ADUC - Avvertenze - Diritto digitale - Sentenza Google-Vivi Down. Chi ha paura di Internet?

Sentenza Google-Vivi Down. Chi ha paura di Internet?

Diritto digitale di Deborah Bianchi*

22 aprile 2010 16:59

E’ stata pubblicata la scorsa settimana (12 aprile 2010) la sentenza del Tribunale di Milano sul caso Google-Vivi Down, con la condanna di alcuni dirigenti della società.

La storia è nota: la video ripresa acquisita con un cellulare delle molestie ai danni di un ragazzo down perpetrata a scuola da alcuni compagni di classe è stata caricata sulla piattaforma Google Video e così diffusa a una quantità indeterminata di altri utenti. La particolare crudezza dell’episodio e il riferimento sprezzante all’associazione (Vivi Down) che si occupa dei ragazzi con questo tipo di problemi ha destato lo sdegno nel mondo digitale. Appena si è assunto la consapevolezza dell’accaduto sono scattate le denunce alla Procura della Repubblica, sia da parte dell’associazione, sia da parte del padre del ragazzo coinvolto.

I responsabili materiali del filmato e dell’upload alla piattaforma di Google Video, appresa la notizia dai giornali, si sono autodenunziati a un’insegnante. L’indagine è seguita nei confronti di Google Italia e di Google Incorporation (Google USA).

Da qui inizia il "processo alla rete" per usare il titolo di una nota blog anthology curata da Guido Scorza.

La lettura soprattutto della parte narrativa della pronunzia in parola ci introduce ad un’accurata analisi del mondo economico sotteso da Internet. La preoccupazione principale rivelata dalle pagine inquirenti ruota attorno ai temi del diritto d’autore, della pubblicità e delle strategie di mercato. Qui la Rete viene vista come uno scomodo competitor dei mass media classici, che non si presta ad essere docilmente addomesticata negli schemi normativi preconfezionati nazionali. Si ha l’impressione di leggere pagine importanti, appartenenti a quegli scenari storici in cui alberga la lotta dei poteri forti per il dominio di nuove fette di mondo.

IL PRINCIPIO
L'analisi della sentenza è riportata in fondo.
I capi di imputazione contro gli amministratori della net company si sostanziano in concorso omissivo nel reato di diffamazione e nel reato di trattamento illecito di dati sensibili. Il primo capo di imputazione non trova accoglimento. Il secondo capo di imputazione trova invece accoglimento. Si conclude infatti che il motore di ricerca non è un semplice intermediario ma è un hoster attivo.

L’hoster attivo ad avviso degli argomenti presentati dall’accusa e in parte condivisi dall’autorità giudicante è una figura sottratta all’applicazione della disciplina sul commercio elettronico (principio dell’irresponsabilità dell’intermediario) e sussunta nell’ambito della disciplina privacy (principio di responsabilità del titolare del trattamento) a causa del tipo di attività condotta.

Il motore di ricerca o hoster attivo non si limita a fornire un semplice rapporto di interconnessione ma indicizzando i patrimoni informativi immessi da terzi finisce per eseguirne un vero e proprio trattamento.

Conseguentemente nella mente del giudicante la disciplina del relativo operato abbandona l’ambito dell’e-commerce e rimane sottoposta al settore della data protection. Si legge nella sentenza:

“Esiste quindi, a parere di chi scrive, un obbligo NON di controllo preventivo dei dati immessi nel sistema, ma di corretta e puntuale informazione, da parte di chi accetti ed apprenda dati provenienti da terzi, ai terzi che questi dati consegnano…. E’ pertanto ovvio che l’hoster attivo avrà certamente un livello di obblighi e di comportamenti più elevato di quello di un semplice host provider”.

Viene in mente una prima osservazione: è pur vero che il semplice hosting provider è diverso dal gestore del motore di ricerca, tuttavia questo non significa automaticamente la sussunzione della disciplina di questa figura in un settore normativo a cui non appartiene quale la data protection. Si potrebbe immaginare di iniziare a costruire un istituto apposito nell’ambito della normativa sulla Società dell’informazione che tenesse conto dell’opera di balance richiesta dalla natura del soggetto in questione. Il motore di ricerca si pone infatti al cuore dello spazio web. Senza motore, il sistema Internet non funziona. Il motore di ricerca richiede di mediare le esigenze della net economy con le esigenze dei diritti della persona nell’era della rivoluzione digitale.

La sentenza, seppur non condivisibile nella condanna degli imputati, presenta il merito di avere posto al centro del dibattito digitale la questione della natura giuridica da attribuire al motore di ricerca. Questione che richiederà l’impegno di molte menti e professionalità disposte a declinare gli interessi della net economy in una logica di balance tra economia e diritto.

CONSEGUENZE PRATICHE

Pur non essendo un esperto di materie economiche capisco che la prima conseguenza pratica di una sentenza di condanna del motore di ricerca per responsabilità da illecito trattamento dei dati come nel caso in oggetto rappresenta la morte della net economy.

La seconda conseguenza pratica è la morte della libertà di espressione.

Sì: morte della net economy=morte della libertà di espressione.

Chi ha paura di Internet?

Probabilmente ha paura di Internet chi non vuole l’espressione della persona che questo mezzo geneticamente decentralizzato favorisce e arricchisce.

Anche un bambino capirebbe che questo sistema ha bisogno di stringere qualche compromesso con l’economia per svilupparsi e progredire.

In Internet la libertà di espressione è un affare da milioni di euro. Potremmo dire che l’avvento del web 2.0 o web orizzontale o social network è il primo motore dell’economia comunicativa.

Pensiamo agli umori dei netizen raccolti dai social media intorno a un determinato prodotto di consumo o a una certa iniziativa formativa, professionale, istituzionale.

Pensiamo appunto alla pubblicità dei motori di ricerca che sfrutta la libertà di espressione del consumatore e ne studia i relativi gusti.

Pensiamo ancora al processo di convergenza tecnologica che si focalizza sempre più secondo le attese e le tendenze del mercato. Mi viene in mente l’Ipad che nasce forse dall’individuato bisogno del consumer di portare tutto il proprio mondo con sè.

L’economia e la libertà di espressione sono due elementi inscindibilmente legati in un mondo fatto di Internet. Uccidere uno dei principi fondanti della net economy, quale l’irresponsabilità dell’intermediario equivale a uccidere il netizen.

La privacy nasce come disciplina a tutela della persona e in particolare la data protection come difesa del soggetto nel mondo digitale. La privacy dev’essere usata per promuovere la persona nello spazio elettronico e non per tarpare le ali alle sorgenti dell’innovazione e della tecnologia che trovano espressione proprio negli operatori della net economy.

E’ stata evidenziata la peculiarità del fenomeno Internet e della sua struttura.

Si tratta di una realtà assolutamente non paragonabile con il mondo dei mass media (compresa la stampa). Usando le coordinate dell’immaginifico potremmo dire che con la rivoluzione digitale l’individuo amplifica la propria dimensione vivendo nella società off line e nella società on line. Internet è la società on line. Il luogo dove si svolge una fetta della quotidianità della maggioranza di noi: per lavoro, per diletto, per studio, per interfacciarsi con la pubblica amministrazione, per esprimere la propria opinione. La società on line ovvero Internet è la Società dei servizi.

Pensiamo alle Direttive europee in materia.

Direttive dedicate al commercio elettronico e più in particolare ai "servizi della società dell'informazione”, dedicate alle comunicazioni elettroniche e al servizio universale oggetto di riforma proprio in questo anno in cui è stato approvato il cosiddetto Pacchetto Telecom. La Società dell’Informazione nasce sull’idea della libertà di iniziativa privata e sulla promozione della libera concorrenza. Il principio della liberalizzazione è il criterio formante del mercato unico sull’assunto che la concorrenza stimola la creatività e la produttività.

Le novità zampillanti dall’Internet hanno trovato in tali convincimenti l’humus vitale che ha permesso un’espansione progressiva e esponenziale di presenze e di traffico.

Dal predetto quadro normativo si apre lo scenario della struttura Internet. Si tratta di una realtà complessa cui confluiscono la maggior parte delle componenti che accompagnano la nostra quotidianità. Internet è un universo di servizi messi a disposizione dell’utente (gratuitamente o a pagamento).La rete non può essere annoverata unicamente nei media. La rete è anche un media, ma è soprattutto una realtà di servizi.

Internet è la Società dell’informazione.Il “Pacchetto Telecom”,nella parte relativa alla direttiva servizio universale, conferma questa tesi inquadrando il diritto di accesso alla rete quale carnet obbligatorio di servizi minimi che dev’essere garantito all’utente alla stregua di un diritto sociale.

La vita della società on line si svolge su multilivelli: esiste una dimensione verticale(web1.0), esiste una dimensione orizzontale (web 2.0), esiste una dimensione degli oggetti (web 3.0).

La dimensione verticale attiene ai contenuti calati dall’alto senza possibilità di interazione: pensiamo a un sito unicamente in lettura come una vetrina commerciale o come una testata giornalistica on line. La dimensione orizzontale attiene ai contenuti creati dal basso: pensiamo ai siti che permettono l’interattività degli utenti come i motori di ricerca nelle sezioni di condivisione, i forum on line, i blog, le chat, le mailing list. La dimensione degli oggetti attiene al cosiddetto Internet delle cose: pensiamo al chip della tessera di abbonamento del parcheggio che permette l’apertura del cancello non appena si interfaccia via web con il sensore dedicato o al chip del biglietto aereo che consente l’imbarco saltando il check in.

Assumendo una maggiore consapevolezza del fenomeno Internet risulta plausibile rifuggire da una logica che voglia ingabbiarlo negli stessi schemi disciplinari dei mass media classici.

La nostra giurisprudenza a tratti pare avvertire la peculiarità del fenomeno.

In materia di inquadramento del forum on line abbiamo avuto pronunzie paleolitiche che assimilavano il gestore dello spazio elettronico al direttore della testata giornalistica per giungere ai giorni nostri in cui la stessa Cassazione più volte ha inquadrato questo luogo elettronico quale piazza digitale volta allo scambio di esperienze e di opinioni degli internauti.

Il fondamento normativo cui si sono riferite le ultime pronunzie si colloca opportunamente nell’ambito della disciplina della società dei servizi regolata dal D.Lgs. 70/2003 attuativo della Direttiva comunitaria 200/31/CE sull’e-commerce ovvero sulla Società dell’informazione.

Viene assunto quale statuto cardine dell’Internet il disposto degli articoli 14, 15, 16 e 17 del D.Lgs. 70/2003 in materia di responsabilità dei prestatori intermediari.

I prestatori intermediari o più comunemente provider sono la figura chiave dell’Internet. Senza i loro servizi la rete non esisterebbe.

In prima approssimazione, il termine provider è genericamente traducibile con “fornitore”: occorre dunque un attributo che ne specifichi funzione, attività e ruolo nel sistema informatico o telematico.

Si individuano fondamentalmente tre figure :

- access provider (cosiddetto ISP Internet service provider ha la funzione di dare connettività web cosiddetta funzione di mere conduit), soggetto che offre alla clientela l'accesso a Internet attraverso un protocollo di comunicazione e a mezzo di modem, adsl, wireless o connessioni dedicate (art 14, D.Lgs. 70/2003);

- cache provider, soggetto che si limita a immagazzinare dati provenienti dall'esterno in un'area di allocazione temporanea (la cache): lo scopo è quello di memorizzare dati al fine di ottenere un accesso più rapido, poiché essi, in questo modo, possono essere letti più volte senza necessità di doverli ricaricare (art. 15, D.Lgs. 70/203);

- host provider, letteralmente “fornitore ospitante” o “fornitore di ospitalità”, soggetto che si limita a offrire sui propri server ospitalità a un sito Internet completamente e autonomamente gestito da altri soggetti (art. 16, D.Lgs. 70/2003).

Il principio cardine su cui si imposta la condizione necessaria e sufficiente affinchè l’Internet si sviluppi è il principio di non responsabilità del provider o principio di neutralità della rete.

L’art 16 del D.Lgs in parola stabilisce appunto che «nella prestazione di un servizio della società dell'informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio».

A patto però di non essere effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto riguarda azioni risarcitorie, di non essere al corrente di fatti o circostanze che rendono evidente l'illegalità dell'attività o dell'informazione. Inoltre, non appena messo a conoscenza dell'attività illegale da parte delle autorità competenti, il provider deve preoccuparsi di rimuovere le informazioni e disabilitare l'accesso.

Questa statuizione trova un enforcement nell’art. 17 istitutivo di un altro principio cardine dell’Internet ovvero l’istituto dell'assenza di un obbligo generale di sorveglianza da parte del provider.

L'art. 17 afferma testualmente che «nella prestazione dei servizi di cui agli artt. 14, 15 e 16 (n.d.a.: mere conduit, caching e hosting), il prestatore non è assoggettato a un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né a un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite».

Non esiste dunque nel nostro ordinamento giuridico una normativa che assegni una posizione di garanzia in capo al provider. Conseguentemente il giudice che sentenziasse a carico dell’intermediario web ipotesi di responsabilità per omissione di controllo attribuirebbe a questo soggetto una condizione che non è prevista dalla legge, arrecando un vulnus insanabile al principio di legalità, tassatività e predeterminatezza della fattispecie.

Infatti anche nella sentenza in esame riguardo a Google-Vivi Down il giudice non sposa la tesi accusatoria che inquadra in capo all’hoster attivo l’obbligo di controllo preventivo dei contenuti caricati sulla piattaforma consapevole del divieto di analogia in malam partem del diritto penale contro cui andrebbe a scontrarsi.

Guardiamo anche fuori dal panorama nazionale.

Il Tribunale di Grande Istanza di Francia Parigi, 2 luglio 2007:“Deve escludersi la responsabilità del "content" ed "hosting provider" per i contenuti illeciti fruibili attraverso il proprio sito "Web" costituente un meta-mondo dove persone si relazionano attraverso identità virtuali (c.d. "avatar"), qualora non vi sia la prova sul suo apporto causale alla divulgazione di materiale pornografico o sulla sua reale conoscenza del contenuto illecito del medesimo materiale”.

Hoster attivo

La sentenza ha il merito di soffermare l’attenzione su una questione sempre più pressante: la piattaforma tecnologica a cui il netizen affida i propri dati ha un ruolo attivo nel relativo trattamento oppure no?

Le piattaforme on line ormai non si limitano più a un’attività di semplice trasmissione e scambio delle informazioni ma sono diventate sempre più intelligenti.

Queste piattaforme presentano applicazioni tecniche per caricare i materiali, per scaricarli, per conservarli on line in modo pubblico o in modo riservato, per condividerli.

INTERNET grazie a queste piattaforme E’ UN LUOGO DI SENSO e lo diventerà sempre più. Questo “senso” tuttavia non è frutto di un’intelligenza artificiale (la piattaforma on line) ma è il frutto delle scelte di business e di social marketing delle compagnie proprietarie di queste piattaforme.

In un contesto ricostruito in questi termini si può sicuramente parlare di un’ulteriore figura di hoster ovvero dell’hoster attivo. L’hoster attivo è il proprietario della piattaforma intelligente. E’ colui che ha il merito di imprimere dinamiche di senso a Internet, ma è anche colui che deve bilanciare gli interessi economici con i diritti dell’utente.

In questo scenario è sicuramente giusto interrogarsi sui contorni della figura dell’hoster attivo ma occorre badare bene a non scivolare nel rischio di una regolamentazione affrettata e grossolana.

Il problema è già stato avvertito a livello europeo.

Si pensi al Parere 1/2010 del Gruppo Data Protection Art 29. Qui ci si interroga sulle responsabilità per trattamenti dati congiunti da parte di soggetti diversi quali soggetti umani e piattaforme tecnologiche.

Pensiamo all’esempio n. 11 presentato dal Gruppo UE Data Protectio Art. 29. Si tratta del portale dell’amministrazione pubblica che mette in contatto i cittadini con la P.A.. Qui il portale viene individuato quale responsabile del trattamento insieme ai cittadini e all’ente pubblico, ciascuno per l’area di informazioni introdotte o elaborate nel sistema.

“Ci sono casi in cui ogni controller è responsabile soltanto per una parte del trattamento, ma le informazioni sono messe insieme e trattate attraverso una piattaforma:

Esempio n. 11: portali di E-Government
I portali di E-Government fungono da intermediari tra i cittadini e il pubblico: il portale trasferisce le richieste dei cittadini e deposita i documenti della pubblica amministrazione fino a quando questi vengono richiamati da parte del cittadino. Ogni unità della pubblica amministrazione rimane responsabile del trattamento dei dati per i propri scopi. Tuttavia, il portale stesso può essere anche considerato responsabile del trattamento. Infatti, esso tratta (cioè raccoglie e trasferisce all'unità competente) SIA le richieste dei cittadini SIA i documenti pubblici (cioè li memorizza e regola ogni accesso ad essi, quali il download da parte dei cittadini) per altri fini (facilitazione dei servizi di e-Government) rispetto a quelli per cui i dati sono inizialmente trattati da ogni unità pubblica”.

*** “There are cases where each controller is responsible for only a part of the processing, but the information is put together and processed through a platform:

Example No. 11: E-Government portals

E-Government portals act as intermediaries between the citizens and the public administration units: the portal transfers the requests of the citizens and deposits the documents of the public administration unit until these are recalled by the citizen. Each public administration unit remains controller of the data processed for its own purposes. Nevertheless, the portal itself may be also considered controller. Indeed, it processes (i.e. collects and transfers to the competent unit) the requests of the citizens as well as the public documents (i.e. stores them and regulates any access to them, such as the download by the citizens) for further purposes (facilitation of e-Government services) than those for which the data are initially processed by each public administration unit.”***

Il Gruppo UE cerca di esprimere delle linee guida in merito, soprattutto affidandosi alle policy con le note informative agli utenti circa i meccanismi di funzionamento della piattaforma.

“In questi casi, più che mai, è importante che un avviso di informazioni chiare sia dato alle persone interessate, spiegando le varie fasi e gli attori del trattamento. Inoltre,deve essere chiaro se ciascun responsabile è competente a rispettare tutti i diritti della persona interessata oppure se ciascun responsabile è competente solo per alcuni specificando quali”

***In these cases, more than ever, it is important that a clear information notice is given to the data subjects, explaining the various stages and actors of the processing. Moreover, it should be made clear if every controller is competent to comply with all data subject's rights or which controller is competent for which right”.***

Pur condividendo la preoccupazione del Gruppo UE Art 29 di garantire i diritti del netizen mi permetto di dissentire da questo inquadramento.

L’hoster attivo potrebbe facilmente sgravarsi di responsabilità mettendo degli avvisi prima dell’accesso a ciascuna applicazione da parte dell’utente e il gioco sarebbe fatto.

Il problema dovrebbe collocarsi secondo coordinate giuridiche diverse: siamo sicuri che l’intelligenza della piattaforma ci conduca automaticamente nel settore della data protection?
Non sarebbe forse più appropriato collocare la questione nell’ambito dei servizi della Società dell’Informazione proponendoci di adeguare ai nuovi sviluppi della tecnologia la disciplina dell’e-commerce?
In definitiva, perché non prendere atto che:
Internet è altro rispetto alla società off line? Internet è Internet, punto.

ANALISI DELLA SENTENZA

CONCORSO OMISSIVO NEL REATO DI DIFFAMAZIONE

I PM milanesi presentano una tesi accusatoria ad alto tasso di ingegneria interpretativa.

Partendo dalla legge sulla privacy viene costruito un “obbligo di garanzia” di natura squisitamente interpretativa sulla cui scorta si deduce un obbligo preventivo di controllo in capo all’ISP (Internet service provider) sui video caricati nel sito. La posizione di garanzia trae consistenza dall’elaborazione della figura del “hoster attivo” ovvero del gestore la cui attività non si limita a una semplice intermediazione ma assume un plus di applicazione. Questo plus di applicazione è l’operato dei software di indicizzazione che elaborando i dati immessi da terzi nella piattaforma non fanno altro che eseguirne il trattamento. Così a parere dei PM l’hosting provider si trasforma in content provider responsabile del trattamento dei patrimoni informativi posseduti e soggetto di riferimento a cui si attribuisce l’obbligo di evitare il verificarsi dell’evento lesivo.

Questo capo di imputazione è stato rigettato dal Giudice in quanto la posizione di garanzia deve derivare da una norma di legge e non da una costruzione giurisprudenziale. Per il principio del divieto di analogia in malam partem nel diritto penale occorre concludere che siffatto obbligo in capo agli ISP (Internet service provider) non esista attualmente nel nostro ordinamento. Conseguentemente il presente capo di imputazione viene rigettato.

REATO DI TRATTAMENTO ILLECITO DI DATI SENSIBILI

I Pm milanesi sempre rifacendosi alla figura del “hoster attivo” reputano l’ISP (Internet service provider) titolare del trattamento dei dati caricati sulla piattaforma da terzi e dunque corresponsabile con essi degli eventuali fatti lesivi.

Il Giudice si discosta parzialmente dalla posizione dell’accusa. Pur partendo dalla stessa considerazione sul ruolo non del tutto neutro di ISP come i motori di ricerca giunge a conclusioni differenti.

Il motore di ricerca per il fatto stesso di indicizzare dati non è identificabile nella figura del mero intermediario (neutro al traffico telematico). E’ piuttosto collocabile in una zona grigia in cui l’operatore web acquisendo alla propria piattaforma informazioni immesse da terzi, ne assume anche il possesso. Il possesso di questi dati caratterizza il ruolo dell’ISP (Internet service provider) abbattendo l’aura di neutralità che lo contraddistingue. Si passa da uno spazio bianco in cui non è titolare del trattamento, a uno spazio grigio in cui non è titolare del trattamento a tutto tondo, ma è titolare del trattamento per certi aspetti.

Quali sono questi aspetti?

Il Giudice li individua nell’obbligo di informativa privacy.

E’ pertanto ovvio che l’hoster attivo avrà certamente un livello di obblighi e di comportamenti più elevato di quello di un semplice host provider ”

La tesi giurisprudenziale non sposa dunque l’argomento accusatorio e l’obbligo di controllo preventivo dell’ISP, ma indica la strada di maggiori obblighi informativi a carico dei gestori di motori di ricerca.

Il fine di lucro dell’ISP viene individuato in questo caso nel servizio di AD Words, ovvero del software mediante cui si collegano a parole chiave immesse nella barra di ricerca i links ai siti commerciali logicamente collegabili, che abbiano fatto richiesta di inserzione. Gli inserzionisti pagano Google sulla base del metodo cosiddetto Pay per click. Si tratta di un corrispettivo in funzione della quantità di click eseguiti sul link del cliente.

Una volta argomentata l’esistenza della violazione delle norme privacy in punto di informativa, e verificata l’esistenza del profitto, il Giudice non può che concludere per il riconoscimento della responsabilità penale degli imputati per illecito trattamento di dati personali e sensibili.

DISAGIO DEL GIUDICANTE

Per amore di verità preme evidenziare che le pagine motive trasmettono un certo disagio dell’autorità giudicante.

La mente pretoria si ferma più volte sul concetto di hoster attivo barcamenandosi con sofferenza tra la consapevolezza dell’impossibilità di ricondurgli un obbligo preventivo di controllo e l’assunto della peculiarità di questa figura che è più di un semplice host provider.

“Perciò in attesa di una buona legge che costruisca una ipotesi di responsabilità penale per il mondo dei siti web (magari colposa, ed allora sì per omesso controllo) non resta che assolvere gli imputati dal reato di cui al capo A, reato che così come formulato non sussiste”.

* Deborah Bianchi, avvocato specializzato in diritto applicato alle nuove tecnologie, esercita nel Foro di Pistoia e Firenze in materia civile e amministrativa
avv.deborah(at)deborahbianchi.it

DIRITTO DIGITALE IN EVIDENZA

8 settembre 2022 10:02

Parità di genere. Onu: ci vorranno ancora 300 anni

16 marzo 2020 16:40

Vaglia postali prescritti per il beneficiario: Poste Italiane finalmente rimborsa

27 novembre 2018 11:50

Acquisti online, le controversie si possono risolvere con le ODR

14 luglio 2017 12:02

Google, multa dell'Antitrust europeo di 2,42 miliardi di euro. Ecco perché

7 luglio 2017 10:10

Big Data. Raccolta dei dati personali nell'economia digitale e violazione della privacy degli utenti

17 ottobre 2016 10:50