Tribunale di Milano: i responsabili di google hanno agito senza diligenza e buon senso
La nota vicenda della diffusione su Google Video nella sezione video divertenti di un video della durata di circa tre minuti e mezzo che ritraeva offese e gravi atti denigratori compiuti da un gruppo di studenti nei confronti di un ragazzo autistico, si è conclusa con la condanna del Presidente e di un componente del Consiglio di amministrazione (poi amministratori delegati) di Google Italia S.r.l. e del responsabile delle politiche sulla privacy per l’Europa di Google Inc. per violazione dell’articolo 167 del Codice Privacy in materia di trattamento di dati personali (sensibili).
Premesso che le oltre cento pagine di sentenza dovrebbero essere lette integralmente, ciò che forse tanti autorevoli commentatori della prima ora non hanno fatto, ci soffermiamo sui passaggi che reputiamo più significativi.
"L’IP (e cioè I’internet provider) che fornisca agli utenti un semplice servizio di interconnessione e che avvisi correttamente gli stessi degli obblighi di legge concernenti la privacy, non può essere considerato punibile se non controlla preventivamente l’ottemperanza da parte dell’utente all’obbligo di legge citato. "Ad impossibilia nemo tenetur", e cioè non è possibile imporre a qualcuno un obbligo a cui egli non è in grado di fare fronte con i normali mezzi a sua disposizione: sarebbe del tutto impossibile pretendere che un IP possa verificare che in tutti i migliaia di video che vengono caricati ogni momento sul suo sito web siano stati rispettati gli obblighi concernenti la privacy di tutti i soggetti negli stessi riprodotti.
E’ però necessario (ed è quindi legittimo richiedere il rispetto di tale comportamento) che l’IP fornisca agli utenti medesimi tutte le necessarie avvertenze in ordine al rispetto delle norme citate, con particolare attenzione a quelle che concernono la necessità di procurarsi l’obbligatorio consenso in ordine alla diffusione di dati personali sensibili. Esiste quindi, a parere di chi scrive, un obbligo NON di controllo preventivo dei dati immessi nel sistema, ma di corretta e puntuale informazione, da parte di chi accetti ed apprenda dati provenienti da terzi, ai terzi che questi dati consegnano. Lo impone non solo la norma di legge (art. 13 DL citato), ma anche il buon senso, nella particolare modulazione dello stesso che può applicarsi alla gestione di un sistema informatico.
...
Sulla base di tale interpretazione dovrebbe quindi ritenersi corresponsabile del reato di cui all’art. 167 DL citato, quel tipo di ISP che ( come nel caso in esame) non si limiti a fornire un semplice rapporto di interconnessione, ma, gestendo i dati in suo possesso, ne divenga in qualche modo "dominus" e quindi "titolare del trattamento" ai sensi di legge, con gli obblighi corrispondenti.
Deve dirsi che questo tipo di impostazione accusatoria da un Iato sembra richiedere un livello di approfondimento probatorio forse troppo elevato (quando un ISP può con certezza definirsi un hoster attivo quando può ritenersi esaurita la ricerca di quel quid pluris di cui parla la S.C.), dall’altra esclude dal novero dei potenziali responsabili tutte le numerose platee degli host providers che, come si è cercato di dimostrare, non sembrano poter sfuggire alle ricadute concorsuali delle condotte di reato evidenziate.
La normativa che punisce le violazioni del diritto d’autore non sembra, peraltro, di così facile trasportabilità nell’ambito del presente procedimento: l’oggetto della tutela, in quel caso, appare chiaramente ricollegabile alla mera condotta di caricamento del dato, di talchè l’eventuale "apprensione" del dato medesimo da parte dell’ISP (sotto forma di indicizzazione dello stesso o altro) costituisce di per sé un concorso nel reato preesistente; nel caso in esame, invece, la violazione della legge è, per così dire, più nascosta, o comunque occultata nelle pieghe di un possibile comportamento altrui, e non può essere quindi "trasportata" nelle mani del provider solo e soltanto perché il dato viene gestito o organizzato dallo stesso.
In parole più semplici il provider che indicizza dei testi coperti dal diritto d’autore che altri caricano e si scambiano, consentendone una commercializzazione più veloce e facile, certamente può essere ritenuto corresponsabile del reato contestato agli uploaders (così come indicato dalla S.C.); ma un provider che carica dei video contenenti dati sensibili di soggetti a cui non è stato richiesto il consenso e li organizza e gestisce non può essere ritenuto responsabile della mancata richiesta di consenso (nonostante la gestione dei dati in parola) se non viene provata la sua piena consapevolezza di tale mancanza; consapevolezza che, naturalmente può e deve derivarsi da una mancanza di segnali o di elementi significativi all’atto della prima comunicazione del caricamento.
A parere di chi scrive, comunque, il fatto che l’ISP faccia qualcosa di più del suo dovere di mero intermediatore (e cioè diventi un hoster attivo o un content provider, come anche può dirsi) è una volta provato, certamente un elemento importante ai fini della ricostruzione delle ipotesi di reato contestate o contestabili, ma non trasforma, sic et simpliciter, l’ISP in un immediato realizzatore dei possibili reati emergenti dai dati caricati: non esiste, a parere di chi scrive, perlomeno fino ad oggi, un obbligo di legge codificato che imponga agli ISP un controllo preventivo della innumerevole serie di dati che passano ogni secondo nelle maglie dei gestori o proprietari dei siti web, e non appare possibile ricavarlo aliunde superando d’un balzo il divieto di analogia in malam partem, cardine interpretativo della nostra cultura procedimentale penale.
Ma, d’altro canto, non esiste nemmeno la "sconfinata prateria di internet" dove tutto è permesso e niente può essere vietato, pena la scomunica mondiale del popolo del web. Esistono, invece, leggi che codificano comportamenti e che creano degli obblighi, obblighi che, ove non rispettati conducono al riconoscimento di una penale responsabilità. E’ pertanto ovvio che l’hoster attivo o il content provider che dir si voglia avrà certamente un livello di obblighi e di comportamenti più elevato di quello di un semplice host provider o service provider o access provider: lo rende inevitabile il suo diventare il "dominus" di dati che, per il solo fatto di essere organizzati e quindi selezionati e quindi "appresi" non sono più il flusso indistinto che non si conosce e che non si ha obbligo di conoscere; ma tale fatto, non crea una specie di effetto a catena che fa dell’hoster attivo automaticamente il corresponsabile di tutti i reati che gli uploaders hanno commesso comunicando e caricando i dati in loro possesso. In tutti questi casi varranno come in effetti valgono, le normali coordinate interpretative e valutative che si usano per ogni tipo di reato che il legislatore ha inteso codificare nel codice penale o nelle leggi complementari, sia da un punto di vista oggettivo che soggettivo.
E perciò, nel caso in esame, se è ben vero che un hoster attivo ( come nel caso Google Italy) ha sicuramente più elementi per poter riconoscere l’esistenza di un reato commesso da un singolo uploader, ed ha, inoltre, sicuramente degli obblighi che la legge gli impone per il trattamento dei dati sensibili dei soggetti che vengono "caricati" sul suo sito web, è altrettanto vero che non può essere imposto (perché irrealizzabile) allo stesso un obbligo generale e specifico di controllo su tutti i dati "sensibili" caricati (obbligo impossibile, se non altro, perché si imporrebbe ad un terzo la preventiva conoscenza di tutti i dati personali e particolari di tutte le persone che ogni momento “transitano" sul web); quello che, come si è detto, è imponibile allo stesso è un obbligo di corretta informazione agli utenti dei conseguenti obblighi agli stessi imposti dalla legge, del necessario rispetto degli stessi, dei rischi che si corrono non ottemperandoli (oltre che, naturalmente, l’obbligo di immediata cancellazione di quei dati e di quelle comunicazioni che risultassero correttamente segnalate come criminose).
E’ peraltro evidente, perlomeno a parere di chi scrive, che NON costituisce condotta sufficiente ai fini che la legge impone, "nascondere" le informazioni sugli obblighi derivanti dal rispetto della legge sulla privacy all’interno di "condizioni generali di servizio" il cui contenuto appare spesso incomprensibile, sia per il tenore delle stesse che per le modalità con le quali vengono sottoposte all’accettazione dell’utente; tale comportamento, improntato ad esigenze di minimalismo contrattuale e di scarsa volontà comunicativa, costituisce una specie di "precostituzione di alibi" da parte del soggetto/web e non esclude, quindi, una valutazione negativa della condotta tenuta nei confronti degli utenti.
Da questo punto di vista, tornando alla valutazione del caso concreto, non può dubitarsi dei seguenti elementi conoscitivi e probatori:
- Google Italy costituiva la limano operativa e commerciale di Google Inc. in Italia;
- Attraverso il sistema AD Words ed il riconoscimento di parole chiave, Google Italy aveva sicuramente la possibilità di collegare, attraverso la creazione di link pubblicitari, le informazioni riguardanti i clienti paganti alle schermate riguardanti Google Video, e quindi, in qualche modo, gestire, indicizzare, organizzare anche i dati contenuti in quest’ultimo sito;
- Google Italy quindi "trattava" i dati contenuti nei video caricati sulla piattaforma di Google Video e ne era quindi responsabile, perlomeno ai fini del DL sulla privacy;
- L’informativa sulla privacy visualizzabile per l’utente dalla pagina iniziale del servizio Google Video in sede di attivazione de! relativo account al fine di porre in essere il caricamento dei files da parte dell’utente medesimo era del tutto carente o comunque talmente "nascosta" nelle condizioni generali di contratto da risultare assolutamente inefficace per i fini previsti dalla legge.
- Si veda in questo senso l’annotazione di PG della GdF di Milano del 19 giugno 2008 (reperibili negli atti del PM faldone 11 n. 13 pagg. 462/490), alla quale sono stati allegati i "termini e condizioni di servizio di Google" i "termini e condizioni del programma di caricamento di Google Video" "i punti salienti delle norme sulla privacy di Google" datate 14 ottobre 2005, "le norme sulla privacy di Google" datate 14 ottobre 2005 agli indirizzi web ricollegati ai servizi in questione: tutte le informazioni comunicate all’utente relative alla Privacy fanno riferimento, senza possibilità di dubbio, alla tutela della privacy dell’utente medesimo, utente che accetta di sottoscrivere il contratto con Google e che carica il video (o qualsiasi altro dato o informazione) in suo possesso, senza fare alcun esplicito riferimento alla privacy di altre persone eventualmente presenti nel video o nel contenuto dell’uploading; è ben vero che al punto 9 dei "termini e condizioni del programma di caricamento di Google video" si chiede all’utente di garantire che il contenuto "autorizzato" che sta caricando non violi "diritti o obblighi verso qualsiasi persona, inclusi ...i diritti di privacy" ma l’avviso in questione, al di là della sua genericità ed astrattezza, è dato in modo "nascosto ed anonimo", quasi a garantirsi (come si è già detto) la presenza di un alibi in un eventuale momento successivo di contrasto. Ad assoluta riprova di quanto fin qui riferito, nel momento in cui I’utente più attento e testardo di altri avrebbe voluto compulsare "i punti salienti della normativa sulla privacy di Google" avrebbe scoperto, al punto 2 della medesima ("Quali sono i dati personali e gli altri dati che raccogliamo") che "Google raccoglie dati personali quando vi registrate per accedere ad un servizio di Google": non vi è chi non veda che chiunque legga questa frase non può che pensare ai "propri" dati personali e non certo a quelli delle persone incautamente citate o riprese nei "contenuti autorizzati",
- Il fine di profitto (richiesto dalla norma specificamente per la sussistenza del dolo) era, evidentemente, ricollegabile alla interazione commerciale ed operativa esistente tra Google Italy e Google Video, interazione derivante dalla operatività del sistema AD Words e dal collegamento esistente tra le keywords (parole chiave) utilizzate in quest’ultimo ed il sito web ospitante i video (vedi, sul punto, le precise risultanze di indagini effettuate dai PM e riportate nella parte iniziale della presente motivazione).
- Si vedano inoltre, ad ulteriore riprova di quanto fin qui riferito, le affermazioni di Google contenute nel punto 17 dei "termini di servizio e condizioni di contratto": "alcuni dei servizi sono finanziati dalle pubblicità e possono visualizzare pubblicità e promozioni. Queste pubblicità possono avere come oggetto il contenuto di informazioni memorizzate nei servizi ..." nonché il punto 3 dei "termini e condizioni del programma di caricamento di Google Video": "Google può rendere disponibile...uno o più link al sito web specificato dall’utente ...in relazione a qualsiasi messa a disposizione dei contenuti autorizzati, e rendere disponibili i link ai siti web di rivenditori commerciali di terzi in cui, eventualmente, è possibile acquistare i contenuti autorizzati".
- L’esistenza di tutti questi "indici rivelatori" di tipo fattuale e documentale dimostra, a parere di chi scrive, una chiara accettazione consapevole del rischio concreto di inserimento e divulgazione di dati, anche e soprattutto sensibili, che avrebbero dovuto essere oggetto di particolare tutela; non solo, ma anche dell’interesse economico ricollegabile a tale accettazione del rischio e della chiara consapevolezza di quest’ultimo.
In parole semplici: non è la scritta sul muro che costituisce reato per il proprietario del muro, ma il suo sfruttamento commerciale può esserlo, in determinati casi ed in presenza di determinate circostanze.
Per queste ragioni non può esservi dubbio in ordine al riconoscimento della responsabilità penale degli imputati in relazione al reato contestato sub B (illecito trattamento di dati personali e sensibili): le risultanze probatorie ottenute ed utilizza bili permettono la ricostruzione del fatto/reato così come contestato dai PM nel decreto di citazione diretta e ne impongono la conseguente valutazione di responsabilità penale in termini di colpevolezza".
(Tribunale Ordinario di Milano - Sezione Quarta Penale, Giudice Dott. Oscar Magi, Sentenza 24 febbraio - 12 aprile 2010, 1972).
Premesso che le oltre cento pagine di sentenza dovrebbero essere lette integralmente, ciò che forse tanti autorevoli commentatori della prima ora non hanno fatto, ci soffermiamo sui passaggi che reputiamo più significativi.
"L’IP (e cioè I’internet provider) che fornisca agli utenti un semplice servizio di interconnessione e che avvisi correttamente gli stessi degli obblighi di legge concernenti la privacy, non può essere considerato punibile se non controlla preventivamente l’ottemperanza da parte dell’utente all’obbligo di legge citato. "Ad impossibilia nemo tenetur", e cioè non è possibile imporre a qualcuno un obbligo a cui egli non è in grado di fare fronte con i normali mezzi a sua disposizione: sarebbe del tutto impossibile pretendere che un IP possa verificare che in tutti i migliaia di video che vengono caricati ogni momento sul suo sito web siano stati rispettati gli obblighi concernenti la privacy di tutti i soggetti negli stessi riprodotti.
E’ però necessario (ed è quindi legittimo richiedere il rispetto di tale comportamento) che l’IP fornisca agli utenti medesimi tutte le necessarie avvertenze in ordine al rispetto delle norme citate, con particolare attenzione a quelle che concernono la necessità di procurarsi l’obbligatorio consenso in ordine alla diffusione di dati personali sensibili. Esiste quindi, a parere di chi scrive, un obbligo NON di controllo preventivo dei dati immessi nel sistema, ma di corretta e puntuale informazione, da parte di chi accetti ed apprenda dati provenienti da terzi, ai terzi che questi dati consegnano. Lo impone non solo la norma di legge (art. 13 DL citato), ma anche il buon senso, nella particolare modulazione dello stesso che può applicarsi alla gestione di un sistema informatico.
...
Sulla base di tale interpretazione dovrebbe quindi ritenersi corresponsabile del reato di cui all’art. 167 DL citato, quel tipo di ISP che ( come nel caso in esame) non si limiti a fornire un semplice rapporto di interconnessione, ma, gestendo i dati in suo possesso, ne divenga in qualche modo "dominus" e quindi "titolare del trattamento" ai sensi di legge, con gli obblighi corrispondenti.
Deve dirsi che questo tipo di impostazione accusatoria da un Iato sembra richiedere un livello di approfondimento probatorio forse troppo elevato (quando un ISP può con certezza definirsi un hoster attivo quando può ritenersi esaurita la ricerca di quel quid pluris di cui parla la S.C.), dall’altra esclude dal novero dei potenziali responsabili tutte le numerose platee degli host providers che, come si è cercato di dimostrare, non sembrano poter sfuggire alle ricadute concorsuali delle condotte di reato evidenziate.
La normativa che punisce le violazioni del diritto d’autore non sembra, peraltro, di così facile trasportabilità nell’ambito del presente procedimento: l’oggetto della tutela, in quel caso, appare chiaramente ricollegabile alla mera condotta di caricamento del dato, di talchè l’eventuale "apprensione" del dato medesimo da parte dell’ISP (sotto forma di indicizzazione dello stesso o altro) costituisce di per sé un concorso nel reato preesistente; nel caso in esame, invece, la violazione della legge è, per così dire, più nascosta, o comunque occultata nelle pieghe di un possibile comportamento altrui, e non può essere quindi "trasportata" nelle mani del provider solo e soltanto perché il dato viene gestito o organizzato dallo stesso.
In parole più semplici il provider che indicizza dei testi coperti dal diritto d’autore che altri caricano e si scambiano, consentendone una commercializzazione più veloce e facile, certamente può essere ritenuto corresponsabile del reato contestato agli uploaders (così come indicato dalla S.C.); ma un provider che carica dei video contenenti dati sensibili di soggetti a cui non è stato richiesto il consenso e li organizza e gestisce non può essere ritenuto responsabile della mancata richiesta di consenso (nonostante la gestione dei dati in parola) se non viene provata la sua piena consapevolezza di tale mancanza; consapevolezza che, naturalmente può e deve derivarsi da una mancanza di segnali o di elementi significativi all’atto della prima comunicazione del caricamento.
A parere di chi scrive, comunque, il fatto che l’ISP faccia qualcosa di più del suo dovere di mero intermediatore (e cioè diventi un hoster attivo o un content provider, come anche può dirsi) è una volta provato, certamente un elemento importante ai fini della ricostruzione delle ipotesi di reato contestate o contestabili, ma non trasforma, sic et simpliciter, l’ISP in un immediato realizzatore dei possibili reati emergenti dai dati caricati: non esiste, a parere di chi scrive, perlomeno fino ad oggi, un obbligo di legge codificato che imponga agli ISP un controllo preventivo della innumerevole serie di dati che passano ogni secondo nelle maglie dei gestori o proprietari dei siti web, e non appare possibile ricavarlo aliunde superando d’un balzo il divieto di analogia in malam partem, cardine interpretativo della nostra cultura procedimentale penale.
Ma, d’altro canto, non esiste nemmeno la "sconfinata prateria di internet" dove tutto è permesso e niente può essere vietato, pena la scomunica mondiale del popolo del web. Esistono, invece, leggi che codificano comportamenti e che creano degli obblighi, obblighi che, ove non rispettati conducono al riconoscimento di una penale responsabilità. E’ pertanto ovvio che l’hoster attivo o il content provider che dir si voglia avrà certamente un livello di obblighi e di comportamenti più elevato di quello di un semplice host provider o service provider o access provider: lo rende inevitabile il suo diventare il "dominus" di dati che, per il solo fatto di essere organizzati e quindi selezionati e quindi "appresi" non sono più il flusso indistinto che non si conosce e che non si ha obbligo di conoscere; ma tale fatto, non crea una specie di effetto a catena che fa dell’hoster attivo automaticamente il corresponsabile di tutti i reati che gli uploaders hanno commesso comunicando e caricando i dati in loro possesso. In tutti questi casi varranno come in effetti valgono, le normali coordinate interpretative e valutative che si usano per ogni tipo di reato che il legislatore ha inteso codificare nel codice penale o nelle leggi complementari, sia da un punto di vista oggettivo che soggettivo.
E perciò, nel caso in esame, se è ben vero che un hoster attivo ( come nel caso Google Italy) ha sicuramente più elementi per poter riconoscere l’esistenza di un reato commesso da un singolo uploader, ed ha, inoltre, sicuramente degli obblighi che la legge gli impone per il trattamento dei dati sensibili dei soggetti che vengono "caricati" sul suo sito web, è altrettanto vero che non può essere imposto (perché irrealizzabile) allo stesso un obbligo generale e specifico di controllo su tutti i dati "sensibili" caricati (obbligo impossibile, se non altro, perché si imporrebbe ad un terzo la preventiva conoscenza di tutti i dati personali e particolari di tutte le persone che ogni momento “transitano" sul web); quello che, come si è detto, è imponibile allo stesso è un obbligo di corretta informazione agli utenti dei conseguenti obblighi agli stessi imposti dalla legge, del necessario rispetto degli stessi, dei rischi che si corrono non ottemperandoli (oltre che, naturalmente, l’obbligo di immediata cancellazione di quei dati e di quelle comunicazioni che risultassero correttamente segnalate come criminose).
E’ peraltro evidente, perlomeno a parere di chi scrive, che NON costituisce condotta sufficiente ai fini che la legge impone, "nascondere" le informazioni sugli obblighi derivanti dal rispetto della legge sulla privacy all’interno di "condizioni generali di servizio" il cui contenuto appare spesso incomprensibile, sia per il tenore delle stesse che per le modalità con le quali vengono sottoposte all’accettazione dell’utente; tale comportamento, improntato ad esigenze di minimalismo contrattuale e di scarsa volontà comunicativa, costituisce una specie di "precostituzione di alibi" da parte del soggetto/web e non esclude, quindi, una valutazione negativa della condotta tenuta nei confronti degli utenti.
Da questo punto di vista, tornando alla valutazione del caso concreto, non può dubitarsi dei seguenti elementi conoscitivi e probatori:
- Google Italy costituiva la limano operativa e commerciale di Google Inc. in Italia;
- Attraverso il sistema AD Words ed il riconoscimento di parole chiave, Google Italy aveva sicuramente la possibilità di collegare, attraverso la creazione di link pubblicitari, le informazioni riguardanti i clienti paganti alle schermate riguardanti Google Video, e quindi, in qualche modo, gestire, indicizzare, organizzare anche i dati contenuti in quest’ultimo sito;
- Google Italy quindi "trattava" i dati contenuti nei video caricati sulla piattaforma di Google Video e ne era quindi responsabile, perlomeno ai fini del DL sulla privacy;
- L’informativa sulla privacy visualizzabile per l’utente dalla pagina iniziale del servizio Google Video in sede di attivazione de! relativo account al fine di porre in essere il caricamento dei files da parte dell’utente medesimo era del tutto carente o comunque talmente "nascosta" nelle condizioni generali di contratto da risultare assolutamente inefficace per i fini previsti dalla legge.
- Si veda in questo senso l’annotazione di PG della GdF di Milano del 19 giugno 2008 (reperibili negli atti del PM faldone 11 n. 13 pagg. 462/490), alla quale sono stati allegati i "termini e condizioni di servizio di Google" i "termini e condizioni del programma di caricamento di Google Video" "i punti salienti delle norme sulla privacy di Google" datate 14 ottobre 2005, "le norme sulla privacy di Google" datate 14 ottobre 2005 agli indirizzi web ricollegati ai servizi in questione: tutte le informazioni comunicate all’utente relative alla Privacy fanno riferimento, senza possibilità di dubbio, alla tutela della privacy dell’utente medesimo, utente che accetta di sottoscrivere il contratto con Google e che carica il video (o qualsiasi altro dato o informazione) in suo possesso, senza fare alcun esplicito riferimento alla privacy di altre persone eventualmente presenti nel video o nel contenuto dell’uploading; è ben vero che al punto 9 dei "termini e condizioni del programma di caricamento di Google video" si chiede all’utente di garantire che il contenuto "autorizzato" che sta caricando non violi "diritti o obblighi verso qualsiasi persona, inclusi ...i diritti di privacy" ma l’avviso in questione, al di là della sua genericità ed astrattezza, è dato in modo "nascosto ed anonimo", quasi a garantirsi (come si è già detto) la presenza di un alibi in un eventuale momento successivo di contrasto. Ad assoluta riprova di quanto fin qui riferito, nel momento in cui I’utente più attento e testardo di altri avrebbe voluto compulsare "i punti salienti della normativa sulla privacy di Google" avrebbe scoperto, al punto 2 della medesima ("Quali sono i dati personali e gli altri dati che raccogliamo") che "Google raccoglie dati personali quando vi registrate per accedere ad un servizio di Google": non vi è chi non veda che chiunque legga questa frase non può che pensare ai "propri" dati personali e non certo a quelli delle persone incautamente citate o riprese nei "contenuti autorizzati",
- Il fine di profitto (richiesto dalla norma specificamente per la sussistenza del dolo) era, evidentemente, ricollegabile alla interazione commerciale ed operativa esistente tra Google Italy e Google Video, interazione derivante dalla operatività del sistema AD Words e dal collegamento esistente tra le keywords (parole chiave) utilizzate in quest’ultimo ed il sito web ospitante i video (vedi, sul punto, le precise risultanze di indagini effettuate dai PM e riportate nella parte iniziale della presente motivazione).
- Si vedano inoltre, ad ulteriore riprova di quanto fin qui riferito, le affermazioni di Google contenute nel punto 17 dei "termini di servizio e condizioni di contratto": "alcuni dei servizi sono finanziati dalle pubblicità e possono visualizzare pubblicità e promozioni. Queste pubblicità possono avere come oggetto il contenuto di informazioni memorizzate nei servizi ..." nonché il punto 3 dei "termini e condizioni del programma di caricamento di Google Video": "Google può rendere disponibile...uno o più link al sito web specificato dall’utente ...in relazione a qualsiasi messa a disposizione dei contenuti autorizzati, e rendere disponibili i link ai siti web di rivenditori commerciali di terzi in cui, eventualmente, è possibile acquistare i contenuti autorizzati".
- L’esistenza di tutti questi "indici rivelatori" di tipo fattuale e documentale dimostra, a parere di chi scrive, una chiara accettazione consapevole del rischio concreto di inserimento e divulgazione di dati, anche e soprattutto sensibili, che avrebbero dovuto essere oggetto di particolare tutela; non solo, ma anche dell’interesse economico ricollegabile a tale accettazione del rischio e della chiara consapevolezza di quest’ultimo.
In parole semplici: non è la scritta sul muro che costituisce reato per il proprietario del muro, ma il suo sfruttamento commerciale può esserlo, in determinati casi ed in presenza di determinate circostanze.
Per queste ragioni non può esservi dubbio in ordine al riconoscimento della responsabilità penale degli imputati in relazione al reato contestato sub B (illecito trattamento di dati personali e sensibili): le risultanze probatorie ottenute ed utilizza bili permettono la ricostruzione del fatto/reato così come contestato dai PM nel decreto di citazione diretta e ne impongono la conseguente valutazione di responsabilità penale in termini di colpevolezza".
(Tribunale Ordinario di Milano - Sezione Quarta Penale, Giudice Dott. Oscar Magi, Sentenza 24 febbraio - 12 aprile 2010, 1972).
La nota vicenda della diffusione su Google Video nella sezione video divertenti di un video della durata di circa tre minuti e mezzo che ritraeva offese e gravi atti denigratori compiuti da un gruppo di studenti nei confronti di un ragazzo autistico, si è conclusa con la condanna del Presidente e di un componente del Consiglio di amministrazione (poi amministratori delegati) di Google Italia S.r.l. e del responsabile delle politiche sulla privacy per l’Europa di Google Inc. per violazione dell’articolo 167 del Codice Privacy in materia di trattamento di dati personali (sensibili).
Premesso che le oltre cento pagine di sentenza dovrebbero essere lette integralmente, ciò che forse tanti autorevoli commentatori della prima ora non hanno fatto, ci soffermiamo sui passaggi che reputiamo più significativi.
"L’IP (e cioè I’internet provider) che fornisca agli utenti un semplice servizio di interconnessione e che avvisi correttamente gli stessi degli obblighi di legge concernenti la privacy, non può essere considerato punibile se non controlla preventivamente l’ottemperanza da parte dell’utente all’obbligo di legge citato. "Ad impossibilia nemo tenetur", e cioè non è possibile imporre a qualcuno un obbligo a cui egli non è in grado di fare fronte con i normali mezzi a sua disposizione: sarebbe del tutto impossibile pretendere che un IP possa verificare che in tutti i migliaia di video che vengono caricati ogni momento sul suo sito web siano stati rispettati gli obblighi concernenti la privacy di tutti i soggetti negli stessi riprodotti.
E’ però necessario (ed è quindi legittimo richiedere il rispetto di tale comportamento) che l’IP fornisca agli utenti medesimi tutte le necessarie avvertenze in ordine al rispetto delle norme citate, con particolare attenzione a quelle che concernono la necessità di procurarsi l’obbligatorio consenso in ordine alla diffusione di dati personali sensibili. Esiste quindi, a parere di chi scrive, un obbligo NON di controllo preventivo dei dati immessi nel sistema, ma di corretta e puntuale informazione, da parte di chi accetti ed apprenda dati provenienti da terzi, ai terzi che questi dati consegnano. Lo impone non solo la norma di legge (art. 13 DL citato), ma anche il buon senso, nella particolare modulazione dello stesso che può applicarsi alla gestione di un sistema informatico.
...
Sulla base di tale interpretazione dovrebbe quindi ritenersi corresponsabile del reato di cui all’art. 167 DL citato, quel tipo di ISP che ( come nel caso in esame) non si limiti a fornire un semplice rapporto di interconnessione, ma, gestendo i dati in suo possesso, ne divenga in qualche modo "dominus" e quindi "titolare del trattamento" ai sensi di legge, con gli obblighi corrispondenti.
Deve dirsi che questo tipo di impostazione accusatoria da un Iato sembra richiedere un livello di approfondimento probatorio forse troppo elevato (quando un ISP può con certezza definirsi un hoster attivo quando può ritenersi esaurita la ricerca di quel quid pluris di cui parla la S.C.), dall’altra esclude dal novero dei potenziali responsabili tutte le numerose platee degli host providers che, come si è cercato di dimostrare, non sembrano poter sfuggire alle ricadute concorsuali delle condotte di reato evidenziate.
La normativa che punisce le violazioni del diritto d’autore non sembra, peraltro, di così facile trasportabilità nell’ambito del presente procedimento: l’oggetto della tutela, in quel caso, appare chiaramente ricollegabile alla mera condotta di caricamento del dato, di talchè l’eventuale "apprensione" del dato medesimo da parte dell’ISP (sotto forma di indicizzazione dello stesso o altro) costituisce di per sé un concorso nel reato preesistente; nel caso in esame, invece, la violazione della legge è, per così dire, più nascosta, o comunque occultata nelle pieghe di un possibile comportamento altrui, e non può essere quindi "trasportata" nelle mani del provider solo e soltanto perché il dato viene gestito o organizzato dallo stesso.
In parole più semplici il provider che indicizza dei testi coperti dal diritto d’autore che altri caricano e si scambiano, consentendone una commercializzazione più veloce e facile, certamente può essere ritenuto corresponsabile del reato contestato agli uploaders (così come indicato dalla S.C.); ma un provider che carica dei video contenenti dati sensibili di soggetti a cui non è stato richiesto il consenso e li organizza e gestisce non può essere ritenuto responsabile della mancata richiesta di consenso (nonostante la gestione dei dati in parola) se non viene provata la sua piena consapevolezza di tale mancanza; consapevolezza che, naturalmente può e deve derivarsi da una mancanza di segnali o di elementi significativi all’atto della prima comunicazione del caricamento.
A parere di chi scrive, comunque, il fatto che l’ISP faccia qualcosa di più del suo dovere di mero intermediatore (e cioè diventi un hoster attivo o un content provider, come anche può dirsi) è una volta provato, certamente un elemento importante ai fini della ricostruzione delle ipotesi di reato contestate o contestabili, ma non trasforma, sic et simpliciter, l’ISP in un immediato realizzatore dei possibili reati emergenti dai dati caricati: non esiste, a parere di chi scrive, perlomeno fino ad oggi, un obbligo di legge codificato che imponga agli ISP un controllo preventivo della innumerevole serie di dati che passano ogni secondo nelle maglie dei gestori o proprietari dei siti web, e non appare possibile ricavarlo aliunde superando d’un balzo il divieto di analogia in malam partem, cardine interpretativo della nostra cultura procedimentale penale.
Ma, d’altro canto, non esiste nemmeno la "sconfinata prateria di internet" dove tutto è permesso e niente può essere vietato, pena la scomunica mondiale del popolo del web. Esistono, invece, leggi che codificano comportamenti e che creano degli obblighi, obblighi che, ove non rispettati conducono al riconoscimento di una penale responsabilità. E’ pertanto ovvio che l’hoster attivo o il content provider che dir si voglia avrà certamente un livello di obblighi e di comportamenti più elevato di quello di un semplice host provider o service provider o access provider: lo rende inevitabile il suo diventare il "dominus" di dati che, per il solo fatto di essere organizzati e quindi selezionati e quindi "appresi" non sono più il flusso indistinto che non si conosce e che non si ha obbligo di conoscere; ma tale fatto, non crea una specie di effetto a catena che fa dell’hoster attivo automaticamente il corresponsabile di tutti i reati che gli uploaders hanno commesso comunicando e caricando i dati in loro possesso. In tutti questi casi varranno come in effetti valgono, le normali coordinate interpretative e valutative che si usano per ogni tipo di reato che il legislatore ha inteso codificare nel codice penale o nelle leggi complementari, sia da un punto di vista oggettivo che soggettivo.
E perciò, nel caso in esame, se è ben vero che un hoster attivo ( come nel caso Google Italy) ha sicuramente più elementi per poter riconoscere l’esistenza di un reato commesso da un singolo uploader, ed ha, inoltre, sicuramente degli obblighi che la legge gli impone per il trattamento dei dati sensibili dei soggetti che vengono "caricati" sul suo sito web, è altrettanto vero che non può essere imposto (perché irrealizzabile) allo stesso un obbligo generale e specifico di controllo su tutti i dati "sensibili" caricati (obbligo impossibile, se non altro, perché si imporrebbe ad un terzo la preventiva conoscenza di tutti i dati personali e particolari di tutte le persone che ogni momento “transitano" sul web); quello che, come si è detto, è imponibile allo stesso è un obbligo di corretta informazione agli utenti dei conseguenti obblighi agli stessi imposti dalla legge, del necessario rispetto degli stessi, dei rischi che si corrono non ottemperandoli (oltre che, naturalmente, l’obbligo di immediata cancellazione di quei dati e di quelle comunicazioni che risultassero correttamente segnalate come criminose).
E’ peraltro evidente, perlomeno a parere di chi scrive, che NON costituisce condotta sufficiente ai fini che la legge impone, "nascondere" le informazioni sugli obblighi derivanti dal rispetto della legge sulla privacy all’interno di "condizioni generali di servizio" il cui contenuto appare spesso incomprensibile, sia per il tenore delle stesse che per le modalità con le quali vengono sottoposte all’accettazione dell’utente; tale comportamento, improntato ad esigenze di minimalismo contrattuale e di scarsa volontà comunicativa, costituisce una specie di "precostituzione di alibi" da parte del soggetto/web e non esclude, quindi, una valutazione negativa della condotta tenuta nei confronti degli utenti.
Da questo punto di vista, tornando alla valutazione del caso concreto, non può dubitarsi dei seguenti elementi conoscitivi e probatori:
- Google Italy costituiva la limano operativa e commerciale di Google Inc. in Italia;
- Attraverso il sistema AD Words ed il riconoscimento di parole chiave, Google Italy aveva sicuramente la possibilità di collegare, attraverso la creazione di link pubblicitari, le informazioni riguardanti i clienti paganti alle schermate riguardanti Google Video, e quindi, in qualche modo, gestire, indicizzare, organizzare anche i dati contenuti in quest’ultimo sito;
- Google Italy quindi "trattava" i dati contenuti nei video caricati sulla piattaforma di Google Video e ne era quindi responsabile, perlomeno ai fini del DL sulla privacy;
- L’informativa sulla privacy visualizzabile per l’utente dalla pagina iniziale del servizio Google Video in sede di attivazione de! relativo account al fine di porre in essere il caricamento dei files da parte dell’utente medesimo era del tutto carente o comunque talmente "nascosta" nelle condizioni generali di contratto da risultare assolutamente inefficace per i fini previsti dalla legge.
- Si veda in questo senso l’annotazione di PG della GdF di Milano del 19 giugno 2008 (reperibili negli atti del PM faldone 11 n. 13 pagg. 462/490), alla quale sono stati allegati i "termini e condizioni di servizio di Google" i "termini e condizioni del programma di caricamento di Google Video" "i punti salienti delle norme sulla privacy di Google" datate 14 ottobre 2005, "le norme sulla privacy di Google" datate 14 ottobre 2005 agli indirizzi web ricollegati ai servizi in questione: tutte le informazioni comunicate all’utente relative alla Privacy fanno riferimento, senza possibilità di dubbio, alla tutela della privacy dell’utente medesimo, utente che accetta di sottoscrivere il contratto con Google e che carica il video (o qualsiasi altro dato o informazione) in suo possesso, senza fare alcun esplicito riferimento alla privacy di altre persone eventualmente presenti nel video o nel contenuto dell’uploading; è ben vero che al punto 9 dei "termini e condizioni del programma di caricamento di Google video" si chiede all’utente di garantire che il contenuto "autorizzato" che sta caricando non violi "diritti o obblighi verso qualsiasi persona, inclusi ...i diritti di privacy" ma l’avviso in questione, al di là della sua genericità ed astrattezza, è dato in modo "nascosto ed anonimo", quasi a garantirsi (come si è già detto) la presenza di un alibi in un eventuale momento successivo di contrasto. Ad assoluta riprova di quanto fin qui riferito, nel momento in cui I’utente più attento e testardo di altri avrebbe voluto compulsare "i punti salienti della normativa sulla privacy di Google" avrebbe scoperto, al punto 2 della medesima ("Quali sono i dati personali e gli altri dati che raccogliamo") che "Google raccoglie dati personali quando vi registrate per accedere ad un servizio di Google": non vi è chi non veda che chiunque legga questa frase non può che pensare ai "propri" dati personali e non certo a quelli delle persone incautamente citate o riprese nei "contenuti autorizzati",
- Il fine di profitto (richiesto dalla norma specificamente per la sussistenza del dolo) era, evidentemente, ricollegabile alla interazione commerciale ed operativa esistente tra Google Italy e Google Video, interazione derivante dalla operatività del sistema AD Words e dal collegamento esistente tra le keywords (parole chiave) utilizzate in quest’ultimo ed il sito web ospitante i video (vedi, sul punto, le precise risultanze di indagini effettuate dai PM e riportate nella parte iniziale della presente motivazione).
- Si vedano inoltre, ad ulteriore riprova di quanto fin qui riferito, le affermazioni di Google contenute nel punto 17 dei "termini di servizio e condizioni di contratto": "alcuni dei servizi sono finanziati dalle pubblicità e possono visualizzare pubblicità e promozioni. Queste pubblicità possono avere come oggetto il contenuto di informazioni memorizzate nei servizi ..." nonché il punto 3 dei "termini e condizioni del programma di caricamento di Google Video": "Google può rendere disponibile...uno o più link al sito web specificato dall’utente ...in relazione a qualsiasi messa a disposizione dei contenuti autorizzati, e rendere disponibili i link ai siti web di rivenditori commerciali di terzi in cui, eventualmente, è possibile acquistare i contenuti autorizzati".
- L’esistenza di tutti questi "indici rivelatori" di tipo fattuale e documentale dimostra, a parere di chi scrive, una chiara accettazione consapevole del rischio concreto di inserimento e divulgazione di dati, anche e soprattutto sensibili, che avrebbero dovuto essere oggetto di particolare tutela; non solo, ma anche dell’interesse economico ricollegabile a tale accettazione del rischio e della chiara consapevolezza di quest’ultimo.
In parole semplici: non è la scritta sul muro che costituisce reato per il proprietario del muro, ma il suo sfruttamento commerciale può esserlo, in determinati casi ed in presenza di determinate circostanze.
Per queste ragioni non può esservi dubbio in ordine al riconoscimento della responsabilità penale degli imputati in relazione al reato contestato sub B (illecito trattamento di dati personali e sensibili): le risultanze probatorie ottenute ed utilizza bili permettono la ricostruzione del fatto/reato così come contestato dai PM nel decreto di citazione diretta e ne impongono la conseguente valutazione di responsabilità penale in termini di colpevolezza".
(Tribunale Ordinario di Milano - Sezione Quarta Penale, Giudice Dott. Oscar Magi, Sentenza 24 febbraio - 12 aprile 2010, 1972).
Premesso che le oltre cento pagine di sentenza dovrebbero essere lette integralmente, ciò che forse tanti autorevoli commentatori della prima ora non hanno fatto, ci soffermiamo sui passaggi che reputiamo più significativi.
"L’IP (e cioè I’internet provider) che fornisca agli utenti un semplice servizio di interconnessione e che avvisi correttamente gli stessi degli obblighi di legge concernenti la privacy, non può essere considerato punibile se non controlla preventivamente l’ottemperanza da parte dell’utente all’obbligo di legge citato. "Ad impossibilia nemo tenetur", e cioè non è possibile imporre a qualcuno un obbligo a cui egli non è in grado di fare fronte con i normali mezzi a sua disposizione: sarebbe del tutto impossibile pretendere che un IP possa verificare che in tutti i migliaia di video che vengono caricati ogni momento sul suo sito web siano stati rispettati gli obblighi concernenti la privacy di tutti i soggetti negli stessi riprodotti.
E’ però necessario (ed è quindi legittimo richiedere il rispetto di tale comportamento) che l’IP fornisca agli utenti medesimi tutte le necessarie avvertenze in ordine al rispetto delle norme citate, con particolare attenzione a quelle che concernono la necessità di procurarsi l’obbligatorio consenso in ordine alla diffusione di dati personali sensibili. Esiste quindi, a parere di chi scrive, un obbligo NON di controllo preventivo dei dati immessi nel sistema, ma di corretta e puntuale informazione, da parte di chi accetti ed apprenda dati provenienti da terzi, ai terzi che questi dati consegnano. Lo impone non solo la norma di legge (art. 13 DL citato), ma anche il buon senso, nella particolare modulazione dello stesso che può applicarsi alla gestione di un sistema informatico.
...
Sulla base di tale interpretazione dovrebbe quindi ritenersi corresponsabile del reato di cui all’art. 167 DL citato, quel tipo di ISP che ( come nel caso in esame) non si limiti a fornire un semplice rapporto di interconnessione, ma, gestendo i dati in suo possesso, ne divenga in qualche modo "dominus" e quindi "titolare del trattamento" ai sensi di legge, con gli obblighi corrispondenti.
Deve dirsi che questo tipo di impostazione accusatoria da un Iato sembra richiedere un livello di approfondimento probatorio forse troppo elevato (quando un ISP può con certezza definirsi un hoster attivo quando può ritenersi esaurita la ricerca di quel quid pluris di cui parla la S.C.), dall’altra esclude dal novero dei potenziali responsabili tutte le numerose platee degli host providers che, come si è cercato di dimostrare, non sembrano poter sfuggire alle ricadute concorsuali delle condotte di reato evidenziate.
La normativa che punisce le violazioni del diritto d’autore non sembra, peraltro, di così facile trasportabilità nell’ambito del presente procedimento: l’oggetto della tutela, in quel caso, appare chiaramente ricollegabile alla mera condotta di caricamento del dato, di talchè l’eventuale "apprensione" del dato medesimo da parte dell’ISP (sotto forma di indicizzazione dello stesso o altro) costituisce di per sé un concorso nel reato preesistente; nel caso in esame, invece, la violazione della legge è, per così dire, più nascosta, o comunque occultata nelle pieghe di un possibile comportamento altrui, e non può essere quindi "trasportata" nelle mani del provider solo e soltanto perché il dato viene gestito o organizzato dallo stesso.
In parole più semplici il provider che indicizza dei testi coperti dal diritto d’autore che altri caricano e si scambiano, consentendone una commercializzazione più veloce e facile, certamente può essere ritenuto corresponsabile del reato contestato agli uploaders (così come indicato dalla S.C.); ma un provider che carica dei video contenenti dati sensibili di soggetti a cui non è stato richiesto il consenso e li organizza e gestisce non può essere ritenuto responsabile della mancata richiesta di consenso (nonostante la gestione dei dati in parola) se non viene provata la sua piena consapevolezza di tale mancanza; consapevolezza che, naturalmente può e deve derivarsi da una mancanza di segnali o di elementi significativi all’atto della prima comunicazione del caricamento.
A parere di chi scrive, comunque, il fatto che l’ISP faccia qualcosa di più del suo dovere di mero intermediatore (e cioè diventi un hoster attivo o un content provider, come anche può dirsi) è una volta provato, certamente un elemento importante ai fini della ricostruzione delle ipotesi di reato contestate o contestabili, ma non trasforma, sic et simpliciter, l’ISP in un immediato realizzatore dei possibili reati emergenti dai dati caricati: non esiste, a parere di chi scrive, perlomeno fino ad oggi, un obbligo di legge codificato che imponga agli ISP un controllo preventivo della innumerevole serie di dati che passano ogni secondo nelle maglie dei gestori o proprietari dei siti web, e non appare possibile ricavarlo aliunde superando d’un balzo il divieto di analogia in malam partem, cardine interpretativo della nostra cultura procedimentale penale.
Ma, d’altro canto, non esiste nemmeno la "sconfinata prateria di internet" dove tutto è permesso e niente può essere vietato, pena la scomunica mondiale del popolo del web. Esistono, invece, leggi che codificano comportamenti e che creano degli obblighi, obblighi che, ove non rispettati conducono al riconoscimento di una penale responsabilità. E’ pertanto ovvio che l’hoster attivo o il content provider che dir si voglia avrà certamente un livello di obblighi e di comportamenti più elevato di quello di un semplice host provider o service provider o access provider: lo rende inevitabile il suo diventare il "dominus" di dati che, per il solo fatto di essere organizzati e quindi selezionati e quindi "appresi" non sono più il flusso indistinto che non si conosce e che non si ha obbligo di conoscere; ma tale fatto, non crea una specie di effetto a catena che fa dell’hoster attivo automaticamente il corresponsabile di tutti i reati che gli uploaders hanno commesso comunicando e caricando i dati in loro possesso. In tutti questi casi varranno come in effetti valgono, le normali coordinate interpretative e valutative che si usano per ogni tipo di reato che il legislatore ha inteso codificare nel codice penale o nelle leggi complementari, sia da un punto di vista oggettivo che soggettivo.
E perciò, nel caso in esame, se è ben vero che un hoster attivo ( come nel caso Google Italy) ha sicuramente più elementi per poter riconoscere l’esistenza di un reato commesso da un singolo uploader, ed ha, inoltre, sicuramente degli obblighi che la legge gli impone per il trattamento dei dati sensibili dei soggetti che vengono "caricati" sul suo sito web, è altrettanto vero che non può essere imposto (perché irrealizzabile) allo stesso un obbligo generale e specifico di controllo su tutti i dati "sensibili" caricati (obbligo impossibile, se non altro, perché si imporrebbe ad un terzo la preventiva conoscenza di tutti i dati personali e particolari di tutte le persone che ogni momento “transitano" sul web); quello che, come si è detto, è imponibile allo stesso è un obbligo di corretta informazione agli utenti dei conseguenti obblighi agli stessi imposti dalla legge, del necessario rispetto degli stessi, dei rischi che si corrono non ottemperandoli (oltre che, naturalmente, l’obbligo di immediata cancellazione di quei dati e di quelle comunicazioni che risultassero correttamente segnalate come criminose).
E’ peraltro evidente, perlomeno a parere di chi scrive, che NON costituisce condotta sufficiente ai fini che la legge impone, "nascondere" le informazioni sugli obblighi derivanti dal rispetto della legge sulla privacy all’interno di "condizioni generali di servizio" il cui contenuto appare spesso incomprensibile, sia per il tenore delle stesse che per le modalità con le quali vengono sottoposte all’accettazione dell’utente; tale comportamento, improntato ad esigenze di minimalismo contrattuale e di scarsa volontà comunicativa, costituisce una specie di "precostituzione di alibi" da parte del soggetto/web e non esclude, quindi, una valutazione negativa della condotta tenuta nei confronti degli utenti.
Da questo punto di vista, tornando alla valutazione del caso concreto, non può dubitarsi dei seguenti elementi conoscitivi e probatori:
- Google Italy costituiva la limano operativa e commerciale di Google Inc. in Italia;
- Attraverso il sistema AD Words ed il riconoscimento di parole chiave, Google Italy aveva sicuramente la possibilità di collegare, attraverso la creazione di link pubblicitari, le informazioni riguardanti i clienti paganti alle schermate riguardanti Google Video, e quindi, in qualche modo, gestire, indicizzare, organizzare anche i dati contenuti in quest’ultimo sito;
- Google Italy quindi "trattava" i dati contenuti nei video caricati sulla piattaforma di Google Video e ne era quindi responsabile, perlomeno ai fini del DL sulla privacy;
- L’informativa sulla privacy visualizzabile per l’utente dalla pagina iniziale del servizio Google Video in sede di attivazione de! relativo account al fine di porre in essere il caricamento dei files da parte dell’utente medesimo era del tutto carente o comunque talmente "nascosta" nelle condizioni generali di contratto da risultare assolutamente inefficace per i fini previsti dalla legge.
- Si veda in questo senso l’annotazione di PG della GdF di Milano del 19 giugno 2008 (reperibili negli atti del PM faldone 11 n. 13 pagg. 462/490), alla quale sono stati allegati i "termini e condizioni di servizio di Google" i "termini e condizioni del programma di caricamento di Google Video" "i punti salienti delle norme sulla privacy di Google" datate 14 ottobre 2005, "le norme sulla privacy di Google" datate 14 ottobre 2005 agli indirizzi web ricollegati ai servizi in questione: tutte le informazioni comunicate all’utente relative alla Privacy fanno riferimento, senza possibilità di dubbio, alla tutela della privacy dell’utente medesimo, utente che accetta di sottoscrivere il contratto con Google e che carica il video (o qualsiasi altro dato o informazione) in suo possesso, senza fare alcun esplicito riferimento alla privacy di altre persone eventualmente presenti nel video o nel contenuto dell’uploading; è ben vero che al punto 9 dei "termini e condizioni del programma di caricamento di Google video" si chiede all’utente di garantire che il contenuto "autorizzato" che sta caricando non violi "diritti o obblighi verso qualsiasi persona, inclusi ...i diritti di privacy" ma l’avviso in questione, al di là della sua genericità ed astrattezza, è dato in modo "nascosto ed anonimo", quasi a garantirsi (come si è già detto) la presenza di un alibi in un eventuale momento successivo di contrasto. Ad assoluta riprova di quanto fin qui riferito, nel momento in cui I’utente più attento e testardo di altri avrebbe voluto compulsare "i punti salienti della normativa sulla privacy di Google" avrebbe scoperto, al punto 2 della medesima ("Quali sono i dati personali e gli altri dati che raccogliamo") che "Google raccoglie dati personali quando vi registrate per accedere ad un servizio di Google": non vi è chi non veda che chiunque legga questa frase non può che pensare ai "propri" dati personali e non certo a quelli delle persone incautamente citate o riprese nei "contenuti autorizzati",
- Il fine di profitto (richiesto dalla norma specificamente per la sussistenza del dolo) era, evidentemente, ricollegabile alla interazione commerciale ed operativa esistente tra Google Italy e Google Video, interazione derivante dalla operatività del sistema AD Words e dal collegamento esistente tra le keywords (parole chiave) utilizzate in quest’ultimo ed il sito web ospitante i video (vedi, sul punto, le precise risultanze di indagini effettuate dai PM e riportate nella parte iniziale della presente motivazione).
- Si vedano inoltre, ad ulteriore riprova di quanto fin qui riferito, le affermazioni di Google contenute nel punto 17 dei "termini di servizio e condizioni di contratto": "alcuni dei servizi sono finanziati dalle pubblicità e possono visualizzare pubblicità e promozioni. Queste pubblicità possono avere come oggetto il contenuto di informazioni memorizzate nei servizi ..." nonché il punto 3 dei "termini e condizioni del programma di caricamento di Google Video": "Google può rendere disponibile...uno o più link al sito web specificato dall’utente ...in relazione a qualsiasi messa a disposizione dei contenuti autorizzati, e rendere disponibili i link ai siti web di rivenditori commerciali di terzi in cui, eventualmente, è possibile acquistare i contenuti autorizzati".
- L’esistenza di tutti questi "indici rivelatori" di tipo fattuale e documentale dimostra, a parere di chi scrive, una chiara accettazione consapevole del rischio concreto di inserimento e divulgazione di dati, anche e soprattutto sensibili, che avrebbero dovuto essere oggetto di particolare tutela; non solo, ma anche dell’interesse economico ricollegabile a tale accettazione del rischio e della chiara consapevolezza di quest’ultimo.
In parole semplici: non è la scritta sul muro che costituisce reato per il proprietario del muro, ma il suo sfruttamento commerciale può esserlo, in determinati casi ed in presenza di determinate circostanze.
Per queste ragioni non può esservi dubbio in ordine al riconoscimento della responsabilità penale degli imputati in relazione al reato contestato sub B (illecito trattamento di dati personali e sensibili): le risultanze probatorie ottenute ed utilizza bili permettono la ricostruzione del fatto/reato così come contestato dai PM nel decreto di citazione diretta e ne impongono la conseguente valutazione di responsabilità penale in termini di colpevolezza".
(Tribunale Ordinario di Milano - Sezione Quarta Penale, Giudice Dott. Oscar Magi, Sentenza 24 febbraio - 12 aprile 2010, 1972).
