclusioni dell’avvocato generale Jääskinen, nota 2, ¶ 62. Google Spain non tratta i dati come parte della funzione di motore di ricerca di Google, Google Spain SL, causa C-131/12, ¶ 46, quindi quando ha ricevuto la richiesta di takedown originale di Costeja González, la società l’ha inoltrata a Google Inc. come fornitore del servizio del motore di ricerca, conclusioni dell’avvocato generale Jääskinen, supra nota 2, ¶ 20. Un utente di Internet che digitava il nome di Costeja González nel motore di ricerca di Google riceveva i link a due pagine di giornale che annunciavano un’asta pignoratizia sulla casa di Costeja González.10×10. Google Spain SL, causa C-131/12, ¶ 14. Nella sua denuncia, Costeja González ha chiesto in primo luogo che il giornale sia obbligato a rimuovere il suo nome, e in secondo luogo che Google Spain “rimuova o nasconda” i suoi dati personali in modo che non appaiano più nei risultati della ricerca.11×11. Id. ¶ 15. Costeja González ha sostenuto che poiché il procedimento di sequestro era stato “completamente risolto . . . il riferimento ad esso era ormai del tutto irrilevante “12×12. Id. La direttiva prevede che “i dati personali devono essere . . . adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono raccolti”. Direttiva del Consiglio 95/46, supra nota 1, art. 6, a 40. e aveva il diritto di far rimuovere i dati.13×13. Cfr. direttiva 95/46 del Consiglio, supra nota 1, art. 12, a 42 (“Gli Stati membri garantiscono ad ogni persona interessata il diritto di ottenere dal responsabile del trattamento . . . la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva . . .”).
L’AEPD ha negato il reclamo di Costeja González contro il giornale, ma lo ha accolto contro Google. Il giornale non aveva alcun obbligo di rimuovere gli annunci, in quanto erano stati legittimamente pubblicati.14×14. Google Spain SL, causa C-131/12, ¶ 16. Infatti, al giornale era stato ordinato dal governo di pubblicare gli annunci per pubblicizzare l’asta. Id. Tuttavia, l’agenzia ha ragionato sul fatto che gli operatori dei motori di ricerca erano responsabili del trattamento dei dati, che erano quindi soggetti alla direttiva, e che Google Spain e Google Inc. erano quindi tenuti a rimuovere i link ai dati su richiesta dell’interessato.15×15. Id. ¶ 17. Google Spain e Google Inc. hanno entrambi presentato ricorso all’Alta corte spagnola, che ha sottoposto alla CGUE diverse serie di questioni pregiudiziali riguardanti la corretta interpretazione della direttiva.16×16. Id. ¶¶ 18-20. I tribunali nazionali possono sottoporre alla CGUE questioni relative all’interpretazione del diritto dell’Unione europea. Si veda Ralph H. Folsom, Principles of European Union Law 87-88 (4th ed. 2005). Le decisioni della CJEU, chiamate pronunce preliminari, sono vincolanti nel caso riferito e almeno persuasive in altre nazioni. Id. a 88-89. La prima serie di domande17×17. Il tribunale spagnolo ha posto queste domande in tre diversi gruppi; l’ordine qui riportato è l’ordine in cui la CGUE ha risposto. Se la corte ha risposto affermativamente a entrambe le domande, le è stato chiesto di determinare la portata della responsabilità legale di Google come controllore dei dati e se un cittadino avesse il diritto di far cancellare i suoi dati da Google – in altre parole, la portata del “diritto all’oblio”. 18×18. Google Spain SL, causa C-131/12, ¶ 20. La frase “diritto all’oblio” ha molti usi leggermente diversi, ma generalmente descrive l’idea che una persona dovrebbe avere il diritto di sfuggire ad aspetti irrilevanti del suo passato. Vedi in generale Commissione europea, Factsheet on the “Right to be Forgotten” Ruling 2 (2014), http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf .
La sentenza preliminare della CGUE è stata coerente con l’interpretazione della direttiva da parte dell’AEPD. Nell’esaminare se Google fosse un responsabile del trattamento dei dati soggetto alla direttiva, la corte ha stabilito che le attività di un motore di ricerca costituiscono un trattamento di dati19×19. La direttiva definisce il trattamento dei dati come “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come raccolta, registrazione, organizzazione, memorizzazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, blocco, cancellazione o distruzione”. Direttiva 95/46 del Consiglio, nota 1, art. 2(b), a 38 (corsivo aggiunto). perché un motore di ricerca “‘raccoglie’ tali dati che successivamente ‘recupera’ ‘registra’ . . ‘organizza’ . . . ‘memorizza’ sui suoi server e . . . “divulga””20×20. Google Spain SL, causa C-131/12, ¶ 28. e perché i dati includono chiaramente dati personali.21×21. Id. ¶ 27. I dati personali sono definiti nella direttiva come “qualsiasi informazione relativa a una persona fisica identificata o identificabile (“persona interessata”)”. Direttiva 95/46 del Consiglio, supra nota 1, art. 2(a), punto 38. Dato che il gestore di un motore di ricerca “determina le finalità e i mezzi” del trattamento dei dati, anche il gestore di un motore di ricerca dovrebbe essere considerato un responsabile del trattamento dei dati.22×22. Google Spain SL, causa C-131/12, ¶ 33. Il tribunale ha dichiarato che, dato il ruolo significativo che i motori di ricerca svolgono nella vita moderna, stabilire diversamente sarebbe contrario non solo alla “chiara formulazione” della direttiva, ma anche all’obiettivo della direttiva di garantire “una protezione efficace e completa degli interessati”. Id. ¶ 34. La corte ha notato “l’importante ruolo svolto da Internet e dai motori di ricerca nella società moderna”, che ha amplificato l’interferenza con i diritti di un individuo alla privacy e alla protezione dei dati personali, fornendo una “panoramica strutturata” di “vaste” quantità di informazioni personali che altrimenti “non avrebbero potuto essere interconnesse”. Id. ¶ 80. In quanto responsabile del trattamento dei dati, il gestore di un motore di ricerca deve rispettare la direttiva.23×23. Id. ¶ 38.
Il tribunale ha poi stabilito che la presenza di Google Inc. in Spagna era sufficiente per assoggettarla alla direttiva. Sebbene tutto il trattamento dei dati di Google Inc. avvenisse al di fuori della Spagna, Google Spain vendeva spazi pubblicitari all’interno del paese; poiché la pubblicità è la principale fonte di reddito di Google Inc. il tribunale ha ritenuto che le due entità fossero “strettamente collegate”.24×24. Id. ¶ 46. Google Spain era quindi effettivamente uno stabilimento di Google Inc., rendendo Google Inc. soggetto alla direttiva.25×25. Id. ¶ 60.
Risolte le questioni di soglia, il tribunale si è rivolto all’indagine successiva: quali erano gli obblighi legali degli operatori di motori di ricerca ai sensi della direttiva? La corte ha notato che la direttiva richiedeva un test comparativo26×26. Cfr. direttiva 95/46 del Consiglio, nota 1, art. 7, punto 40 (che stabilisce i criteri per il trattamento legittimo dei dati): mentre il trattamento dei dati personali era consentito quando era necessario per servire gli interessi legittimi del responsabile del trattamento o di terzi, non era consentito “quando su tali interessi prevalgono gli interessi o i diritti e le libertà fondamentali della persona interessata – in particolare il suo diritto alla vita privata. “27×27. Google Spain SL, causa C-131/12, ¶ 74. Per la fonte di questi diritti fondamentali, si veda la Carta dei diritti fondamentali dell’Unione europea, art. 8, 2000 O.J. (C 364) 1, 10. Data la “gravità dell’interferenza” con i diritti di una persona interessata, gli interessi economici di un operatore non sono mai stati sufficienti a giustificare l’interferenza con i diritti alla privacy;28×28. Google Spain SL, causa C-131/12, ¶ 81. Inoltre, i diritti alla vita privata “prevalgono, di norma . . l’interesse del pubblico in generale” ad avere accesso alle informazioni private.29×29. Id. ¶ 99 (enfasi aggiunta). Questa presunzione potrebbe essere superata solo “dall’interesse preponderante del pubblico in generale ad avere . . . accesso alle informazioni. “30×30. Id. (enfasi aggiunta). Questo potrebbe essere il caso, per esempio, se la persona interessata ha un ruolo significativo nella vita pubblica. Cfr. id. ¶ 81. La corte ha anche notato che gli operatori dei motori di ricerca possono essere tenuti a rimuovere i link ai dati anche quando l’editore originale non ha lo stesso obbligo. Id. ¶ 88. Poiché un motore di ricerca “aumenta” il livello di interferenza con il diritto alla privacy, id. ¶ 80, il balancing test può risultare diverso per i motori di ricerca che per gli editori originali, id. ¶ 86. Inoltre, alcuni editori originali non saranno soggetti alla giurisdizione della direttiva, compromettendo così la protezione della privacy se gli interessati fossero tenuti a garantire contemporaneamente la cancellazione del materiale dalla fonte primaria. Id. ¶ 84.
Inoltre, la corte ha inteso che l’interesse della privacy della persona interessata è così importante che la persona potrebbe opporsi con successo anche se i dati non fossero in alcun modo pregiudizievoli. Invece, una persona interessata può legittimamente opporsi se le informazioni sono “inadeguate, irrilevanti o non più pertinenti, o eccessive rispetto alle finalità e alla luce del tempo trascorso. “31×31. Id. ¶ 93. Gli articoli 14(a) e 12(b) della direttiva forniscono l’autorità per la ricusazione e la rimozione, mentre l’articolo 6(1)(c) stabilisce le relative condizioni sostanziali. Vedi Direttiva del Consiglio 95/46, nota 1. In tal caso, l’operatore di un motore di ricerca deve rimuovere i link.32×32. Google Spain SL, causa C-131/12, ¶ 94.
Sulla scia della decisione della CGUE, ci sono state molte critiche unificate intorno ad una convinzione: la corte ha sbagliato. Molti degli attacchi alla decisione sono stati esplicitamente legali: un certo numero di critici sostiene che la corte ha erroneamente trovato Google un controllore di dati soggetto alla direttiva e che il test di bilanciamento della corte ha ignorato i principi giuridici e i diritti fondamentali. Altri critici si sono concentrati più sulle conseguenze dell’opinione, sostenendo che la decisione ha trasferito troppo potere alle entità private per censurare Internet senza fornire una guida sufficiente per l’attuazione. Ma i critici ignorano che la decisione è stata un’interpretazione ragionevole del testo della direttiva e dei valori di privacy profondamente radicati che vi si manifestano. I critici che cercano un cambiamento significativo dovrebbero invece usare la decisione e il conseguente dibattito per plasmare la conversazione su un nuovo regime normativo su misura per le sfumature della moderna protezione della privacy e che rifletta i valori che questi critici sembrano credere siano attualmente sottorappresentati.
La prima linea di critica legale attacca l’interpretazione troppo ampia della corte di “controllori dei dati”, includendo gli operatori dei motori di ricerca. Il rapporto della Camera dei Lord britannica che esamina la decisione e i suoi effetti lamenta il fatto che la definizione della corte di un controllore dei dati è ora così ampia che potrebbe includere “qualsiasi azienda che aggrega dati pubblicamente disponibili “33×33. Comitato dell’Unione Europea, Legge sulla protezione dei dati dell’UE: A ‘Right to Be Forgotten’?, 2014-5, H.L. 40, ¶ 40 (U.K.) (citando la dichiarazione di Morrison & Foerster). e ha concluso che la corte “avrebbe potuto e dovuto interpretare la direttiva molto più rigorosamente. “34×34. Id. ¶ 55 (citando il professor Luciano Floridi, che ha anche dichiarato alla commissione che la corte avrebbe potuto “concludere che un link ad alcune informazioni legalmente disponibili non tratta le informazioni in questione”); vedi anche Danny O’Brien & Jillian York, Rights that Are Being Forgotten: Google, la Corte di giustizia europea e la libera espressione, Electronic Frontier Found. (8 luglio 2014), https://www.eff.org/deeplinks/2014/07/rights-are-being-forgotten-google-ecj-and-free-expression . Il rapporto sosteneva che la decisione della corte portava a risultati assurdi: “Se i motori di ricerca sono controllori di dati, così logicamente sono gli utenti dei motori di ricerca. “35×35. Relazione della commissione H.L., nota 33, ¶ 41. Per quanto riguarda le persone che determinano “le finalità e i mezzi del trattamento dei dati personali”, la direttiva del Consiglio 95/46, supra nota 1, art. 2(d), al punto 38, le persone che utilizzano i motori di ricerca potrebbero plausibilmente essere caratterizzate come controllori dei dati, cfr. le conclusioni dell’avvocato generale Jääskinen, supra nota 2, ¶ 81 & n.57.
La seconda linea di critica legale contesta il balancing test della corte, che dà la priorità al diritto alla privacy su quasi tutti gli altri diritti. I critici sostengono che creando una presunzione verso la cancellazione dei dati, la corte ha creato un “diritto sovrumano”, 36×36. Martin Husovec, Should We Centralize the Right to Be Forgotten Clearing House?, Center for Internet & Soc’y (May 30, 2014, 1:28 PM) (citando Hans Peter Lehofer, EuGH: Google muss doch vergessen – das Supergrundrecht auf Datenschutz und die Bowdlerisierung des Internets, e-comm (May 13, 2014), http://blog.lehofer.at/2014/05/eugh-google-muss-doch-vergessen-das.html ), http://cyberlaw.stanford.edu/blog/2014/05/should-we-centralize-right-be-forgotten-clearing-house . anche se “non esiste un rapporto gerarchico tra i diritti umani in conflitto. “37×37. Id. (enfasi omessa). Concentrandosi così tanto sul diritto alla privacy, la CGUE “ha dimenticato che anche altri diritti sono applicabili “38×38. Steve Peers, La sentenza della CGUE su Google Spagna: Failing to Balance Privacy and Freedom of Expression, EU Law Analysis (13 maggio 2014), http://eulawanalysis.blogspot.co.uk/2014/05/the-cjeus-google-spain-judgment-failing.html ; cfr. Caro Rolando, How “The Right to Be Forgotten” Affects Privacy and Free Expression, IFEX (21 luglio 2014), https://www.ifex.org/europe_central_asia/2014/07/21/right_forgotten (delineando i vari diritti in gioco). compresa la libertà di informazione.39×39. Vedi Corte UE sancisce il “diritto all’oblio” nel caso spagnolo contro Google, Reporter senza frontiere (14 maggio 2014), http://en.rsf.org/union-europeenne-eu-court-enshrines-right-to-be-14-05-2014,46278.html .
Ma l’interpretazione della corte è saldamente radicata nel testo della direttiva e nei suoi valori sottostanti. La stessa descrizione di Google di come funziona la ricerca su Internet – scansione del web, ordinamento e indicizzazione dei risultati, esecuzione di algoritmi per determinare cosa mostrare, e visualizzazione dei risultati finali40×40. Vedi Come funziona la ricerca, Google, http://www.google.com/insidesearch/howsearchworks (ultima visita 26 ottobre 2014). – rispecchia ordinatamente sia la definizione legale che quella intuitiva di processore e controllore dei dati. Persino la relazione altamente critica della Camera dei Lord ha riconosciuto che molti dei loro testimoni esperti credevano che il tribunale avesse classificato correttamente gli operatori dei motori di ricerca sulla base del linguaggio della direttiva.41×41. H.L. Committee Report, nota 33, ¶¶ 27-29. Questa potrebbe non essere stata l’unica lettura ammissibile, ma derivava naturalmente dal testo. L’avvocato generale ha proposto un’interpretazione alternativa e più ristretta della disposizione del responsabile del trattamento dei dati, suggerendo che la direttiva prevedeva che il responsabile del trattamento dei dati avesse la responsabilità dei dati personali che stava trattando, implicando la consapevolezza che ciò che veniva trattato erano dati personali. Conclusioni dell’avvocato generale Jääskinen, supra nota 2, ¶ 82-83. Poiché le funzioni di ricerca di Google non possono distinguere i dati personali, l’avvocato generale ha sostenuto che non era corretto classificare Google come un responsabile del trattamento dei dati. Vedi id. ¶¶ 84, 89. Tuttavia, questa interpretazione non era basata sul testo della direttiva, sulla giurisprudenza precedente, o anche sull’intenzione delle parti al momento in cui la direttiva è stata scritta o approvata (poiché i motori di ricerca in quanto tali non esistevano ancora); invece, era basata sulle opinioni di un gruppo di lavoro puramente consultivo formato dopo la firma della direttiva. Vedi id. ¶ 82-83, 88; Gruppo di lavoro articolo 29, Commissione europea, http://ec.europa.eu/justice/data-protection/article-29/index_en.htm (ultima visita 26 ottobre 2014) (notando che il Gruppo di lavoro articolo 29 “ha uno status consultivo e agisce in modo indipendente”).
La critica al balancing test della corte ignora anche che la priorità dei diritti sbilenchi deriva dalla direttiva stessa. Sebbene la direttiva riconosca l’importanza del libero flusso di dati per l’economia,42×42. Si veda, ad esempio, la direttiva del Consiglio 95/46, nota 1, pmbl. ¶ 2, a 31 (“i sistemi di trattamento dei dati . . . devono . . . contribuire al progresso economico e sociale, all’espansione degli scambi e al benessere degli individui . . .”); id. pmbl. ¶ 56, at 36 (“i flussi transfrontalieri di dati personali sono necessari per l’espansione del commercio internazionale . . . .”). tale riconoscimento è immediatamente subordinato dal primo articolo della direttiva, che descrive il suo oggetto come “proteggere i diritti e le libertà fondamentali delle persone fisiche, e in particolare il loro diritto alla privacy. “43×43. Id. art. 1(1), punto 38. L’interpretazione testuale della corte era ragionevole e rifletteva i valori di fondo della direttiva.
I critici sollevano anche due significativi attacchi principalmente consequenzialisti contro l’opinione e i suoi effetti nel mondo reale. In primo luogo, i critici sostengono che l’opinione concede troppo potere agli individui e a Google per censurare materiali pubblici senza supervisione. Inviando un modulo, gli individui possono effettivamente “impedire l’accesso ai fatti su se stessi “44×44. Jonathan Zittrain, Don’t Force Google to ‘Forget,’ N.Y. Times, 14 maggio 2014, http://www.nytimes.com/2014/05/15/opinion/dont-force-google-to-forget.html . semplicemente perché preferirebbero che le informazioni non fossero più “facilmente disponibili”. 45×45. H.L. Committee Report, nota 33, ¶ 8. In secondo luogo, i critici sostengono che queste richieste non dovrebbero essere considerate o decise interamente all’interno di una società privata, senza responsabilità pubblica o controllo.46×46. O’Brien & York, nota 34 (“Le restrizioni alla libera espressione devono essere considerate, in pubblico, dai tribunali, caso per caso, e con entrambi gli editori e i querelanti rappresentati, non attraverso un modulo online . . .”). Questo è particolarmente preoccupante per i critici che ritengono che la decisione della corte fornisca poche indicazioni a Google e tutele insufficienti per gli interessi pubblici nella libertà di espressione o di informazione.47×47. Si veda, ad esempio, Rolando, nota 38. I critici indicano alcune delle prime e controverse decisioni di rimozione di link di Google come segni di alcune di queste conseguenze negative. Per esempio, Google ha rimosso un link a un articolo pubblicato da The Guardian su un arbitro di calcio ora in pensione che era stato accusato di mentire sul perché aveva assegnato un calcio di rigore. Vedi Mark Scott, Google Reinstates European Links to Articles from The Guardian, N.Y. Times, 4 luglio 2014, http://www.nytimes.com/2014/07/05/business/international/google-to-guardian-forget-about-those-links-right-to-be-forgotten-bbc.html . Il giornale si è lamentato, e Google alla fine ha reintegrato i link. Vedi id. Google non ha condiviso chi aveva richiesto la rimozione dell’articolo, perché quell’individuo ha fatto la richiesta, o la logica di Google stesso per rimuovere o ripristinare i link. Vedi id. Per i critici, questo episodio ha evidenziato la difficoltà di applicare il vago balancing test della corte e i pericoli di lasciare che queste decisioni avvengano in privato, senza avere tutte le parti rappresentate o qualsiasi supervisione pubblica e responsabilità. Mentre questa storia si è conclusa felicemente (almeno dal punto di vista dei sostenitori dell’informazione senza restrizioni), i critici dubitano che una piccola organizzazione di notizie o un sito web avrebbe l’influenza, i mezzi o le risorse per sfidare le decisioni di Google. Vedi O’Brien & York, nota 34.
Mentre queste critiche consequenzialiste riflettono preoccupazioni valide, anch’esse mancano il chiaro legame tra la decisione della corte e il testo e i valori della direttiva. Per esempio, il potere della decisione di un individuo di controllare l’uso dei suoi dati personali è derivato dalla priorità dei diritti di privacy individuale nella direttiva stessa. Allo stesso modo, l’apparente concessione di potere a Google di decidere quali informazioni appaiono nei risultati di ricerca48×48. Vale la pena notare che mentre i critici lamentano il presunto nuovo potere di Google di determinare ciò che gli utenti vedono e non vedono nei loro risultati di ricerca, questo concetto è in realtà sia l’intera premessa che lo scopo di Google. Google – come molti altri motori di ricerca – classifica e visualizza i contenuti sulla base di oltre 200 fattori diversi dalla pura pertinenza, tra cui il paese di origine, la precedente cronologia di navigazione, e la freschezza del contenuto. Vedi Algoritmi, Google, http://www.google.com/insidesearch/howsearchworks/algoritmi.html (ultima visita 26 ottobre 2014). Google non è mai stata una parte imparziale, e le decisioni dell’azienda influenzano tutto ciò che gli utenti vedono nei loro risultati di ricerca. La letteratura critica è notevolmente priva di qualsiasi analisi del perché questo ulteriore punto di decisione sia così peggiore. Direttiva del Consiglio 95/46, supra nota 1, art. 6, a 40; cfr. anche id. art. 12, a 42 (“Gli Stati membri garantiscono ad ogni persona interessata il diritto di ottenere dal responsabile del trattamento: . . . la rettifica, la cancellazione o il blocco dei dati. . . .” (corsivo aggiunto)). E infine, la mancanza di orientamenti sull’attuazione è anche un risultato del linguaggio ampio e vago della direttiva.50×50. Ad esempio, il diritto all’oblio deriva dall’articolo 12(b), che consente agli interessati di richiedere la cancellazione dei dati quando “opportuno” e suggerisce che il suo elenco di motivi di cancellazione non è esaustivo. Id. art. 12(b), punto 42. Ancor meno utile è l’articolo 14(a) che consente le obiezioni per “motivi preminenti e legittimi” e che impone un esame caso per caso, legando la validità dell’obiezione alla “situazione particolare” del soggetto. Id. art. 14(a), a 42. Mentre la corte avrebbe potuto assumere un ruolo più attivo nel fornire una guida, ha esercitato una ragionevole moderazione giudiziaria nel permettere a Google di creare i parametri di un test praticabile per conto proprio.
Il fallimento dei critici di impegnarsi pienamente con i valori della privacy alla base della direttiva e della decisione ha impedito la loro piena partecipazione al dibattito politico. Il Consiglio dell’Unione europea sta attualmente considerando un nuovo regolamento sulla protezione dei dati51×51. Si veda la Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), COM (2012) 11 definitivo (25 gennaio 2012), http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf. che non solo sancisce ma espande i diritti articolati nel parere della CGUE.52×52. Vedi H.L. Committee Report, supra nota 33, ¶ 30 (notando, con sgomento, che il regolamento fornirebbe un “diritto alla cancellazione” non solo contro i responsabili del trattamento, ma contro tutti i terzi); European Commission, supra nota 18, at 2-4 (promuovendo il fatto che il regolamento (1) garantirà che “le imprese non europee, quando offrono servizi ai consumatori europei, devono applicare le regole europee”, id. a 2, (2) sposterà l’onere della prova alle aziende per dimostrare che i dati devono essere conservati, id. a 3, e (3) imporrà multe alle aziende che non rispettano le regole, id. a 4). Attaccando il parere senza riconoscere pienamente i valori sottostanti che la direttiva e il regolamento promuovono, i critici stanno perdendo il dibattito a favore dei sostenitori della privacy: la misura proposta gode di ampio sostegno in gran parte dell’Europa ed è già passata al Parlamento europeo.53×53. Originariamente proposto nel 2012 e approvato dal Parlamento europeo nel 2014, il regolamento potrebbe ricevere l’approvazione finale già alla fine del 2014 o all’inizio del 2015. EU Legislative Process Updates, Wilson Sonsini Goodrich & Rosati, LLP, http://www.wsgr.com/eudataregulation/process-updates.htm (ultima visita il 26 ottobre 2014) . Il vero dibattito non è su ciò che è già stato deciso, ma su ciò che deve ancora venire; se i critici sperano di cambiare il risultato sostanziale, devono spostare la loro attenzione da argomenti giuridici e politici secondari ai valori fondamentali in gioco.