Per sostenersi la responsabilità a titolo di omissione in capo ad un host o content provider, occorre affermare, a suo carico, un obbligo giuridico di impedire l’evento e quindi, da un lato, l’esistenza di una posizione di garanzia, dall’altro, la concreta possibilità di effettuare un controllo preventivo. Detta posizione di garanzia non può essere ravvisata nel diritto vigente, stante l’assenza di una specifica previsione in tal senso, e ciò a prescindere dalla questione dell’auspicabilità o meno di una normativa che colmi questo vuoto legislativo.
Sommario: 1. Google / Vividown: il fatto non sussiste. – 2. Quale responsabilità in capo ad un host o content provider. – 3. Competenza e giurisdizione. – 4. Trattamento dei dati personali: il ruolo dell’uploader. – 5. Art. 167 Codice della privacy: il dolo specifico.
1. Google / Vividown: il fatto non sussiste
La sentenza resa dalla prima sezione penale della Corte d’Appello di Milano, depositata il 27 febbraio 2013, manda assolti con la formula “perché il fatto non sussiste” i tre manager di Google Italia che, nel febbraio 2010 erano stati condannati, in primo grado, per la diffusione nella rete internet di un filmato che riprendeva un giovane studente disabile di Torino mentre veniva vessato, e malmenato, da un gruppo di compagni di scuola. Assolti, già in primo grado, dalle accuse di diffamazione, i dirigenti di Google Italia erano stati condannati a 6 mesi di reclusione (pena sospesa) per violazione della privacy (si imputava ai tre di aver, in concorso omissivo tra loro, violato, tra le altre norme, anche l’art. 167 d.lgs. 30 giugno 2003, n. 196 con relativo nocumento per la persona interessata) (1).
La questione, come noto, ha suscitato vasta eco (2) tra gli operatori del diritto e tra gli operatori di internet perché lungi dal “molto rumore per nulla”, secondo la citazione utilizzata dalla sentenza di primo grado, si è di fronte ad una vicenda molto complessa ed articolata che attiene, come affermano i Giudici di appello, alla questione del “governo di internet”; per la sua esatta qualificazione giuridica e per la sua soluzione, impone ai giudici di perimetrare l’ambito della responsabilità penale degli operatori di internet (3).
2. Quale responsabilità in capo ad un host o content provider
Secondo il Collegio di Appello “per sostenere la responsabilità a titolo di omissione in capo ad un host o content provider, occorre affermare a suo carico un obbligo giuridico di impedire l’evento e quindi, da un lato l’esistenza di una posizione di garanzia, dall’altro la concreta possibilità di effettuare un controllo preventivo”.
Con riferimento alla posizione di garanzia, in maniera peraltro concorde rispetto a quanto già sostenuto dal Giudice di primo grado, la Corte sottolinea come essa non possa essere ravvisata nel diritto vigente in assenza di una specifica previsione in tal senso, di là da ogni riferimento all’auspicabilità, o meno, di una normativa che colmi questo vuoto legislativo.
Né tale posizione di garanzia può desumersi da fonte diversa, quale, in via esemplificativa, quella dettata ex art. 57, e 57 bis c.p. in materia di stampa, in quanto si tratterebbe di analogia in malam partem.
Con riferimento alla “concreta possibilità di effettuare un controllo preventivo” argomenta, ancora, la Corte come non possa essere ravvisata la possibilità effettiva e concreta di esercitare un pieno ed efficace controllo sulla massa dei video caricati da terzi, visto l’enorme afflusso di dati.
Affermare l’operatività di un obbligo del soggetto – web di impedire l’evento illecito, imporrebbe allo stesso un filtro preventivo su tutti i dati immessi in rete, con ciò finendo per alterarne la sua stessa funzionalità (4).
Anche sotto questo profilo appare condivisibile la conclusione a cui era pervenuto il Tribunale secondo cui si finirebbe per richiedere un comportamento inesigibile e di conseguenza non perseguibile penalmente ai sensi dell’art. 40 cpv. c.p..
Né, si aggiunga, la presenza di una posizione di garanzia da cui far derivare un obbligo di attivazione, in mancanza della quale far ricorrere la previsione dell’art. 40 c.p., può essere fatto derivare dalla violazione di norme di legge, quali quelle a protezione dei dati personali, che non hanno per oggetto tali condotte e che sono state emanate a copertura di comportamenti diversi da quelli oggetto di contestazione.
La sentenza si innesta così nel solco segnato dalla maggior parte della dottrina che, all’indomani della sentenza di primo grado, rectius all’indomani della formulazione dell’accusa, si è espressa sulla materia (5).
3. Competenza e giurisdizione
La sentenza conferma la competenza territoriale – e quindi la possibilità di decidere nel merito della causa – del Tribunale di Milano (come già era avvenuto in primo grado), in quanto la società Google Italy ha sede a Milano e la condotta contestata riguarda tale società.
Allo stesso modo la giurisdizione – cioè l’astratta possibilità di giudicare un fatto di reato – è quella italiana perché, indipendentemente dalla localizzazione dei server, gli effetti pregiudizievoli del reato sono accaduti in Italia.
I Giudici di Appello, sul punto, si richiamano all’orientamento interpretativo della Suprema Corte (Cass. pen., sez. III, 23 dicembre 2009, n. 49437), nonché della giurisprudenza capitolina (Trib. Roma – sez. IX civile, ord. 15 – 16 dicembre 2009) secondo cui l’evento del caricamento del server è di per sé solo potenzialmente generatore di danno, ma privo di efficacia dannosa, che si verifica solo nel momento in cui i contenuti vengono diffusi nell’area di mercato ove la parte danneggiata esercita i suoi diritti, nella specie appunto il territorio italiano.
D’altra parte – evidenzia ancora la Corte – non fa venire meno la giurisdizione del giudice nazionale, neppure la circostanza che la condotta di partecipazione sia stata posta in essere all’estero quando una parte della condotta comune abbia luogo in Italia (Cass. pen., sez. V, 20 ottobre 2008, n. 39205) (6).
Secondo i giudici d’appello è corretta l’individuazione degli imputati come coloro ai quali attribuire le presunte condotte illecite, in quanto:
• Drummond e De Los Reyes erano legali rappresentanti di Google Italy e Drummond era “Vicepresidente e Legale Rappresentante di Google Inc., nonché Vicepresidente di Google International”;
• Arvind era responsabile del progetto Google Italy.
Per quanto riguarda la posizione di Fleischer, invece, non viene data alcuna argomentazione.
4. Trattamento dei dati personali: il ruolo dell’uploader
La sentenza riconosce applicabile a Google Italy la disciplina Italiana del trattamento dei dati personali in quanto detta società rientra nella nozione di strumento anche non elettronico, così come previsto dall’art. 5, comma 2, d.lgs. n. 196/2003 (norma che menziona gli “strumenti situati nel territorio dello Stato anche diversi da quelli elettronici”).
Più in particolare si afferma che la categoria dell’hoster attivo non è contemplata da alcuna norma di legge italiana o comunitaria, ma è assolutamente vero che l’attività svolta da Google è diversa da quella prevista dal legislatore comunitario nell’oramai lontano anno 2003.
Infatti, le possibilità di filtraggio, rimozione, selezione e raccolta materiale, indicizzazione a fini pubblicitari, dimostrano ampiamente che Google Video è un hoster attivo.
Detto ciò, deve essere esclusa la responsabilità per il prestatore di servizi che fornisca un servizio di hosting attivo, in quanto anche per tale soggetto va esclusa ipso facto la possibilità di procedere ad una efficace verifica preventiva di tutto il materiale immesso dagli utenti.
Altro passaggio fondamentale della sentenza consiste nell’evidenziare che il titolare del trattamento è solo l’uploader.
E cioè a dire, con riferimento al caso concreto, era onere dell’uploader che caricando il video si assumeva la responsabilità del trattamento dei dati personali chiedere, ed ottenere, il consenso prescritto da parte del soggetto ripreso nel video e tale soggetto, da parte sua, doveva ricevere l’informativa sugli obblighi di legge da parte del medesimo uploader (Cass. pen., sez. III, 15 febbraio 2005, n. 5728).
Sul punto si richiama anche la giurisprudenza della Corte di Giustizia Europea che, in un caso di pubblicazione di dati personali su internet, ha ritenuto titolare del trattamento il soggetto che aveva provveduto all’uploading (affermando che: “è la persona che crea, invia o carica i dati on line che deve essere ritenuto il titolare del trattamento dati e non la parte, il provider, che fornisce gli strumenti”).
È poi pacifico che la valutazione dei fini di un’immagine all’interno di un video in grado di qualificare un dato come sensibile o meno, implica un giudizio semantico e variabile che certamente non può essere delegato ad un procedimento informatico.
Se a ciò si unisce la circostanza che la direttiva sul commercio elettronico (Direttiva n. 70/2003) – la cui esegesi per dirsi corretta deve essere operata in un unicum con la disciplina sulla privacy (d.lgs. n. 196 cit.) – chiarisce che non vi è alcun obbligo di controllo preventivo, diventa allora evidente che la valutazione del contenuto trasmesso in rete compete al titolare e che il titolare non può essere certamente individuato in Google Italy.
5. Art. 167 Codice della privacy: il dolo specifico
Il colpo di grazia all’impianto accusatorio, sotto il profilo dell’elemento soggettivo del reato contestato, viene dato dalla sentenza nella parte in cui chiarisce che non è rinvenibile il dolo specifico richiesto dalla norma (art. 167 Codice della privacy) giusta l’assenza di qualsiasi riscontro di un vantaggio direttamente conseguito dagli imputati grazie alla condotta dagli stessi tenuta nell’ambito di un servizio gratuito quale era quello offerto, ed in assenza di link pubblicitari associati allo specifico video oggetto del procedimento penale (7).
La Corte, superando l’argomentare del giudice di primo grado, sottolinea come l’attività dell’azienda, nei suoi molteplici servizi, non può che essere considerata lecita e non può essere assunta a prova della sussistenza del dolo.
La Corte supera anche – accedendo ad una opzione interpretativa di segno negativo – il problema della compatibilità tra la forma del dolo eventuale (dalla sentenza di primo grado individuata in capo agli imputati per avere serbato una “voluta disattenzione” nelle politiche societarie relative al trattamento della privacy, al fine dell’ottenimento di buoni risultati di mercato) ed il dolo specifico richiesto dalla norma dell’art. 167 cit..
La soluzione in senso positivo, non è accettabile, in quanto la struttura della fattispecie di cui all’art. 167 Codice privacy postula la necessaria partecipazione psichica intenzionale e diretta del soggetto al raggiungimento di un profitto.
Avv. Maurizio De Giorgi
___________
(1) “La condotta penalmente rilevante che viene riconosciuta in capo ai responsabili di Google Italia s.r.l. sarebbe quella di aver gestito il servizio offerto da Google Video, omettendo di fornire (colpevolmente) ai propri inserzionisti telematici chiare e puntuali informazioni sulla corretta modalità del trattamento dei dati personali, con riferimento a quei dati appartenenti alle persone che compaiono nel video, diverse da quelle che tale video hanno immesso nella rete; avrebbero fatto ciò al fine di raccogliere un numero sempre più elevato di filmati per accrescere l’interesse al servizio da parte di eventuali acquirenti di spazi pubblicitari su Internet, in tal modo concretizzandosi il dolo specifico richiesto dall’art. 167 d.lgs. 196/2003”, Giuseppe Cassano, Google v. Vividown. responsabilità “assolute” e fine di internet?, in Vita Notarile, 2/2010, 2.
(2) Si consideri che dallo stesso episodio sono scaturiti tre procedimenti penali: nel primo i ragazzi che hanno trattato illecitamente i dati del soggetto ripreso sono stati condannati per violazione dell’art. 167 d.lgs. 196/2003; nel secondo procedimento chi aveva l’obbligo di impedire il fatto illecito altrui, ossia l’insegnante dei ragazzi essendo stato il video girato in Istituto tecnico di Torino, è stata condannata; il terzo procedimento è quello a carico degli amministratori di Google Italy s.r.l..
(3) Si è precisato in dottrina: “La disciplina della responsabilità dei providers è attualmente dettata dal d.ls. n. 70/2003 (artt. 14-17) che ha pressoché recepito la direttiva comunitaria n. 2000/31/CE dell’8.6.2000 con l’intento di regolamentare la responsabilità degli operatori intermediari in modo unitario superando le divergenti normative nazionali e le diverse interpretazioni dei giudici territoriali. Il legislatore comunitario ha introdotto una disciplina generale sulla responsabilità dei providers, distinguendoli per tipologia di funzioni: semplice trasporto di informazioni, c.d. mere conduit (art. 14); memorizzazione temporanea ed automatica di informazioni, c.d. caching (art. 15); memorizzazione di informazioni fornite dal destinatario del servizio, c.d. hosting (art. 16). In tal modo, si differenziano le condizioni che integrano la responsabilità dell’intermediario in base al ruolo effettivamente svolto nel contesto dell’illecito. Nel quadro complessivo della responsabilità del provider ha un’importanza fondamentale l’art. 17 (d.lgs. n. 70/2003). La norma stabilisce il fondamentale principio dell’assenza di un obbligo generale di sorveglianza sulle informazioni che esso trasmette o memorizza, nonché dell’inesistenza di un obbligo preventivo di ricercare i fatti o le circostanze che indichino la presenza di attività illecite”, Emanuela Andreola, Profili di responsabilità civile del motore di ricerca, in La nuova giurisprudenza civile commentata, n. 2/2012, 129.
(4) Va escluso, secondo la Corte d’Appello, che nel periodo settembre – dicembre 2006 fosse esistente ed operante una tecnologia di filtraggio preventivo compiutamente idoneo ad identificare automaticamente i contenuti illeciti di un video.
(5) Giuseppe Cassano e Alfonso Contaldo, Identità digitale e tutela della privacy, Diritti della persona, internet e responsabilità dei soggetti intermediari – speciale, in Il Corriere Giuridico, spec. 1/2010, 5 ss.; Giuseppe Cassano, Google v. Vividown, cit.; Francesco Giuseppe Catullo, Ai confini della responsabilità penale: che colpa attribuire a Google, in Giurisprudenza di merito, 1/2001, 159 ss.; Francesco Di Ciommo, Programmi-filtro e criteri di imputazione/esonero della responsabilità on-line. A proposito della sentenza Google/Vivi Down, in Il diritto dell’informazione e dell’informatica, f. 6/2010, 829 ss.
(6) Si richiama in sentenza il principio di diritto per il quale il giudice italiano rimane competente a conoscere della diffamazione, compiuta mediante l’inserimento nella rete telematica internet, di frasi offensive e/o immagini anche nel caso in cui il sito web sia stato registrato all’estero purché l’offesa sia stata percepita da fruitori che si trovano in Italia (Cass. pen., sez. V, 27 dicembre 2000, n. 4741).
(7) Secondo la Suprema Corte: “si è (…) al cospetto di un reato di pericolo effettivo e non meramente presunto (..) con il risultato che la illecita utilizzazione dei dati personali è punibile, non già in sé e per sé, ma in quanto suscettibile di produrre nocumento (cosa che, ovviamente, deve essere valutata caso per caso) alla persona dell’interessato e/o al suo patrimonio” (Cass. pen., sez. III, 15 giugno 2012, n. 23798). Ed ancora “Il d.lgs. n. 196 del 2003, art. 167, ha tipizzato il (…) nocumento, da intendersi, sia riferito al soggetto stesso, che al suo patrimonio, come condizione obiettiva di punibilità (introducendo anche un dolo specifico di danno)” (Cass. pen., sez. V, 02 dicembre 2011, n. 44940). Si vedano anche: Cass. pen., sez. III, 29 settembre 2011, n. 35296; Cass. pen., sez. III, 4 maggio 2011, n. 17215; Trib. Taranto, sez. II, 11 luglio 2012; Trib. Ruvo di Puglia, 19 gennaio 2009.
Scrivi un commento
Accedi per poter inserire un commento