La Corte di Cassazione sul caso Google vs Vivi Down: l'host provider non governa il mare magnum della rete

La Corte di Cassazione sul caso Google vs Vivi Down: l’host provider non governa il mare magnum della rete

di Riccardo Salvi

Versione PDF del documento

La recente pronuncia della Terza Sezione Penale della Corte di Cassazione del 17 dicembre 2013 (n. 5107/14) - rigettando le doglianze espresse nel ricorso della Procura Generale della Repubblica - ha confermato la sentenza della Corte di Appello di Milano, Prima Sezione Penale, del 21 dicembre 2012 (n. 8611/12) che aveva assolto alcuni manager di Google condannati in primo grado per illecito trattamento di dati personali.
Le vicende processuali di cui si tratta scaturiscono dalla pubblicazione di un filmato sulla piattaforma Google Video, che ritrae un ragazzo disabile molestato ed insultato da alcuni compagni di scuola, i quali, peraltro, rivolgono pesanti offese anche all'indirizzo dell'associazione Vivi Down1.
Per tali fatti, alcuni manager di Google erano stati imputati per concorso omissivo nel delitto di diffamazione nei confronti del minore e dell'associazione (artt. 40, comma 2, e 595 c.p.), nonché per aver effettuato un illecito trattamento dei dati personali relativi alle condizioni di salute del disabile ripreso (art. 167 D.Lgs. 196/2003).
Al fine di condurre un'adeguata analisi della sentenza in commento, si ritiene opportuno, preliminarmente, ricostruire l'iter processuale di una vicenda che, oltre ad essere inevitabilmente caratterizzata da un forte impatto emotivo, ha costretto giurisprudenza e dottrina a profonde e complesse riflessioni sulla disciplina della responsabilità degli intermediari della comunicazione.

1. La controversa pronuncia di primo grado.
Il Tribunale di Milano, con una sentenza dai contenuti controversi ed oggetto di ampi dibattiti in dottrina (n. 1972/2010 del 24/02/2010) dichiarava i manager di Google non colpevoli di concorso omissivo nel delitto di diffamazione, non ritenendo sussistente in capo ai suddetti imputati l'obbligo giuridico di impedire il compimento di reati da parte dei propri utenti. La curia milanese, tuttavia, riteneva integrati gli estremi del delitto di cui  all'art. 167 D.Lgs. 196/2003, in quanto gli imputati si sarebbero resi responsabili dell'illecito trattamento dei dati personali contenuti nel video, omettendo di predisporre nei confronti degli utenti gli avvisi necessari a renderli preventivamente edotti in merito obblighi previsti in materia di trattamento di dati sensibili, secondo quanto disposto dall'art. 13 del suindicato Decreto Legislativo.

2. L'assoluzione in appello.
In sede di gravame, la Corte d'Appello di Milano, a parziale conforto della pronuncia del Tribunale, confermava l'assenza dell'obbligo giuridico in capo a Google di impedire eventuali reati da parte dei propri utenti, annullando, tuttavia, la condanna per il presunto illecito trattamento di dati personali. Dalla lettura dell'art. 167 in combinato disposto con l'art. 13 del Codice della privacy, infatti, non si evincerebbe alcun dovere per il provider di informare gli utenti in merito alla disciplina sul trattamento dei dati personali. Senza contare che, proseguiva la Corte, la violazione dell'art. 13 non comporta alcuna sanzione di carattere penale, rientrando nella previsione di cui all'art. 161 del Codice della privacy, il quale prevede una mera sanzione amministrativa per l'omessa o insufficiente informativa. Inoltre, non sarebbe possibile affermare che Google abbia effettivamente trattato i dati personali del minore, in quanto, considerate le caratteristiche del servizio virtuale di upload offerto, il provider in questione beneficerebbe delle limitazioni di responsabilità previste dagli artt. 16 e 17 del D.Lgs. 70/2003 (normativa sul commercio elettronico).

3. Il ricorso della Procura Generale.
La Procura Generale della Repubblica impugnava la sentenza della Corte d'Appello di Milano, ritenendo sussistente la penale responsabilità dei manager di Google in relazione al reato di cui all'art. 167 D.Lgs. 196/2003, in quanto:
a. Google avrebbe inequivocabilmente effettuato il trattamento dei dati personali del minore disabile ripreso nel video, in linea con quanto previsto dall'art. 4, comma 1, lett. A, D.Lgs. 196/2003 - ai sensi del quale tale attività è definita come “...qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;...” - non curandosi, peraltro, del divieto assoluto di diffondere dati idonei a rivelare lo stato di salute della persona, ex art. 26 comma 2, Codice della privacy;
b. Google non potrebbe beneficiare delle previsioni di cui agli artt. 16 e 17 del D.Lgs. 70/2003, stante quanto disposto dall'art. 1, comma 2, lett.  b, D.Lgs. 70/2003 che escluderebbe l'applicabilità della normativa sul commercio elettronico alle questioni relative al trattamento di dati personali;
c. Google non si era limitata ad offrire un mero spazio per l'upload di video, eseguendo in realtà attività di indicizzazione e catalogazione del materiale caricato in qualità di host provider "attivo", figura che, secondo la pubblica accusa, non rientrerebbe in ogni caso nel campo di applicazione del citato art. 16.
d. pur emergendo chiaramente dal tenore letterale dell'art. 167 del Codice della privacy la necessità che la condotta del reo, ai fini della configurabilità del reato de quo, sia caratterizzata dalla finalità di ottenere un profitto, è sufficiente che il lucro sia  perseguito e non effettivamente percepito. Gli imputati, in sostanza, avrebbero serbato una volontaria disattenzione sui contenuti del video, in modo tale da riuscire ad ottenere dalla sua permanenza in rete, anche solo eventualmente, un introito economico attraverso l'inserimento di link pubblicitari.
4. La decisione della Corte di Cassazione.
4.1. L'estraneità dell'host provider rispetto al trattamento dei dati personali.
Oltre a ribadire preliminarmente quanto già affermato nelle precedenti pronunce di primo e secondo grado, ovverosia l'assenza di una previsione normativa che imponga all'host provider un generale obbligo di impedire condotte illecite degli utenti sulla propria piattaforma2, la Suprema Corte afferma che non può riconoscersi in capo a Google alcun effettivo trattamento dei dati contenuti nel video caricato.
La conclusione alla quale giunge la Cassazione postula la necessaria differenziazione della nozione di "trattamento", come visto ampia e sostanzialmente onnicomprensiva (paragrafo 3.a), da quella di "titolare del trattamento", la quale, al contrario, risulta ben inquadrata e circoscritta dall'art. 4, comma 1, lettera f, del Codice della privacy. Tale disposizione normativa prevede che possa considerarsi titolare del trattamento esclusivamente “...la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;...”. Può dirsi titolare, dunque, quel soggetto che sia dotato di effettivo potere decisionale in relazione al trattamento dei dati personali.
Ebbene, all'esito di una lettura combinata dell'art. 4, comma 1, lettera f, con gli artt.  13, 17, 23 e 26 del Codice della privacy, che la Procura Generale ha ritenuto violati dalla condotta dei manager di Google, si può comprendere come tali precetti impongano una serie di obblighi diretti esclusivamente al titolare del trattamento dei dati personali. E' evidente, infatti, che soltanto un soggetto dotato di potere decisionale in tale ambito sarà in grado di:
- fornire le dovute informazioni riguardo le finalità e le modalità del trattamento cui sono destinati i dati e la comunicazione eventuale dei dati stessi ad altri soggetti (art. 13);
- gestire eventuali rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, legati alla natura dei dati o alle modalità del trattamento (art. 17);
- procedere all'acquisizione del consenso da parte dei soggetti interessati, rispettando limiti e divieti stabiliti dalla legge (artt. 23 e 26).
Logica conseguenza di quanto dedotto è che soltanto il titolare del trattamento dati potrà eventualmente essere ritenuto responsabile per la violazione delle norme elencate e, conseguentemente, subire le sanzioni di carattere amministrativo e penale ai sensi degli artt. 161 e 167 del Codice della privacy.
Secondo la Corte, in tali violazioni non può incorrere l'Internet host provider (qualifica pacificamente riconosciuta a Google Video) che, essendo altresì soggetto alla normativa sul commercio elettronico, beneficia di particolari limitazioni di responsabilità per eventuali illeciti commessi dagli utenti tramite i contenuti da loro pubblicati. Segnatamente, il D.Lgs. 70/2003 all'art. 17 esclude per il provider un generale dovere di sorveglianza sui contenuti caricati, fatto salvo l'obbligo di fornire le dovute informazioni a richiesta delle autorità competenti, e all'art. 16 afferma l'irresponsabilità del provider per le condotte illecite tenute dagli utenti, purché a) non ne fosse effettivamente a conoscenza e b), una volta ricevuta la segnalazione dalle autorità competenti, si sia prontamente attivato per la rimozione dei contenuti illegittimi(circostanza, questa, verificatasi proprio nel caso in esame, avendo Google rimosso il video delle molestie al disabile a seguito della segnalazione operata dalla Polizia Postale). Nel rispetto delle condizioni sub a e sub b, dunque, il provider ricopre una posizione di totale estraneità rispetto al materiale caricato dagli utenti, posizione che, evidentemente, non gli consente l'esercizio di alcun potere decisionale tale da condizionarne le modalità, i mezzi e gli scopi del trattamento dei dati personali. Argomentando in senso contrario, si cadrebbe in una inevitabile contraddizione logica con il dictum degli artt. 16 e 17.

4.2. Codice della privacy e normativa sul commercio elettronico: un corpus normativo armonico.
Ben più articolato ma ugualmente efficace risulta l'apparato argomentativo con il quale la Cassazione muove un'ulteriore critica all'impostazione accusatoria, in relazione alla pretesa inapplicabilità degli artt. 16 e 17 del D.Lgs. 70/2003 in materia di trattamento di dati personali.
In realtà, evidenzia la Suprema Corte, le due disposizioni sono suscettibili di una lettura congiunta, in quanto il D.Lgs. 70/2003 costituisce, unitamente alla normativa sulla privacy, un quadro giuridico coerente e completo, venendo in rilievo nel caso in esame “non in via diretta ma solo in via interpretativa, al fine di chiarire ulteriormente e confermare la portata che la disciplina in materia di privacy ha già di per sé3”.
Tale deduzione, secondo la Corte, non perde di coerenza logica nonostante la previsione di cui all'art. 1, comma 2, lett. b, D.Lgs. 70/2003 richiamato dalla pubblica accusa, che escluderebbe l'applicabilità delle disposizioni sul commercio elettronico alle questioni riguardanti il diritto alla riservatezza ed in particolare al trattamento dei dati personali. La norma in questione, in realtà, non avrebbe altra funzione se non quella di rimarcare che la tutela dei dati personali è disciplinata da un corpus normativo a sé stante (appunto il Codice della privacy), che rimane egualmente applicabile in ambito telematico anche dopo l'entrata in vigore della normativa sul commercio elettronico.
Tra le due discipline, dunque, sussiste un'armonia sul piano interpretativo ed applicativo “perfettamente riscontrabile nel caso della determinazione dell'ambito di responsabilità penale dell'Internet host provider relativamente ai dati sensibili caricati dagli utenti sulla sua piattaforma4”.
A conforto di quanto dedotto dalla Cassazione, si rileva che la definizione del concetto di titolare del trattamento dati fornita dal Codice della privacy, incentrandosi, come detto, sull'esistenza di un potere decisionale in ordine alle finalità, alle modalità ed agli strumenti del trattamento di dati personali, risulta perfettamente compatibile con le limitazioni di responsabilità previste dal D.Lgs. 70/2003. In effetti, il provider che non sia gravato da un generale dovere di sorveglianza, né sia a conoscenza della presenza di contenuti illeciti liberamente caricati da terzi sulla propria piattaforma, beneficiando in tal modo delle guarentigie previste dalla normativa sul commercio elettronico, non potrà in alcun modo compiere atti tali da esercitare un potere decisionale sul trattamento di dati personali relativi ai suddetti contenuti, restando estraneo agli stessi, e non rientrerà, pertanto, nella definizione normativa di “titolare” di cui all'art. 4, comma 1, lett. f.
Tale impostazione, peraltro, risulta perfettamente in linea con le recenti pronunce della giurisprudenza comunitaria, la quale evidenzia come l'esonero dalla responsabilità per i contenuti caricati si applichi al prestatore di un servizio onlinequalora non abbia svolto un ruolo attivo che gli permetta di avere conoscenza o controllo circa i dati memorizzati5”.

4.3. L'irrilevanza della qualificazione di Google Video come host provider "attivo".
In ordine alla qualificazione di Google Video quale host provider "attivo", che escluderebbe in ogni caso, secondo la Procura, l'applicabilità dell'esonero di responsabilità di cui all'art. 16, D.Lgs. 70/20036, la Cassazione evidenzia correttamente che gli imputati hanno semplicemente fornito agli utenti una piattaforma per l'upload di contenuti virtuali, senza alcun ulteriore contributo alla determinazione o all'utilizzo degli stessi.
La stessa Direttiva 2000/31/CE (c.d. “Direttiva europea sul commercio elettronico”) - della quale il D.Lgs. 70/2003 costituisce, peraltro, norma attuativa - ed in particolare il Considerando n. 427, limita l'operatività degli esoneri di responsabilità proprio in favore del provider che, indipendentemente dalla sua formale qualificazione (sia esso un semplice host provider o un host provider attivo), non conosca direttamente, né controlli in alcun modo i contenuti caricati dagli utenti.
Per gettare luce sul punto, è necessario un approfondimento sulla distinzione tra le varie tipologie di provider, con particolare riguardo alle figure dell'host provider e del content provider. Benché l'attività svolta da Google Video non possa dirsi totalmente neutra rispetto all’organizzazione dei contenuti caricati dagli utenti, in considerazione della indicizzazione degli stessi e della possibilità di ottenere un introito economico attraverso l’inserimento di inserzioni pubblicitarie, tale piattaforma è comunque qualificabile come mero host provider, seppur “attivo”. Non potrebbe parlarsi, dunque, di un content provider, ovverosia un operatore virtuale “che fornisce contenuti e risponde direttamente per eventuali illeciti perpetrati con la diffusione dei medesimi8”.
Lo stesso codice di autoregolamentazione dell’AIIP (Associazione Italiana Internet Provider), peraltro, nel riferirsi alla figura del fornitore di contenuti virtuali (appunto content provider), afferma la sua esclusiva responsabilità per le informazioni che mette a disposizione del pubblico9.
E' chiaro, dunque, che in capo al content provider si ritiene presunta l'originaria consapevolezza della eventuale illiceità dei contenuti, in quanto dallo stesso direttamente creati e forniti. Se così è, allora non sarebbe in alcun modo predicabile l'applicazione a tale soggetto della limitazione di responsabilità di cui all'art. 16 della normativa sul commercio elettronico, non sussistendone i presupposti necessari di estraneità e non conoscenza.
Per contro, l'host provider si limita a mettere a disposizione un mero servizio di upload (a seconda dei casi, più o meno organizzato) avente per oggetto una moltitudine di contenuti creati e caricati direttamente dagli utenti. Vi è dunque un impedimento oggettivo in capo che non gli consente di conoscere tutto il materiale presente sui propri server, con la conseguenza pratica che non può presumersi in capo ad esso quella consapevolezza tipica della figura del content provider e costituente elemento ostativo all'applicazione della limitazione di responsabilità di cui all'art. 16 D.Lgs. 70/2003.

4.4. Insussistenza dell'elemento soggettivo del reato.
Esclusa la configurabilità del reato de quo sotto il profilo dell'elemento oggettivo, la Corte ritiene non dirimente soffermarsi sulle valutazioni inerenti la sussistenza del dolo nella condotta dei manager di Google. Per dovere di completezza, tuttavia, la Corte si limita a constatare come la mancanza di riscontri probatori in merito alla effettiva conoscenza da parte degli imputati del dato sensibile contenuto nel video caricato, unita alla già menzionata assenza di un obbligo generale di sorveglianza sui comportamenti degli utenti, escludono che vi possa essere stata "la rappresentazione e la conseguente volizione del fatto tipico, costituito dall'abusivo trattamento di tale dato10".
In effetti, tralasciando la generale vocazione imprenditoriale di Google, elemento di per sé non sufficiente a provare la sussistenza del dolo specifico richiesto, deve escludersi che gli imputati si siano rappresentati, anche solo come mera eventualità, la possibilità di conseguire un profitto attraverso la permanenza in rete del video. Le emergenze processuali, infatti, hanno acclarato la totale assenza di link pubblicitari associati (come detto, unica fonte di introiti economici per la piattaforma Google Video) al filmato oggetto del procedimento11”.
5. Conclusioni.
La sentenza in commento tratta una vicenda oggettivamente molto complessa, riguardante la linea di confine tra libertà e governabilità della rete. La Suprema Corte tenta di sbrogliare l'intricata matassa, sottolineando con fermezza i limiti di responsabilità dell'host provider e stabilendo che la conoscenza da parte di quest'ultimo di eventuali contenuti illeciti caricati dagli utenti assume rilevanza solo a seguito di una segnalazione da parte delle autorità competenti.
Tale approccio della Corte non può che condividersi sotto un profilo tanto pratico quanto giuridico. In primo luogo, imporre all'host provider la creazione un filtro che verifichi preventivamente i contenuti che l'utente desidera caricare, l'eventuale presenza di dati sensibili e l'avvenuta acquisizione di un consenso al trattamento degli stessi, risulterebbe un onere tecnicamente irrealizzabile, considerata l'enorme mole di materiale che viaggia giornalmente in rete. In secondo luogo, laddove divenissero operative tali modalità di controllo preventivo, l'host provider - pur sempre un soggetto privato e non dotato delle necessarie competenze - verrebbe a ricoprire il ruolo di un vero e proprio censore di contenuti virtuali appartenenti a terzi, esercitando sugli stessi un potere decisionale che non gli è proprio.12.

 

1 Vivi Down è una onlus istituita nel 1988, con sede in Milano, che si occupa di fornire assistenza a persone affette da sindrome di Down e alle loro famiglie.

 

2 A conforto di tale interpretazione, si veda, tra le altre, Cass. pen., Sez. V, 16 luglio 2010, n. 35511.

 

3Così la sentenza in commento, p. 11.

 

4 In questi termini la sentenza annotata, p. 12.

 

5 Così, Corte di Giustizia dell’unione Europea, sentenza del 12 luglio 2011, causa C-324/09 (L’Oreal SA / eBay), in Gazzetta Ufficiale dell’unione Europea del 10.09.2011.

 

6 Sul problema dell’applicabilità all’host provider attivo delle limitazioni di responsabilità previste dal D.Lgs. 70/2003 si veda, tra gli altri, L. D’Ambrosio, Responsabilità degli internet provider e Corte di Giustizia dell’Unione Europea: quali spunti per il sistema penale italiano?”, in Internet provider e giustizia penale, Giuffré, 2013.

 

7 Prevede espressamente il Considerando 42 Dir. 2000/31/CE che “Le deroghe alla responsabilità stabilita nella presente direttiva riguardano esclusivamente il caso in cui l’attività di prestatore di servizi della società dell’informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell’informazione non conosce né controlla le informazioni trasmesse o memorizzate”.

 

8Così G. Cassano e F. Buffa, Responsabilità del content provider e dell’host provider, in Il Corriere Giuridico, 2003, 56.

 

9Cfr. http://www.aip.it/autoreg.html.

 

10Così la pronuncia in esame, p. 16.

 

11Circostanza rilevata dalla Corte d’Appello di Milano nella sentenza relativa al presente procedimento, p. 31.

 

12Si veda anche Corte di Giustizia dell’Unione Europea, sentenza del 24 novembre 2011, causa C-70/10 (Scarlet Extended SA / Société belge des auteurs, compositeurs et éditeurs SCRL), in Gazzetta Ufficiale dell’Unione Europea del 28.01.2012.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!