x

x

Sui rischi della navigazione in Internet tra i flutti dei social network

 

 

Una recente decisione del Tribunale di Monza [1] - in tema di offesa all’onore ed alla reputazione per mezzo di un social network - offre lo spunto per svolgere una serie di considerazioni in merito ai rischi della navigazione in Internet; in particolare sulle conseguenze di un uso troppo disinibito della rete e degli strumenti che essa offre.

 

I – La libertà di comunicazione nell’era di Internet

Il crescente sviluppo dei social network – che connettono tra loro una pluralità indeterminata di individui[2] - se da una parte consente la rapida diffusione di nuove forme di comunicazione e circolazione di informazioni [3], d’altra parte facilita la commissione di condotte illecite (civilmente e penalmente rilevanti), riproponendo, amplificandole, alcune delle tematiche privatistiche che contrappongono la libertà di comunicazione e di manifestazione del pensiero alla tutela della riservatezza (ampiamente affrontate in materia di esercizio del diritto di cronaca a mezzo stampa [4]) e pone all’interprete nuove problematiche dalla soluzione incerta, vieppiù complicata dal fatto che il web è, nello stesso tempo, il mezzo più efficace per esprimere la personalità, in condizioni di assoluta libertà, e lo strumento che più di ogni altro può ledere, in maniera dirompente (e spesso irrimediabile), principi garantiti dall’ordinamento, quali la reputazione, l’onore e l’immagine.

 

II – Il fenomeno dei social network: Facebook

I social network sono delle comunità virtuali on line, a cui milioni di soggetti si iscrivono per scambiare tra loro messaggi, immagini e informazioni [5]. Facebook  è il prodotto più rappresentativo della categoria, oltre che il più diffuso [6]; dopo Google è il secondo sito più visitato al mondo.

Per iscriversi e partecipare alla community di Facebook, la procedura è semplicissima: dalla home page del sito (ad accesso libero), l’internauta entra in un’area dedicata alla registrazione, inserisce i propri dati personali e crea un profilo-utente, completandolo con immagini, video o altre informazioni che ritiene utili per arricchire la sua ‘bacheca’[7]. Terminata questa semplice operazione, il nuovo utente può iniziare la navigazione che, sostanzialmente, consiste nel cercare altri internauti (i c.d. amici) con i quali scambiare messaggi, tramite chat o e-mail, condividere informazioni, foto, video, links nonché costituire gruppi di interesse [8]. La concatenazione delle informazioni tra utenti avviene grazie ad un sistema di ‘tagging’: associare al messaggio il nome del destinatario o identificare i personaggi ripresi in una fotografia o un video [9]. Il ‘tag’ [10] è una porta aperta sul profilo dei soggetti ‘taggati’, che consente di accedere alla bacheca di questi ultimi e vederne il contenuto [11].

La visibilità dei dati dal 2010 è regolata dal livello di privacy impostato dai singoli utenti. Infatti, ogni internauta può scegliere, per ciascuna ‘categoria’ di informazioni del proprio profilo, tra uno dei quattro livelli di visibilità preimpostati dal gestore, rendendo così più o meno ampia la circolazione dei dati personali [12].

La cancellazione dalla community non è facile, giacché sulla pagina principale non è riportata alcuna indicazione in merito. Per poter recedere dal servizio, l’utente deve accedere all’interno dell’area ‘Impostazioni’ e seguire una procedura guidata. La richiesta di cancellazione dall’account, però, non comporta la rimozione dei dati personali inseriti, ma una semplice disattivazione: tutte le informazioni, infatti, sono mantenute in copia ‘nascosta’ nel server del gestore del network [13].

 

III - I rischi legati all’utilizzo dei social network

La scarsa trasparenza e l’ambiguità delle politiche di trattamento dei dati e delle condizioni di utilizzo dei servizi, l’inefficienza dei sistemi di controllo, l’enorme mole di informazioni veicolate dalle community nonché le infinite opportunità di etichettare immagini (associandole ai profili) rendono i social network una “no rights area [14], ove sia il legislatore che il giudice si muovono con difficoltà [15].

In questo contesto esistono, dunque, criticità intrinseche all’utilizzo delle community virtuali che possono essere ascritte a tre categorie. Alla prima sono riconducibili i pericoli legati alla pubblicazione dei dati personali [16], giacché l’inserimento delle informazioni nei server consente al gestore di creare un dossier digitale da utilizzare, all’insaputa dell’internauta, per le finalità più disparate (spam, pubblicità, iniziative di marketing, attacchi diretti alla persona, discriminazione, ecc....) che raramente corrispondono a quelle per le quali è stato prestato il consenso [17]. Alla seconda è ascrivibile il rischio associato allo sviluppo tecnologico: gli attuali strumenti informatici consentono, per esempio, l’identificazione del computer connesso alla rete attraverso l’indirizzo IP [18], la geolocalizzazione del cibernauta [19] nonché la mappatura dei gusti e degli interessi, il più delle volte in aperta violazione del diritto alla riservatezza. Alla terza categoria, infine, sono riconducibili i pericoli dovuti ad un utilizzo improprio del web da parte del privato, ad esempio per diffamare, offendere o ingiuriare qualcuno o diffondere notizie e immagini personali non autorizzate.

Per i pericoli compresi nella prima e seconda categoria (che non sono oggetto di analisi) lo strumento normativo di tutela può essere ricercato nel D. Lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali), che punisce l’omessa adozione di misure di sicurezza minime o adeguate per evitare intrusioni ed usi impropri o non consentiti delle informazioni, attraverso il ricorso ad un sistema di responsabilità simile a quello previsto e disciplinato dall’art.  2050 c.c.[20].

Per i rischi della terza categoria (cui appartiene la fattispecie analizzata dal Tribunale di Monza), invece, la natura extracontrattuale dell’illecito suggerisce il ricorso alla tutela aquiliana, in assenza di altri strumenti legislativi più moderni ed appropriati.

In proposito, va detto che la Conferenza internazionale delle Autorità di protezione dei dati personali, riunitasi nel 2008 a Strasburgo [21], dopo aver discusso dei rischi per la riservatezza connessi all’utilizzo dei social network, in conclusione dei lavori, ha individuato tre aree di miglioramento a tutela e salvaguardia della privacy all’interno delle community: legislativa, tecnica e comportamentale. In particolare, in merito al primo aspetto, ha auspicato un intervento dei legislatori nazionali per colmare le lacune normative all’interno dei singoli stati. Sul piano tecnico, invece, ha invitato i gestori dei social network a: a) proteggere più efficacemente i server centrali da eventuali intrusioni e furti di informazioni; b) consentire all’utente registrato di variare le impostazioni di visibilità del profilo, di recedere facilmente dal servizio e di cancellare definitivamente le informazioni pubblicate in precedenza; c) informare l’internauta, in modo corretto e trasparente, sulle conseguenze negative che potrebbero derivare alla sua privacy dalla pubblicazione di dati personali; d) richiedere sempre il consenso alla pubblicazione dei dati; e) rendere visibili le sole informazioni per le quali è stato prestato il consenso. Infine, in merito alla terza area di miglioramento, ha raccomandato agli utenti di selezionare i dati da inserire nel proprio ‘profilo’ (prestando una maggiore attenzione alla privacy dei c.d.‘amici’), di evitare di condividere in rete l’indirizzo e il numero telefonico di casa e di utilizzare, soprattutto se minorenni, uno pseudonimo [22].

 

IV – L’offesa all’onore a mezzo Facebook: la decisione del Tribunale di Monza

La decisione del Tribunale di Monza, citata in premessa, rappresenta uno dei primi interventi del giudice civile in materia [23]. Il Tribunale di Monza si misura con le delicate tematiche legate al risarcimento del danno conseguente alla diffusione di un messaggio diffamatorio a mezzo di Facebook e prende una posizione  che funge da apripista. Infatti, condanna al risarcimento dei danni civili, per lesione alla reputazione e all’onore, un giovane internauta resosi colpevole di aver indirizzato un messaggio offensivo ad altra utente della community virtuale di Facebook , visibile dal gruppo di c.d. ‘amici’ comuni. In particolare, il giudice nel risolvere la controversia: 1) riconduce la fattispecie nell’alveo di applicazione dell’art. 2043 c.c.; 2) imputa la condotta colposa all’autore del messaggio (facendo largo ricorso alla presunzione); 3) condanna quest’ultimo a risarcire il danno morale cagionato alla destinataria del messaggio; 4) esclude ogni responsabilità a carico del gestore del servizio.

Appare evidente lo sforzo espresso dal giudice per inquadrare la fattispecie e risolvere i problemi applicativi, dovuti in larga misura alla: a) lacunosità della disciplina a tutela della reputazione e dell’onore sul web, per lo più calibrata sull’editoria tradizionale a mezzo stampa [24]; 2) difficoltà di reperire una casistica giurisprudenziale in materia civile [25]; 3) ampiezza della condotta diffamatoria in campo civile (ove, diversamente da quanto accade in quello penale, assumono rilievo giuridico, ai fini risarcitori, anche le condotte diffamatorie colpose nonché le offese pronunciate alla presenza di una sola persona o a seguito di una provocazione [26]).

La soluzione fornita, però, appare carente e lascia qualche dubbio in merito all’imputabilità della condotta ed alla ricostruzione causale della fattispecie.

 

V – La (ir)responsabilità del gestore del servizio

In linea di principio la responsabilità di natura extracontrattuale, per diffusione di un messaggio diffamatorio, può colpire sia il gestore del servizio che l’internauta, a diverso titolo. Finora, però, ha prevalso il criterio che convoglia la responsabilità esclusivamente su colui che si presume abbia materialmente scritto il messaggio, ritenendo non imputabile il gestore della community [27], giacché nei termini e nelle condizioni di offerta del servizio - accettati dall’utente all’atto della registrazione - non vi è l’obbligo, a carico del gestore, di valutare la potenziale ed eventuale lesività dei contenuti delle pubblicazioni. Pertanto, laddove per mezzo del social network un utente registrato diffonda un messaggio che lede l’altrui reputazione, nessuna responsabilità può essere ascritta al gestore per la mediazione offerta e per l’omissione di controllo [28]. In definitiva, come spiega nella sentenza il giudice di Monza, “gli utenti che decidono di aderire a Facebook sono ben consci non solo delle grandi possibilità relazionali offerte dal servizio, ma anche delle potenziali esondazioni dei contenuti che vi inseriscono: rischio in una certa misura indubbiamente accettato e consapevolmente vissuto sotto il profilo dell’assunzione di responsabilità”. Vale a dire che l’adesione alle condizioni di utilizzo rese note dal social network è da intendere – da una parte -come una rinuncia all’esercizio di un’azione di responsabilità verso il gestore del servizio, per omesso controllo del contenuto dei messaggi mediati attraverso la piattaforma informatica gestita e – da altra parte-  accettazione del rischio di essere diffamato o ingiuriato. [29]

 

VI - La responsabilità dell’autore del messaggio

Dopo aver escluso la responsabilità del gestore del servizio, al giudice di Monza non è restata altra soluzione che imputare la condotta al presunto autore del messaggio lesivo, riconducendo la fattispecie nell’alveo d’applicazione dell’art. 2043 c.c.. 

In termini astratti, la ricostruzione fornita dal giudice appare corretta, a condizione che l’autore del messaggio sia identificato; in caso contrario sembra limitiva, giacché  il sistema probatorio previsto dall’art. 2043 potrebbe rendere difficoltoso, se non impossibile, imputare la condotta ad un responsabile, lasciando, così, il danno privo di risarcimento. In altre parole, in tutti i casi in cui l’autore del messaggio resti anonimo, il ricorso all’art. 2043 potrebbe risultare vano: se il danneggiato non identifica l’autore dell’illecito, non può imputargli la condotta, né può provare l’elemento soggettivo (cioè il dolo o la colpa). Senza contare che il rigido regime previsto dalla norma rende difficoltosa la prova anche in presenza di un autore del messaggio identificato, se non facendo largo ricorso alla presunzione (come attesta il processo motivazionale seguito dal giudice nella sentenza in esame).

Per non correre il rischio di lasciare privo di risarcimento l’utente diffamato (nel caso in cui l’autore del messaggio resti anonimo), è auspicabile, anche in questo caso, cercare un percorso alternativo per accordare una maggiore tutela all’illecito telematico. E l’art. 2051 c.c. [30], sembra fornire un ottimo compromesso: consente, infatti, di sanzionare con la pena civile del risarcimento il ‘custode’ della ‘cosa’ (alias il proprietario/utilizzatore del computer o l’intestatario dell’utenza telefonica dal quale o dalla quale sono stati inviati i messaggi lesivi), nel caso in cui non sia possibile individuare l’autore materiale dell’offesa, e quest’ultimo, laddove il ‘custode’ sia in grado di identificarlo: ciò in virtù del rapporto che lega colui che esercita un potere sulla cosa (computer o modem)[31] e la ‘cosa’ stessa, a prescindere dalla valutazione della condotta [32].

Il fondamento della responsabilità ex art. 2051, infatti, è il rapporto che lega il soggetto al bene e non il potere esercitato su di essa o la culpa in vigilando. La norma, infatti, non impone obblighi in capo al ‘custode’, lo vincola soltanto al risarcimento dei danni, qualora dalla ‘cosa’ derivi un pregiudizio a terzi, “salvo che provi il caso fortuito”. In termini generali, la prova liberatoria si risolve nel dimostrare che una causa sopravvenuta ha interrotto il rapporto che lega il ‘custode’ alla ‘cosa’ ovvero il nesso causale tra quest’ultima e il danno[33].

In pratica, l’utente offeso deve fornire la prova della derivazione causale del messaggio da un computer determinato o da un’utenza telefonica individuata; mentre il ‘custode’ (detentore del computer o intestatario della linea telefonica) deve dimostrare che la ‘cosa’ è stata mera occasione del danno (ad es. denunciando l’autore del messaggio). Le due prove sono legate da un vincolo imprescindibile: la funzione di garanzia della norma. Pertanto, l’esame della prima va condotta parallelamente all’indagine sulla seconda[34].

In altri termini, l’identificazione dell’autore dell’offesa vale a dimostrare che il computer è stato il mezzo del quale si è servita un’autonoma azione pregiudizievole per produrre il danno. In assenza di tale identificazione, la causa dell’offesa resta ignota e, pertanto, la responsabilità ricade sul ‘custode’, in quanto la partecipazione della ‘cosa’ al danno non viene esclusa e non vi è alcun elemento ad interrompere il nesso eziologico [35].

Si può pertanto sostenere che l’utente diffamato è gravato dal solo onere di provare che la cosa  rappresenta una condizione necessaria dell’evento, mentre incombe sul ‘custode’ la prova che  il computer si è inserito nella serie causale, come un elemento privo di autonomia, in quanto la catena eziologica è da ricondurre ad altri (autore dell’offesa). Ove l’autore del messaggio non fosse identificabile, il danno va riferito causalmente al custode, poiché la causa sopravvenuta resta ignota.  

Alla motivazione addotta nella sentenza in epigrafe possono essere mosse alcune critiche:  a) fa ricorso ad una scriminante penalistica per negare la responsabilità del gestore, dimenticando che la ricostruzione della fattispecie civile è governata da principi e norme diverse da quelle che disciplinano analoga fattispecie in sede penale; b) ignora che l’antigiuridicità del fatto, in sede civile, può essere esclusa soltanto se ricorre una delle due cause di giustificazione previste dal codice civile: legittima difesa e, entro certi limiti, stato di necessità, dacché manca nel sistema della responsabilità aquiliana una disciplina delle esimenti (contrariamente a quanto avviene nel codice penale), e altre cause di giustificazioni non contemplate dal codice non rilevano [36]; c) la dichiarazione di manleva sottoscritta dall’utente all’atto della registrazione può valere in campo contrattuale, non anche quello extracontrattuale [37].

Orbene, con l’intento di ampliare la sfera del danno risarcibile a tal punto da includere anche la responsabilità del gestore della community virtuale[38] per c.d. rischio d’impresa[39] - visto che in linea di principio è colui che trae il maggior profitto dall’uso del servizio[40] - si possono  abbozzare, non senza forzature (sia ben inteso),  almeno 3 ipotesi alternative di responsabilità: ex art. 2043 c.c. per colpa omissiva ‘impropria’, art. 2050 per esercizio di un’attività pericolosa o art. 2049 per fatto del dipendente addetto alla vigilanza e controllo. A patto che si abbandoni gradualmente la ricostruzione soggettiva della fattispecie, per tendere verso una lettura in chiave obiettiva della responsabilità del gestore[41].  

 

VII – Responsabilità del gestore per colpa omissiva ‘impropria’

Ai sensi dell’art. 2043 c.c. la responsabilità del gestore è difficile da provare sul piano soggettivo, dacché per chiamarlo a rispondere del fatto per culpa in vigilando gli si deve contestare di aver omesso di effettuare dei controlli che la legge gli imponeva di compiere. Tale affermazione è condivisibile se l’interprete opta per una ricostruzione della fattispecie fondata sul criterio di imputazione della condotta per colpa omissiva ‘propria’; al contrario, se sposa una lettura basata sulla c.d. colpa omissiva ‘impropria’, potrebbe giungere a conclusioni diametralmente opposte.

Per meglio intendere i termini del problema, va ricordato che la responsabilità per fatto omissivo può essere di 2 tipi, ‘propria’ o ‘impropria’: la prima va intesa “come mancanza di un comportamento che l’agente aveva l’obbligo giuridico di tenere”, la seconda  “come mancanza di un comportamento che l’agente aveva la possibilità di tenere, così da prevenire l’evento” [42]. Nella responsabilità del primo tipo, quindi, l’obbligo giuridico di agire è dettato da una legge; in quella del secondo, invece, è da ricercare nelle norme di condotta morali e nella diligenza del buon senso.

La dottrina prevalente tende a preferire la prima alla seconda, in quanto “ … riscontra … nella colpa omissiva una forma particolare di colpa specifica che dà luogo ad una specie di illecito tipico”, giacché “ la proposizione in ambito aquiliano della regola codificata nell’art. 40 c.p. porta a ritenere responsabile dell’omissione solo colui che doveva agire; ciò in omaggio al rapporto libertà-responsabilità dal quale si evince che la inattività di un soggetto deve essere maggiormente tutelata rispetto al rischio derivante dalla sua azione”. [43] Per conseguenza, per i sostenitori di questa corrente di pensiero, la fonte dell’obbligo giuridico deve essere legale; e l’interprete deve prescindere dal considerare norme di condotta morali che potrebbero estendersi fin al punto di imporre a chiunque l’obbligo di attivarsi [44].

Ora, considerato che il legislatore, fatta qualche rara eccezione [45], non ha previsto un obbligo giuridico di controllo a carico dei gestori e che sembra eticamente (oltre che socialmente ed economicamente) corretto chiamare a rispondere del danno anche colui che trae maggior profitto dall’attività, non resta che abbandonare la strada segnata dalla dottrina maggioritaria, per percorre quella parallela indicata dalla giurisprudenza, che equipara (ripeto) la condotta omissiva a quella commissiva, svuotando la prima del suo contenuto tipico [46] .

Quindi, nel tentativo di ricostruire la fattispecie in termini di condotta omissiva ‘impropria’, per imputare al gestore una condotta negligente, gli si deve rimproverare di non aver osservato, pur potendolo, tutte le necessarie misure preventive atte a scongiurare pericoli agli utenti, ovvero di non aver adottato le precauzione più opportune per evitare il diffondersi di messaggi offensivi, in una situazione che richiede un esercizio particolarmente stringente dei poteri di controllo. In altre parole, al gestore del servizio va contestato: a) di non aver adottato le cautele più opportune dettate dalla specificità del fatto concreto (ad esempio, non aver installato sui server idonei ‘filtri’, suggeriti dalla tecnologia); b) di aver omesso di adottare un comportamento che la specificità della situazione avrebbe dovuto suggerire all’agente di tenere (vale a dire, aver omesso di fornire una informazione corretta, chiara e puntuale sui rischi connessi all’uso del web); c) di non aver seguito una regole di condotta comunemente osservata in casi analoghi (ovvero non aver effettuato un efficiente controllo preventivo dei dati immessi nella rete, come fa, ad esempio, l’editore prima di mandare in stampa una rivista); d) di non aver osservato le regole suggerite dall’esperienza  e dal buon senso, ricavate da giudizi ripetuti nel tempo sulla attitudine di determinati comportamenti a causare danni a terzi (come, monitorare continuamente i dati immessi in rete per poter cancellare immediatamente i messaggi illeciti) . La violazione, anche di uno solo, di questi obblighi comporta una responsabilità per colpa del gestore, che va provata dal danneggiato e accertata dal giudice di merito, caso per caso, tenendo conto della specificità della fattispecie[47].

Dalla sintetica indagine svolta sin’ora, si può dedurre che una ricostruzione in termini di condotta omissiva ‘impropria’, pur allargando la sfera del danno risarcibile, presenta un punto debole: non opera la c.d. inversione dell’onere della prova a carico del soggetto leso, rendendo debole l’efficacia riparatoria della fattispecie. Invero, il danneggiato per ottenere il risarcimento ha il difficile compito di dimostrare la condotta negligente del gestore (il che presuppone che abbia accesso alle modalità interne di organizzazione del servizio) e il nesso che intercorre tra questa e il danno. Orbene, per non correre il rischio di mancare l’obiettivo prefissato (fornire maggiore tutela alla parte debole del sistema) è inevitabile, a questo punto, abbandonare il criterio soggettivo di imputazione della responsabilità per avventurarsi nel campo della responsabilità oggettiva, prendendo ad esempio le scelte fatte dal legislatore e dalla dottrina in situazioni analoghe.  

 

VIII – La gestione di un social network intesa come attività pericolosa

L’ampia diffusione delle community virtuali, la facilità d’accesso al servizio, la concatenazione di informazioni e l’uso che dei dati lo stesso gestore compie (es. creazione di dossier digitali, indagini di mercato, indirizzari di ricerca sul web, ecc.) inducono a ritenere che sia più opportuno che il gestore si conformi ad uno standard di diligenza più elevato di quello medio, sino ad adottare “tutte le misure idonee a evitare il danno” [48].

Invero, dall’imporre al gestore del servizio un livello di diligenza specifico (superiore a quello ordinario), al riconoscere la pericolosità dell’attività, il passo è breve; anzi, sembra una logica conseguenza.

Lo stesso legislatore, nel dettare il regime risarcitorio da applicare in caso di violazione del dovere di protezione dei dati personali, richiama la disciplina dettata dall’art. 2050 c.c.. Infatti, l’art. 15 del D. Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) stabilisce testualmente che “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento del danno ai sensi dell’art. 2050 c.c.”. Dal tenore letterale della norma si evince che la legge riconosce la connaturata pericolosità dell’attività di trattamento dei dati[49] - giacché riguarda “dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali “ (art. 1 del D. Lgs. 196/2003) - e la sanziona facendo ricorso ad un criterio quasi obiettivo di imputazione della responsabilità[50].

Le considerazioni sulla rischiosità dello strumento informatico e sui pericoli che esso nasconde (già ampiamente trattati nei paragrafi che precedono), suggerirebbero di seguire la strada tracciata dal legislatore del 2003 ed applicare anche al caso di specie il criterio d’imputazione della responsabilità disciplinato dall’art. 2050. Invero, è logico ritenere, oltre che statisticamente provato, che attraverso l’uso dello strumento informatico, e in particolar modo dei social network, in nome della libera circolazione dell’informazione, aumentano, in maniera esponenziale, le probabilità di ledere la reputazione e l’onore, di violare la riservatezza e di diffondere informazioni e dati personali, oltre la volontà dell’utente. [51]

La pericolosità dell’attività informatica non è un elemento meramente accidentale, ma un dato caratteristico dell’attività. In altre parole, non si tratta di un’attività normalmente innocua che assume i caratteri della pericolosità a seguito della condotta imprudente, imperita o negligente di colui che la esercita; ma, bensì, di un’attività intrinsecamente e potenzialmente dannosa, per l’alta percentuale di rischi connessi e connaturati al suo utilizzo: la pericolosità non risiede nell’elemento soggettivo ma in quello oggettivo.

Come ho già sostenuto nella parte iniziale del III paragrafo, la scarsa trasparenza e l’ambiguità delle politiche di trattamento dei dati e delle condizioni di utilizzo dei servizi telematici, l’enorme mole di informazioni che veicolano le community, l’inefficienza dei sistemi di controllo, l’indicizzazione dei dati e delle immagini su motori di ricerca e piattaforme esterne ai social network nonché l’uso spesso non autorizzato ed illecito che viene fatto dei dati, rendono l’attività “per sua natura” pericolosa (come ha implicitamente affermato anche la Conferenza internazionale delle Autorità di protezione dei dati personali, riunitasi nel 2008 a Strasburgo per analizzare i rischi legati allo sviluppo informatico) e potenzialmente lesiva di diritti fondamentali.

La lettura della fattispecie nella chiave ora prospettata consente di centrare uno degli obiettivi mancati dalla ricostruzione soggettiva della fattispecie: la inversione dell’onere probatorio. Infatti il compito del danneggiato si risolve nella dimostrazione di una causalità generica ovvero del rapporto che lega il danno all’oggettiva pericolosità dell’attività[52]. La prova non è rigorosa, dacché “la sussistenza del rapporto causale è frutto del concorso dell’attività probatoria di entrambe le parti in causa [danneggiato e danneggiante]: potrà dirsi raggiunta solo se l’esercente [l’attività pericolosa] non riesca a fornire la dimostrazione di aver adottato tutte le misure idonee ad evitare il danno”[53]. Quindi, al danneggiato sarà sufficiente dedurre in giudizio la pericolosità connaturata dell’attività informatica, desumendola dai suoi rischi intrinseci, diffusamente riconosciuti. 

La prova liberatoria, che invece spetta al gestore, consiste nel contestare la desunta pericolosità dell’attività oppure nel provare che il danno non è in rapporto con la gestione del servizio informatico, poiché sono state adottate tutte le misure di sicurezza idonee a scongiurare un possibile evento lesivo (es. filtri d’accesso, controllo preventivo dei dati, blocco delle indicizzazioni automatiche dei profili su motori di ricerca; cancellazione delle informazioni non autorizzate, adozione di protocolli certificati, protezioni dei dati in uscita, acquisizione del consenso, pronta rimozione dei messaggi offensivi, cancellazione dei profili illeciti, ecc.). La diligenza nell’esercizio dell’attività non rileva, giacché la ricostruzione obiettiva della fattispecie porta a equiparare, nella sostanza, la prova “di aver adottato tutte le misure idonee a evitare il danno” alla dimostrazione della sussistenza del “caso fortuito”[54]. E, nel caso fortuito, com’è noto, rientra anche il fatto del terzo, ovvero l’autore del messaggio (nel caso in esame). In particolare, il fatto di quest’ultimo, per avere efficacia liberatoria, deve essere causa da sola sufficiente a provocare il danno ovvero deve vincere casualmente la resistenza opposta dalle misure tecniche preventive che il gestore del servizio ha adottato[55]. In caso contrario, la responsabilità del gestore concorre con quella dell’autore del messaggio, poiché la funzione di garanzia prevista dall’art. 2055 c.c. spinge ad affermare che in presenza di “una pluralità di fatti imputabili a più persone, coevi o successivi nel tempo, a tutti deve essere riconosciuta un’efficacia causativa del danno, se abbiano determinato una situazione tale che, senza l’uno o l’altro di essi, l’evento non si sarebbe verificato”[56]. In altre parole, il gestore per superare la presunzione di responsabilità deve provare che le misure adottate  (per filtrare, controllare, monitorare e rimuovere i contenuti illeciti immessi in rete) sono al passo con lo sviluppo tecnologico e che l’autore del messaggio ha eluso con particolare perizia tali misure.  

 

IX – Responsabilità del gestore per fatto del dipendente

La potenziale pericolosità dell’attività telematica, la difficile prova di aver adottato “tutte le misure idonee a evitare il danno” e la diffusione planetaria di Internet, inducono l’interprete a spingersi oltre una ricostruzione soggettiva o quasi oggettiva della fattispecie, per approdare (con qualche difficoltà ed accettando qualche compromesso) ad una responsabilità pienamente obiettiva. E l’art. 2049

 

 

Una recente decisione del Tribunale di Monza [1] - in tema di offesa all’onore ed alla reputazione per mezzo di un social network - offre lo spunto per svolgere una serie di considerazioni in merito ai rischi della navigazione in Internet; in particolare sulle conseguenze di un uso troppo disinibito della rete e degli strumenti che essa offre.

 

I – La libertà di comunicazione nell’era di Internet

Il crescente sviluppo dei social network – che connettono tra loro una pluralità indeterminata di individui[2] - se da una parte consente la rapida diffusione di nuove forme di comunicazione e circolazione di informazioni [3], d’altra parte facilita la commissione di condotte illecite (civilmente e penalmente rilevanti), riproponendo, amplificandole, alcune delle tematiche privatistiche che contrappongono la libertà di comunicazione e di manifestazione del pensiero alla tutela della riservatezza (ampiamente affrontate in materia di esercizio del diritto di cronaca a mezzo stampa [4]) e pone all’interprete nuove problematiche dalla soluzione incerta, vieppiù complicata dal fatto che il web è, nello stesso tempo, il mezzo più efficace per esprimere la personalità, in condizioni di assoluta libertà, e lo strumento che più di ogni altro può ledere, in maniera dirompente (e spesso irrimediabile), principi garantiti dall’ordinamento, quali la reputazione, l’onore e l’immagine.

 

II – Il fenomeno dei social network: Facebook

I social network sono delle comunità virtuali on line, a cui milioni di soggetti si iscrivono per scambiare tra loro messaggi, immagini e informazioni [5]. Facebook  è il prodotto più rappresentativo della categoria, oltre che il più diffuso [6]; dopo Google è il secondo sito più visitato al mondo.

Per iscriversi e partecipare alla community di Facebook, la procedura è semplicissima: dalla home page del sito (ad accesso libero), l’internauta entra in un’area dedicata alla registrazione, inserisce i propri dati personali e crea un profilo-utente, completandolo con immagini, video o altre informazioni che ritiene utili per arricchire la sua ‘bacheca’[7]. Terminata questa semplice operazione, il nuovo utente può iniziare la navigazione che, sostanzialmente, consiste nel cercare altri internauti (i c.d. amici) con i quali scambiare messaggi, tramite chat o e-mail, condividere informazioni, foto, video, links nonché costituire gruppi di interesse [8]. La concatenazione delle informazioni tra utenti avviene grazie ad un sistema di ‘tagging’: associare al messaggio il nome del destinatario o identificare i personaggi ripresi in una fotografia o un video [9]. Il ‘tag’ [10] è una porta aperta sul profilo dei soggetti ‘taggati’, che consente di accedere alla bacheca di questi ultimi e vederne il contenuto [11].

La visibilità dei dati dal 2010 è regolata dal livello di privacy impostato dai singoli utenti. Infatti, ogni internauta può scegliere, per ciascuna ‘categoria’ di informazioni del proprio profilo, tra uno dei quattro livelli di visibilità preimpostati dal gestore, rendendo così più o meno ampia la circolazione dei dati personali [12].

La cancellazione dalla community non è facile, giacché sulla pagina principale non è riportata alcuna indicazione in merito. Per poter recedere dal servizio, l’utente deve accedere all’interno dell’area ‘Impostazioni’ e seguire una procedura guidata. La richiesta di cancellazione dall’account, però, non comporta la rimozione dei dati personali inseriti, ma una semplice disattivazione: tutte le informazioni, infatti, sono mantenute in copia ‘nascosta’ nel server del gestore del network [13].

 

III - I rischi legati all’utilizzo dei social network

La scarsa trasparenza e l’ambiguità delle politiche di trattamento dei dati e delle condizioni di utilizzo dei servizi, l’inefficienza dei sistemi di controllo, l’enorme mole di informazioni veicolate dalle community nonché le infinite opportunità di etichettare immagini (associandole ai profili) rendono i social network una “no rights area [14], ove sia il legislatore che il giudice si muovono con difficoltà [15].

In questo contesto esistono, dunque, criticità intrinseche all’utilizzo delle community virtuali che possono essere ascritte a tre categorie. Alla prima sono riconducibili i pericoli legati alla pubblicazione dei dati personali [16], giacché l’inserimento delle informazioni nei server consente al gestore di creare un dossier digitale da utilizzare, all’insaputa dell’internauta, per le finalità più disparate (spam, pubblicità, iniziative di marketing, attacchi diretti alla persona, discriminazione, ecc....) che raramente corrispondono a quelle per le quali è stato prestato il consenso [17]. Alla seconda è ascrivibile il rischio associato allo sviluppo tecnologico: gli attuali strumenti informatici consentono, per esempio, l’identificazione del computer connesso alla rete attraverso l’indirizzo IP [18], la geolocalizzazione del cibernauta [19] nonché la mappatura dei gusti e degli interessi, il più delle volte in aperta violazione del diritto alla riservatezza. Alla terza categoria, infine, sono riconducibili i pericoli dovuti ad un utilizzo improprio del web da parte del privato, ad esempio per diffamare, offendere o ingiuriare qualcuno o diffondere notizie e immagini personali non autorizzate.

Per i pericoli compresi nella prima e seconda categoria (che non sono oggetto di analisi) lo strumento normativo di tutela può essere ricercato nel D. Lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali), che punisce l’omessa adozione di misure di sicurezza minime o adeguate per evitare intrusioni ed usi impropri o non consentiti delle informazioni, attraverso il ricorso ad un sistema di responsabilità simile a quello previsto e disciplinato dall’art.  2050 c.c.[20].

Per i rischi della terza categoria (cui appartiene la fattispecie analizzata dal Tribunale di Monza), invece, la natura extracontrattuale dell’illecito suggerisce il ricorso alla tutela aquiliana, in assenza di altri strumenti legislativi più moderni ed appropriati.

In proposito, va detto che la Conferenza internazionale delle Autorità di protezione dei dati personali, riunitasi nel 2008 a Strasburgo [21], dopo aver discusso dei rischi per la riservatezza connessi all’utilizzo dei social network, in conclusione dei lavori, ha individuato tre aree di miglioramento a tutela e salvaguardia della privacy all’interno delle community: legislativa, tecnica e comportamentale. In particolare, in merito al primo aspetto, ha auspicato un intervento dei legislatori nazionali per colmare le lacune normative all’interno dei singoli stati. Sul piano tecnico, invece, ha invitato i gestori dei social network a: a) proteggere più efficacemente i server centrali da eventuali intrusioni e furti di informazioni; b) consentire all’utente registrato di variare le impostazioni di visibilità del profilo, di recedere facilmente dal servizio e di cancellare definitivamente le informazioni pubblicate in precedenza; c) informare l’internauta, in modo corretto e trasparente, sulle conseguenze negative che potrebbero derivare alla sua privacy dalla pubblicazione di dati personali; d) richiedere sempre il consenso alla pubblicazione dei dati; e) rendere visibili le sole informazioni per le quali è stato prestato il consenso. Infine, in merito alla terza area di miglioramento, ha raccomandato agli utenti di selezionare i dati da inserire nel proprio ‘profilo’ (prestando una maggiore attenzione alla privacy dei c.d.‘amici’), di evitare di condividere in rete l’indirizzo e il numero telefonico di casa e di utilizzare, soprattutto se minorenni, uno pseudonimo [22].

 

IV – L’offesa all’onore a mezzo Facebook: la decisione del Tribunale di Monza

La decisione del Tribunale di Monza, citata in premessa, rappresenta uno dei primi interventi del giudice civile in materia [23]. Il Tribunale di Monza si misura con le delicate tematiche legate al risarcimento del danno conseguente alla diffusione di un messaggio diffamatorio a mezzo di Facebook e prende una posizione  che funge da apripista. Infatti, condanna al risarcimento dei danni civili, per lesione alla reputazione e all’onore, un giovane internauta resosi colpevole di aver indirizzato un messaggio offensivo ad altra utente della community virtuale di Facebook , visibile dal gruppo di c.d. ‘amici’ comuni. In particolare, il giudice nel risolvere la controversia: 1) riconduce la fattispecie nell’alveo di applicazione dell’art. 2043 c.c.; 2) imputa la condotta colposa all’autore del messaggio (facendo largo ricorso alla presunzione); 3) condanna quest’ultimo a risarcire il danno morale cagionato alla destinataria del messaggio; 4) esclude ogni responsabilità a carico del gestore del servizio.

Appare evidente lo sforzo espresso dal giudice per inquadrare la fattispecie e risolvere i problemi applicativi, dovuti in larga misura alla: a) lacunosità della disciplina a tutela della reputazione e dell’onore sul web, per lo più calibrata sull’editoria tradizionale a mezzo stampa [24]; 2) difficoltà di reperire una casistica giurisprudenziale in materia civile [25]; 3) ampiezza della condotta diffamatoria in campo civile (ove, diversamente da quanto accade in quello penale, assumono rilievo giuridico, ai fini risarcitori, anche le condotte diffamatorie colpose nonché le offese pronunciate alla presenza di una sola persona o a seguito di una provocazione [26]).

La soluzione fornita, però, appare carente e lascia qualche dubbio in merito all’imputabilità della condotta ed alla ricostruzione causale della fattispecie.

 

V – La (ir)responsabilità del gestore del servizio

In linea di principio la responsabilità di natura extracontrattuale, per diffusione di un messaggio diffamatorio, può colpire sia il gestore del servizio che l’internauta, a diverso titolo. Finora, però, ha prevalso il criterio che convoglia la responsabilità esclusivamente su colui che si presume abbia materialmente scritto il messaggio, ritenendo non imputabile il gestore della community [27], giacché nei termini e nelle condizioni di offerta del servizio - accettati dall’utente all’atto della registrazione - non vi è l’obbligo, a carico del gestore, di valutare la potenziale ed eventuale lesività dei contenuti delle pubblicazioni. Pertanto, laddove per mezzo del social network un utente registrato diffonda un messaggio che lede l’altrui reputazione, nessuna responsabilità può essere ascritta al gestore per la mediazione offerta e per l’omissione di controllo [28]. In definitiva, come spiega nella sentenza il giudice di Monza, “gli utenti che decidono di aderire a Facebook sono ben consci non solo delle grandi possibilità relazionali offerte dal servizio, ma anche delle potenziali esondazioni dei contenuti che vi inseriscono: rischio in una certa misura indubbiamente accettato e consapevolmente vissuto sotto il profilo dell’assunzione di responsabilità”. Vale a dire che l’adesione alle condizioni di utilizzo rese note dal social network è da intendere – da una parte -come una rinuncia all’esercizio di un’azione di responsabilità verso il gestore del servizio, per omesso controllo del contenuto dei messaggi mediati attraverso la piattaforma informatica gestita e – da altra parte-  accettazione del rischio di essere diffamato o ingiuriato. [29]

 

VI - La responsabilità dell’autore del messaggio

Dopo aver escluso la responsabilità del gestore del servizio, al giudice di Monza non è restata altra soluzione che imputare la condotta al presunto autore del messaggio lesivo, riconducendo la fattispecie nell’alveo d’applicazione dell’art. 2043 c.c.. 

In termini astratti, la ricostruzione fornita dal giudice appare corretta, a condizione che l’autore del messaggio sia identificato; in caso contrario sembra limitiva, giacché  il sistema probatorio previsto dall’art. 2043 potrebbe rendere difficoltoso, se non impossibile, imputare la condotta ad un responsabile, lasciando, così, il danno privo di risarcimento. In altre parole, in tutti i casi in cui l’autore del messaggio resti anonimo, il ricorso all’art. 2043 potrebbe risultare vano: se il danneggiato non identifica l’autore dell’illecito, non può imputargli la condotta, né può provare l’elemento soggettivo (cioè il dolo o la colpa). Senza contare che il rigido regime previsto dalla norma rende difficoltosa la prova anche in presenza di un autore del messaggio identificato, se non facendo largo ricorso alla presunzione (come attesta il processo motivazionale seguito dal giudice nella sentenza in esame).

Per non correre il rischio di lasciare privo di risarcimento l’utente diffamato (nel caso in cui l’autore del messaggio resti anonimo), è auspicabile, anche in questo caso, cercare un percorso alternativo per accordare una maggiore tutela all’illecito telematico. E l’art. 2051 c.c. [30], sembra fornire un ottimo compromesso: consente, infatti, di sanzionare con la pena civile del risarcimento il ‘custode’ della ‘cosa’ (alias il proprietario/utilizzatore del computer o l’intestatario dell’utenza telefonica dal quale o dalla quale sono stati inviati i messaggi lesivi), nel caso in cui non sia possibile individuare l’autore materiale dell’offesa, e quest’ultimo, laddove il ‘custode’ sia in grado di identificarlo: ciò in virtù del rapporto che lega colui che esercita un potere sulla cosa (computer o modem)[31] e la ‘cosa’ stessa, a prescindere dalla valutazione della condotta [32].

Il fondamento della responsabilità ex art. 2051, infatti, è il rapporto che lega il soggetto al bene e non il potere esercitato su di essa o la culpa in vigilando. La norma, infatti, non impone obblighi in capo al ‘custode’, lo vincola soltanto al risarcimento dei danni, qualora dalla ‘cosa’ derivi un pregiudizio a terzi, “salvo che provi il caso fortuito”. In termini generali, la prova liberatoria si risolve nel dimostrare che una causa sopravvenuta ha interrotto il rapporto che lega il ‘custode’ alla ‘cosa’ ovvero il nesso causale tra quest’ultima e il danno[33].

In pratica, l’utente offeso deve fornire la prova della derivazione causale del messaggio da un computer determinato o da un’utenza telefonica individuata; mentre il ‘custode’ (detentore del computer o intestatario della linea telefonica) deve dimostrare che la ‘cosa’ è stata mera occasione del danno (ad es. denunciando l’autore del messaggio). Le due prove sono legate da un vincolo imprescindibile: la funzione di garanzia della norma. Pertanto, l’esame della prima va condotta parallelamente all’indagine sulla seconda[34].

In altri termini, l’identificazione dell’autore dell’offesa vale a dimostrare che il computer è stato il mezzo del quale si è servita un’autonoma azione pregiudizievole per produrre il danno. In assenza di tale identificazione, la causa dell’offesa resta ignota e, pertanto, la responsabilità ricade sul ‘custode’, in quanto la partecipazione della ‘cosa’ al danno non viene esclusa e non vi è alcun elemento ad interrompere il nesso eziologico [35].

Si può pertanto sostenere che l’utente diffamato è gravato dal solo onere di provare che la cosa  rappresenta una condizione necessaria dell’evento, mentre incombe sul ‘custode’ la prova che  il computer si è inserito nella serie causale, come un elemento privo di autonomia, in quanto la catena eziologica è da ricondurre ad altri (autore dell’offesa). Ove l’autore del messaggio non fosse identificabile, il danno va riferito causalmente al custode, poiché la causa sopravvenuta resta ignota.  

Alla motivazione addotta nella sentenza in epigrafe possono essere mosse alcune critiche:  a) fa ricorso ad una scriminante penalistica per negare la responsabilità del gestore, dimenticando che la ricostruzione della fattispecie civile è governata da principi e norme diverse da quelle che disciplinano analoga fattispecie in sede penale; b) ignora che l’antigiuridicità del fatto, in sede civile, può essere esclusa soltanto se ricorre una delle due cause di giustificazione previste dal codice civile: legittima difesa e, entro certi limiti, stato di necessità, dacché manca nel sistema della responsabilità aquiliana una disciplina delle esimenti (contrariamente a quanto avviene nel codice penale), e altre cause di giustificazioni non contemplate dal codice non rilevano [36]; c) la dichiarazione di manleva sottoscritta dall’utente all’atto della registrazione può valere in campo contrattuale, non anche quello extracontrattuale [37].

Orbene, con l’intento di ampliare la sfera del danno risarcibile a tal punto da includere anche la responsabilità del gestore della community virtuale[38] per c.d. rischio d’impresa[39] - visto che in linea di principio è colui che trae il maggior profitto dall’uso del servizio[40] - si possono  abbozzare, non senza forzature (sia ben inteso),  almeno 3 ipotesi alternative di responsabilità: ex art. 2043 c.c. per colpa omissiva ‘impropria’, art. 2050 per esercizio di un’attività pericolosa o art. 2049 per fatto del dipendente addetto alla vigilanza e controllo. A patto che si abbandoni gradualmente la ricostruzione soggettiva della fattispecie, per tendere verso una lettura in chiave obiettiva della responsabilità del gestore[41].  

 

VII – Responsabilità del gestore per colpa omissiva ‘impropria’

Ai sensi dell’art. 2043 c.c. la responsabilità del gestore è difficile da provare sul piano soggettivo, dacché per chiamarlo a rispondere del fatto per culpa in vigilando gli si deve contestare di aver omesso di effettuare dei controlli che la legge gli imponeva di compiere. Tale affermazione è condivisibile se l’interprete opta per una ricostruzione della fattispecie fondata sul criterio di imputazione della condotta per colpa omissiva ‘propria’; al contrario, se sposa una lettura basata sulla c.d. colpa omissiva ‘impropria’, potrebbe giungere a conclusioni diametralmente opposte.

Per meglio intendere i termini del problema, va ricordato che la responsabilità per fatto omissivo può essere di 2 tipi, ‘propria’ o ‘impropria’: la prima va intesa “come mancanza di un comportamento che l’agente aveva l’obbligo giuridico di tenere”, la seconda  “come mancanza di un comportamento che l’agente aveva la possibilità di tenere, così da prevenire l’evento” [42]. Nella responsabilità del primo tipo, quindi, l’obbligo giuridico di agire è dettato da una legge; in quella del secondo, invece, è da ricercare nelle norme di condotta morali e nella diligenza del buon senso.

La dottrina prevalente tende a preferire la prima alla seconda, in quanto “ … riscontra … nella colpa omissiva una forma particolare di colpa specifica che dà luogo ad una specie di illecito tipico”, giacché “ la proposizione in ambito aquiliano della regola codificata nell’art. 40 c.p. porta a ritenere responsabile dell’omissione solo colui che doveva agire; ciò in omaggio al rapporto libertà-responsabilità dal quale si evince che la inattività di un soggetto deve essere maggiormente tutelata rispetto al rischio derivante dalla sua azione”. [43] Per conseguenza, per i sostenitori di questa corrente di pensiero, la fonte dell’obbligo giuridico deve essere legale; e l’interprete deve prescindere dal considerare norme di condotta morali che potrebbero estendersi fin al punto di imporre a chiunque l’obbligo di attivarsi [44].

Ora, considerato che il legislatore, fatta qualche rara eccezione [45], non ha previsto un obbligo giuridico di controllo a carico dei gestori e che sembra eticamente (oltre che socialmente ed economicamente) corretto chiamare a rispondere del danno anche colui che trae maggior profitto dall’attività, non resta che abbandonare la strada segnata dalla dottrina maggioritaria, per percorre quella parallela indicata dalla giurisprudenza, che equipara (ripeto) la condotta omissiva a quella commissiva, svuotando la prima del suo contenuto tipico [46] .

Quindi, nel tentativo di ricostruire la fattispecie in termini di condotta omissiva ‘impropria’, per imputare al gestore una condotta negligente, gli si deve rimproverare di non aver osservato, pur potendolo, tutte le necessarie misure preventive atte a scongiurare pericoli agli utenti, ovvero di non aver adottato le precauzione più opportune per evitare il diffondersi di messaggi offensivi, in una situazione che richiede un esercizio particolarmente stringente dei poteri di controllo. In altre parole, al gestore del servizio va contestato: a) di non aver adottato le cautele più opportune dettate dalla specificità del fatto concreto (ad esempio, non aver installato sui server idonei ‘filtri’, suggeriti dalla tecnologia); b) di aver omesso di adottare un comportamento che la specificità della situazione avrebbe dovuto suggerire all’agente di tenere (vale a dire, aver omesso di fornire una informazione corretta, chiara e puntuale sui rischi connessi all’uso del web); c) di non aver seguito una regole di condotta comunemente osservata in casi analoghi (ovvero non aver effettuato un efficiente controllo preventivo dei dati immessi nella rete, come fa, ad esempio, l’editore prima di mandare in stampa una rivista); d) di non aver osservato le regole suggerite dall’esperienza  e dal buon senso, ricavate da giudizi ripetuti nel tempo sulla attitudine di determinati comportamenti a causare danni a terzi (come, monitorare continuamente i dati immessi in rete per poter cancellare immediatamente i messaggi illeciti) . La violazione, anche di uno solo, di questi obblighi comporta una responsabilità per colpa del gestore, che va provata dal danneggiato e accertata dal giudice di merito, caso per caso, tenendo conto della specificità della fattispecie[47].

Dalla sintetica indagine svolta sin’ora, si può dedurre che una ricostruzione in termini di condotta omissiva ‘impropria’, pur allargando la sfera del danno risarcibile, presenta un punto debole: non opera la c.d. inversione dell’onere della prova a carico del soggetto leso, rendendo debole l’efficacia riparatoria della fattispecie. Invero, il danneggiato per ottenere il risarcimento ha il difficile compito di dimostrare la condotta negligente del gestore (il che presuppone che abbia accesso alle modalità interne di organizzazione del servizio) e il nesso che intercorre tra questa e il danno. Orbene, per non correre il rischio di mancare l’obiettivo prefissato (fornire maggiore tutela alla parte debole del sistema) è inevitabile, a questo punto, abbandonare il criterio soggettivo di imputazione della responsabilità per avventurarsi nel campo della responsabilità oggettiva, prendendo ad esempio le scelte fatte dal legislatore e dalla dottrina in situazioni analoghe.  

 

VIII – La gestione di un social network intesa come attività pericolosa

L’ampia diffusione delle community virtuali, la facilità d’accesso al servizio, la concatenazione di informazioni e l’uso che dei dati lo stesso gestore compie (es. creazione di dossier digitali, indagini di mercato, indirizzari di ricerca sul web, ecc.) inducono a ritenere che sia più opportuno che il gestore si conformi ad uno standard di diligenza più elevato di quello medio, sino ad adottare “tutte le misure idonee a evitare il danno” [48].

Invero, dall’imporre al gestore del servizio un livello di diligenza specifico (superiore a quello ordinario), al riconoscere la pericolosità dell’attività, il passo è breve; anzi, sembra una logica conseguenza.

Lo stesso legislatore, nel dettare il regime risarcitorio da applicare in caso di violazione del dovere di protezione dei dati personali, richiama la disciplina dettata dall’art. 2050 c.c.. Infatti, l’art. 15 del D. Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) stabilisce testualmente che “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento del danno ai sensi dell’art. 2050 c.c.”. Dal tenore letterale della norma si evince che la legge riconosce la connaturata pericolosità dell’attività di trattamento dei dati[49] - giacché riguarda “dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali “ (art. 1 del D. Lgs. 196/2003) - e la sanziona facendo ricorso ad un criterio quasi obiettivo di imputazione della responsabilità[50].

Le considerazioni sulla rischiosità dello strumento informatico e sui pericoli che esso nasconde (già ampiamente trattati nei paragrafi che precedono), suggerirebbero di seguire la strada tracciata dal legislatore del 2003 ed applicare anche al caso di specie il criterio d’imputazione della responsabilità disciplinato dall’art. 2050. Invero, è logico ritenere, oltre che statisticamente provato, che attraverso l’uso dello strumento informatico, e in particolar modo dei social network, in nome della libera circolazione dell’informazione, aumentano, in maniera esponenziale, le probabilità di ledere la reputazione e l’onore, di violare la riservatezza e di diffondere informazioni e dati personali, oltre la volontà dell’utente. [51]

La pericolosità dell’attività informatica non è un elemento meramente accidentale, ma un dato caratteristico dell’attività. In altre parole, non si tratta di un’attività normalmente innocua che assume i caratteri della pericolosità a seguito della condotta imprudente, imperita o negligente di colui che la esercita; ma, bensì, di un’attività intrinsecamente e potenzialmente dannosa, per l’alta percentuale di rischi connessi e connaturati al suo utilizzo: la pericolosità non risiede nell’elemento soggettivo ma in quello oggettivo.

Come ho già sostenuto nella parte iniziale del III paragrafo, la scarsa trasparenza e l’ambiguità delle politiche di trattamento dei dati e delle condizioni di utilizzo dei servizi telematici, l’enorme mole di informazioni che veicolano le community, l’inefficienza dei sistemi di controllo, l’indicizzazione dei dati e delle immagini su motori di ricerca e piattaforme esterne ai social network nonché l’uso spesso non autorizzato ed illecito che viene fatto dei dati, rendono l’attività “per sua natura” pericolosa (come ha implicitamente affermato anche la Conferenza internazionale delle Autorità di protezione dei dati personali, riunitasi nel 2008 a Strasburgo per analizzare i rischi legati allo sviluppo informatico) e potenzialmente lesiva di diritti fondamentali.

La lettura della fattispecie nella chiave ora prospettata consente di centrare uno degli obiettivi mancati dalla ricostruzione soggettiva della fattispecie: la inversione dell’onere probatorio. Infatti il compito del danneggiato si risolve nella dimostrazione di una causalità generica ovvero del rapporto che lega il danno all’oggettiva pericolosità dell’attività[52]. La prova non è rigorosa, dacché “la sussistenza del rapporto causale è frutto del concorso dell’attività probatoria di entrambe le parti in causa [danneggiato e danneggiante]: potrà dirsi raggiunta solo se l’esercente [l’attività pericolosa] non riesca a fornire la dimostrazione di aver adottato tutte le misure idonee ad evitare il danno”[53]. Quindi, al danneggiato sarà sufficiente dedurre in giudizio la pericolosità connaturata dell’attività informatica, desumendola dai suoi rischi intrinseci, diffusamente riconosciuti. 

La prova liberatoria, che invece spetta al gestore, consiste nel contestare la desunta pericolosità dell’attività oppure nel provare che il danno non è in rapporto con la gestione del servizio informatico, poiché sono state adottate tutte le misure di sicurezza idonee a scongiurare un possibile evento lesivo (es. filtri d’accesso, controllo preventivo dei dati, blocco delle indicizzazioni automatiche dei profili su motori di ricerca; cancellazione delle informazioni non autorizzate, adozione di protocolli certificati, protezioni dei dati in uscita, acquisizione del consenso, pronta rimozione dei messaggi offensivi, cancellazione dei profili illeciti, ecc.). La diligenza nell’esercizio dell’attività non rileva, giacché la ricostruzione obiettiva della fattispecie porta a equiparare, nella sostanza, la prova “di aver adottato tutte le misure idonee a evitare il danno” alla dimostrazione della sussistenza del “caso fortuito”[54]. E, nel caso fortuito, com’è noto, rientra anche il fatto del terzo, ovvero l’autore del messaggio (nel caso in esame). In particolare, il fatto di quest’ultimo, per avere efficacia liberatoria, deve essere causa da sola sufficiente a provocare il danno ovvero deve vincere casualmente la resistenza opposta dalle misure tecniche preventive che il gestore del servizio ha adottato[55]. In caso contrario, la responsabilità del gestore concorre con quella dell’autore del messaggio, poiché la funzione di garanzia prevista dall’art. 2055 c.c. spinge ad affermare che in presenza di “una pluralità di fatti imputabili a più persone, coevi o successivi nel tempo, a tutti deve essere riconosciuta un’efficacia causativa del danno, se abbiano determinato una situazione tale che, senza l’uno o l’altro di essi, l’evento non si sarebbe verificato”[56]. In altre parole, il gestore per superare la presunzione di responsabilità deve provare che le misure adottate  (per filtrare, controllare, monitorare e rimuovere i contenuti illeciti immessi in rete) sono al passo con lo sviluppo tecnologico e che l’autore del messaggio ha eluso con particolare perizia tali misure.  

 

IX – Responsabilità del gestore per fatto del dipendente

La potenziale pericolosità dell’attività telematica, la difficile prova di aver adottato “tutte le misure idonee a evitare il danno” e la diffusione planetaria di Internet, inducono l’interprete a spingersi oltre una ricostruzione soggettiva o quasi oggettiva della fattispecie, per approdare (con qualche difficoltà ed accettando qualche compromesso) ad una responsabilità pienamente obiettiva. E l’art. 2049