Google v. ViviDown. Responsabilità assolute e fine di Internet ?

di Giuseppe Cassano   Il caso La video ripresa acquisita con un cellulare delle molestie ai danni di un ragazzo down perpetrata a scuola da alcuni compagni di classe è stata caricata sulla piattaforma Google Video e così diffusa a una quantità indeterminata di altri utenti. La particolare crudezza dell’episodio e il riferimento sprezzante all’associazione (Vivi Down) che si occupa dei ragazzi con questo tipo di problemi ha destato lo sdegno nel mondo digitale. Appena si è assunta la consapevolezza dell’accaduto sono scattate le denunce alla Procura della Repubblica, sia da parte dell’associazione, sia da parte del padre del ragazzo coinvolto. I responsabili materiali del filmato e dell’upload alla piattaforma di Google Video, appresa la notizia dai giornali, si sono autodenunciati ad un’insegnante. Il citato filmato veniva rimosso da Google Video a circa due mesi di tempo dalla sua inserzione on-line e a ventiquattrore ore di distanza dal momento in cui un privato cittadino ed un agente di P.S. formalmente avvisavano la redazione del noto motore di ricerca della presenza del video de quo nel proprio spazio virtuale di competenza. Le condotte contestate agli amministratori di Google I capi di imputazione contro gli amministratori della net company si sostanziano in concorso omissivo nel reato di diffamazione e nel reato di trattamento illecito di dati sensibili. Mentre il primo capo di imputazione non trova accoglimento, gli amministratori-imputati vengono, invece, condannati per il reato di cui all’art. 167 D.lgs. 196/2003. Invero, le questioni sottese ai capi d’imputazione formulati sono, come del resto considera lo stesso Giudice, strettamente interdipendenti, in quanto la configurabilità del concorso omissivo nel delitto di diffamazione dipende dall’idoneità del sistema normativo in tema di privacy a fondare un obbligo giuridico, a carico del titolare del trattamento dei dati, volto ad evitare eventi, quali quelli imputati a Google. Sullo sfondo di tutte le considerazioni che la vicenda in oggetto suggerisce, si attagliano due questioni che a ben vedere rappresentano l’imprescindibile presupposto per definire correttamente gli eventuali profili di responsabilità degli amministratori della net company. Da una parte, vi è la tanto discussa (in processo) qualificazione di Google alla stregua di un hoster provider o di un content provider (distinzioni classificatorie dalle quali, in un primo momento, il Giudice sembra prescindere ai fini della configurabilità del delitto di trattamento illecito dei dati personali, per poi attribuirle (pare), nel proseguo della motivazione, significato dirimente per la condanna degli imputati). Dall’altra parte, vengono in rilievo le interrelazioni tra gli ambiti di applicazione della disciplina della e-commerce, di cui al D.lgs. 70/2003 e la normativa sulla privacy, delineata dal D.lgs. 169/2003. Anticipando le conclusioni a cui perviene il Giudice, il motore di ricerca Google viene qualificato non un semplice intermediario, ma un content provider. La condotta penalmente rilevante che viene riconosciuta in capo ai responsabili di Google sarebbe quella di aver gestito il servizio offerto da Google Video, omettendo di fornire (colpevolmente) ai propri inserzionisti telematici chiare e puntuali informazioni sulla corretta modalità del trattamento dei dati personali, con riferimento a quei dati appartenenti alle persone che compaiono nel video, diverse da quelle che tale video hanno immesso nella rete; avrebbero fatto ciò al fine di raccogliere un numero sempre più elevato di filmati per accrescere l’interesse al servizio da parte di eventuali acquirenti di spazi pubblicitari su Internet, in tal modo concretizzandosi il dolo specifico richiesto dall’art. 167 D.lgs. 196/2003. Una prima riflessione: il (benvenuto) tradimento delle (non auspicabili) aspettative suscitate dalla lettura del dispositivo. La lettura della sentenza, in esame, ben 111 pagine, lascia certamente sconfortati, venendo in mente quanto Schopenhauer diceva dei filosofi del suo tempo: «Secondo il metodo omeopatico, un minimo insignificante di pensiero viene diluito in un profluvio di parole e si continua così tranquillissimi a cianciare di pagina in pagina, con una fiducia illimitata nella pazienza del lettore. Invano l’intelligenza condannata a questa lettura spera in pensieri autentici, solidi e sostanziali: essa spasima, spasima attendendo un qualsiasi pensiero – come il viaggiatore nel deserto d’Arabia sospira l’acqua – e dovrà morire di sete» Tanto più se si considera che il relativo principio di diritto che viene affermato in sentenza e che costituisce la base giuridica su cui viene fondata la condanna degli amministratori di Google, al di là della correttezza o meno di quanto ritenuto, appare tradire le aspettative (o sconfessare le paure, a seconda del punto di vista in cui ci si pone) che la lettura del dispositivo aveva suscitato nell’opinione pubblica. Basti considerare che allo stesso Giudice, nella parte finale della sentenza, parafrasando una famosa commedia di Shakespeare, viene da dire “too much ado about nothing” (molto rumore per nulla). In dottrina, peraltro, a mo di profezia infausta, ci si era anche spinti ad osservare: <<(…)Escludendo, infatti che tutto si riduca al fatto che nelle condizioni generali di Google non c’era o era carente l’informativa all’utente circa la necessità di acquisire il consenso del terzo ripreso prima di caricare il video, considerato che vi erano dati sensibili – perché se così fosse saremmo di fronte ad uno di quegli inutili formalismi che invece di elevare la tutela della privacy, ne fanno scadere ogni sostanziale percezione tra i comuni mortali (non avvocati)>>. In tale ottica, sembra che la costruzione di ingegneria giudica, abbastanza claudicante – come definita dal Garante Privacy – sia stata l’effetto di una pressione mediatica, e di una precomprensione del giudice, tale per cui a fronte di una richiesta di condanna per violazione della privacy e per diffamazione, un mimino di pena si sarebbe dovuta scontare, almeno sotto il profilo della “sanzione mediatica”; orbene, in questo ragionamento, nelle pieghe della disciplina della privacy, si scopre una norma che sembra funzionale al caso de quo. Con ciò si raggiungono due obiettivi, il ragionamento di condanna autonomo del giudice (anche io sono in grado di rinvenire in determinati comportamenti un reato, con distinguo, quindi, dalle posizioni della procura, di cui in verità la sentenza costituisce per gran parte un “copia ed incolla”), l’irrogazione della sanzione che nella logica buoni/cattivi, deboli/forti, era giusto comminare. La valutazione in diritto delle emergenze processuali Dopo una prima parte che costituisce per lo più la fedele trasposizione degli atti d’indagine preliminare compiuti dall’organo d’accusa, la seconda sezione di cui è composta la motivazione si apre con una “valutazione in diritto delle emergenze processuali”. Il giudice premette che il ritiro della querela da parte dei familiari del ragazzo offeso limita l’accertamento ai fatti che riguardano la seconda parte lesa, l’associazione Vivi Down, ma non fa decadere l’imputazione del capo A (concorso omissivo nel reato di diffamazione), contrariamente a quanto sostenuto dalla difesa. Quindi, risolve il problema della competenza territoriale, affermando che il reato è stato commesso anche a Milano, dove ha sede la società Google Italy “sotto il profilo del trattamento dei dati inteso come elaborazione e organizzazione degli stessi”. Sarebbe lungo esaminare tutti i passaggi del ragionamento del giudice. Limitiamoci, quindi, alle questioni più rilevanti che hanno dato luogo alla condanna e a quelle che possono avere conseguenze su una non impossibile futura regolamentazione delle attività on line. E anche sul precedente che la sentenza può costituire per altri giudizi su casi simili (pur nei limiti di una decisione di primo grado, contro la quale è già stato annunciato l’appello). La questione processuale che merita di essere sottolineata in tale prospettiva riguarda la giurisdizione: la normativa sul trattamento dei dati personali si applica (art. 5 D.Lgs. 196/2003) ai trattamenti di dati personali “anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato” e anche “effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea”. Dunque, venendo alla vicenda in esame, la prima parte del trattamento, cioè il caricamento del video, si svolge senza dubbio nell’ambito della giurisdizione italiana. Ma è stato giudicato in un altro processo. Qui si discute solo della responsabilità di Google. E dalla ricostruzione fin troppo dettagliata compiuta dall’accusa, si evince che la rappresentanza italiana di Google non ha alcun ruolo nel trattamento: tutto è deciso negli USA. Dove non c’è alcun obbligo di rispetto della nostra normativa. Tuttavia, il giudice arriva alla conclusione opposta, rifacendosi alla sentenza della Cassazione n. 49437 del 2009 (processo Pirate Bay), secondo la quale il provider concorre al reato di violazione del diritto d’autore nel momento in cui indicizza le informazioni. Ma le due situazioni non sono paragonabili, perché nel caso di Pirate Bay il processo di selezione e indicizzazione dei siti di file sharing è specificamente volto a fornire i link dai quali scaricare i contenuti illeciti, mentre nel caso di Google video c’è solo un’indicizzazione, passaggio strumentale indispensabile per raggiungere qualsiasi contenuto. In ogni caso, il collegamento tra il trattamento effettuato negli USA e l’Italia consisterebbe, se ho letto bene la sentenza, nel “lucro” che deriva dalla pubblicità, per la quale l’azienda ha una rappresentanza nel nostro paese. Qui si potrebbe aprire un’interminabile discussione sulla connessione tra il trattamento svolto all’estero e il lucro conseguito in Italia, ma non è questo il caso. Perché la difesa ha dimostrato che all’epoca dei fatti non c’era un collegamento diretto tra Google Video e la pubblicità e l’argomentazione appare convincente (ora, con Facebook la situazione è cambiata). Dunque, basterebbe questo dato, l’assenza di lucro, per escludere la giurisdizione italiana, quindi l’applicabilità della normativa interna in tema di trattamento dei dati personali e, in ultima analisi, il reato contestato e ritenuto. La portata dell’obbligo informativo ritenuto in tema di data protection: il cortocircuito evidenziato dalla sentenza Venendo alla condotta ritenuta penalmente rilevante a carico degli imputati, il ragionamento che compie il giudice al fine di sostenere la condanna dei medesimi è che Google avrebbe dovuto informare i suoi utenti del fatto che se si pubblica il video che riguarda una terza persona, il consenso di quel terzo è necessario perché non ci sia reato. Per il giudice questo non è avvenuto e soprattutto il trattamento del video attraverso l’indicizzazione, le classifiche di popolarità e il potenziale inserimento dei programmi pubblicitari di Google indica una “conoscenza” del video e questo complica la posizione dei responsabili. In particolare, questi elementi vengono valorizzati dal Giudice al fine di accertare in capo agli imputati una chiara accettazione consapevole del rischio concreto di inserimento e divulgazione di dati che avrebbero dovuto essere oggetto di particolare tutela. Nonostante neghi la possibilità di un controllo preventivo, qui è come se il giudice chiedesse che “l’hoster attivo” (è scritto così nel testo) si faccia carico di rendere edotto tutto il suo potenziale pubblico della normativa sulla privacy. Obbligo informativo che, secondo quanto ritenuto dal Giudice, dovrebbe essere adempiuto non solo nei confronti di quella parte di pubblico che direttamente carica video nella rete, ma anche (e qui sta il principio inaccettabile della decisione de qua) in relazione a chiunque, in un modo o nell’altro, in quei video compaia o ne risulti in altro modo interessato. Il giudice si rende conto che non si può chiedere un controllo diretto alle piattaforme e si rifugia, così, nel calcio d’angolo dell’avvertenza al pubblico. Questo sgraverebbe la responsabilità della piattaforma. Insomma, l’omesso controllo o comunque una responsabilità colposa come per giornali e tv o una cosa che ci somigli. E allora ci vuole la censura preventiva, poteva dirlo prima, dottor Magi. Quanto al dolo specifico richiesto per la configurabilità del reato contestato, il fine di lucro dell’ISP viene individuato nel servizio di AD Words, ovvero del software mediante cui si collegano a parole chiave immesse nella barra di ricerca i links ai siti commerciali logicamente collegabili, che abbiano fatto richiesta di inserzione. Gli inserzionisti pagano Google sulla base del metodo cosiddetto Pay per click. Si tratta di un corrispettivo in funzione della quantità di click eseguiti sul link del cliente. In tal modo, però, al fine di configurare un profitto di Google, necessario per l’integrazione della fattispecie penale contestata, il giudice confonde la volontà dell’ISP con degli automatismi tipici della Rete e collegati al servizio AD Words che presenterà sicuramente dei difetti, ma di certo non quelli individuati dal magistrato. Una volta argomentata l’esistenza della violazione delle norme privacy in punto di informativa, nel senso prima precisato, e verificata l’esistenza del profitto, il Giudice non può che concludere per il riconoscimento della responsabilità penale degli imputati per illecito trattamento di dati personali e sensibili. Alla luce di quanto esposto, è difficile rintracciare nella decisione l’enucleazione chiara, puntuale e rigorosa di un solo principio idoneo a sorreggere l’impianto accusatorio Google, infatti – secondo il Giudice – sarebbe, in buona sostanza, responsabile di violazione della disciplina sulla privacy perché – nell’ambito di un’attività svolta con finalità lucrativa – non avrebbe avvertito in maniera sufficientemente chiara la ragazzina che ha caricato on line il video, della necessità di prestare attenzione al rispetto della privacy del protagonista – specie perché disabile – del proprio video. Ma si può davvero ipotizzare che se Google nelle proprie condizioni generali di utilizzo del servizio avesse avvertito, in caratteri più grandi e magari in grassetto, una bambina di dodici anni dell’esigenza di assicurarsi il consenso al trattamento dei dati personali del bambino disabile protagonista del video caricato, questa vi avrebbe provveduto? Personalmente credo di no, e sono in buona compagnia, perché lo stesso magistrato, qualche pagina più avanti, nel rigettare la tesi accusatoria che avrebbe voluto Google responsabile anche di concorso in diffamazione, scrive testualmente “anche se l’informativa sulla privacy fosse stata data in modo chiaro e comprensibile all’utente, non può certamente escludersi che l’utente medesimo non avrebbe caricato il file video incriminato, commettendo il reato di diffamazione”. Difficile seguire la coerenza logica prima ancora che giuridica che lega i due passaggi della Sentenza: mi sfugge probabilmente qualcosa ma, l’impressione è che a pagina 96 il Giudice abbia ritenuto che se Google avesse dato correttamente l’informativa la ragazzina non avrebbe caricato il video incriminato, mentre a pagina 104 si mostri convinto del contrario, ovvero che lo avrebbe comunque caricato. L’eccentrica interpretazione fornita del combinato disposto degli artt. 13 e 23 D.lgs. 196/2003 Ma fino a questo punto siamo ancora alle considerazioni di carattere generale. Alla fine della storia ci sono i reati contestati ai tre imputati. Questi consistono nella violazione degli articoli 23 (consenso), letto in combinato disposto con l’art. 13 (informativa), 17 (trattamento che presenta particolari rischi) e 26 (garanzie per i dati sensibili) del codice privacy. La violazione dell’art. 23 è punita dal primo comma dell’art. 167 con la reclusione da sei a ventiquattro mesi. L’art. 167 non contiene un’ipotesi penale per la violazione dell’art. 17, elencata nel capo di imputazione, ma solo per quella dell’art. 26, e la pena va da uno a tre anni. In sostanza, i tre dirigenti di Google, secondo il giudice, avrebbero omesso (prima, di informare la persona che carica il video circa la necessità di chiedere e, quindi) di ottenere il consenso scritto dell’interessato (la persona danneggiata) per il trattamento dei dati sensibili. Dunque avrebbero dovuto: a) controllare i contenuti del video prima di metterlo in rete; b) identificare e trovare l’indirizzo della persona ritratta; c) attendere il suo consenso scritto prima di dare il via libera alla diffusione. Non vi è chi non veda come l’impostazione accolta si riveli del tutto errata da un punto di vista fattuale, ossia del contemperamento degli interessi in gioco nella situazione concreta, nonché assolutamente eccentrica nell’ottica dell’interpretazione delle norme giuridiche che sono state ritenute alla base della condanna degli amministratori di Google. In questo mondo reale, il grande beneficio recato da strumenti di diffusione e interazione informativa come Google Video devono e possono essere conciliati sinergeticamente con la protezione dei diritti umani. Eticamente, la strategia migliore non è instaurare un’autoritaria censura preventiva, che causerebbe un immenso danno al libero scambio delle informazioni e soffocherebbe una buona cultura della rete, ma censurare tempestivamente e fermamente chi non rispetta le regole della convivenza civile online. In altre parole: applicare regole come quella del safe harbor, che fanno prosperare il nostro ambiente digitale e la cultura liberale che esso promuove, nonché attribuire il rilievo che merita al principio del notice and takedown (ossia, della rimozione del contenuto illecito dopo un’apposita segnalazione), perno fondante la normativa comunitaria e italiana sul commercio elettronico. Dal punto di vista strettamente giuridico, la ricostruzione effettuata dal giudice nelle motivazioni non chiarisce affatto la possibile violazione derivante dagli artt. 17 e 26 D.lgs. 196/03, mentre è contraddittoria per quanto riguarda l’articolo 23 D.lgs. 196/03. In relazione al disposto da ultimo citato, il Giudice si concentra sulla presunta mancanza di chiarezza nell’informativa sulla privacy, ai sensi dell’art. 13 D.lgs. 196/03, senza considerare che tale violazione non comporta una sanzione penale ai sensi dell’art. 167 D.lgs. 196/03, ma una mera sanzione amministrativa ai sensi dell’art. 161 D.lgs. 196/03. Se da un lato, però, non ci si deve mai fermare di fronte alla prima lettura fatta in questi giorni e alcune considerazioni presenti all’interno della motivazione non permettono di banalizzare la questione in questi termini, dall’altro non si può certo dire che manchino gli aspetti problematici e che la ricostruzione effettuata sia convincente. Pare, infatti, che alla base della decisione vi sia l’insofferenza per la mancanza di una legislazione di carattere internazionale che disciplini Internet e, quindi, le diverse attività illecite configurabili. A tal punto il giudice, per affermare la sua competenza e principalmente l’applicazione della normativa italiana ha dovuto subito individuare un illecito di rilevanza penale che incida così sul territorio italiano. Al fine, però, di configurare un trattamento illecito di dati personali ha dovuto fornire una propria interpretazione estensiva dell’art. 13 del Codice per la protezione dei dati personali. Difatti, sapendo bene di non poter accusare Google di omesso controllo dei contenuti immessi in Rete da parte di terzi (non perché ciò non sia possibile tecnicamente, ma perché manca una norma esplicita in tal senso), ha ritenuto che l’informativa prevista dalla normativa sulla privacy doveva comunque essere ben presente sulla pagina web dove è disponibile il servizio di Google. Ciò perché l’Internet Service Provider (ISP) tratta i dati, sia pure nel solo segmento finale del processo, ed avrebbe avuto quindi l’obbligo di informare l’utente sui vincoli di legge da rispettare: cioè sul fatto che le persone riprese nel video dovevano essere avvertite e si doveva ottenere il loro consenso. In pratica e a conclusione delle considerazioni in diritto sugli addebiti mossi agli amministratori-imputati, il giudice Magi legge l’articolo 23, in combinato disposto con l’art. 13, come se imponesse a YouTube l’obbligo di verificare se gli utenti abbiano ottenuto l’autorizzazione dei soggetti presenti nei filmati destinati a essere condivisi tramite la piattaforma. Solo che in realtà l’articolo dice tutt’altro. L’interessato al quale si riferisce il consenso è colui che ha un rapporto con il titolare del trattamento, cioè chi carica il video. Non la persona che ha tratto “nocumento” dal contenuto, che è un terzo nel rapporto tra il provider e il destinatario del servizio. L’esigenza di un apporto di razionalità (normativa) alla risoluzione della questione in esame Ma al di là delle considerazioni in diritto appena svolte e delle critiche avanzate al magistrato per la scarsa consapevolezza mostrata circa l’esistenza di regole sufficientemente in grado di realizzare un corretto bilanciamento tra i valori e le esigenze sottese alle dinamiche del mondo virtuale, rispetto agli insopprimibili diritti umani, in sintonia con il principio di extrema ratio del sistema penale, quello di cui appare maggiormente bisognosa la sentenza in esame è di un apporto di razionalità (normativa) che consenta di effettuare un corretto inquadramento normativo della vicenda in esame. Come accennato, le questioni che si attagliano sullo sfondo del caso deciso dal Tribunale di Milano concernono i rapporti tra la disciplina della data protection e quella dell’e-commerce, da un lato, e la qualificazione giuridica di Google alla stregua di un host o content provider, dall’altro, onde definirne compiutamente il regime di responsabilità dello stesso. A tal fine, appare opportuno partire di nuovo da quanto è stato ritenuto dal Giudice in sentenza, per poi svolgere le relative considerazioni. L’hoster attivo, in cui alla fine viene identificato Google, ad avviso degli argomenti presentati dall’accusa e in parte condivisi dall’autorità giudicante è una figura sottratta all’applicazione della disciplina sul commercio elettronico (principio dell’irresponsabilità dell’intermediario) e sussunta nell’ambito della disciplina privacy (principio di responsabilità del titolare del trattamento) a causa del tipo di attività condotta. Il motore di ricerca o hoster attivo non si limita a fornire un semplice rapporto di interconnessione, ma indicizzando i patrimoni informativi immessi da terzi finisce per eseguirne un vero e proprio trattamento. Conseguentemente, nella mente del giudicante la disciplina del relativo operato abbandona l’ambito dell’e-commerce e rimane sottoposta al settore della data protection. Si legge nella sentenza: “Esiste quindi, a parere di chi scrive, un obbligo NON di controllo preventivo dei dati immessi nel sistema, ma di corretta e puntuale informazione, da parte di chi accetti ed apprenda dati provenienti da terzi, ai terzi che questi dati consegnano.. E’ pertanto ovvio che l’hoster attivo avrà certamente un livello di obblighi e di comportamenti più elevato di quello di un semplice host provider”. Peraltro, occorre sottolineare che nel pensiero del Giudice, l’individuazione di una condotta oggettivamente inquadrabile in quelle sanzionate dalla normativa sulla data protection non è condizionata in alcun modo dalla possibilità di qualificare il motore di ricerca come hoster attivo. Secondo quanto emerge dalla lettura di qualche pagina precedente il passo della sentenza appena riportato, la fattispecie delittuosa ben può concretizzarsi in capo al soggetto che si trovi “nella scomoda posizione di chi tratti i dati che gli vengono consegnati e che lui gestisce e, quantomeno, diffonde nell’esteso mondo di internet”, a prescindere dalla sua qualificazione in termini di host provider o content provider. “In questo senso a poco vale la distinzione che fanno sia i PM che le difese fra host provider e content provider… Senza dubbio il content provider (e cioè il “gestore – produttore di contenuti”) è in una posizione ancora più delicata, perché in qualche modo, contribuisce a creare o comunque a far propri dei dati dallo stesso gestiti, ma, come si è detto e qui si ripete, anche l’host provider (e cioè il mero intermediario) non è esente da comportamento oggettivamente inquadrabile nella norma, attesa la sua funzione, quantomeno, di diffusore dei dati raccolti”. A questo punto, preso atto di quanto ritenuto in sentenza, i quesiti a cui rispondere per inquadrare correttamente dal punto di vista normativo la vicenda in questione sono i seguenti: – E’ impensabile che la presunta intelligenza della piattaforma- o il fine economico degli obiettivi perseguiti – ci conduca automaticamente nel settore della data protection? – Non sarebbe forse più appropriato collocare la questione nell’ambito dei servizi della Società dell’Informazione, proponendoci di adeguare ai nuovi sviluppi della tecnologia la disciplina dell’e-commerce? Ma l’ultima parte di questo interrogativo ci porterebbe di nuovo fuoristrada, in quanto la relativa considerazione andrebbe gestita sotto il profilo della sollecitazione normativa. Venendo al fulcro della questione, invece, al fine di rispondere positivamente alla prima domanda è necessario partire dall’assunto che la normativa sulla privacy e la normativa sul commercio elettronico, in realtà, costituiscono un quadro giuridico coerente e completo e che quest’ultima non trova applicazione solo in caso di specifico contrasto con la normativa sulla privacy che non sussiste nel caso di specie, in quanto la normativa in materia di protezione dei dati personali non impone un qualsivoglia onere di controllo. Per dimostrare tale affermazione è necessario muovere da alcune fondamentali considerazioni di carattere generale, ancor prima di affrontare la questione specifica. Privacy e commercio elettronico rappresentano due macrocategorie del tutto indipendenti l’una dall’altra che possono avere punti di interconnessione in determinati casi. In particolar modo, riguardo il commercio elettronico sappiamo bene che sia la Direttiva 2000/31/CE che lo stesso D.lgs. 70/03 parlano in termini ancora più generali di “servizi della società dell’informazione”, facendovi rientrare tutte le attività economiche svolte “on line” e qualsiasi altro servizio prestato, normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Il commercio elettronico non trova, quindi, una specifica definizione nel nostro ordinamento ed in quello europeo, ma viene fatto rientrare nella più ampia nozione di cui sopra. L’ampiezza e la varietà della nozione di commercio elettronico viene comprovata dal fatto che i contratti di e-commerce sono disciplinati innanzitutto dal nostro codice del consumo (D.lgs. 6 settembre 2005 n. 206), laddove non regolati dal d.lgs. 70/2003. Dal predetto quadro normativo si apre lo scenario della struttura Internet. Si tratta di una realtà complessa, cui confluiscono la maggior parte delle componenti che accompagnano la nostra quotidianità. Internet è un universo di servizi messi a disposizione dell’utente (gratuitamente o a pagamento). La rete non può essere annoverata unicamente nei media. La rete è anche un media, ma è soprattutto una realtà di servizi. Per comprendere appieno la problematica, il dato da cui partire è costituito dall’autonoma rilevanza della tutela dei dati personali di cui l’e-commerce e le stesse comunicazioni elettroniche rappresentano uno specifico campo di applicazione. Un importante argomento a favore di tale tesi viene fornito da Picotti – che singolarmente sembra essere l’Autore più citato dall’accusa – che nell’esaminare i rapporti tra Internet e diritto penale sostiene che spesso molte norme rilevanti in materia sono state emanate in attuazione di convenzioni, direttive, raccomandazioni di fonte europea e sovranazionale che hanno portato ad una molteplicità di interventi settoriali in cui le norme penali svolgono una funzione meramente “sanzionatoria” di precetti e discipline extrapenali, come: il diritto d’autore, la protezione delle topografie per semiconduttori, il trattamento dei dati personali, il commercio elettronico. Quindi, lo stesso Picotti riconosce l’indipendenza e la necessità del coordinamento delle due materie, con la precisazione relativa alla impossibilità del controllo delle informazioni, attesa la natura mutevole o sostanzialmente non gestibile delle informazioni messe in Rete. Sulla stessa lunghezza d’onda si pone anche Bessone che, svolgendo un intervento di prima approssimazione sul mondo dell’e-commerce, ammette quanto siano numerosi i punti di interferenza tra normative che regolano materie diverse. Chiaramente, in tale ottica assume rilevanza anche la tutela della privacy, laddove viene in rilievo il sistema delle garanzie di protezione dei dati personali. La opinione che più ci vede concordi è quella espressa – peraltro già da Noi sostenuta in più scritti – da un autorevole Studioso della materia, Draetta, esperto del diritto internazionale, che più volte ha affrontato le tematiche del diritto dell’Internet: Secondo Draetta, la direttiva 2000/31 sul commercio elettronico intende sì favorire l’instaurazione di un mercato digitale unico, offrendo nello stesso tempo agli Stati membri un quadro normativo di riferimento per loro misure nazionali, ma al contempo prevede tutta una serie di esclusioni dall’ambito di applicazione della direttiva nel suo complesso, di eccezioni dall’ambito di applicazione dell’art. 3, nn 1 e 2 che pone il principio della libera circolazione dei servizio della società della informazione sulla base delle norme del paese di origine, e di possibilità per gli stati membri di introdurre deroghe all’art.3, n. 2, che si riferisce specificamente alla sola libera circolazione. La formulazione di alcune esclusioni e deroghe – come all’unisono rilevato da tutti i commentatori – non risponde ad eccessive preoccupazioni di natura sistematica e presenta elementi molto disomogenei. Accanto ad esclusioni vere e proprie, come quella relativa al settore tributario, in alcuni casi i settori sono esclusi o derogati perché oggetto di apposita norma comunitaria relativa proprio ai servizi della società dell’informazione (come nel caso della moneta elettronica o dei servizi finanziari). In altri casi, la non applicabilità riflette piuttosto la necessità di coordinamento con altre disposizioni comunitarie che intersecano a matrice quella del commercio elettronico, quali la tutela giuridica del diritto d’autore, delle banche dati e la tutela dei dati personali. “L’esclusione di queste materie dall’ambito di applicazione della direttiva sul commercio elettronico va intesa, quindi, nel senso che tali materie sono disciplinate da altri atti comunitari, i quali restano pienamente applicabili in un ambito telematico, anche se relativi a campi più vasti di quello telematico, salvo che la direttiva qui in esame non preveda diversamente ” (Draetta). Il pensiero – condiviso – di questo Autore può essere ripetuto in relazione alle due normative di attuazione delle rispettive Direttive, con il particolare di seguito evidenziato. Le normative di cui ci occupiamo (non rientrano nel campo di applicazione del presente decreto […] le questioni relative al diritto alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni di cui alla legge 31 dicembre 1996, n. 675 e al decreto legislativo 13 maggio 1998, n. 171 e successive modifiche e integrazioni), come noto, sono state entrambe abrogate dal d.lgs. n. 196/2003 – che oggi è il T.U. in materia di trattamento dei dati personali – il quale all’art. 6 d.lgs. 196/2003 (“Disciplina del trattamento”) prevede che “le disposizioni contenute nella presente Parte si applicano a tutti i trattamenti di dati, salvo quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioni integrative o modificative della Parte II”. La Parte II del d.lgs. 196/03 prevede all’art. 133 una disciplina specifica per “Internet e reti telematiche” . Aldilà delle questioni relative alla stesura di un Codice deontologico ex art. 133, possiamo certamente affermare come i fornitori di servizi di comunicazione e informazione offerti mediante reti di comunicazione elettronica siano tenuti al rispetto della normativa del decreto 196/2003 avuto riguardo alle modalità di raccolta e trattamento dei dati. Nel senso che – ed è il cuore del problema – può/deve parlarsi di una questione di trattamento di dati personali esclusivamente in riferimento a quei dati presenti nelle BB.DD. dei fornitori di servizi di comunicazione e informazione offerti mediante reti di comunicazione elettronica che siano stati dagli stessi acquisiti (ad es. attraverso la fornitura dei propri dati da parte del titolare; l’acquisto di BB.DD. da parte di terzi). E questo è l’unico significato coerente e plausibile che si possa dare all’art. 1, comma 2, lett. b) decreto 70/2003, ossia nel senso che il termine “questioni” deve intendersi riferito alle questioni insorte / insorgende tra fornitori di servizi di comunicazione e informazione offerti mediante reti di comunicazione elettronica, da un lato, e persone fisiche/giuridiche i cui dati personali siano stati inseriti nelle BB.DD dei primi. E queste questioni effettivamente atterranno all’eventuale illegittimo trattamento di dati (ad es. perché raccolti senza il consenso; trattati – ceduti irregolarmente). Venendo al caso in cui TIZIO inserisca su Youtube (o su Google video o altra piattaforma) un video che ritrae CAIO, senza il consenso di quest’ultimo, al più di una questione di trattamento di dati personali si potrà parlare tra TIZIO e CAIO. Youtube (o Google Video o altro soggetto fornitore del servizio on line) non ha trattato dati personali di CAIO, al più ha raccolto i dati personali di TIZIO al quale avrà chiesto di compilare un form e di aderire a un Codice deontologico. Per Youtube (o Google Video o altro soggetto fornitore di piattaforma on line) opera la normativa del d.lgs. 70/2003, con particolare riferimento al sistema della responsabilità. In definitiva, per quanto concerne le Reti Telematiche si può così sintetizzare: la normativa sulla privacy disciplina il trattamento dei dati personali, la normativa sul commercio elettronico disciplina le forme di responsabilità. Ritenere diversamente, significa abrogare una normativa a favore dell’altra sulla base di questo assunto. Innanzitutto la normativa sulla privacy è norma che tutela sì i dati personali, ma al contempo tutti i diritti della personalità, in quanto per mezzo del dato personale tutti i diritti della personalità vengono in gioco. Ossia la violazione del diritto all’identità personale, all’onore, alla reputazione, all’immagine, e così a seguire, tutte le altre violazioni di diritti meritevoli di tutela che avvengono attraverso “l’utilizzo” del dato personale. Per cui, nel momento in cui si affronta la responsabilità dell’intermediario attraverso la normativa sul commercio elettronico, pretendere la non operatività per presunta applicabilità esclusiva della normativa sulla privacy significherebbe sancire la assoluta non operabilità della normativa di specificazione delle forme di responsabilità degli intermediari. Cioè, la specificazione delle forme di responsabilità degli intermediari si sostanzia in violazione dei diritti della personalità altrui; ma se tutte le questioni relative ai diritti della personalità sono demandate alla normativa sulla privacy, vi sarebbe a monte la in operabilità delle norme sugli intermediari. Come a volere dire che il legislatore ha previsto delle norme che mai si potranno applicare (ossia la specificazione delle varie forme di responsabilità degli intermediari), perché qualcuno sostiene inopinatamente che questa normativa non si applica, a favore di una responsabilità che viene appaltata completamente alla normativa sulla privacy. Non solo e siamo al secondo quesito. A Google Video va riconosciuta la qualifica giuridica di fornitore di servizio di hosting esattamente come il Tribunal di Grande Istanza di Francia Parigi, 29 ottobre 2007 ha fatto con riferimento a Wikipedia. Difatti, pur dovendo riconoscere che nel 2000 (data dell’approvazione della direttiva 31/00/CE sul commercio elettronico) e nel 2003 (data della trasposizione in Italia della medesima direttiva con il D.lgs. 70/03) servizi come Youtube o Google Video erano solo nella mente degli informatici della Silicon Valley e non solo, sarebbe assurdo ritenere un servizio che “hosta” contenuti di terzi un content provider. Inoltre, ai sensi della normativa sul commercio elettronico, l’intermediario di hosting è prestatore di un servizio della società dell’informazione “consistente nella memorizzazione di informazioni fornite da un destinatario del servizio”, il che descrive con esattezza la funzione svolta da Google Video. Pertanto, risulta l’operatività dell’art. 16, comma 1, d.lgs. n. 70/2003 per il quale il prestatore di servizi di hosting non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che egli: non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita; per quanto attiene alle azioni risarcitorie, non sia al corrente dei fatti o di circostanze che rendano manifesta l’illegalità dell’attività o dell’informazione; non appena al corrente di tali fatti, su comunicazione delle Autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne. Viene, poi, in rilievo l’art. 14 del Dlgs 70/2003 che disciplina la responsabilità dei prestatori intermediari con riferimento all’attività di semplice trasporto che sancisce la irresponsabilità del prestatore delle informazioni trasmesse, a condizione che non origini la trasmissione, non scelga il destinatario della trasmissione e non possa modificare le informazioni contenute nella trasmissione stessa. Sul versante della responsabilità dei prestatori con riferimento alla memorizzazione temporanea, detta “caching”, occorre considerare l’art. 15 del Decreto. Ai sensi del disposto citato, il prestatore non sarà considerato responsabile della memorizzazione automatica, intermedia e temporanea delle informazioni, effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta, a condizione che egli: non modifichi le informazioni; si conformi alle condizioni di accesso alle informazioni; si conformi alle norme di aggiornamento delle informazioni; indichi tali informazioni in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore; non interferisca con l’uso lecito delle tecnologie ampiamente riconosciute ed utilizzate nel settore, per ottenere dati sull’impiego delle stesse informazioni; agisca prontamente per rimuovere le informazioni che ha memorizzato o per disabilitarne l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione dell’accesso. Viene, quindi, ipotizzata una limitazione di responsabilità che riguarda principalmente gli Access providers, cioè coloro che consentono agli utenti di collegarsi alla rete telematica. Inoltre, l’art. 17 del Decreto in argomento, in conformità a quanto previsto dalla Direttiva all’art. 15, detta una disposizione comune alle norme sulla responsabilità degli intermediari ribadendo il principio dell’assenza di un generale obbligo di sorveglianza da parte degli intermediari sulle attività degli utenti che utilizzano i loro servizi, un problema molto avvertito dagli Internet providers, sui quali però pende sempre il rischio di una forma di responsabilità oggettiva mascherata. In tutti questi casi, come è facile notare, non c’è alcun riferimento esplicito alla normativa sulla privacy che assume rilevanza solo in caso di aperto contrasto con i relativi principi di carattere generale, o meglio con una normativa che sistematicamente affronta in maniera organica e sistematica le forme di responsabilità dei vari soggetti intermediari della informazione. Considerazioni conclusive Queste appena esposte dovevano essere le giuste coordinate attraverso le quali giungere ad una corretta decisione in relazione al ritenuto illecito trattamento dei dati personali. Ossia, inquadramento giuridico della fattispecie nell’ambito della disciplina dell’e-commerce, attribuendo al motore di ricerca i cui amministratori sono imputati la qualifica di host provider, con le conseguenze descritte dalle norme appena citate in punto di responsabilità del prestatore di sevizi. Si è scelto, invece, di ignorare il dato normativo scaturente dal D.lgs. 70/2003, invocato dalle difese degli imputati, rifugiandosi il Giudice esclusivamente nella normativa della data protection, accogliendo, peraltro, un’interpretazione del combinato disposto degli artt. 13 e 23 D.lgs. 196/2003 che non si è tardati a definire eccentrica. Per Pizzetti, questa è “un’operazione di ingegneria giuridica, con un errore tecnico per quanto riguarda la privacy”, meritevole nelle intenzioni, ma sbagliata nei modi. Andando alla ricerca di elementi da valutare positivamente, vi è da riconoscere come la tesi giurisprudenziale non sposi l’argomento accusatorio e l’obbligo di controllo preventivo dell’ISP, ma indica la strada di maggiori obblighi informativi a carico dei gestori di motori di ricerca. Nel complesso, infatti, la sentenza può davvero essere considerata favorevole alla Rete poiché evita di intraprendere la facile strada del controllo dei contenuti – che il Garante definisce “un obiettivo che per far del bene produce troppo male, mettendo a rischio l’utilità democratica della rete” – poiché “carica solo qualche onere di informativa sugli ISP”. Il guaio è che in America tutto ciò è stato accolto come un tentativo di censura, ed è questo il pericolo che Pizzetti esorta a evitare, poiché il rischio ultimo è addirittura l’abbandono dell’Italia da parte dei “grandi Isp internazionali”, cosa che “sarebbe il massimo del ridicolo”. È innegabile, infatti, che sotto il profilo della politica del diritto, la prima conseguenza pratica di una tipologia di sentenza di condanna così strutturata per responsabilità da illecito trattamento dei dati, come nel caso in oggetto, delinea la scoraggiante prospettiva della morte della net economy. La seconda conseguenza pratica è la morte della libertà di espressione. La ragione di tale conseguenze, risiede, probabilmente, nel fatto che a fronte di un servizio erogato in 160 Paesi, l’Italia è il primo nel quale si verifica un episodio del genere, ovvero nel quale tre top manager di Big G sono condannati per il contenuto di un video caricato da un utente della piattaforma. Si consideri, peraltro, che nonostante la condanna irrogata per illecito trattamento dei dati personali, non si può dire che la sentenza ha il merito di soffermare l’attenzione su una questione sempre più pressante: la piattaforma tecnologica a cui il netizen affida i propri dati ha un ruolo attivo nel relativo trattamento oppure no? È ben vero che le piattaforme on line, ormai, non si limitano più a un’attività di semplice trasmissione e scambio delle informazioni, ma sono diventate sempre più intelligenti. Queste piattaforme presentano applicazioni tecniche per caricare i materiali, per scaricarli, per conservarli on line in modo pubblico o in modo riservato, per condividerli. Ma questo diviene un problema legislativo, la gestione e la soluzione di problematiche così complesse. Stiamo discorrendo di una sentenza penale di condanna; e l’accesso al sistema del diritto penale è sempre considerato come extrema ratio, caratterizzandosi per la violazione grave dei principi che fondano il vivere civile dei consociati. Per cui anche questa lettura è da rifiutare. Invero, tutta la decisione sembra essere permeata dal disagio del giudicante, che sostiene di essere ” in attesa di una buona legge che costruisca una ipotesi di responsabilità penale per il mondo dei siti web (magari colposa, ed allora sì per omesso controllo)” e nell’attesa si barcamena tra la consapevolezza dell’impossibilità di ricondurre al motore di ricerca un obbligo preventivo di controllo e l’assunto della peculiarità di questa figura che è più di un semplice host provider, alla ricerca con il lanternino di ipotesi accusatorie e di condanna per le condotte de quo. Peraltro, il fatto stesso che si auspichi l’approvazione di una “buona legge” che limiti la “libertà assoluta” della Rete porta a pensare che in Italia non si sia ancora metabolizzato il principio del notice and takedown (ossia della rimozione del contenuto dopo un’appropriata segnalazione) perno fondante l’intera normativa italiana e comunitaria sul commercio elettronico che trova un riscontro anche oltreoceano nel Digital Millenium Copyright Act. Non rimane, allora, che affidarsi all’auspicio espresso dal Garante: “Vorrei evitare che si avesse un’immagine internazionale che non è fondata, viste le caratteristiche della sentenza e allo stesso tempo evitare di dare su un piatto d’argento a chi, non per difendere la libertà della rete, ma solo un attività imprenditoriale che oggi non è carica di doveri che dovrebbe invece assumere, l’occasione di fare un atto dimostrativo che avrebbe solo un effetto intimidatorio verso i legislatori di tutto il mondo”. * Il presente saggio costituisce la trascrizione del video intervento – il giorno successivo al deposito della sentenza in esame – di Giuseppe Cassano, direttore della Rivista Diritto dell’Internet e delle nuove tecnologie e Direttore del Dipartimento di Scienze Giuridiche della European School of Economics.