SULAKE ITALIA - NCTM Social networking nuove frontiere del marketing e relativi profili giuridici.
Milano 17.11.10
Intervento Avv. Carlo Grignani - La condivisione dei dati personali e la responsabilità di impresa nei social network.
La condivisione infragruppo dei dati del cliente
- il trasferimento all’estero: safe harbour e clausole contrattuali standard
- contitolarità, titolarità autonoma e responsabilità
- localizzazione del data base e legge applicabile
social networking: norme e linee guida
- la tutela della privacy nei servizi di Social Network (conferenza di Strasburgo del 15-17 ottobre
2008)
- le linee guida del Garante del 2009
responsabilità del titolare di siti di social networking per la diffusione su internet di contenuti da
parte dei propri utenti
- l’evoluzione normativa e giurisprudenziale: i casi google e youtube
- il ruolo del moderatore
- la rimozione tempestiva dei contenuti sospetti
- il fine di lucro e l’assenza di corrispettivo
- il carattere editoriale dei motori di ricerca, dei portali e delle piattaforme
Ähnlich wie SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità di impresa nei social network Avv. Carlo Grignani (Partner, NCTM)
Ähnlich wie SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità di impresa nei social network Avv. Carlo Grignani (Partner, NCTM) (20)
Gianni Clocchiatti, Consulente per l’innovazione e la creatività d’impresa, F...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità di impresa nei social network Avv. Carlo Grignani (Partner, NCTM)
1.
2. Condivisione infragruppo dei dati del cliente
• trasferimento all’estero: safe harbour e clausole contrattuali standard.
• contitolarità, titolarità autonoma e responsabilità
• localizzazione del data base e legge applicabile.
3. Trasferimenti all’interno dell’Unione Europea
Art. 42 D.Lgs 196/2003
Principio generale della libera circolazione dei dati personali fra gli Stati Membri
Le disposizioni del Codice non possono essere applicate in modo tale da restringere o vietare la
libera circolazione dei dati personali fra gli Stati membri.
4. Trasferimenti consentiti in Paesi Terzi (art. 43)
Il trasferimento anche temporaneo fuori dal territorio dello Stato, se diretto verso un
Paese non appartenente all’UE, è consentito se:
• l’interessato ha manifestato il proprio consenso;
• sia necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte
l’interessato;
• sia necessario per la salvaguardia di un interesse pubblico rilevante individuato con
legge o regolamento;
• sia necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo o
dell’interessato;
• sia necessario per lo svolgimento delle investigazioni difensive;
• sia effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi;
• sia necessario per esclusivi scopi scientifici o statistici;
• il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni
5. Trasferimenti in Paesi Terzi (art. 44)
E’ altresì consentito quando sia autorizzato da un provvedimento del Garante sulla base
di adeguate garanzie per i diritti dell’interessato individuate:
• dallo stesso Garante anche in relazione a garanzie prestate con un contratto o
mediante regole di condotta esistenti nell’ambito di società appartenenti ad un
medesimo gruppo
• dalla Commissione Europea (la quale verifica che il Paese extra UE garantisce un
livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie
sufficienti).
In virtù di tale previsione, il Garante ha autorizzato il trasferimento di dati personali
dall’Italia verso paesi non appartenenti all’Unione Europea purché effettuato in
conformità alle clausole contrattuali tipo approvate dalla Commissione Europea.
6. DECISIONI DELLA COMISSIONE 2001/497/CE E 2004/915/CE
Clausole contrattuali tipo per il trasferimento di dati personali a titolari del
trattamento stabiliti in paesi extra-UE (c.d. controller to controller)
La Commissione Europea ha approvato, con decisioni adottate in data 15 giugno 2001 e
27 dicembre 2004, due set alternativi di condizioni contrattuali standard da utilizzarsi nei
trasferimenti internazionali di dati personali effettuati tra soggetti che agiscano entrambi
quali titolari del trattamento, dove l’esportatore dei dati sia stabilito all’interno dell’Unione
Europea mentre l’importatore dei dati personali sia stabilito in un paese extra-UE
In particolare, il primo set di clausole standard viene approvato dalla Commissione nel
giugno 2001; successivamente, un gruppo di associazioni imprenditoriali internazionali
presenta alla Commissione un insieme alternativo di clausole destinato a garantire un
livello di protezione di dati comparabile a quello offerto dall’insieme di clausole adottato
nella decisione 2001/497/CE, pur utilizzando meccanismi diversi
Le parti interessate potranno dunque scegliere tra uno degli standard contrattuali
approvati dalla Commissione, senza poterne tuttavia modificare le clausole né
combinare le singole clausole
7. Clausole contrattuali tipo per il trasferimento di dati personali a titolari del
trattamento stabiliti in paesi extra-UE (controller to controller) (continua)
La principale differenza tra i 2 set di clausole standard approvate dalla Commissione riguarda
il regime di responsabilità dell’esportatore e dell’importatore nei confronti dell’interessato (i
cui dati sono oggetto di trasferimento all’estero).
In particolare, le clausole approvate con Decisione 2001/497/CE prevedono –
essenzialmente– un regime di responsabilità solidale dell’esportatore e dell’importatore.
Al contrario, le clausole approvate con Decisione 2004/945/CE prevedono un regime di
responsabilità basato sulla violazione di obblighi di normale diligenza; in particolare, nei casi
in cui l’interessato voglia far valere l'inadempimento dell’importatore di dati, l’interessato
dovrà richiedere in primo luogo all’esportatore di avviare azioni adeguate per far valere i suoi
diritti nei confronti dell’importatore di dati; se l’esportatore non compie tali azioni entro un
termine ragionevole (che nelle normali circostanze sarebbe di un mese), l’interessato potrà
far valere i suoi diritti direttamente contro l’importatore di dati. Gli interessati potranno
procedere direttamente contro l’esportatore di dati quando questi non abbia compiuto sforzi
ragionevoli per determinare se l’importatore di dati sia in grado di rispettare gli obblighi
giuridici ai quali è tenuto in virtù delle clausole in oggetto (ricadendo su quest’ultimo l’onere di
provare l’effettivo compimento di sforzi ragionevoli).
8. Legislazione applicabile e mediazione
a) Le clausole sono soggette alla legislazione del paese nel quale è stabilito
l’esportatore di dati, ad eccezione delle disposizioni legali e regolamentari relative al
trattamento dei dati personali da parte dell’importatore di dati, che saranno applicabili
solo se l’importatore avrà scelto tale opzione nell’ambito della clausola;
b) le parti si informeranno reciprocamente di tali controversie o reclami e collaboreranno
al fine di risolverli in modo amichevole;
c) le parti concordano di rispondere a qualsiasi procedura di mediazione avviata da un
interessato o dall’autorità. Possono partecipare alla procedura a distanza (ad es. per
telefono);
d) ciascuna delle parti si impegna ad accettare qualsiasi decisione dei tribunali
competenti o dell’autorità del paese di stabilimento dell’esportatore di dati le cui decisioni
siano definitive e contro le quali non sia possibile alcun ulteriore appello.
9. Decisione della Commissione 2010/87/UE, recepita con Deliberazione del Garante
in data 27 maggio 2010
Clausole contrattuali standard per il trasferimento di dati personali a responsabili
del trattamento stabiliti in paesi extra-UE (c.d. controller to processor)
– La Commissione europea con decisione del 5 febbraio 2010, n. 2010/87/UE ha
individuato un nuovo insieme di clausole contrattuali tipo al fine di fornire garanzie sufficienti ai fini
della tutela della riservatezza in caso di trasferimento di dati personali effettuati da un titolare del
trattamento avente sede nella Unione europea (soggetto esportatore) ad un responsabile del
medesimo trattamento (soggetto importatore) stabilito in un Paese terzo che non assicura un livello
di protezione adeguato
– La medesima decisione, come recepita dal Garante, contiene poi specifiche clausole
contrattuali tipo concernenti anche i successivi trasferimenti di dati personali posti in essere da un
responsabile del trattamento (soggetto importatore), stabilito in un Paese comunitario ovvero in un
Paese extra-UE ad un altro responsabile del trattamento, stabilito in un Paese terzo che non
assicura un livello di protezione adeguato (c.d. subincaricato), sulla base di un apposito accordo
(c.d. «subcontratto») stipulato tra i predetti soggetti
10. Principali obblighi dell’importatore
a) trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché
impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione
ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il
trasferimento e/o risolvere il contratto
b) non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le
istruzioni dell’esportatore o di adempiere agli obblighi contrattuali, e comunicare all’esportatore, non
appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le
garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di
sospendere il trasferimento e/o di risolvere il contratto;
c) aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di
procedere al trattamento dei dati personali trasferiti;
d) comunicare prontamente all’esportatore: (i) qualsiasi richiesta giuridicamente vincolante
presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali, salvo che
la comunicazione sia vietata da norme specifiche, ad esempio da norme di diritto penale miranti a
tutelare il segreto delle indagini; (ii) qualsiasi accesso accidentale o non autorizzato; e (iii) qualsiasi
richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato
autorizzato a non rispondere;
e) rispondere a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a
trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il
trattamento dei dati trasferiti;
11. f) sottoporre i propri impianti di trattamento, su richiesta dell’esportatore, al controllo dell’esportatore
o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie
qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore,
eventualmente di concerto con l’autorità di controllo;
g) fornire, su richiesta degli interessati, copia delle clausole, e una descrizione generale delle
misure di sicurezza qualora gli interessati non siano in grado di ottenerne copia direttamente
dall’esportatore, o copia dei subcontratti del trattamento, omettendo le informazioni commerciali
contenute nelle clausole o nel contratto;
h) in caso di subcontratto, provvedere a informare l’esportatore e da questi ottenere il consenso
scritto;
j) inviare prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole.
12. Subcontratto tra importatore e sub-incaricato
La Decisione 2010/87/UE, come recepita dal Garante con Deliberazione del 27 maggio 2010, ha
previsto la possibilità di trasferimenti di dati personali da parte di un responsabile del trattamento
(soggetto importatore), stabilito in un Paese comunitario ovvero in un Paese extra-UE, ad un altro
responsabile del trattamento, stabilito in un Paese terzo; tale trasferimento è consentito a condizione
che:
(1)l'importatore si impegni, in caso di subcontratto, a informare l'esportatore e a ottenere da
quest'ultimo un previo consenso scritto in mancanza del quale non potra' subcontrattare i trattamenti
effettuati per conto dell'esportatore;
(2)l'importatore e' tenuto a stipulare con il subincaricato un accordo scritto che imponga a quest'ultimo il
rispetto degli stessi obblighi cui lo stesso e' vincolato in virtu’ della sottoscrizione delle clausole
contrattuali standard, e che tale prescrizione puo’ considerarsi soddisfatta anche qualora il
subincaricato si limiti a sottoscrivere il contratto concluso tra l'esportatore e l'importatore
(3)l'importatore è tenuto ad inviare all'esportatore copia dei subcontratti conclusi e quest'ultimo, a sua
volta, deve tenere un elenco aggiornato di tali subcontratti e a tenerlo a disposizione della relativa
autorita' di controllo
In tali casi, l’importatore rimane pienamente responsabile nei confronti dell’esportatore per
l’inadempimento, da parte del subincaricato, degli obblighi di protezione dei dati previsti dall’accordo
scritto. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle
presenti clausole. Le disposizioni sulla protezione dei dati ai fini del subcontratto sono soggette alla
legge dello Stato membro in cui è stabilito l’esportatore.
13. Obblighi dell’importatore (e del sub-incaricato) al termine dell’attività di
trattamento dei dati personali
L’importatore (e il sub-incaricato) provvedono, a scelta dell’esportatore, a restituire a
quest’ultimo tutti i dati personali trasferiti e le relative copie ovvero a distruggere tali dati,
certificando all’esportatore l’avvenuta distruzione.
Se obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati
personali trasferiti, l’importatore si impegna a garantire la riservatezza dei dati personali
trasferiti e ad astenersi dal trattare di propria iniziativa tali dati.
L’importatore e il sub-incaricato si impegnano a sottoporre a controllo i propri impianti di
trattamento su richiesta dell’esportatore e/o dell’autorità di controllo, ai fini della verifica
dell’esecuzione della distruzione dei dati.
14. Responsabilità
Le parti convengono che l’interessato che abbia subito un pregiudizio per violazione
degli obblighi ad opera di una parte o del subincaricato ha diritto di ottenere
dall’esportatore il risarcimento del danno sofferto.
Qualora l’interessato non sia in grado di proporre l’azione di risarcimento nei confronti
dell’esportatore in quanto l’esportatore sia scomparso di fatto, abbia giuridicamente
cessato di esistere o sia divenuto insolvente, l’importatore riconosce all’interessato
stesso il diritto di agire nei suoi confronti così come se egli fosse l’esportatore, a
meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per
legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti
nei confronti del successore.
L’importatore non può far valere la violazione degli obblighi ad opera del subincaricato al
fine di escludere la propria responsabilità.
15. Responsabilità (continua…)
Qualora l’interessato non sia in grado di agire in giudizio, nei confronti dell’esportatore
o dell’importatore in quanto sia l’esportatore che l’importatore siano scomparsi di fatto,
abbiano giuridicamente cessato di esistere o siano divenuti insolventi - il subincaricato
riconosce all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i
trattamenti da quello effettuati in conformità alle clausole, così come se egli fosse
l’esportatore o l’importatore, a meno che tutti gli obblighi dell’esportatore o
dell’importatore siano stati trasferiti, per contratto o per legge, all’eventuale
successore. Nel qual caso l’interessato può far valere i suoi diritti nei confronti del
successore.
La responsabilità del subincaricato è limitata ai trattamenti da quello effettuati in
conformità delle clausole.
16. Legge Applicabile e Mediazione
Le clausole contrattuali standard del tipo controller to processor sono soggette alla legge
dello Stato membro in cui è stabilito l’esportatore.
Qualora l’interessato chieda il risarcimento dei danni in base alle presenti clausole,
l’importatore accetterà la decisione dell’interessato:
a) di sottoporre la controversia alla mediazione di un terzo indipendente o
eventualmente dell’autorità di controllo;
b) di deferire la controversia agli organi giurisdizionali dello Stato membro in cui è
stabilito l’esportatore.
17. Localizzazione di Data Base e Legge Applicabile
Particolare importanza, nel settore dei servizi di Internet, nonché, in generale, nei servizi
caratterizzati da una predominante componente IT, riveste l’individuazione del diritto
applicabile alle operazioni di trattamento dei dati personali, nel caso in cui gli strumenti
utilizzati per fornire detti servizi siano ubicati in Stati diversi
In particolare, i casi più frequenti in cui si pone il problema se la legge italiana sia (o
meno) applicabile sono normalmente i seguenti:
(a)Il trattamento di dati personali effettuato all’estero, per conto di società (titolari del
trattamento) italiane (ad es. nel caso di affidamento in outsourcing dei servizi IT a
società straniere)
(b)il trattamento di dati personali effettuato in Italia (ad es. presso un data-center) per
conto di società (titolari del trattamento) aventi sede all’estero (sia nell’Unione Europea
che al di fuori); nonché
18. Localizzazione di Data Base e Legge Applicabile (segue)
– Per quanto riguarda il trattamento di dati personali effettuato all’estero, per
conto di società (titolari del trattamento) stabilite nel territorio italiano, il Codice Privacy
stabilisce che tale trattamento sia disciplinato dal medesimo Codice Privacy (e dunque
dal diritto italiano)
– Per quanto riguarda il trattamento dei dati personali effettuato da un titolare
stabilito nel territorio della Comunità Europea utilizzando strumenti situati nel territorio
italiano, trova applicazione il principio per cui la legge applicabile è quella del luogo di
stabilimento del titolare del trattamento”. Pertanto, questo significa che “allorché il
trattamento è effettuato da un titolare del trattamento stabilito nel territorio di uno Stato
membro, si applicherà al relativo trattamento la normativa in materia di protezione dei
dati di tale Stato membro (a prescindere dal fatto che una o più attività di trattamento
siano effettuate, per suo conto, in Italia)
Per quanto riguarda la nozione di ‘stabilimento’, questa implica, secondo la
Corte di giustizia delle Comunità europee, ‘l’esercizio effettivo di un’attività economica
per una durata di tempo indeterminata mediante insediamento in pianta stabile‘
19. Localizzazione di Data Base e Legge Applicabile (segue)
– Ai sensi dell’art. 5 del Codice Privacy si applica la normativa italiana a chiunque è
stabilito nel territorio di un Paese non appartenente all’Unione Europea e impiega, per il
trattamento, strumenti situati nel territorio dello Stato italiano, salvo che essi siano utilizzati
solo ai fini di transito nel territorio dell’Unione Europea. In caso di applicazione della
normativa italiana, il titolare del trattamento designa un proprio rappresentante stabilito nel
territorio italiano.
– pertanto, nel caso di titolari stabiliti extra-UE, il principio del paese di stabilimento
non viene più utilizzato per determinare il diritto applicabile ma occorre individuare un altro
fattore di connessione. Il legislatore nazionale (conformemente a quello comunitario) ha
scelto il paese dell’ubicazione territoriale degli strumenti utilizzati. Di conseguenza, si
applica la legge dello Stato dove sono ubicati gli strumenti utilizzati per il trattamento
– Per quanto riguarda il significato di “strumenti”, si deve ritenere che tale termine
includa un complesso di strumenti o dispositivi riuniti per un fine specifico (es. software,
personal computer, terminali, periferiche, dispositivi di memorizzazione, server)
– Al fine di stabilire l’applicabilità della legge Italiana in base all’uso di tali strumenti in
Italia, non ha rilevanza se il titolare estero sia proprietario o meno, bensì se sia costui a
decidere la politica di trattamento di tali dati personali mediante tali strumenti
20. Social networking - norme e linee guida
- La tutela della privacy nei servizi di social network (Conferenza di
Strasburgo del 15-17 ottobre 2008).
- Le Linee Guida del Garante del 23 gennaio 2009 in materia di social
networks.
21. I rischi conseguenti all’utilizzo dei Social Network (perdita di controllo dell’utilizzo dei dati
personali pubblicati in rete) hanno già formato oggetto di analisi nel documento
"Relazione e Linee-Guida sulla Privacy nei Servizi di Social Network ("Memorandum di
Roma")" adottato durante la 43ma
riunione dell'International Working Group on Data
Protection in Telecommunications (3-4 marzo 2008), nonché nel Position Paper n. 1
dell'ENISA dedicato a "Security Issues and Recommendations for Online Social
Networks" (ottobre 2007).
Le Autorità per la protezione dei dati personali, riunitesi a Strasburgo in occasione della
30ma
Conferenza Internazionale il 5-17 ottobre 2008, sono convinte della necessità di
condurre una campagna informativa che investa tutti i soggetti pubblici e privati al fine
di prevenire i molteplici rischi associati all'utilizzo dei servizi di social network.
22. Risoluzione di Strasburgo sulla tutela della privacy nei servizi di social network
I servizi di social network offrono una gamma del tutto nuova di opportunità comunicative e di
interazione in tempo reale attraverso ogni possibile tipologia di informazioni, ma l'utilizzo di
questi servizi può comportare rischi per la privacy sia degli utenti sia di terzi.
I dati personali divengono disponibili pubblicamente e in modo globale, secondo schemi
qualitativi e quantitativi che non hanno precedenti, anche attraverso enormi quantità di foto e
video digitali. Il rischio è perdere il controllo dell'utilizzo dei propri dati una volta pubblicati in
rete
Attualmente non vi sono che scarse tutele rispetto alla riproduzione dei dati personali
contenuti nei profili-utente; possono essere copiati da altri membri della rete, o da terzi non
autorizzati esterni alla rete, e quindi venire utilizzati per costruire profili personali oppure
essere ripubblicati altrove.
Spesso è impossibile, ottenere la totale cancellazione dei propri dati da Internet una volta che
essi siano stati pubblicati. Anche dopo la cancellazione dal sito originario possono esisterne
copie in mano a soggetti terzi o ai fornitori del servizio di social network.
23. Risoluzione di Strasburgo sulla tutela della privacy nei social network
– Raccomandazioni)
Utenti dei servizi di social network
Gli utenti di servizi di social network devono valutare con attenzione se e in quale misura
pubblicare dati personali in un profilo creato su tali servizi:
• le informazioni o le immagini pubblicate potrebbero riemergere in tempi successivi;
• da valutare se utilizzare nel profilo uno pseudonimo anziché il nome reale (la tutela
offerta dall'utilizzo di pseudonimi è piuttosto limitata, in quanto altri potrebbero
individuare chi vi si cela dietro).
24. Risoluzione di Strasburgo sulla tutela della privacy nei social network
– Raccomandazioni (segue)
Fornitori dei servizi di social network
– I fornitori devono rispettare gli standard in materia di privacy vigenti nei Paesi ove
operano, consultandosi, ove necessario, con le Autorità per la protezione dei dati.
– I fornitori dei servizi di social network devono informare gli utenti in merito:
• al trattamento dei dati personali che li riguardano, secondo modalità trasparenti e
corrette;
• alle conseguenze derivanti dalla pubblicazione di dati personali in un profilo;
• ai rischi in materia di sicurezza e sulla possibilità che soggetti terzi (comprese, ad
esempio, le forze dell'ordine) accedano legalmente a tali dati;
• l'informativa deve indicare anche le modalità per una corretta gestione dei dati
personali relativi a terzi che siano contenuti nei singoli profili-utente.
25. Risoluzione di Strasburgo sulla tutela della privacy nei social network
– Raccomandazioni (segue)
Controllo da parte degli utenti sui dati dei profilo
I fornitori devono consentire agli utenti di:
potenziare ulteriormente la capacità degli utenti di:
•limitare la visibilità dell'intero profilo;
•decidere sugli utilizzi ulteriori dei dati di traffico e dei dati contenuti nei rispettivi profili –
ad esempio, per quanto riguarda attività di marketing;
•offrire la possibilità di negare il consenso (opt-out) rispetto all'utilizzo dei dati non
sensibili contenuti nel profilo;
•prevedere un consenso previo (opt-in) rispetto all'utilizzo di dati di natura sensibile
contenuti nel profilo (ad esempio, dati relativi ad opinioni politiche o all'orientamento
sessuale) nonché rispetto ai dati di traffico.
26. Risoluzione di Strasburgo sulla tutela della privacy nei social network
– Raccomandazioni (segue)
Impostazioni di default orientate alla privacy
I fornitori devono prevedere impostazioni di default orientate a favorire la privacy degli
utenti per quanto riguarda le informazioni contenute nei singoli profili.
Le impostazioni di default sono essenziali ai fini della tutela della privacy; è noto infatti
che solo una minoranza degli utenti che aderiscono ad un servizio di social network
Le impostazioni in oggetto devono essere particolarmente restrittive se il servizio di
social network è destinato o rivolto a minori.
Sicurezza
I fornitori devono continuare a potenziare e garantire la sicurezza dei sistemi informativi,
impedendo accessi abusivi ai profili-utente, utilizzando standard riconosciuti per quanto
concerne la programmazione, lo sviluppo e la gestione delle rispettive applicazioni, e
ricorrendo a verifiche e certificazioni indipendenti.
27. Risoluzione di Strasburgo sulla tutela della privacy nei social network
– Raccomandazioni (segue)
Diritti di accesso
I fornitori devono riconoscere alle persone (siano esse membri del servizio o meno) il
diritto di accedere e, se necessario, apportare modifiche a tutti i dati personali detenuti
dai fornitori stessi.
Cancellazione dei profili-utente
I fornitori devono permettere agli utenti di recedere facilmente dal servizio, cancellando il
rispettivo profilo ed ogni contenuto o informazione da essi pubblicato attraverso il
servizio di social network.
Utilizzo di pseudonimi
I fornitori devono consentire la creazione e l'utilizzo, in via opzionale, di profili basati su
pseudonimi e promuovere il ricorso a tale modalità opzionale.
28. Risoluzione di Strasburgo sulla tutela della privacy nei social network
– Raccomandazioni (segue)
Accesso da parte di soggetti terzi
I fornitori devono prendere misure atte ad impedire che soggetti terzi possano
raccogliere attraverso dispositivi di spidering e/o scaricare (o raccogliere) in massa i dati
contenuti nei profili-utente.
Indicizzazione dei profili-utente
I fornitori devono garantire che i dati relativi agli utenti siano navigabili da parte dei
motori di ricerca soltanto con il previo consenso espresso ed informato da parte del
singolo utente. Deve essere prevista per default la non-indicizzazione dei profili-utente
da parte dei motori di ricerca.
29. Linee guida del Garante del 23 gennaio 2009
Le linee Guida del Garante sono destinate ai fornitori di servizi di social network ed ai
loro utenti e recepiscono, tra gli altri, le disposizioni della Risoluzione di Strasburgo di cui
sopra.
Linee guida per i fornitori di servizi di social networking
•Prevedere la possibilità di ricorrere a pseudonimi – ossia, di muoversi nel servizio attraverso uno
pseudonimo, se già non prevista nell'ambito delle norme di disciplina.
•Fare in modo che i fornitori di questi servizi adottino un approccio trasparente nell'indicare le
informazioni necessarie per accedere al servizio-base , in modo che gli utenti siano in grado di
scegliere a ragion veduta se aderire o meno al singolo servizio, e di opporsi ad eventuali utilizzi
secondari.
• Garantire la massima trasparenza nell'informare gli utenti. L'informativa resa all'utente deve
comprendere, in modo specifico, informazioni sullo Stato in cui opera il fornitore del servizio, sui
diritti riconosciuti agli utenti (accesso, rettifica, cancellazione) rispetto ai loro dati personali, e sulle
modalità di finanziamento del servizio stesso. Le informazioni devono essere commisurate alle
esigenze specifiche dell'utenza cui sono indirizzate – soprattutto per quanto riguarda i minori, in
modo da consentire decisioni realmente informate.
L'informativa resa all'utente deve prendere in considerazione anche i dati relativi a soggetti terzi.
30. Linee guida per i fornitori di servizi di social networking (segue)
1. Migliorare il controllo da parte degli utenti sull'utilizzo dei dati contenuti nei loro profili
all'interno della comunità di utenti (ad es., consentendo limitazioni alla visibilità integrale dei
profili e dei dati contenuti in tali profili).
2. Creare strumenti che consentano agli utenti di controllare l'utilizzo dei dati contenuti nei
loro profili da parte di soggetti terzi – essenziale per gestire il rischio di furti di identità.
3. Consentire agli utenti di controllare gli utilizzi secondari dei dati di traffico e dei dati
contenuti nei loro profili.
4. Rispettare il diritto degli interessati di ottenere la cancellazione tempestiva dei dati – che
in taluni casi può senz'altro comportare la cancellazione dell'intero profilo
5. Esaminare le problematiche eventualmente derivanti dalla fusione e/o incorporazione di
una società che offra servizi di social network
31. Linee Guida per gli Utenti di servizi di social network
• Attenzione a pubblicare i dati personali (nome, indirizzo, numero di telefono) in un profilo-utente.
• Non utilizzare il vero nome in un profilo (Utilizzare uno pseudonimo)
• Rispettare la privacy degli altri utenti. Non pubblicare informazioni personali relative ad altri
(comprese immagini) senza il loro consenso.
• Utilizzare impostazioni orientate alla privacy. Limitare al massimo la disponibilità di informazioni,
soprattutto rispetto all'indicizzazione da parte dei motori di ricerca.
• Utilizzare identificativi diversi (login e password) da quelli che utilizzate su altri siti web (ad
esempio per la posta elettronica o per la gestione del conto corrente bancario).
• Utilizzare ogni possibilità di mantenere il controllo sull'utilizzo dei dati personali (dati del profilo e
dati di traffico) da parte del fornitore del servizio
32. Responsabilità dei titolari di siti di social networking
per la diffusione su internet di contenuti da parte di utenti
(1) l’evoluzione normativa e giurisprudenziale: i casi google e youtube
(2) il ruolo del moderatore
(3) la rimozione tempestiva dei contenuti sospetti
(4) il fine di lucro e l’assenza di corrispettivo
(5) il carattere editoriale dei motori di ricerca, dei portali e delle
piattaforme
33. Internet service provider (ISP)
– Funzione: fornire agli utilizzatori l’accesso alla Rete, essendo l’interfaccia fra l’utenza e il
Network Service Provider (NSP), che si appoggiano a loro volta agli operatori di telecomunicazioni
La prassi riconduce alla figura dell’ISP diverse tipologie di fornitori di servizi quali, ad esempio:
1. il fornitore di accesso alla rete Internet (c.d. access provider)
2. l’operatore che offre ‘ospitalità’ sui propri servers a siti internet gestiti da terzi (c.d. host provider)
3. il fornitore delle reti di accesso alla rete internet (c.d. network service provider).
Esegue vera e propria attività commerciale, dove accanto ai ricavi provenienti dall’offerta di
connessione, vanno considerati anche gli introiti derivanti dalla fornitura dell’hardware e del
software necessari per attuare la connessione a internet, nonché i servizi aggiuntivi (quali la
fornitura di uno spazio sul server dello stesso provider nonché del tempo macchina eventualmente
necessario per le elaborazioni richieste dal sito ospitato.
34. La responsabilità degli ISP – le prime pronunce giurisprudenziali
Prima dell’entrata in vigore del D. Lgs. 70/2003, la responsabilità civile del provider era stata
diversamente ricostruita, in dottrina e in giurisprudenza, essendo stata inquadrata talora come
responsabilità soggettiva, ai sensi della regola generale di cui agli artt. 2043 cod. civ.
• Tribunale di Roma, 22 marzo 1999.
“Il provider che effettua il collegamento in rete non è tenuto ad accertarsi del contenuto illecito delle
comunicazione e dei messaggi che immessi in un sito: tuttavia esiste la sua responsabilità per colpa se il
contenuto delle dette comunicazioni da trasmettere appaia all’evidenza illecito; in questo caso, il provider,
dando corso al collegamento concorre nel fatto illecito in quanto dà un apporto causale alla commissione
dello stesso. Nella specie, il provider ha concorso nell’illecito consistente in un atto di concorrenza sleale
per non aver rilevato, secondo l’ordinaria diligenza, l’uso di un noto acronimo da parte di un soggetto non
autorizzato.”
Talvolta come responsabilità oggettiva, con ricorso alle previsioni dell’artt. 2050 (“Responsabilità per
l’esercizio di cose pericolose”) e 2051 (“Danno cagionato da cose in custodia”) cod. civ.
• Tribunale di Napoli, 8 agosto 1997.
“Il proprietario di un "sito" Internet ha obblighi precisi di vigilanza sul compimento di atti di concorrenza
sleale eventualmente perpetrati attraverso la pubblicazione di messaggi pubblicitari. La colposa o dolosa
inottemperanza a questi obblighi comporta la sua corresponsabilità nell'illecito concorrenziale.”
35. La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70
Il Decreto n. 70/2003 attua la Direttiva 2000/31/CE (“in materia di servizi della società
dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico”), relativa
a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio
elettronico, nel mercato interno (“Direttiva sul commercio elettronico”).
Il Decreto affronta il tema della responsabilità extracontrattuale del provider distinguendo tra tre
diverse categorie di operatori, e precisamente:
– il prestatore della mere attività di trasporto (mere conduit)
– il prestatore di attività di memorizzazione temporanea (caching)
– il prestatore di attività di memorizzazione di informazioni (hosting)
36. La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70 (segue)
Attività di mere conduit (art. 14 D. Lgs. 70/2003)
mera trasmissione -su una rete di comunicazione- di informazioni fornite da un destinatario del servizio, o
nel fornire un mero accesso alla rete di comunicazione (access provider).
Non è responsabile delle informazioni trasmesse a condizione che:
1. non dia origine alla trasmissione
2. non selezioni il destinatario della trasmissione
3. non selezioni né modifichi le informazioni trasmesse
Precedentemente, la giurisprudenza, aveva utilizzato criterio elastico sul punto e, nello specifico, che
sebbene non vi fosse un obbligo di controllo del provider sulle informazioni immesse, tanto non era
ostativo dall’esigere dal prestatore una cooperazione per la rimozione dell’illecito atteso, anche, il
carattere di professionalità del provider.
• Tribunale di Napoli, 15 maggio 2002.
“Non può escludersi la legittimità di una interpretazione valevole per l’ordinamento italiano che, mettendo
in risalto la natura professionale dell’attività svolta dal provider nella prestazione di servizi della società
dell’informazione e gli indubbi profitti che egli ne trae esiga da lui una piena cooperazione nel momento in
cui si tratta di impedire il protrarsi dell’illecito posto in essere attraverso la rete informatica astraendo da
qualsiasi considerazione di ordine soggettivo”
37. La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70 (segue)
Attività di caching (art. 15 D. Lgs. 70/2003)
memorizzazione automatica, intermedia e temporanea di informazioni effettuata al solo scopo di rendere
più efficace il successivo inoltro ad altri destinatari a loro richiesta. Funzione di conservare presso il
server del prestatore, per un certo periodo di tempo, i dati ai quali hanno avuto accesso i fruitori del
servizio, al fine di consentirne la consultazione in un secondo momento anche ad altri.
Il prestatore non è responsabile delle informazioni memorizzate a condizione che, tra gli altri:
1. non modifichi le informazioni
2. agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l'accesso,
non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal
luogo dove si trovavano inizialmente sulla rete o che l'accesso alle informazioni è stato disabilitato oppure
che un organo giurisdizionale o un'autorità amministrativa ne ha disposto la rimozione o la disabilitazione.
Sul punto
• Tribunale di Napoli, 4 settembre 2002.
“La responsabilità del provider per i fatti illeciti commessi in siti internet è di carattere soggettivo e ricollegabile
alla violazione in concreto delle norme di prudenza, perizia e diligenza prescritte per gli operatori modello del
settore commerciale, ex art. 2043 cod.civ, e alla stregua di detti criteri va adeguatamente valutato il
comportamento del provider che, appena venuto al corrente i tali fatti illeciti, non agisca immediatamente per
rimuovere le informazioni o per disabilitarne l’accesso”
38. La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70 (segue)
Attività di hosting (art. 16 D. Lgs. 70/2003)
memorizzazione di informazioni fornite da un destinatario del servizio e si realizza quando un provider mette a
disposizione dell’utente uno spazio su un server per la registrazione di file personali dell’utente
In tale caso il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del
servizio, a condizione che detto prestatore:
1. non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad
azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o
dell'informazione
2. non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per
rimuovere le informazioni o per disabilitarne l'accesso.
Sul punto
• Tribunale di Milano, 18 marzo 2004.
“per sostenere la responsabilità a titolo di omissione del “host provider” per fatto illecito del “content provider”
occorre affermare a loro carico un obbligo giuridico di impedimento e quindi da un lato una sua posizione di
garanzia, stante l’assenza di una previsione specifica. Nè la posizione di garanzia può argomentarsi sostenendo
l’esercizio precedente da parte di detto provider di un’attività pericolosa in quanto tale non può considerarsi la
sua offerta di uno spazio nel web e l’apertura di un “link” con un determinato sito che rappresenta un’azione
consentita o del tutto neutra per il diritto penale. Sotto il secondo profilo, non è ravvisabile la possibilità concreta
di esercitare un efficace controllo sui messaggi ospitati sul proprio sito visto l’enorme afflusso dei dati che
transitano sui servers e la possibilità costante di immissione di nuove comunicazioni”
39. Assenza dell'obbligo generale di sorveglianza (art. 17 D.Lgs. 70/2003)
Nella prestazione di tutti i servizi di cui sopra, il prestatore non è assoggettato ad un obbligo
generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale
di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.
Fatto salvo quanto sopra, il prestatore è comunque tenuto a:
1. informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza,
qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario
del servizio della società dell'informazione;
2. fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che
consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione
dei dati, al fine di individuare e prevenire attività illecite
Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto
dall'autorità giudiziaria o amministrativa, non ha agito prontamente per impedire l'accesso a detto
contenuto, ovvero se, avendo avuto conoscenza del carattere illecito del contenuto di un servizio al
quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente
40. La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70 (segue)
Principio che generale che anima gli artt. 14-17 e ss. -esaminati in dettaglio nel proseguo- è che:
il provider non è responsabile alla sola condizione che il suo ruolo sia stato circoscritto alla mera
intermediazione tecnica e che non vi sia una partecipazione attiva alla commissione dell’illecito.
A tal proposito la giurisprudenza ha affermato la responsabilità del provider allorché questi non
abbia dimostrato la propria estraneità e, inoltre, il proprio adoperarsi per la cessazione della
condotta.
• Tribunale di Roma, 29 aprile 2004.
“Il prestatore di un servizio della società dell’informazione il quale, rispetto al sito web dallo stesso allestito e
gestito, non si limita alla fornitura dei servizi di connettività e alla gestione tecnica, ma operi quale fornitore di
materiale informativo, è responsabile, ai sensi dell’art. 2043 cod. civ., dei contenuti inseriti “on-line”.
Diversamente, il “provider” che si limiti alla prestazione del servizio di memorizzazione, tendenzialmente stabile,
dei dati immessi dai propri clienti o da altri utenti della rete (i.e. “host provider”) è responsabile, ai sensi degli artt.
2043 e 2055 cod. civ., a titolo di colpa, qualora, consapevole della presenza di materiale sospetto sul sito, si
astenga dall’accertarne l’illiceità e, al tempo stesso, dal rimuoverlo; a titolo di dolo, nel caso in cui egli sia
consapevole anche dell’antigiuridicità della condotta dell’utente e, ancora una volta, ometta di intervenire”.
41. Legge 6 febbraio 2006, n. 38 "Disposizioni in materia di lotta contro la
pedopornografia anche a mezzo Internet”.
- responsabilità di natura amministrativa a carico dell’ISP
- i fornitori dei servizi resi attraverso reti di comunicazione elettronica sono obbligati a segnalare
all’autorità competente, qualora ne vengano a conoscenza, le imprese o i soggetti che, a
qualunque titolo, diffondono, distribuiscono o fanno commercio, anche in via telematica, di
materiale pedopornografico, nonche' a comunicare senza indugio all’autorità, che ne faccia
richiesta, ogni informazione relativa ai contratti con tali imprese o soggetti
- salvo che il fatto costituisca reato, la violazione degli obblighi di cui sopra comporta una sanzione
amministrativa pecuniaria da euro 50.000 a euro 250.000
42. La responsabilità dell’ISP in giurisprudenza
Pur in assenza di un generale obbligo di sorveglianza, la giurisprudenza ha interpretato in modo
molto restrittivo l’obbligo di informare tempestivamente l’autorità e di rimuovere il materiale illecito a
carico del provider.
Sulla responsabilità dell’ISP, in alcune pronunce, è stata riconosciuta la responsabilità
extracontrattuale ex art. 2043 c.c. del provider, mentre in altre, è stata riconosciuta la responsabilità
del gestore del sito per fatti illeciti commessi dai terzi. E’ stata considerata, inoltre, l’ipotesi di
escludere la responsabilità dell’ISP relativa ai soli messaggi immessi in Rete.
La fissazione di obblighi di tempestiva informazione dell’autorità, ha altresì portato parte della
giurisprudenza a sostenere che, ogni qualvolta il provider non abbia analizzato il materiale
pubblicato, in capo al medesimo sussista una culpa in vigilando, così delineando una forma di
responsabilità analoga a quella editoriale, sottolineando la portata di Internet e, quindi, la
strumentalità del sito del provider nel consolidare l’illecito, con la conseguente copertura da parte
del provider riguardo l’anonimato dell’utente.
Altro orientamento nega che il provider possa essere responsabile per il semplice fatto di offrire
l’accesso alla rete o lo spazio sul proprio server, dubitando della assimilabilità del sito internet alla
testata giornalistica.
43. La responsabilità dell’ISP in giurisprudenza (continua…)
Vi è quindi una contraddittorietà di fondo causata probabilmente dalla difficoltà di applicare
strumenti e concetti giuridici tradizionali ad una materia così specifica ed evidentemente ancora
poco conosciuta. (Trib. Roma, I sez. civ., ordinanza 22 marzo 1999)
Il problema è dunque comprendere se ed entro quali limiti si possano imporre obblighi di controllo
ai provider.
44. La responsabilità dell’ISP in giurisprudenza (continua…)
• Tribunale di Milano, 9 marzo 2006.
“I provider che agevolano i collegamenti ai siti a mezzo dei quali vengono diffuse le partite
calcistiche, non sono punibili ai sensi dell'art. 171 bis, lett. a) l. n. 633 del 1941 poiché la loro è una
condotta successiva rispetto a quella incriminata di immissione nella rete internet di opere protette
che non assicura alcun contributo causale o anche solo agevolatore della condotta incriminata”
(ampio riscontro l testo della raccolta di usi e consuetudini nei contratti tra provider ed utenti
approvato dalla locale Camera di Commercio).
• Tribunale di Aosta, 26 maggio 2006.
“il Gestore di un blog va equiparato al direttore responsabile di una testata giornalistica avendo il
controllo su quanto viene diffuso sul blog stesso ed ha l’obbligo di eliminare i contenuti offensivi,
incorrendo, altrimenti, nella responsabilità per diffamazione a mezzo stampa”.
• Tribunale di Lucca 20 agosto 2007. (Google Italia Srl-News Group Reti Wireless)
“l’operatore che consente agli utenti di accedere ai newsgroup (nella specie Google) non può
essere ritenuto responsabile dei messaggi che passano attraverso i propri elaboratori in quanto si
limita a mettere a disposizione degli utenti lo spazio virtuale dell’area di discussione e non ha alcun
potere di controllo e di vigilanza sugli interventi che vi vengono inseriti”.
45. Il caso RTI – Grande Fratello
• Tribunale di Roma, 16 dicembre 2009
Con ricorso in corso di causa depositato in data 3.11.2009 la Reti Televisive Italiane S.p.A. ha
chiesto un provvedimento cautelare con il quale, inter alia:
1) si ordinasse a YouTube LLC, YouTube Inc. e Google UK Ltd. - direttamente o anche per mezzo
di soggetti terzi da esse controllati e/o collegati - la immediata rimozione dai propri server e
disabilitazione all’accesso di tutti i contenuti riproducenti - in tutto o in parte - sequenze di immagini
fisse o in movimento relative al programma “Il Grande Fratello”;
2) si inibisse alle resistenti il proseguimento della violazione dei diritti connessi di utilizzazione e di
sfruttamento economico del “Programma”, del “logo/titolo/marchio”;
3) venisse fissata una somma - non inferiore a Euro 10.000,00 - per ogni minuto o frazione di esso
di diffusione (diretta o indiretta) dei contenuti audiovisivi afferenti al “Programma” successivamente
constatata e una somma - non inferiore a Euro 10.000,00 - per ogni giorno di ritardo
nell’esecuzione dell’emanando provvedimento.
46. Il caso RTI – Grande Fratello (continua…)
YouTube LLC e Google UK Ltd. hanno addotto a propria difesa che:
YouTube svolge mera attività di hosting provider e, pertanto, ai sensi del D.Lgs. n. 70 del 2003:
1) non è responsabile delle informazioni memorizzate a richiesta di un destinatario del
servizio;
2) non è assoggettata ad un obbligo generale di sorveglianza sulle informazioni che trasmette
e di ricercare fatti e circostanze che indichino presenza di attività illecite, non potendosi
imporre loro di svolgere un’attività preventiva di controllo e accertamento di quanto viene immesso
in rete dai loro utenti.
YouTube LLC e Google UK Ltd. inoltre rilevano che un eventuale provvedimento del giudice a
favore di RTI, che obbligasse al menzionato preventivo controllo, renderebbe di fatto tecnicamente
ineseguibile e paralizzerebbe l’attività di YouTube a livello mondiale, essendo questa
esclusivamente tenuta a rimuovere i soli contenuti che vengono specificatamente indicati ed
individuati dall’autorità competente come illeciti.
47. Il caso RTI – Grande Fratello (continua…)
Con ordinanza del 16 dicembre 2009 il Tribunale ha disposto l’immediata rimozione dai server di
YouTube LLC e Google UK Ltd. e la conseguente immediata disabilitazione all’accesso di tutti i contenuti
riproducenti sequenze di immagini fisse o in movimento relative al programma “Grande Fratello” decima
edizione.
Il Tribunale ha difatti affermato che:
“a fronte di una condotta così palesemente e reiteratamente lesiva dei diritti non è sostenibile la tesi delle
resistenti (n.d.r. Google e YouTube) su una presunta assoluta irresponsabilità del provider che si
limiterebbe a svolgere l’unica funzione di mettere a disposizione gli spazi web sui quali gli utenti
gestirebbero i contenuti dagli stessi caricati e sulla legittimità di avere un ritorno economico - escludendo
il fine commerciale - connesso al proprio servizio in mancanza di un obbligo di controllare i contenuti
illeciti e disabilitarne l’accesso”.
“del resto la normativa e la giurisprudenza sta ormai orientandosi nel senso di una valutazione caso per
caso della responsabilità del provider che seppur non è riconducibile ad un generale obbligo di
sorveglianza rispetto al contenuto non ritenendosi in grado di operare una verifica di tutti i dati trasmessi
che si risolverebbe in una inaccettabile responsabilità oggettiva, tuttavia assoggetta il provider a
responsabilità quando non si limiti a fornire la connessione alla rete, ma eroghi servizi aggiuntivi (per es.
caching, hosting) e/o predisponga un controllo delle informazioni e, soprattutto quando, consapevole
della presenza di materiale sospetto si astenga dall’accertarne la illiceità e dal rimuoverlo o se
consapevole dell’antigiuridicità ometta di intervenire”
48. Il caso Google
• Tribunale di Milano, 24 febbraio 2010.
Il fatto in questione risale al 2006 e riguarda un video caricato su Google Video – servizio di video
sharing al pari di YouTube – dove si vede un ragazzo autistico sbeffeggiato e picchiato da alcuni
compagni di classe.
In data 9 novembre 2006, l’associazione milanese “Vivi Down”depositava presso la Procura di
Milano denuncia di querela in relazione al contenuto del sopra-menzionato vide, apparso nella
sezione “video divertenti -sezione all’interno della quale tale video rivestiva il primo posto in termini
di numero di visioni-.
Pochi giorni dopo scattava una perquisizione nella sede di Google Italy S.r.l. e due anni dopo, nel
novembre del 2008, cominciava il processo penale contro quattro dirigenti della multinazionale
americana per diffamazione e violazione della tutela sulla privacy:
David Carl Drummond, ex presidente del C.d.A. di Google Italy (ora senior vice presidente),
George De Los Reyes, ex membro del C.d.A. di Google Italy S.r.l. (ora in pensione), Peter
Fleischer, responsabile delle strategie per la privacy per l'Europa di Google Inc. e Arvind
Desikan, responsabile del progetto Google video per l'Europa.
49. Il caso Google (continua…)
Google sostiene a sua difesa che ogni minuto nel mondo vengono caricate sul sito di video sharing 13
ore di video, che non potrebbero tecnicamente essere soggette a una “visione informata” da parte del
provider.
In aggiunta bisogna considerare che ai sensi del D. Lgs. n. 70/2003 il service provider non ha alcun
obbligo generale di verificare preventivamente quanto viene messo in rete dagli utenti.
Il prestatore è responsabile del contenuto dei servizi forniti nel caso in cui, richiesto dall’autorità
giudiziaria o amministrativa aventi funzione di vigilanza, non ha agito prontamente per impedire l’accesso
a detto contenuto, ovvero, se avendo avuto conoscenza del carattere illecito o pregiudizievole per terzi
soggetti del contenuto del servizio al quale assicura l’accesso, non ha provveduto ad informare le autorità
competenti.
50. Il caso Google (continua…)
Analisi tecnica
Il giudice nello svolgimento della propria indagine ha, in primis, eseguito una analisi sul servizio Google
Video, delle procedure di upload dei video nonché dei tempi di immissione in rete.
Tale attività ha permesso di accertare l’inesistenza di fatto di alcun controllo preventivo in fase di
immissione, dal momento che il video di prova veniva immediatamente reso disponibile per la visione a
tutti gli utenti di Google Video.
Difatti, la società ha inteso realizzare una piattaforma video di libero accesso ed in grado di massimizzare
la sua potenzialità diffusiva (virale) -anche tramite la trasmissione di video ripresi con i cellulari-.
Ispezioni
Dalle ispezioni sugli “hard disk” di alcuni key employees di Google Video è emerso un documento che
faceva riferimento a alcuni cambiamenti procedimentali nel controllo dei video -tra i quali l’introduzione
del sistema di flag in-.
Ancora, “le procedure di screening manuale non sono una soluzione praticabile e abbiamo bisogno di
affidarci di più a procedure automatizzate e/o di rimozione più veloce di video”.
51. Il caso Google (continua…)
Accertamenti circa la mancata rimozione di contenuti.
I dipendenti di Google Italy -più volte sentiti a sommarie informazioni- hanno puntualizzato come, in
materia di contenuti lesivi del diritto d’autore, il rispetto del Digital Millenium Copyright Act imponesse alla
società l’immediata rimozione, una volta ricevuta la segnalazione dell’utente -ed in effetti questo impone
tale normativa a carico di coloro che possano trarne profitto.
In tal caso, però, Google Italy non ha sempre provveduto un tal senso, ritenendo che la stessa dovesse
essere veicolata tramite una apposita elencazione dei contenuti illeciti.
La gestione societaria.
Espressamente consigliato ai legali interni di Google UK di verificare presso il cliente “la revisione delle
procedure in materia di privacy in Google Italia S.r.l.” ottenendo la seguente risposta “siamo al corrente
della vigente legislazione (i.e. d.lgs 70/03) e siamo al top su questo tema”.
52. Il caso Google (continua…)
Pubblicità che non si vede - ADWORDS.
È l’attività c.d. adwords -che abbina ai risultati delle ricerche i c.d. “link sponsorizzati” che appaiono in alto
a destra della pagina di Google- l’anima commerciale, anche, di Google Italy S.r.l.
Questo meccanismo era previsto anche per quanto riguarda il servizio di Google Video, come ammesso
dai dipendenti italiani ed emerso anche dalla documentazione promozionalei.
53. Il caso Google (continua…) - LA POSIZIONE DEL GIUDICE
“Non esiste, a parere di chi scrive, perlomeno fino ad oggi, un obbligo di legge codificato che imponga
agli ISP un controllo preventivo della innumerevole serie di dati che passano ogni secondo nelle maglie
dei gestori o proprietari di siti web, e non appare possibile ricavarlo aliunde superando d’un blazo il
divieto di analogia in malam partem”
È pertanto ovvio… “che il content provider (…) avrà certamente un livello di obblighi e di comportamenti
più elevato di quello di un semplice host provider o service provider o access provider: lo rende
inevitabile il suo diventare dominus di dati che non sono più il flusso indistinto che non si conosce e che
non si ha l’obbligo di conoscere; ma ciò, non crea una specie di effetto catena che fa dell’hoster attivo
automaticamente il corresponsabile di tutti i reati che gli uploaders hanno commesso comunicando e
caricando dati in loro possesso”
Perciò… “nel caso in esame, (…) è ben vero che non può essere imposto (perché) irrealizzabile allo
stesso un obbligo generale e specifico di controllo su tutti i dati “sensibili” caricati (obbligo impossibile, se
non altro, perché si imporrebbe a un terzo la preventiva conoscenza di tutti i dati personali e particolari di
tutte le persone che ogni momento transitano sul web”.
54. Il caso Google (continua…) - LA POSIZIONE DEL GIUDICE
L’esistenza di una serie di indici rivelatori di tipo fattuale dimostra una chiara accettazione consapevole
del richio conctreto di inserimento e divulgazione di dati, anche e soprattutto sensibili, che avrebbero
dovuto essere oggetto di particolare tutela anche dell’interesse cconomico ricollegabile a tale
accettazione del rischio e della chiara consapevolezza di questo ultimo
In parole semplici… “non è la scritta sul muro che costituisce reato per il proprietario del muro, ma il suo
sfruttamento commerciale può esserlo, in determinati casi e in presenza di determinate circostanze”
55. Il caso Google (continua…) - LA POSIZIONE DEL GIUDICE
2. Reato di diffamazione
“Pur non essendovi dubbio che il gestore o proprietario del sito web qualificabile come “content provider”
possa o debba essere ritenuto potenzialmente responsabile della violazione del DL sulla privacy non
appare conforme alle situazioni di fatto e di diritto finora esistenti, renderlo per ciò solo corresponsabile di
altro reato di diffamazione (ma non solo) derivabile dal contenuto del materiale caricato.”
Infatti …. “pur mettendo in ipotesi che esista un potere giuridico derivante dalla normativa sulla pricacy
che costituisca l’obbligo giuridico fondante la posizione di garanzia, non vi è chi non veda che tale potere,
anche se correttamente utilizzato, certamente non avrebbe potuto “impedire l’evento” diffamatorio” …
“anche se l’informativa sulla privacy fosse stata data in modo chiaro e comprensibile all’utente, non può
certamente escludersi che l’utente medesimo non avrebbe caricato il video incriminato”.
“sarà possibile considerarli responsabili dei contenuti dei file sugli stessi caricati (soprattutto nel caso si
tratti di hoster attivi o content provider) solo nel momento in cui si provi la consapevolezza del fatto del
fatto delittuoso, al di là della esistenza di posizioni di garanzia non mutuabili da altri settori
dell’ordinamento”.
Una vicenda di questo tipo, “segnala che aprire le cataratte della libertà assoluta e senza controllo non
costituisce un buon esercizio del principio di responsabilità e di correttezza, che sempre dovrebbe
presiedere alla attività umane (anche se esercitate nel mondo “parallelo” di internet).”
56. Il caso Google (continua…) - LA POSIZIONE DEL GIUDICE
Il Tribunale di Milano, in composizione monocratica, (Quarta sezione penale) il 24 febbraio, ha
condannato - primo caso a livello internazionale - i tre dirigenti di Google Italy per non avere
impedito la pubblicazione, sull’omonimo motore di ricerca, del video.
I tre imputati, dirigenti europei di Google Italia, sono stati condannati a sei mesi di reclusione (pena
sospesa) per violazione della privacy, ed assolti dal secondo capo di imputazione, relativo al
reato di diffamazione.
È stato assolto invece Arvind Desikan, responsabile del progetto Google video per l'Europa, a cui
veniva contestata la sola diffamazione.
57. Il caso Google – considerazioni finali del giudice
La condanna del webmaster in ordine al reato di illecito trattamento dei dati personali, infatti, non
viene qui costruita sulla base di un obbligo preventivo di controllo sui dati immessi, ma sulla base di
un profilo valutativo differente che è, come detto, quello di un insufficiente (e colpevole)
comunicazione degli obblighi di legge nei confronti degli uploaders, per fini di profitto.
Il D.L. sulla privacy “copre” in modo legislativamente completo i comportamenti di chi si trovi nella
situazione di “maneggiare” dati sensibili, e quindi non può essere trascurato nel momento in cui se
ne appalesi la possibilità di intervento.
La distinzione tra content provider e service provider è sicuramente significativa ma, allo stato e in
carenza di una normativa specifica in materia, non può costituire l’unico parametro di riferimento ai
fini della costruzione di una responsabilità penale degli internet providers.
Tuttavia, questo procedimento costituisce un importante segnale di avvicinamento ad una zona di
pericolo per quel che concerne la responsabilità penale dei webmasters: non vi è dubbio che la
travolgente velocità del progresso tecnico in materia consentirà di “controllare” in modo sempre più
stringente ed attento il caricamento dei dati da parte del gestore del website, e l’esistenza di filtri
preventivi sempre più raffinati obbligherà a una maggiore responsabilità. In tal caso, la
responsabilità penale per omesso controllo avrà un gioco più facile di quanto non sia stato nel
momento attuale