Il titolare del trattamento di dati personali deve mettere in atto misure tecniche e organizzative adeguate per informare gli altri titolari del trattamento, che gli hanno fornito tali dati o ai quali esso stesso ha trasmesso i dati in questione, della revoca del consenso dell'interessato. Allorché vari responsabili del trattamento si fondano su un unico consenso dell'interessato, è sufficiente che quest'ultimo, per revocare il proprio consenso, si rivolga ad uno qualunque dei titolari del trattamento.
La vicenda all'attenzione della Corte trae origine dalla richiesta di un abbonato a servizi di telecomunicazione di escludere i suoi dati di contatto da elenchi telefonici e servizi d'informazione telefonici pubblici.
Il reclamante aveva sottoscritto un abbonamento ad un servizio telefonico con Telenet, operatore di telecomunicazioni operante in Belgio. Telenet non predispone direttamente elenchi telefonici, ma collabora alla loro redazione fornendo ad altri operatori i dati dei propri abbonati, affinché siano consultabili attraverso elenchi pubblici: tanto in forma elettronica (www.1207.be, www.1307.be), che come servizio telefonico (1207 e 1307).
Nel caso che ha originato il ricorso, i dati di contatto del reclamante (nome, indirizzo e numero di telefono) erano stati trasmessi a Proximus, anch'essa azienda belga di fornitura di servizi di telecomunicazioni, al fine di essere inclusi all'interno dell'elenco telefonico dalla stessa fornito. Questo meccanismo di comunicazione era avvenuto in automatico, per effetto dell'inserimento del nominativo dell'abbonato ad un servizio di telecomunicazione all'interno di una banca dati condivisa con i fornitori di elenchi telefonici. La banca dati si suddivideva difatti in due partizioni interne, a seconda che il singolo abbonato avesse consentito (il parametro indicato nel registro è «NNNNN»), o dissentito (viene allora indicato come «XXXXX») all'inserimento del suo nominativo all'interno degli elenchi telefonici pubblici.
Il reclamante, venuto a conoscenza che il suo dato di contatto figurava all'interno dell'elenco telefonico “Witte Gids” su 1207.be, informava il titolare (Proximus) attraverso l'apposito form online circa la sua volontà di veder cancellati i propri dati dal servizio di consultazioni pubblica. La richiesta veniva presa in carico da Proximus e, nell'arco di pochi giorni, veniva comunicato all'interessato che l'operatore aveva provveduto a cancellare il suo contatto dall'elenco. A distanza di diversi mesi, le informazioni di contatto del reclamante continuavano tuttavia a figurare all'interno del suddetto elenco, così come in quelli di altri servizi di informazione telefonica. Proximus sosteneva di aver provveduto a modificare il parametro dell'interessato affinché figurasse nel registro degli abbonati che negavano il consenso alla pubblicazione dei propri dati. Il problema si era difatti verificato in quanto Telenet, nel contesto di un aggiornamento di routine dei dati dei propri abbonati, continuava a riportare il contatto dell'interessato nel registro degli abbonati disponibili alla pubblicazione dei propri dati, non essendo stata previamente informata da Proximus sulla revoca del consenso. Tali informazioni erano state oggetto di un trattamento automatizzato da parte di Proximus ed erano state così registrate in modo tale da comparire nuovamente negli elenchi telefonici.
Alla nuova richiesta dell'abbonato di non far comparire i propri dati, la Proximus rispondeva quindi di aver provveduto all'eliminazione dei dati dagli elenchi telefonici e di aver contattato Google affinché fossero eliminati i relativi link verso il sito Internet della Proximus. Quest'ultima aveva inoltre informato il reclamante di aver trasmesso i dati di contatto ad altri fornitori di elenchi telefonici e che, grazie ad aggiornamenti mensili, tali fornitori erano stati informati della richiesta.
Nel frattempo, l'abbonato aveva però presentato un reclamo all'Autorità belga per la protezione dei dati personali, la quale intimava Proximus di dar corso a misure immediate e adeguate a garantire l'effettività della revoca del consenso alla pubblicazione dei dati negli elenchi telefonici e di adempiere alla richiesta di esercizio del diritto all'oblio. L'autorità erogava anche una sanzione a Proximus per l'importo di € 20.000 per violazione di diverse disposizioni del regolamento generale sulla protezione dei dati (GDPR, reg. (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE - regolamento generale sulla protezione dei dati - GU 2016, L 119, pag.1).
Proximus decideva così di ricorrere alla Corte d'appello di Bruxelles, sostenendo che non fosse necessario il consenso dell'abbonato per la pubblicazione dei suoi dati personali negli elenchi telefonici («opt-in»), in quanto operava il meccanismo inverso, per effetto del quale sono gli abbonati stessi a dover chiedere di non comparire in tali elenchi («opt-out»). Non avendo l'abbonato provveduto ad inoltrare tale richiesta, si sarebbe dovuto ritenere che esso avesse consentito alla pubblicazione dei propri dati all'interno degli elenchi telefonici. Di avviso contrario si era mostrata l'autorità belga, la quale sottolineava che il «consenso degli abbonati» previsto dalla direttiva relativa alla vita privata e alle comunicazioni elettroniche (direttiva e-privacy, dir. 2002/58/CE del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, GU 2002, L 201, pag. 37, come modificata dalla dir. 2009/136/CE del 25 novembre 2009, GU 2009, L 337, pag. 11), letto in combinato disposto con il GDPR, sia incompatibile con una sua presunzione attraverso un meccanismo di «opt-out», richiedendosene invece una manifestazione espressa.
In assenza di un'interpretazione uniforme del regime di espressione e revoca del consenso all'interno della direttiva e-privacy e del GDPR, la Corte d'Appello di Bruxelles ha ritenuto opportuno sollevare rinvio pregiudiziale alla Corte di Giustizia, articolando le sue richieste in quattro quesiti.
Solo i primi due attengono, in realtà, all'interpretazione del requisito del «consenso» come parametro di liceità del trattamento dei dati personali. Con il primo si richiede difatti alla Corte di precisare se sia conforme agli artt. 2, lett. f) e 12, par. 2 direttiva e-privacy e con l'art. 95 GDPR la posizione di un'autorità di vigilanza nazionale di esigere il consenso alla pubblicazione dei propri dati personali all'interno di elenchi telefonici e servizi di informazione pubblici da parte dell'abbonato. Conseguentemente, attraverso la seconda questione, si domanda alla Corte di valutare la conformità al diritto euro-unitario della qualificazione della richiesta dell'abbonato di eliminare i suoi dati personali dagli elenchi come forma di esercizio del diritto alla cancellazione ai sensi dell'art. 17 GDPR, non invece come richiesta di rettifica ex art. 16 GDPR.
Il secondo blocco di quesiti concerne invece il perimetro degli obblighi che gravano sul fornitore di servizi di elenchi telefonici, in quanto responsabile del trattamento dati personali. Con la terza questione, viene richiesto alla Corte di valutare se un'autorità nazionale possa imporre al titolare del trattamento di adottare misure tecniche e organizzative adeguate a informare gli altri titolari del trattamento, ai quali abbia fornito i dati dell'interessato, della revoca del consenso da parte di quest'ultimo (artt. 6 e 7 GDPR). Infine, con l'ultimo quesito, la Corte è investita dell'interrogativo sul ruolo del titolare del trattamento dati personali nel consentire l'esercizio del c.d. diritto al delisting, segnatamente, attraverso l'adozione di «misure ragionevoli» al fine di informare i gestori dei motori di ricerca della domanda di cancellazione dei dati.
I primi due quesiti rivolti ai giudici del Lussemburgo attengono al ruolo del consenso dell'abbonato nel contesto dei servizi di telecomunicazione e della pubblicazione dei nominativi all'interno degli elenchi telefonici.
Il sistema nel quale si incardina la tutela del consenso dell'interessato al trattamento dati personali è quello previsto dall'art. 8 Carta Diritti Fondamentali UE, a mente del quale i dati personali «devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge». La Carta dei Diritti UE riconosce un ruolo fondamentale all'espressione del consenso, come base legale per il trattamento dei dati personali e caposaldo del funzionamento del sistema disegnato dal GDPR. Il Regolamento definisce come «consenso della persona interessata» «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» (art. 4, punto 11 GDPR). La definizione mira a tutelare la consapevolezza con la quale l'interessato autorizza il trattamento dei propri dati personali, specialmente in ordine alla sua misura e al suo scopo. Questo sistema vale altresì come incentivo alla responsabilizzazione del titolare del trattamento dati, il quale dovrà sempre essere in grado di dimostrare che l'interessato abbia acconsentito al trattamento, a pena dell'illiceità dello stesso (considerando 42 GDPR). Il Regolamento pone in particolare l'accento su due elementi dei quali l'interessato deve essere messo a conoscenza, per poter ritenere che il consenso sia effettivamente informato: l'identità del titolare del trattamento e le finalità per le quali i dati sono trattati.
Nel settore delle comunicazioni elettroniche, il problema di liceità del trattamento dati assume particolare delicatezza, attesa l'ampia diffusione che hanno gli elenchi telefonici e i diversi canali attraverso i quali possono diffondersi i dati personali degli interessati tra i fornitori di servizi. Eventuali trattamenti illeciti di dati personali assumono, di conseguenza, un'elevata potenzialità lesiva del rispetto alla vita privata delle persone (considerando 38, direttiva e-privacy). In considerazione di ciò, il legislatore europeo ha previsto che gli Stati Membri debbano assicurare agli abbonati di servizi di telecomunicazione la possibilità di decidere se i loro dati personali possano figurare all'interno di elenchi pubblici consentendo, in caso affermativo, di modificare e revocare il consenso alla loro diffusione in ogni momento (art. 12, par. 2, direttiva e-privacy).
Nel silenzio del legislatore in ordine alle modalità di espressione di tale consenso, le parti in causa propongono due differenti ricostruzioni relativamente alla procedura di acquisizione del consenso dell'abbonato da parte dell'impresa di telecomunicazioni: una prima, che consente al titolare del trattamento di “presumere” la manifestazione del consenso laddove l'abbonato, correttamente informato sulle caratteristiche e le finalità del trattamento, non chieda espressamente di figurare all'interno del registro riservato («opt-out»); una seconda, che esclude l'equiparazione fra mancata opposizione alla pubblicazione del nominativo all'interno di un elenco e manifestazione del consenso, richiedendo invece un'azione positiva da parte dell'interessato a quello specifico trattamento («opt-in»).
Nonostante il dato normativo non permetta una interpretazione inequivoca delle modalità di prestazione del consenso, a parere della Corte di Giustizia una lettura dell'art. 12 direttiva e-privacy in combinato disposto con l'art. 4 GDPR evidenzia l'incompatibilità di una lettura che consenta di presumere il consenso dell'interessato. L'espressione del consenso si manifesta difatti attraverso una dichiarazione o una azione positiva inequivocabile (art. 4, punto 11 GDPR), di accettazione del trattamento dati, unica modalità che consente di ritenere lecita l'operazione in esame.
Ciò chiarito, la Corte ritiene altresì opportuno delimitare il perimetro dell'informazione che deve accompagnare l'autorizzazione dell'interessato alla pubblicazione del proprio contatto all'interno degli elenchi telefonici. Nel contesto dei servizi di telecomunicazione, l'informazione in sede di acquisizione del consenso deve difatti coprire la possibilità che i dati personali siano «trasmessi ad uno o più terzi», in qualità di imprese attive nel mercato dei servizi di consultazione (art. 12, par. 1, direttiva e-privacy). In ordine a tale requisito, la Corte adotta un approccio volto a coniugare l'effettività della tutela del consenso dell'interessato con il principio di economicità del trattamento. Se, per un verso, occorre che l'abbonato sia informato della possibilità che i dati vengano trasmessi a soggetti terzi rispetto al titolare del trattamento – possibilmente, informandolo anche delle categorie di appartenenza di questi –, per l'altro, appare irragionevole, secondo la Corte, pretendere che la conoscenza si estenda all'identità di tutti i fornitori di elenchi che tratteranno i dati personali, nella misura in cui la finalità del trattamento rimanga, sostanzialmente, la medesima. Una nuova espressione del consenso sarà allora necessaria solo quando il titolare del trattamento desideri utilizzare i dati per uno scopo ulteriore rispetto a quello per il quale erano stati originariamente raccolti.
La logica del discorso sulla espressione del consenso si completa poi con le precisazioni che la Corte svolge in ordine alla sua revoca. L'occasione è fornita dal rilievo di Proximus secondo cui la richiesta dell'abbonato di eliminare i suoi dati dall'elenco debba essere qualificata come domanda di rettifica ai sensi dell'art. 16 GDPR, non invece come esercizio del diritto di cancellazione ex art. 17 GDPR, specie laddove non sia rivolta direttamente all'operatore di servizi telefonici dell'abbonato, ma a un terzo fornitore di elenchi. La distinzione non sarebbe di poco momento giacché, secondo la parte resistente, il terzo fornitore di elenchi non sarebbe tenuto a dar seguito alla richiesta di cancellazione, non trovando applicazione nei suoi confronti l'art. 17 GDPR. Sebbene la direttiva e-privacy non definisca espressamente i termini «rettificare o ritirare» (art. 12, par. 2), la Corte ritiene opportuno interpretarli alla luce del contesto nel quale sono inseriti. La «rettifica» dovrà allora essere considerata come una richiesta di modifica del modo in cui i dati figurano all'interno dell'elenco, che presupponga però il permanere della volontà a monte di autorizzarne l'inclusione e, dunque, della base legale per il suo trattamento. Al contrario, ove l'abbonato intenda far venir meno il suo consenso alla pubblicazione, la richiesta di esclusione del suo contatto dall'elenco telefonico costituisce inequivocabilmente una espressione del diritto alla cancellazione ai sensi dell'art. 17 GDPR, a prescindere dalla modalità tecnica con la quale deve essere poi attuato – i.e. una modifica del parametro all'interno del registro. Di conseguenza, l'operatore degli elenchi telefonici è tenuto a provvedere senza indugio alla cancellazione del contatto dell'interessato, essendo venuto meno il requisito di liceità del trattamento dei dati personali dell'interessato.
Il secondo blocco di quesiti si misura poi con il problema del ruolo del titolare del trattamento dati, specialmente in funzione di garanzia dell'effettività del diritto al delisting.
E' noto che la legislazione euro-unitaria attribuisce un significato particolarmente ampio alla nozione di «titolare del trattamento dati», come «persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali» (art. 4, punto 7, GDPR); a sua volta, il trattamento dati racchiude una molteplicità di operazioni che possono avere ad oggetto il dato personale, con un'evidente finalità definitoria omnicomprensiva. La nozione di titolare del trattamento si distingue quindi dal diverso ruolo assunto dal «destinatario dei dati personali», che si limita a «ricevere comunicazione di dati personali, che si tratti o meno di terzi» (art. 4, punto, 9, GDPR). L'intento è quello di differenziare fra loro gli operatori che svolgano un ruolo attivo nel trattamento, rispetto a quelli che risultano unicamente destinatari di un trattamento già svolto o da svolgersi da parte del titolare. Quest'ultimo è difatti responsabile della messa in atto di misure tecniche e organizzative adeguate a informare gli altri titolari del trattamento, che gli abbiano fornito tali dati o ai quali esso stesso abbia trasmesso i dati in questione, della revoca del consenso dell'interessato, nonché della sua volontà di vederne cessata l'accessibilità al pubblico su internet attraverso i motori di ricerca.
Occorre allora verificare se l'attività di raccolta dei dati al fine di una loro pubblicazione all'interno degli elenchi qualifichi il soggetto che la svolga come «titolare del trattamento dati», ovvero come mero «destinatario» e quali siano gli obblighi gravanti su di esso.
Pochi dubbi sembrano residuare, per la Corte, sul fatto che la pubblicazione degli elenchi, così come la comunicazione degli stessi dati ad altri fornitori, appartenga alle attività tipiche del titolare del trattamento. Più discusso è invece se il fornitore di elenchi, che sia terzo nel rapporto fra l'abbonato e il suo operatore di servizi telefonici, sia anche tenuto a comunicare la revoca del consenso al trattamento dati lungo tutta la catena. È ragionevole aspettarsi, d'altronde, che l'interessato comunichi la revoca del consenso al solo soggetto che gli fornisce i servizi telefonici.
Data tuttavia la natura unitaria della base giuridica che assicura la liceità del trattamento dati (art. 6, par. 1, lett. a GDPR), può comunque ritenersi che qualunque titolare del trattamento dati, a prescindere dalla esistenza di un rapporto contrattuale con l'interessato, sia tenuto a garantire l'esercizio effettivo del diritto alla cancellazione. Ciascun titolare tratta, infatti, i dati in successione e in modo indipendente, ma sulla base di un unico consenso legittimante. Gli obblighi in capo a Proximus non potrebbero, dunque, dirsi esauriti con il solo aggiornamento della propria banca dati, ma si estenderebbero anche al dovere di informare gli altri operatori di telecomunicazione di tale revoca: inadempimento che, nel caso di specie, ha annullato l'effetto dell'aggiornamento compiuto da Proximus, determinando la re-inclusione dei dati di contatto dell'abbonato all'interno dei suddetti elenchi. Di conseguenza, la responsabilità non si ferma al solo primo titolare cui è prestato il consenso (Telenet), ma anche a ogni altro titolare successivo che abbia a sua volta assunto l'iniziativa della cessione dei dati (Proximus), restandone dunque responsabile.
A ben vedere, l'obiettivo della Corte è quello di mirare alla concentrazione dei rimedi a tutela dell'interessato e di responsabilizzazione del titolare del trattamento(accountability), in una prospettiva di unitarietà funzionale del consenso. Laddove lo scopo del trattamento sia il medesimo, sarebbe inutilmente penalizzante gravare l'interessato dell'onere di rivolgere la sua richiesta ai singoli titolari del trattamento dati, parcellizzando così il diritto alla cancellazione lungo tutta la catena. Tale approccio risulta inoltre coerente con la risposta che la Corte ha in precedenza fornito al secondo quesito. Qualora si permetta difatti un'impostazione più “lassista” in ordine agli obblighi di informare l'interessato sull'identità dei diversi titolari del trattamento dei dati, non si può allora imporre a quest'ultimo l'onere di comunicare la revoca del consenso a soggetti la cui identità possa essergli del tutto sconosciuta. Questa interpretazione è altresì coerente con l'impostazione seguita dal GDPR, secondo cui «il consenso è revocato con la stessa facilità con cui è accordato» (art. 7, par. 3, GDPR). Allorché vari responsabili trattino i dati personali dell'interessato sulla base di un medesimo consenso, sarà sufficiente che quest'ultimo, per revocare il proprio consenso, si rivolga ad uno qualunque dei titolari del trattamento, il quale sarà poi tenuto ad attivarsi affinché ne siano informati anche li altri titolari.
Alla stessa logica si informa, infine, la risposta all'ultimo quesito, relativo alla facoltà dell'autorità nazionale di intimare al fornitore di elenchi di informare non solo gli altri operatori dei servizi telefonici, ma anche i motori di ricerca, della richiesta di cancellazione.
Il diritto al delisting è richiamato all'interno dell'art. 17, par. 2 GDPR, secondo il quale «il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali». Nel noto caso Google Spain (C-131/12) la Corte aveva riconosciuto che, nella misura in cui l'attività di un motore di ricerca è in grado di incidere in modo significativo sui diritti fondamentali alla vita privata e alla protezione dei dati personali, il gestore del motore di ricerca, in qualità di responsabile del trattamento deve garantire che il trattamento soddisfi i requisiti della normativa sulla protezione dei dati affinché le garanzie stabilite da tale normativa possano avere pieno effetto e che «la protezione effettiva e completa degli interessati, in particolare del loro diritto alla vita privata, possa essere effettivamente realizzata».
Il punto critico affrontato nella pronuncia attiene nuovamente al ruolo assegnato al fornitore di elenchi nell'individuazione delle misure che possono essere ragionevolmente adottate da quest'ultimo per informare gli altri titolari del trattamento, fra cui figurano anche i motori di ricerca. In particolare, è messa in dubbio la ragionevolezza della richiesta al fornitore di comunicare al motore di ricerca la volontà dell'interessato di avvalersi del diritto alla de-indicizzazione, laddove non sia certa la provenienza dei dati utilizzati dal motore di ricerca, potendo essi provenire anche da altri fornitori di elenchi: sarebbe, insomma, irragionevole attribuire a Proximus la responsabilità per l'inadempimento di fornitori terzi. Qualora si consentisse, tuttavia, al titolare del trattamento di sottrarsi alla responsabilità ogni qual volta residui un dubbio che i dati in questione siano stati forniti da terzi, si finirebbe, di fatto, per svuotare di effettività la tutela del diritto alla cancellazione, gravando l'interessato di un onere pressoché impossibile da assolvere. In tal modo, come suggerito dall'Avvocato Generale nelle conclusioni, si incentiverebbe altresì il titolare del trattamento a realizzare la massima diffusione possibile dei dati per sottrarsi alla responsabilità ex art 17, par. 2, GDPR facendo affidamento sull'incerta origine del dato. Tale valutazione va dunque effettuata, a detta della Corte, tenendo in considerazione la sola tecnologia disponibile e i costi di attuazione per il fornitore di elenchi; elementi che, nel caso di specie, hanno confermato la ragionevolezza della richiesta a Proximus, attesa la particolare concentrazione del mercato dei servizi di browsing in Belgio (90% delle ricerche su desktop e 99% di quelle su smartphone e tablet attraverso Google).
La conclusione ribadisce dunque la centralità assunta dal principio di effettività della tutela nel rispetto del consenso dell'interessato al trattamento dati e nell'attuazione della sua revoca. In un settore come quello delle telecomunicazioni, contraddistinto da meccanismi di trasmissione e trattamento dati a catena, con fisiologico coinvolgimento di più titolari, diviene allora essenziale misurare il principio di concentrazione delle tutele con quello della ragionevolezza degli adempimenti previsti dal GDPR. Se appare, per un verso, eccessivamente oneroso gravare il titolare del trattamento dell'obbligo di informare l'interessato sull'esatta identità di ogni altro destinatario dei dati – al permanere, ovviamente, di una medesima finalità –, per l'altro, è ragionevole attribuire sul primo una fetta più ampia di responsabilità, data la base legale unitaria che legittima il trattamento dati e la necessità di assicurarne la sua effettiva permanenza. L'indirizzo promosso è dunque quello di un potenziamento nella responsabilizzazione dei titolari del trattamento dati i quali, a prescindere da chi sia stato inizialmente autorizzato al trattamento e alla diffusione dei dati (nel caso di specie, Telenet), hanno l'obbligo di cooperare fra loro per assicurare un'informazione effettiva sul permanere e sull'eventuale revoca del consenso, anche laddove essa sia stata comunicata solamente ad uno dei titolari successivi (Proximus).
Sul principio di effettività e le sue declinazioni nel contesto della protezione dati, P. Iamiceli, F. Cafaggi, C. Angiolini (eds.), Effective data protection e Fundamental Rights, Roma, 2022; P. Iamiceli, Effettività delle tutele e diritto europeo, Napoli, 2020.
Sulle applicazioni della Carta dei Diritti Fondamentali nel contesto della data protection, T. Van Danwitz, K. Paraschas, A Fresh Start for the Charter Fundamental Questions on the Application of the European Charter of Fundamental Rights, in Fordham International Law Journal, 2017, pag. 1397 ss.
Sul concetto di titolare del trattamento dati, CGUE, Grande Sezione, 5 Giugno 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH & Facebook Ireland Limited, C-210/16 (Wirtschaftsakademie); CGUE, Grande Sezione, 10 Luglio 2018, Tietosuojavaltuutettu / Jehovan todistajat — uskonnollinen yhdyskunta, C-25/17 (Jehovan); CGUE, 29 Luglio 2019, Fashion ID GmbH & Co.KG v Verbraucherzentrale NRW eV, C-40/17 (Fashion ID); CGUE, Grande Sezione, 24 Settembre 2019, GC, AF, BH et ED v CNIL, C-136/17 (CNIL); CGUE, 9 Luglio 2020, VQ v Land Hesse, C-272/19 (Hesse). In Italia, Cass. 23 luglio 2021, n. 21234, in Giustiziacivile.com, 18 marzo 2022, con nota di S. Rosy.
Sul consenso come base legittimante il trattamento dati personali, CGUE, Grande Sezione, 1° ottobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV v Planet49 GmbH, C-673/17, (“Planet49”); CGUE, 11 Novembre 2020, Orange Romania SA v Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, C-61/19 (“Orange Romania”). Sulla nozione di consenso informato, in Italia, Cass., 25 maggio 2021, n. 14381, in Resp. civ. prev., 2022, pag. 501, con nota di F. Castagna, Trasparenza algoritmica e validità del consenso al trattamento dati.
Sulla necessità del consenso alla pubblicazione dei dati di contatto dell'abbonato all'interno di un elenco telefonico CGUE, sentenza 5 maggio 2011, Deutsche Telekom, C-543/09.
In tema di presupposti e caratteri del diritto al delisting la pronuncia più significativa è quella resa sul caso CGUE, Grande Sezione, 13 maggio 2014, Google Spain SL, Google Inc. c. Agencia Española de Protección de Datos (AEPD), Mario Costeja González, C-131/12 (Google Spain). Di recente vedi anche CGUE, Grande Sezione, 24 Settembre 2019, G.C., A.F., B.H., E.D. v Commission nationale de l'informatique et des libertés (CNIL), C-136/17 (GC and Others); CGUE, 3 Ottobre 2019, Eva Glawischnig-Piesczek v Facebook Ireland Limited, C-18/18; CGUE, Grande Sezione, 8 dicembre 2022, TU, RE c. Google LLC, C-460/20 e CGUE, 24 settembre 2019, GC e a., C-136/17. Sull'applicazione dei principi di Google Spain in Italia, Cass., 19 maggio 2020, n. 9147, in Ridare, 19 luglio 2020, con nota di M. Fiorendi, Diritto all'oblio: bilanciamento con gli altri diritti e interessi meritevoli di tutela e suoi profili risarcitori; Trib. Milano, ord. 17 giugno 2020, in Caso.it; Cass., 31 maggio 2021, n. 15160, in Foro it., 2022, 1, I, 320; Cass., 21 luglio 2021, n. 20861, in Diritto e giustizia, 22 luglio 2021, con nota di M. Marotta.
Sul diritto all'oblio in una prospettiva comparatistica, v., F. Werro (eds.), The right to be forgotten: A Comparative Study of the Emergent Right's Evolution and Application in Europe, the Americas, and Asia, Berlin, 2020.