x

x

Caso Vivi Down: tanto tuonò che non piovve

Contributo pubblicato nella versione integrale in Rivista Penale, La Tribuna, n. 5/2014

1. Cosa resterà del caso Vivi Down?

A seguito della qui annotata pronuncia della Cassazione ci domandiamo cosa resterà del caso “Vivi Down vs. Google”, o, meglio, cosa resterà, al di là dell’esito scontato e delle disquisizioni dottrinarie, sul piano dei suggerimenti operativi per i professionisti di qualsiasi livello e dimensioni.

Trascurando volutamente, almeno per un momento, i profili di natura penale e volendo offrire una visione panoramica, azzardiamo un pronostico: resterà proprio quello che è stato – a buon diritto – giudicato dalla Corte d’appello e dalla Cassazione come erroneo ed incongruente nella sentenza di primo grado, ovvero, l’affermarsi, forse lento ma inesorabile (per tutti gli operatori, anche quelli meno recettivi), dell’approccio in gran parte formalistico (se fosse un cocktail diremmo: due parti forma, una parte sostanza) che impone ai professionisti, secondo la nozione del Codice del consumo (Decreto Legislativo 206/2005, peraltro implementato con il recepimento della Direttiva 2011/83), e senz’altro ai provider, quali prestatori di servizi, secondo il Decreto Legislativo 70/2003, di porre particolare attenzione nella redazione e formulazione delle comunicazioni, dei messaggi e delle avvertenze di qualsiasi tipo, pubblicati sul sito Internet nel quale si promuove e gestisce la propria attività.

Altrimenti detto: i concetti di trasparenza, chiarezza, correttezza, accessibilità e fruibilità esprimono tangibilmente la diligenza e la buona fede del professionista che opera on line e, di conseguenza, contribuiscono in misura determinante a costruirne e a consolidarne la reputazione. Del resto come sostiene Gianluca Diegoli: (42) “se dichiarate che lo sconto è solo per me e solo per oggi, o comunque approfittate dell’ingenuità delle persone, tenete conto che la conversazione è persistente e la rete tiene tutto in memoria: prima o poi qualcuno viaggerà nel passato per controllare” (minimarketing.com, [mini]marketing, 91 discutibili tesi per un marketing diverso).

È il caso di partire dall’inizio della vicenda.

2. Sintesi

La Corte di Cassazione - Sezione Terza Penale, con Sentenza 17 dicembre 2013 - 3 febbraio 2014 n.  5107, si è pronunciata sul caso noto alle cronache come “Vivi Down”. Dal 2010 l’attenzione è stata costante e il dibattito intenso, non solo a livello accademico o, comunque, nell’ambito degli addetti ai lavori, come testimoniato dai numerosi blog e siti di informazione che hanno dato ampio risalto alla vicenda. Perché la vicenda coinvolge il delicato rapporto (o il contemperamento dei diversi interessi) tra privacy degli interessati e libertà economica/commerciale degli Internet Service Provider (ISP), nonché il governo di Internet e la sopravvivenza dei principi fondativi e fondanti della rete, quali, in primo luogo, l’assenza di un controllo centralizzato dell’infrastruttura.

In sintesi e con un certo grado di approssimazione, con l’attesa pronuncia, i giudici di legittimità si sono dovuti schierare a favore o contro l’interpretazione delle disposizioni sul commercio elettronico e sulla privacy che esclude la responsabilità dei provider per i contenuti caricati dagli utenti, interpretazione peraltro abbracciata da un consolidato orientamento dottrinale e da autorevole giurisprudenza sia a livello comunitario che nazionale.

3. Il giudizio avanti il Tribunale di Milano

Omissis.

4. Il giudizio avanti la Corte d’appello di Milano

Omissis.

5. Giudizio avanti la Cassazione

Da ultimo, è intervenuta la citata pronuncia della Corte di Cassazione che ha rigettato il ricorso del Procuratore Generale presso la Corte d’Appello di Milano, assolvendo i dirigenti di Google perché “I rilievi finora svolti conducono ad escludere in radice la configurabilità, sotto il profilo oggettivo, di una responsabilità penale dell’Internet host provider […]”.

La Corte Suprema, dopo aver ripercorso le definizioni di “trattamento” e “titolare” presenti nel Codice Privacy e le relative norme invocate nei precedenti gradi di giudizio (in diversa direzione), nonché la disciplina sul commercio elettronico (Direttiva 2000/31/CE e Decreto Legislativo 70/2003), ha statuito che esse si devono ritenere interamente rivolte al solo titolare del trattamento, eventualmente nella persona del “responsabile”, stabilendo che“[…] i reati di cui all’art. 167 del Codice Privacy – per i quali si procede – devono essere intesi come reati propri, trattandosi di condotte che si concretizzano in violazioni di obblighi dei quali è destinatario in modo specifico il solo titolare del trattamento e non ogni altro soggetto che si trovi ad avere a che fare con i dati oggetto di trattamento senza essere dotato di relativi poteri decisionali”.

Detta linea interpretativa è applicabile anche alla figura dell’hosting provider, così come delineato dall’articolo 16 del Decreto Legislativo n. 70/2003, in presenza di specifiche condizioni esposte dalla stessa norma (veicolare i dati caricati dagli utenti senza effettuare alcun tipo di controllo sui medesimi, ovvero senza contribuire alla loro scelta, ricerca o formazione dei file che li contengano, nonché non essere effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita) e dall’articolo 17 del Decreto Legislativo n. 70/2003 (ovvero, per quanto qui interessa, informare senza indugio l’autorità qualora sia a conoscenza di presunte attività o informazioni illecite e fornire senza indugio all’autorità i dati che consentano l’identificazione dell’utente destinatario dei suoi servizi). In presenza di tali condizioni l’hosting provider non può essere considerato responsabile per le informazioni fornite dal destinatario del servizio prestato, ossia per i contenuti caricanti dall’utente del servizio.

La Corte aggiunge, inoltre, che il legislatore italiano, in conformità con la Direttiva 200/31/CE “ha inteso porre quali presupposti della responsabilità dei provider proprio la sua effettiva conoscenza dei dati, immessi dall’utente e l’eventuale inerzia nella rimozione delle informazioni da lui conosciute come illecite.

 Se ne desume, ai fini della ricostruzione interpretativa della figura del titolare del trattamento dei dati, che il legislatore ha inteso far coincidere il potere decisionale sul trattamento con la capacità di concretamente incidere su tali dati, che non può prescindere dalla conoscenza dei dati stessi. In altri termini, finché il dato illecito è sconosciuto al service provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso; quando, invece, il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni penali del Codice Privacy. In via generale, sono, dunque gli utenti ad essere titolari del trattamento dei dati personali di terzi ospitati nei servizi di hosting e non i gestori che si limitano a fornire servizi”.

Con encomiabile chiarezza espositiva – apprezzando la linea argomentativa della Corte d’appello – la  Cassazione afferma che l’hosting provider non può essere considerato originariamente quale titolare del trattamento e non ha obbligo di attivarsi per segnalare il rispetto della disciplina sulla privacy da parte dei soggetti che si avvalgono dei propri servizi. Del resto, secondo la Cassazione, l’articolo 17 del Decreto Legislativo 70/2003 – norma di chiusura in tema di responsabilità dei differenti tipi di provider che stabilisce l’assenza di un obbligo di controllo preventivo e tanto meno di ricerca attiva di illeciti – “individua il punto di equilibrio fra la libertà del provider e la tutela dei soggetti eventualmente danneggiati nella fissazione di obblighi di informazione all’autorità”.

È significativo che sia la Corte d’appello che la Cassazione abbiano ritenuto di richiamare la disciplina in materia di commercio elettronico (Decreto Legislativo 70/2003), considerandola come un utile ausilio per una corretta interpretazione e applicazione della disciplina privacy e, comunque, invocandola “non in via diretta ma solo in via interpretativa, al fine di chiarire ulteriormente e confermare la portata che la disciplina in materia di privacy ha già di per sé”. L’articolo 1, comma 2, lettera b) del Decreto Legislativo 70/2003 non deve essere interpretato nel senso che i  prestatori di servizi, tra cui appunto gli ISP, ai quali è rivolta la specifica disciplina del commercio elettronico, siano esenti dall’applicazione della normativa privacy perché destinatari delle specifiche disposizioni citate in quanto “[..]l’art. 1, comma 2, lett. b)  non ha di per sé la funzione di rendere inoperanti comunque in ogni fattispecie che riguardi la materia della protezione dei dati personali le norme in materia di commercio elettronico. Più semplicemente, detta clausola ha la funzione di chiarire che la tutela dei dati personali è disciplinata da un corpus normativo diverso da quello sul commercio elettronico; corpus normativo che rimane applicabile in ambito telematico anche in seguito all’emanazione della normativa sul commercio elettronico. Da ciò discende l’ovvia conseguenza che l’applicazione delle norme in materia di commercio elettronico deve avvenire in armonia con le norme in materia di dati personali; armonia perfettamente riscontrabile […] nell’ambito di responsabilità penale dell’Internet hosting provider relativamente ai dati sensibili caricati dagli utenti sulla sua piattaforma”.

Su queste basi e premesse la Cassazione ha ritenuti infondati i quattro motivi sollevati dal Procuratore.

In relazione al primo motivo, relativo al trattamento illecito dei dati, sulla qualifica di titolare del trattamento e sui relativi obblighi e responsabilità, la Corte – discostandosi parzialmente dalla lettura della Corte d’appello – ha affermato cheil caricamento di un video può configurare un trattamento di dati, in quanto, come stabilito da una propria pregressa decisione “il concetto di trattamento è assai ampio e prescinde dall’inserimento dei dati in una vera e propria banca-dati, potendosi concretizzare in qualunque operazione di utilizzazione e diffusione di tali dati, anche per mezzo di rappresentazione fotografica o di ripresa video”. Il trattamento di dati, inteso quale caricamento e diffusione di video sulla piattaforma, configura, inoltre, violazione dell’articolo 26, comma 5, Codice Privacy, che stabilisce l’assoluto divieto della diffusione dei dati idonei a rivelare lo stato di salute, anche qualora sia stato prestato il consenso dell’interessato.

Tuttavia, diversamente dal Tribunale di Milano, la Cassazione ritiene che i responsabili di tale violazione siano unicamente gli utenti che hanno caricato il video oggetto della vertenza, mentre è esclusa l’imputabilità di alcuna responsabilità per violazione del Codice Privacy in capo a Google perché “[…] è proprio la natura del servizio reso ad escludere anche la fondatezza del secondo dei rilievi svolti dal Procuratore generale nell’ambito del primo motivo di ricorso non essendo configurabile alcun obbligo generale di controllo in capo ai rappresentanti di Google Italy s.r.l., gestore del servizio stesso.”.

Avendo anticipato le motivazioni che hanno portato al rigetto del secondo motivo di ricorso (ovvero l’inapplicabilità della normativa sull’ecommerce e l’errata qualifica di Google quale hosting provider) soffermiamoci sul terzo motivo, in merito gli obblighi in materia di privacy che incombono sull’hosting provider.

In poche righe di motivazione, la Cassazione ricorda che: “nessun obbligo sussiste in capo al provider, non essendo questo, ma il singolo utente il responsabile del trattamento dei dati personali contenuti nel video caricato dall’utente stesso. E ciò, a prescindere dall’ulteriore analisi del quadro normativo, dalla quale emerge con chiarezza che l’eventuale violazione dell’articolo 13 del Codice Privacy è sanzionata in via meramente amministrativa dal successivo art. 161 e non rientra, invece, fra quelle sanzionate penalmente dall’art. 167 ”.

A ulteriore prova della scarsa dimestichezza del Procuratore generale con le nozioni e i concetti necessari per affrontare il caso di specie, la Cassazione stigmatizza il richiamo di una sentenza del tutto inconferente in materia di cessione di data base (Cassazione, Sentenza 24 maggio 2012, n.23798).

La Cassazione non si pronuncia, invece, sul quarto ed ultimo motivo del ricorso, ovvero sulla configurabilità dell’elemento soggettivo del reato, concludendo che: “I rilievi finora svolti conducono ad escludere in radice la configurabilità, sotto il profilo oggettivo, di una responsabilità penale dell’Internet host provider […]. E ciò, a prescindere dall’ulteriore considerazione che la mancata conoscenza, in capo al provider, del dato sensibile contenuto nel video caricato dagli utenti sul suo sito e la mancanza di un obbligo generale di sorveglianza inducono ad escludere comunque ˗ come ben evidenziato dalla Corte d’appello ˗ la rappresentazione e la conseguente volizione da parte degli imputati del fatti tipico, costituito dall’abusivo trattamento di tale dato”.

6. Riflessioni conclusive

Senza alcuna pretesa di esaustività, ma allo stesso tempo senza sottrarsi ai doveri del modesto annotatore di sentenze, vale la pena di riepilogare gli spunti del caso in questione che meritano un breve approfondimento.

a. L’andamento argomentativo della pronuncia di primo grado fa supporre che il Giudice abbia intuito la conclusione ultima del caso. Non si spiegano altrimenti certi passaggi che, si perdoni l’espressione, sembrano mettere le mani avanti e sembrano anticipare le ampiamente preventivabili e ragionevoli contestazioni, che, peraltro, sono state premiate già in secondo grado.

Purtuttavia o forse proprio a causa di questa ansia argomentativa, come anticipato a titolo di introduzione del presente scritto, la pronuncia di primo grado rappresenta un utile spunto per verificare la conformità al nostro ordinamento (civile, penale ed amministrativa) di un sito Internet, sul piano dell’attività svolta dal professionista e, soprattutto, del contenuto del medesimo. In altre parole, se è vero che “ad impossibilia nemo tenutur” – a meno di non auspicati revirement giurisprudenziali – è anche vero che l’asticella della diligenza di operatori e professionisti dovrebbe essere alzata, almeno a scopo cautelativo, in misura direttamente proporzionale alla maturità del consumatore medio. Si badi che può trattarsi di deformazione professionale di civilisti…

A distanza di anni dalla pronuncia di primo grado e a beneficio di coloro che non hanno avuto voglia/tempo di leggere le oltre cento pagine della medesima, pare opportuno ricordare che il Giudice ha riportato ampi stralci della corrispondenza telematica intercorsa tra gli apicali di Google, acquisita dal Pubblico Ministero. Sul piano delle mere suggestioni e a titolo di spunto per l’adozione di best practice interne, non si può fare a meno di notare che al ricorrere di casi così delicati sia opportuno raccomandare sobrietà, moderazione e circospezione. L’attenzione da porre nei messaggi interni, figuriamoci in quelli esterni, dovrebbe essere inversamente proporzionale al tempo che essi richiedono per raggiungere i destinatari.

b. Corte d’appello e Cassazione sposano l’orientamento dottrinario e giurisprudenziale, che sempre più va consolidandosi, secondo cui né dal Codice Privacy né dal Decreto Legislativo 70/2003 è dato evincere l’esistenza di (i) un obbligo generale di sorveglianza dei dati immessi da terzi in capo all’hosting provider; (ii) alcun obbligo sanzionato penalmente di informare il soggetto che ha immesso i dati dell’esistenza e della necessità di fare applicazione della normativa relativa al trattamento dei dati stessi. La conclusione è condivisibile, come pure il richiamo all’orientamento del Gruppo di lavoro istituito dall’art. 29 della direttiva 95/46/CE.

Non vi è dubbio, a parere di chi scrive, che in futuro le attenzioni degli utenti-interessati-clienti e della giurisprudenza si concentreranno sulla natura di provider e sulle concrete attività esercitate. Del resto, la stessa sentenza della Corte di Giustizia, resa nella causa C-131/12 richiamata dalla Cassazione, chiarisce che il fornitore di servizi “è riconducibile alla categoria dei titolari del trattamento di dati solo laddove incida direttamente sulla struttura degli indici di ricerca, ad esempio favorendo o rendendo più difficile il reperimento di un determinato sito”.

In altre parole, e non si vede come possa essere altrimenti, è dall’esame concreto delle attività espletate del provider, che se ne può desumere un ruolo “attivo” tale da determinarne la responsabilità penale. La Cassazione avrebbe forse potuto soffermarsi su questo punto, oggetto di sintetiche valutazioni in primo e secondo grado, esaminando l’attività di Google. Comunque, l’esito del giudizio non sarebbe mutato

Contributo pubblicato nella versione integrale in Rivista Penale, La Tribuna, n. 5/2014

1. Cosa resterà del caso Vivi Down?

A seguito della qui annotata pronuncia della Cassazione ci domandiamo cosa resterà del caso “Vivi Down vs. Google”, o, meglio, cosa resterà, al di là dell’esito scontato e delle disquisizioni dottrinarie, sul piano dei suggerimenti operativi per i professionisti di qualsiasi livello e dimensioni.

Trascurando volutamente, almeno per un momento, i profili di natura penale e volendo offrire una visione panoramica, azzardiamo un pronostico: resterà proprio quello che è stato – a buon diritto – giudicato dalla Corte d’appello e dalla Cassazione come erroneo ed incongruente nella sentenza di primo grado, ovvero, l’affermarsi, forse lento ma inesorabile (per tutti gli operatori, anche quelli meno recettivi), dell’approccio in gran parte formalistico (se fosse un cocktail diremmo: due parti forma, una parte sostanza) che impone ai professionisti, secondo la nozione del Codice del consumo (Decreto Legislativo 206/2005, peraltro implementato con il recepimento della Direttiva 2011/83), e senz’altro ai provider, quali prestatori di servizi, secondo il Decreto Legislativo 70/2003, di porre particolare attenzione nella redazione e formulazione delle comunicazioni, dei messaggi e delle avvertenze di qualsiasi tipo, pubblicati sul sito Internet nel quale si promuove e gestisce la propria attività.

Altrimenti detto: i concetti di trasparenza, chiarezza, correttezza, accessibilità e fruibilità esprimono tangibilmente la diligenza e la buona fede del professionista che opera on line e, di conseguenza, contribuiscono in misura determinante a costruirne e a consolidarne la reputazione. Del resto come sostiene Gianluca Diegoli: (42) “se dichiarate che lo sconto è solo per me e solo per oggi, o comunque approfittate dell’ingenuità delle persone, tenete conto che la conversazione è persistente e la rete tiene tutto in memoria: prima o poi qualcuno viaggerà nel passato per controllare” (minimarketing.com, [mini]marketing, 91 discutibili tesi per un marketing diverso).

È il caso di partire dall’inizio della vicenda.

2. Sintesi

La Corte di Cassazione - Sezione Terza Penale, con Sentenza 17 dicembre 2013 - 3 febbraio 2014 n.  5107, si è pronunciata sul caso noto alle cronache come “Vivi Down”. Dal 2010 l’attenzione è stata costante e il dibattito intenso, non solo a livello accademico o, comunque, nell’ambito degli addetti ai lavori, come testimoniato dai numerosi blog e siti di informazione che hanno dato ampio risalto alla vicenda. Perché la vicenda coinvolge il delicato rapporto (o il contemperamento dei diversi interessi) tra privacy degli interessati e libertà economica/commerciale degli Internet Service Provider (ISP), nonché il governo di Internet e la sopravvivenza dei principi fondativi e fondanti della rete, quali, in primo luogo, l’assenza di un controllo centralizzato dell’infrastruttura.

In sintesi e con un certo grado di approssimazione, con l’attesa pronuncia, i giudici di legittimità si sono dovuti schierare a favore o contro l’interpretazione delle disposizioni sul commercio elettronico e sulla privacy che esclude la responsabilità dei provider per i contenuti caricati dagli utenti, interpretazione peraltro abbracciata da un consolidato orientamento dottrinale e da autorevole giurisprudenza sia a livello comunitario che nazionale.

3. Il giudizio avanti il Tribunale di Milano

Omissis.

4. Il giudizio avanti la Corte d’appello di Milano

Omissis.

5. Giudizio avanti la Cassazione

Da ultimo, è intervenuta la citata pronuncia della Corte di Cassazione che ha rigettato il ricorso del Procuratore Generale presso la Corte d’Appello di Milano, assolvendo i dirigenti di Google perché “I rilievi finora svolti conducono ad escludere in radice la configurabilità, sotto il profilo oggettivo, di una responsabilità penale dell’Internet host provider […]”.

La Corte Suprema, dopo aver ripercorso le definizioni di “trattamento” e “titolare” presenti nel Codice Privacy e le relative norme invocate nei precedenti gradi di giudizio (in diversa direzione), nonché la disciplina sul commercio elettronico (Direttiva 2000/31/CE e Decreto Legislativo 70/2003), ha statuito che esse si devono ritenere interamente rivolte al solo titolare del trattamento, eventualmente nella persona del “responsabile”, stabilendo che“[…] i reati di cui all’art. 167 del Codice Privacy – per i quali si procede – devono essere intesi come reati propri, trattandosi di condotte che si concretizzano in violazioni di obblighi dei quali è destinatario in modo specifico il solo titolare del trattamento e non ogni altro soggetto che si trovi ad avere a che fare con i dati oggetto di trattamento senza essere dotato di relativi poteri decisionali”.

Detta linea interpretativa è applicabile anche alla figura dell’hosting provider, così come delineato dall’articolo 16 del Decreto Legislativo n. 70/2003, in presenza di specifiche condizioni esposte dalla stessa norma (veicolare i dati caricati dagli utenti senza effettuare alcun tipo di controllo sui medesimi, ovvero senza contribuire alla loro scelta, ricerca o formazione dei file che li contengano, nonché non essere effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita) e dall’articolo 17 del Decreto Legislativo n. 70/2003 (ovvero, per quanto qui interessa, informare senza indugio l’autorità qualora sia a conoscenza di presunte attività o informazioni illecite e fornire senza indugio all’autorità i dati che consentano l’identificazione dell’utente destinatario dei suoi servizi). In presenza di tali condizioni l’hosting provider non può essere considerato responsabile per le informazioni fornite dal destinatario del servizio prestato, ossia per i contenuti caricanti dall’utente del servizio.

La Corte aggiunge, inoltre, che il legislatore italiano, in conformità con la Direttiva 200/31/CE “ha inteso porre quali presupposti della responsabilità dei provider proprio la sua effettiva conoscenza dei dati, immessi dall’utente e l’eventuale inerzia nella rimozione delle informazioni da lui conosciute come illecite.

 Se ne desume, ai fini della ricostruzione interpretativa della figura del titolare del trattamento dei dati, che il legislatore ha inteso far coincidere il potere decisionale sul trattamento con la capacità di concretamente incidere su tali dati, che non può prescindere dalla conoscenza dei dati stessi. In altri termini, finché il dato illecito è sconosciuto al service provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso; quando, invece, il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni penali del Codice Privacy. In via generale, sono, dunque gli utenti ad essere titolari del trattamento dei dati personali di terzi ospitati nei servizi di hosting e non i gestori che si limitano a fornire servizi”.

Con encomiabile chiarezza espositiva – apprezzando la linea argomentativa della Corte d’appello – la  Cassazione afferma che l’hosting provider non può essere considerato originariamente quale titolare del trattamento e non ha obbligo di attivarsi per segnalare il rispetto della disciplina sulla privacy da parte dei soggetti che si avvalgono dei propri servizi. Del resto, secondo la Cassazione, l’articolo 17 del Decreto Legislativo 70/2003 – norma di chiusura in tema di responsabilità dei differenti tipi di provider che stabilisce l’assenza di un obbligo di controllo preventivo e tanto meno di ricerca attiva di illeciti – “individua il punto di equilibrio fra la libertà del provider e la tutela dei soggetti eventualmente danneggiati nella fissazione di obblighi di informazione all’autorità”.

È significativo che sia la Corte d’appello che la Cassazione abbiano ritenuto di richiamare la disciplina in materia di commercio elettronico (Decreto Legislativo 70/2003), considerandola come un utile ausilio per una corretta interpretazione e applicazione della disciplina privacy e, comunque, invocandola “non in via diretta ma solo in via interpretativa, al fine di chiarire ulteriormente e confermare la portata che la disciplina in materia di privacy ha già di per sé”. L’articolo 1, comma 2, lettera b) del Decreto Legislativo 70/2003 non deve essere interpretato nel senso che i  prestatori di servizi, tra cui appunto gli ISP, ai quali è rivolta la specifica disciplina del commercio elettronico, siano esenti dall’applicazione della normativa privacy perché destinatari delle specifiche disposizioni citate in quanto “[..]l’art. 1, comma 2, lett. b)  non ha di per sé la funzione di rendere inoperanti comunque in ogni fattispecie che riguardi la materia della protezione dei dati personali le norme in materia di commercio elettronico. Più semplicemente, detta clausola ha la funzione di chiarire che la tutela dei dati personali è disciplinata da un corpus normativo diverso da quello sul commercio elettronico; corpus normativo che rimane applicabile in ambito telematico anche in seguito all’emanazione della normativa sul commercio elettronico. Da ciò discende l’ovvia conseguenza che l’applicazione delle norme in materia di commercio elettronico deve avvenire in armonia con le norme in materia di dati personali; armonia perfettamente riscontrabile […] nell’ambito di responsabilità penale dell’Internet hosting provider relativamente ai dati sensibili caricati dagli utenti sulla sua piattaforma”.

Su queste basi e premesse la Cassazione ha ritenuti infondati i quattro motivi sollevati dal Procuratore.

In relazione al primo motivo, relativo al trattamento illecito dei dati, sulla qualifica di titolare del trattamento e sui relativi obblighi e responsabilità, la Corte – discostandosi parzialmente dalla lettura della Corte d’appello – ha affermato cheil caricamento di un video può configurare un trattamento di dati, in quanto, come stabilito da una propria pregressa decisione “il concetto di trattamento è assai ampio e prescinde dall’inserimento dei dati in una vera e propria banca-dati, potendosi concretizzare in qualunque operazione di utilizzazione e diffusione di tali dati, anche per mezzo di rappresentazione fotografica o di ripresa video”. Il trattamento di dati, inteso quale caricamento e diffusione di video sulla piattaforma, configura, inoltre, violazione dell’articolo 26, comma 5, Codice Privacy, che stabilisce l’assoluto divieto della diffusione dei dati idonei a rivelare lo stato di salute, anche qualora sia stato prestato il consenso dell’interessato.

Tuttavia, diversamente dal Tribunale di Milano, la Cassazione ritiene che i responsabili di tale violazione siano unicamente gli utenti che hanno caricato il video oggetto della vertenza, mentre è esclusa l’imputabilità di alcuna responsabilità per violazione del Codice Privacy in capo a Google perché “[…] è proprio la natura del servizio reso ad escludere anche la fondatezza del secondo dei rilievi svolti dal Procuratore generale nell’ambito del primo motivo di ricorso non essendo configurabile alcun obbligo generale di controllo in capo ai rappresentanti di Google Italy s.r.l., gestore del servizio stesso.”.

Avendo anticipato le motivazioni che hanno portato al rigetto del secondo motivo di ricorso (ovvero l’inapplicabilità della normativa sull’ecommerce e l’errata qualifica di Google quale hosting provider) soffermiamoci sul terzo motivo, in merito gli obblighi in materia di privacy che incombono sull’hosting provider.

In poche righe di motivazione, la Cassazione ricorda che: “nessun obbligo sussiste in capo al provider, non essendo questo, ma il singolo utente il responsabile del trattamento dei dati personali contenuti nel video caricato dall’utente stesso. E ciò, a prescindere dall’ulteriore analisi del quadro normativo, dalla quale emerge con chiarezza che l’eventuale violazione dell’articolo 13 del Codice Privacy è sanzionata in via meramente amministrativa dal successivo art. 161 e non rientra, invece, fra quelle sanzionate penalmente dall’art. 167 ”.

A ulteriore prova della scarsa dimestichezza del Procuratore generale con le nozioni e i concetti necessari per affrontare il caso di specie, la Cassazione stigmatizza il richiamo di una sentenza del tutto inconferente in materia di cessione di data base (Cassazione, Sentenza 24 maggio 2012, n.23798).

La Cassazione non si pronuncia, invece, sul quarto ed ultimo motivo del ricorso, ovvero sulla configurabilità dell’elemento soggettivo del reato, concludendo che: “I rilievi finora svolti conducono ad escludere in radice la configurabilità, sotto il profilo oggettivo, di una responsabilità penale dell’Internet host provider […]. E ciò, a prescindere dall’ulteriore considerazione che la mancata conoscenza, in capo al provider, del dato sensibile contenuto nel video caricato dagli utenti sul suo sito e la mancanza di un obbligo generale di sorveglianza inducono ad escludere comunque ˗ come ben evidenziato dalla Corte d’appello ˗ la rappresentazione e la conseguente volizione da parte degli imputati del fatti tipico, costituito dall’abusivo trattamento di tale dato”.

6. Riflessioni conclusive

Senza alcuna pretesa di esaustività, ma allo stesso tempo senza sottrarsi ai doveri del modesto annotatore di sentenze, vale la pena di riepilogare gli spunti del caso in questione che meritano un breve approfondimento.

a. L’andamento argomentativo della pronuncia di primo grado fa supporre che il Giudice abbia intuito la conclusione ultima del caso. Non si spiegano altrimenti certi passaggi che, si perdoni l’espressione, sembrano mettere le mani avanti e sembrano anticipare le ampiamente preventivabili e ragionevoli contestazioni, che, peraltro, sono state premiate già in secondo grado.

Purtuttavia o forse proprio a causa di questa ansia argomentativa, come anticipato a titolo di introduzione del presente scritto, la pronuncia di primo grado rappresenta un utile spunto per verificare la conformità al nostro ordinamento (civile, penale ed amministrativa) di un sito Internet, sul piano dell’attività svolta dal professionista e, soprattutto, del contenuto del medesimo. In altre parole, se è vero che “ad impossibilia nemo tenutur” – a meno di non auspicati revirement giurisprudenziali – è anche vero che l’asticella della diligenza di operatori e professionisti dovrebbe essere alzata, almeno a scopo cautelativo, in misura direttamente proporzionale alla maturità del consumatore medio. Si badi che può trattarsi di deformazione professionale di civilisti…

A distanza di anni dalla pronuncia di primo grado e a beneficio di coloro che non hanno avuto voglia/tempo di leggere le oltre cento pagine della medesima, pare opportuno ricordare che il Giudice ha riportato ampi stralci della corrispondenza telematica intercorsa tra gli apicali di Google, acquisita dal Pubblico Ministero. Sul piano delle mere suggestioni e a titolo di spunto per l’adozione di best practice interne, non si può fare a meno di notare che al ricorrere di casi così delicati sia opportuno raccomandare sobrietà, moderazione e circospezione. L’attenzione da porre nei messaggi interni, figuriamoci in quelli esterni, dovrebbe essere inversamente proporzionale al tempo che essi richiedono per raggiungere i destinatari.

b. Corte d’appello e Cassazione sposano l’orientamento dottrinario e giurisprudenziale, che sempre più va consolidandosi, secondo cui né dal Codice Privacy né dal Decreto Legislativo 70/2003 è dato evincere l’esistenza di (i) un obbligo generale di sorveglianza dei dati immessi da terzi in capo all’hosting provider; (ii) alcun obbligo sanzionato penalmente di informare il soggetto che ha immesso i dati dell’esistenza e della necessità di fare applicazione della normativa relativa al trattamento dei dati stessi. La conclusione è condivisibile, come pure il richiamo all’orientamento del Gruppo di lavoro istituito dall’art. 29 della direttiva 95/46/CE.

Non vi è dubbio, a parere di chi scrive, che in futuro le attenzioni degli utenti-interessati-clienti e della giurisprudenza si concentreranno sulla natura di provider e sulle concrete attività esercitate. Del resto, la stessa sentenza della Corte di Giustizia, resa nella causa C-131/12 richiamata dalla Cassazione, chiarisce che il fornitore di servizi “è riconducibile alla categoria dei titolari del trattamento di dati solo laddove incida direttamente sulla struttura degli indici di ricerca, ad esempio favorendo o rendendo più difficile il reperimento di un determinato sito”.

In altre parole, e non si vede come possa essere altrimenti, è dall’esame concreto delle attività espletate del provider, che se ne può desumere un ruolo “attivo” tale da determinarne la responsabilità penale. La Cassazione avrebbe forse potuto soffermarsi su questo punto, oggetto di sintetiche valutazioni in primo e secondo grado, esaminando l’attività di Google. Comunque, l’esito del giudizio non sarebbe mutato