Google ViviDown: la decisione della Cassazione

Responsabilit del provider

CASSAZIONE PENALE , sez. III, 3 febbraio 2014, n. 5107 (u.p. 17 dicembre 2013) - Pres. Man-nino - Rel. Andronio - P.M. Fraticelli - Ric. Procuratore generale della Repubblica presso la Cor-te d'appello di Milano

Se il concetto di trattamento assai ampio, perch comprensivo di ogni operazione che abbia ad oggettodati personali, indipendentemente dai mezzi e dalle tecniche utilizzati, il concetto di titolare assai pi spe-cifico perch si incentra sull'esistenza di un potere decisionale in ordine alle finalit, alle modalit del tratta-mento dei dati personali e agli strumenti utilizzati. Il titolare del trattamento non chiunque materialmentesvolga il trattamento stesso, ma solo il soggetto che possa determinarne gli scopi, i modi, i mezzi. Il gestoredel servizio di hosting service non ha alcun controllo sui dati memorizzati, n contribuisce in alcun modo allaloro scelta o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all'utente destina-tario del servizio che li carica sulla piattaforma messa a sua disposizione.

ORIENTAMENTI GIURISPRUDENZIALI

Conforme App. Milano, 21 dicembre 2012, n. 8611

Difforme Trib. Milano, 12 aprile 2010, n. 1972,

Omissis

Considerato in diritto

5. - Il ricorso del Procuratore generale non fondato.6. - La complessit e la novit delle questioni trattateimpongono una sintetica ricostruzione del quadro nor-mativo interno di riferimento.6.1. - Il comma 1 dell'art. 4 del Codice privacy reca le se-guenti definizioni: "a) "trattamento", qualunque operazio-ne o complesso di operazioni, effettuati anche senza l'au-silio di strumenti elettronici, concernenti la raccolta, laregistrazione, l'organizzazione, la conservazione, la con-sultazione, l'elaborazione, la modificazione, la selezione,l'estrazione, il raffronto, l'utilizzo, l'interconnessione, ilblocco, la comunicazione, la diffusione, la cancellazionee la distruzione di dati, anche se non registrati in unabanca di dati; b) "dato personale", qualunque informazio-ne relativa a persona fisica, identificata o identificabile,anche indirettamente, mediante riferimento a qualsiasialtra informazione, ivi compreso un numero di identifica-zione personale; ... d) "dati sensibili", i dati personali ido-nei a rivelare l'origine razziale ed etnica, le convinzionireligiose, filosofiche o di altro genere, le opinioni politi-che, l'adesione a partiti, sindacati, associazioni od orga-nizzazioni a carattere religioso, filosofico, politico o sinda-cale, nonch i dati personali idonei a rivelare lo stato disalute e la vita sessuale;... f) "titolare", la persona fisica,la persona giuridica, la pubblica amministrazione e qual-siasi altro ente, associazione od organismo cui competo-no, anche unitamente ad altro titolare, le decisioni in or-dine alle finalit, alle modalit del trattamento di datipersonali e agli strumenti utilizzati, ivi compreso il profilodella sicurezza; g) "responsabile", la persona fisica, la per-sona giuridica, la pubblica amministrazione e qualsiasi al-tro ente, associazione od organismo preposti dal titolareal trattamento di dati personali; ... i) "interessato", la per-sona fisica, cui si riferiscono i dati personali; l) "comuni-

cazione", il dare conoscenza dei dati personali a uno opi soggetti determinati diversi dall'interessato, dal rap-presentante del titolare nel territorio dello Stato, dal re-sponsabile e dagli incaricati, in qualunque forma, anchemediante la loro messa a disposizione o consultazione;m) "diffusione", il dare conoscenza dei dati personali asoggetti indeterminati, in qualunque forma, anche me-diante la loro messa a disposizione o consultazione".6.2. - L'art. 13 del Codice Privacy prevede, al comma 1,che:L'interessato o la persona presso la quale sono raccoltii dati personali sono previamente informati oralmente oper iscritto circa:a) le finalit e le modalit del trattamento cui sono desti-nati i dati; b) la natura obbligatoria o facoltativa del con-ferimento dei dati; c) le conseguenze di un eventuale ri-fiuto di rispondere; d) i soggetti o le categorie di soggettiai quali i dati personali possono essere comunicati o chepossono venirne a conoscenza in qualit di responsabili oincaricati, e l'ambito di diffusione dei dati medesimi; e) idiritti di cui all'art. 7; f) gli estremi identificativi del tito-lare e, se designati, del rappresentante nel territorio delloStato ai sensi dell'art. 5 e del responsabile.Quando il titolare ha designato pi responsabili indi-cato almeno uno di essi, indicando il sito della rete dicomunicazione o le modalit attraverso le quali cono-scibile in modo agevole l'elenco aggiornato dei respon-sabili. Quando stato designato un responsabile per ilriscontro all'interessato in caso di esercizio dei diritti dicui all'art. 7, indicato tale responsabile.Prevede inoltre, al comma 4, che, Se i dati personalinon sono raccolti presso l'interessato, l'informativa dicui al comma 1, comprensiva delle categorie di datitrattati, data al medesimo interessato all'atto della re-gistrazione dei dati o, quando prevista la loro comuni-cazione, non oltre la prima comunicazione.

GiurisprudenzaDiritto civile

798 il Corriere giuridico 6/2014

La violazione delle disposizioni dell'art. 13 punita dalsuccessivo art. 161 del Codice privacy con la sanzioneamministrativa del pagamento di una somma di denaro.6.3. - L'art. 17 dello stesso Codice prevede, poi, che iltrattamento di dati che presentano rischi specifici per idiritti e le libert fondamentali, nonch per la dignitdell'interessato, in relazione alla natura dei dati o allemodalit del trattamento o agli effetti che pu determi-nare, ammesso nel rispetto di misure ed accorgimenti agaranzia dell'interessato, ove prescritti. Tali misure e ac-corgimenti sono prescritti dal Garante in applicazionedei principi sanciti dal presente codice, nell'ambito diuna verifica preliminare all'inizio del trattamento, effet-tuata anche in relazione a determinate categorie di tito-lari o di trattamenti, anche a seguito di un interpello deltitolare.6.4. - L'art. 23 dispone - per quanto qui rileva - che il trat-tamento di dati personali da parte di privati o di enti pub-blici economici ammesso solo con il consenso espressodell'interessato e che tale consenso manifestato in formascritta quando il trattamento riguarda dati sensibili.6.5. - Il successivo art 26, dopo avere affermato, al com-ma 1, che i dati sensibili possono essere oggetto ditrattamento solo con il consenso scritto dell'interessatoe previa autorizzazione del Garante, nell'osservanza deipresupposti e dei limiti stabiliti dal presente codice,nonch dalla legge e dai regolamenti, prevede, al com-ma 5, che i dati idonei a rivelare lo stato di salute nonpossono essere diffusi.6.6. - La violazione di tali ultime disposizioni sanziona-ta dall'art. 167, a norma del quale, 1. Salvo che il fattocostituisca pi grave reato, chiunque, al fine di trame pers o per altri profitto o di recare ad altri un danno, proce-de al trattamento di dati personali in violazione di quan-to disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovveroin applicazione dell'art. 129, punito, se dal fatto derivanocumento, con la reclusione da sei a diciotto mesi o, seil fatto consiste nella comunicazione o diffusione, con lareclusione da sei a ventiquattro mesi.2. Salvo che il fatto costituisca pi grave reato, chiun-que, al fine di trame per s o per altri profitto o di reca-re ad altri un danno, procede al trattamento di dati per-sonali in violazione di quanto disposto dagli artt. 17,20, 21 e art. 22, commi 8 e 11, artt. 25, 26, 27 e 45, punito, se dal fatto deriva nocumento, con la reclusioneda uno a tre anni.6.7. - A tale disciplina si affianca quella contenuta neld.lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva2000/31/CE relativa a taluni aspetti giuridici dei servizidella societ dell'informazione nel mercato interno, conparticolare riferimento al commercio elettronico), cheall'art. 1, comma 2, alinea e lett. b), dispone che Nonrientrano nel campo di applicazione del presente decre-to: ... b) le questioni relative al diritto alla riservatezza,con riguardo al trattamento dei dati personali nel setto-re delle telecomunicazioni di cui alla L. 31 dicembre1996, n. 675, e al d.lgs. 13 maggio 1998, n. 171, e suc-cessive modificazioni.6.8. - Quanto alla responsabilit nell'attivit di memoriz-zazione di informazioni (hosting), il successivo art. 16 del

medesimo d.lgs. n. 70 del 2003 prevede che, 1. Nellaprestazione di un servizio della societ dell'informazione,consistente nella memorizzazione di informazioni forniteda un destinatario del servizio, il prestatore non respon-sabile delle informazioni memorizzate a richiesta di undestinatario del servizio, a condizione che detto prestato-re: a) non sia effettivamente a conoscenza del fatto chel'attivit o l'informazione illecita e, per quanto attienead azioni risarcitorie, non sia al corrente di fatti o di cir-costanze che rendono manifesta l'illiceit dell'attivit odell'informazione; b) non appena a conoscenza di tali fat-ti, su comunicazione delle autorit competenti, agiscaimmediatamente per rimuovere le informazioni o per di-sabilitarne l'accesso.2. Le disposizioni di cui al comma 1 non si applicano seil destinatario del servizio agisce sotto l'autorit o ilcontrollo del prestatore.3. L'autorit giudiziaria o quella amministrativa compe-tente pu esigere, anche in via d'urgenza, che il presta-tore, nell'esercizio delle attivit di cui al comma 1, im-pedisca o ponga fine alle violazioni commesse.6.9. - Infine, a norma del successivo art. 17 (Assenzadell'obbligo generale di sorveglianza), 1. Nella presta-zione dei servizi di cui agli artt. 14, 15 e 16, il prestatorenon assoggettato ad un obbligo generale di sorveglian-za sulle informazioni che trasmette o memorizza, n adun obbligo generale di ricercare attivamente fatti o cir-costanze che indichino la presenza di attivit illecite. 2.Fatte salve le disposizioni di cui agli artt. 14, 15 e 16, ilprestatore comunque tenuto: a) ad informare senza in-dugio l'autorit giudiziaria o quella amministrativaavente funzioni di vigilanza, qualora sia a conoscenza dipresunte attivit o informazioni illecite riguardanti unsuo destinatario del servizio della societ dell'informa-zione; b) a fornire senza indugio, a richiesta delle auto-rit competenti, le informazioni in suo possesso checonsentano l'identificazione del destinatario dei suoiservizi con cui ha accordi di memorizzazione dei dati, alfine di individuare e prevenire attivit illecite.3. Il prestatore civilmente responsabile del contenutodi tali servizi nel caso in cui, richiesto dall'autorit giu-diziaria o amministrativa avente funzioni di vigilanza,non ha agito prontamente per impedire l'accesso a det-to contenuto, ovvero se, avendo avuto conoscenza delcarattere illecito o pregiudizievole per un terzo del con-tenuto di un servizio al quale assicura l'accesso, non haprovveduto ad informarne l'autorit competente.7. - Dall'esame complessivo delle disposizioni riportateemerge che nessuna di esse prevede che vi sia in capoal provider, sia esso anche un hosting provider, un obbligogenerale di sorveglianza dei dati immessi da terzi sul sitoda lui gestito. N sussiste in capo al provider alcun ob-bligo sanzionato penalmente di informare il soggettoche ha immesso i dati dell'esistenza e della necessit difare applicazione della normativa relativa al trattamentodei dati stessi.7.1. - A tali conclusioni si giunge muovendo dall'analisidelle definizioni di "trattamento" e "titolare del tratta-mento" fornite dal richiamato art. 4 del Codice privacy.Infatti, se non vi dubbio che il concetto di "tratta-


il Corriere giuridico 6/2014 799

mento" sia assai ampio, perch comprensivo di ognioperazione che abbia ad oggetto dati personali, indipen-dentemente dai mezzi e dalle tecniche utilizzati, il con-cetto di "titolare" , invece, assai pi specifico, perchsi incentra sull'esistenza di un potere decisionale in or-dine alle finalit, alle modalit del trattamento di datipersonali e agli strumenti utilizzati. Dalla definizione le-gislativa si desume, in altri termini, che titolare del trat-tamento non chiunque materialmente svolga il tratta-mento stesso, ma solo il soggetto che possa determinar-ne gli scopi, i modi, i mezzi.Dal complesso dei precetti fissati dagli artt. 13, 17, 23,26 del Codice privacy, interpretati in combinato dispostocon le norme sanzionatorie degli artt. 161 e 167 stessoCodice emerge, poi, che essi sono tutti diretti al titolaredel trattamento, eventualmente nella persona del "re-sponsabile", ovvero del soggetto preposto al trattamentostesso dal titolare, ai sensi dell'art. 4, comma 1, lett. g).Tali disposizioni presuppongono, infatti, l'esistenza di uneffettivo potere decisionale circa: a) le finalit e le moda-lit del trattamento cui sono destinati i dati e la comuni-cazione eventuale dei dati stessi ad altri soggetti, ancheattraverso la designazione dei responsabili (art. 13); b) lagestione dei rischi specifici "per i diritti e le libert fon-damentali, nonch per la dignit dell'interessato, in rela-zione alla natura dei dati o alle modalit del trattamento"(art. 17); c) la ricezione del consenso degli interessati,nel rispetto dei divieti legge (artt. 23 e 26).Ne deriva, pi in particolare, che i reati di cui all'art.167 del Codice privacy - per i quali qui si procede - de-vono essere intesi come reati propri, trattandosi di con-dotte che si concretizzano in violazioni di obblighi deiquali destinatario in modo specifico il solo titolare deltrattamento e non ogni altro soggetto che si trovi adavere a che fare con i dati oggetto di trattamento senzaessere dotato dei relativi poteri decisionali.7.2. - Tali conclusioni trovano applicazione anche con ri-guardo alla figura dell'internet hosting provider, perch esso definito dall art. 16 d.lgs. n. 70 del 2003, come coluiche si limita a prestare un servizio consistente nella me-morizzazione di informazioni fornite da un destinatario delservizio. Da tale definizione, interpretata nel contestocomplessivo dello stesso art. 16, emerge, infatti, che il ge-store del servizio di hosting non ha alcun controllo sui da-ti memorizzati, n contribuisce in alcun modo alla loroscelta, alla loro ricerca o alla formazione del file che licontiene, essendo tali dati interamente ascrivibili all'uten-te destinatario del servizio che li carica sulla piattaformamessa a sua disposizione. A tale proposito, risulta significa-tivo che, secondo l'espressa previsione dello stesso art. 16,lo hosting provider non sia responsabile delle informazionimemorizzate a richiesta di un destinatario del servizio.E ci, alla duplice condizione: che il provider non siaeffettivamente a conoscenza del fatto che l'attivit ol'informazione illecita e, per quanto attiene ad azionirisarcitorie, non sia al corrente di fatti o di circostanzeche rendono manifesta l'illiceit dell'attivit o dell'in-formazione;che, non appena a conoscenza di tali fatti, su comunica-zione delle autorit competenti, agisca immediatamente

per rimuovere le informazioni o per disabilitarne l'acces-so. Cos disponendo, in conformit della direttiva2000/31/CE, il legislatore ha inteso porre quali presuppo-sti della responsabilit del provider proprio la sua effetti-va conoscenza dei dati immessi dall'utente e l'eventualeinerzia nella rimozione delle informazioni da lui cono-sciute come illecite. Se ne desume, ai fini della ricostru-zione interpretativa della figura del titolare del tratta-mento dei dati, che il legislatore ha inteso far coincidereil potere decisionale sul trattamento con la capacit diconcretamente incidere su tali dati, che non pu prescin-dere dalla conoscenza dei dati stessi. In altri termini, fin-ch il dato illecito sconosciuto al service provider, que-sto non pu essere considerato quale titolare del tratta-mento, perch privo di qualsivoglia potere decisionalesul dato stesso;quando, invece, il provider sia a conoscenza del dato il-lecito e non si attivi per la sua immediata rimozione oper renderlo comunque inaccessibile esso assume a pie-no titolo la qualifica di titolare del trattamento ed ,dunque, destinatario dei precetti e delle sanzioni penalidel Codice privacy. In via generale, sono, dunque gliutenti ad essere titolari del trattamento dei dati perso-nali di terzi ospitati nei servizi di hosting e non i gestoriche si limitano a fornire tali servizi.7.3. - L'interpretazione appena delineata risulta ulterior-mente confermata dal tenore letterale del successivo art.17 - applicabile a tutte le categorie di provider disciplina-te dagli artt. precedenti, ivi compreso lo hosting serviceprovider - che esclude la configurabilit di un obbligo ge-nerale di sorveglianza sulle informazioni trasmesse o me-morizzate e di un obbligo generale di ricercare attivamen-te eventuali illeciti. La stessa disposizione individua ilpunto di equilibrio fra la libert del provider e la tuteladei soggetti eventualmente danneggiati nella fissazione diobblighi di informazione alle autorit, a carico dello stes-so provider, relativamente a presunte attivit o informa-zioni illecite dei quali sia venuto a conoscenza, anche alfine di consentire l'individuazione dei responsabili.N a tale conclusione pu obiettarsi - come fa il Procura-tore generale con il secondo motivo di ricorso - che lart.1 comma 2, lett. b), d.lgs. n. 70 del 2003, prevede espres-samente che non rientrano nel campo di applicazione del-la normativa sul commercio elettronico le questioni relati-ve al diritto alla riservatezza, con riguardo al trattamentodei dati personali nel settore delle telecomunicazioni.La richiamata disciplina sul commercio elettronico vie-ne infatti in rilievo - come visto - non in via diretta masolo in via interpretativa, al fine di chiarire ulterior-mente e confermare la portata che la disciplina in ma-teria di privacy ha gi di per s.In questo quadro, la definizione di Internet hosting providercontenuta nel richiamato art. 16 d.lgs. n. 70 del 2003,deve essere intesa come meramente ripetitiva della no-zione comune di Internet hosting provider gi desumibiledal linguaggio utilizzato dagli operatori informatici. Sitratta, peraltro, di una nozione che si pone in linea conl'orientamento del gruppo di lavoro istituito dall'art. 29della direttiva 95/46/CE e composto dai rappresentantidelle autorit garanti in materia di privacy dei singoli



Stati membri; organo consultivo indipendente avente ilcompito di esaminare le questioni attinenti all'applicazio-ne delle norme nazionali di attuazione di detta direttiva.Nei suoi pareri (v., in particolare, il n. 5 del 2009 e il n.1 del 2010, in ec.europa.eu/justice/policies/docs) si eviden-zia, in particolare, che i titolari del trattamento dei daticaricati in siti di hosting sono i singoli utenti che li han-no caricati e che l'essere titolare del trattamento derivadal fatto concreto che un soggetto abbia scelto di trattaredati personali per propri fini; con la conseguenza che lapersona che pu essere chiamata a rispondere delle viola-zioni delle norme sulla protezione dei dati sempre il ti-tolare del trattamento e non il mero hosting provider.Analoghe considerazioni vengono svolte, a proposito delfornitore di servizi di motore di ricerca su Internet, aipunti 84 e seguenti delle conclusioni dell'Avvocato ge-nerale presentate il 25 giugno 2013 di fronte alla Cortedi giustizia nella causa C-131/12 (Google Spain SL e Goo-gle Inc. contro Agencia Espanda de Proteccion de Datos eMario Costeja Gonzalez), laddove si precisa, in particola-re, che tale fornitore riconducibile alla categoria dei ti-tolari del trattamento di dati solo laddove incida diretta-mente sulla struttura degli indici di ricerca, ad esempiofavorendo o rendendo pi difficile il reperimento di undeterminato sito.7.4. - A tali considerazioni deve aggiungersi, infine, chela clausola di cui all'art. 1, comma 5, lettera b), della di-rettiva sul commercio elettronico, ripresa da quella con-tenuta nell art. 1, comma 2, lett. b), d.lgs. n. 70 del2003, non ha di per s la funzione di rendere inoperanticomunque in ogni fattispecie che riguardi la materiadella protezione dei dati personali le norme in materiadi commercio elettronico. Pi semplicemente, dettaclausola ha la funzione di chiarire che la tutela dei datipersonali disciplinata da un corpus normativo diversoda quello sul commercio elettronico;corpus normativo che rimane applicabile in ambito te-lematico anche in seguito all'emanazione della normati-va sul commercio elettronico. Da ci discende l'ovviaconseguenza che l'applicazione delle norme in materiadi commercio elettronico deve avvenire in armonia conle norme in materia di tutela dei dati personali; armoniaperfettamente riscontrabile - come appena visto - nelcaso della determinazione dell'ambito di responsabilitpenale dell'Internet hosting provider relativamente ai datisensibili caricati dagli utenti sulla sua piattaforma. Taleinterpretazione trova piena conferma, inoltre, nella Pri-ma relazione della Commissione in merito all'applica-zione della direttiva 2000/31/CE, del 21 novembre2003, in cui si legge, al paragrafo 4.6, che le limitazionidella responsabilit giuridica stabilite dalla direttiva sulcommercio elettronico hanno carattere generale e co-prono tanto la responsabilit civile quanto quella pena-le, per tutti i tipi di attivit illegali intraprese da terzi.Un'ulteriore conferma data, poi, dalla sentenza dellaCorte di giustizia dell'Unione Europea 23 marzo 2010,nei procedimenti da C- 236/08 a C-238/08 (punto 120),nella quale si afferma che l'art. 14 della Direttiva sulcommercio elettronico (corrispondente allart. 16 d.lgs.n. 70 del 2003) deve essere interpretato nel senso che si

applica al prestatore di un servizio di posizionamento suInternet qualora detto prestatore non abbia svolto unruolo attivo a conferire la conoscenza o il controllo deidati memorizzati. Se non ha svolto un tale ruolo, il provi-der non pu essere ritenuto responsabile per i dati che hamemorizzato, salvo che, essendo venuto a conoscenzadella natura illecita di tali dati, abbia omesso di pronta-mente rimuoverli o di disabilitare l'accesso agli stessi.8. - I principi appena enunciati trovano applicazioneanche nel caso in esame, nel quale, in estrema sintesi:a) il video raffigurante un soggetto affetto da sindromedi Down ingiuriato e preso in giro dai suoi compagniproprio in relazione alla sua particolare sindrome erastato caricato su Google video, servizio di Internet ho-sting, all'insaputa di tale soggetto; b) nei giorni 5 e 6novembre 2006 alcuni utenti avevano segnalato la pre-senza del video sul sito e ne avevano chiesto la rimozio-ne; c) la rimozione era stata chiesta dalla Polizia postaleil 7 novembre 2006; d) in quello stesso giorno il videoera stato rimosso dal provider.La posizione di Google Italia S.r.l. e dei suoi responsabili,imputati nel presente procedimento, infatti quella dimero Internet host provider, soggetto che si limita a fornireuna piattaforma sulla quale gli utenti possono liberamen-te caricare i loro video; video del cui contenuto restanogli esclusivi responsabili. Ne consegue che gli imputatinon sono titolari di alcun trattamento e che gli unici ti-tolari del trattamento dei dati sensibili eventualmentecontenuti nei video caricati sul sito sono gli stessi utentiche li hanno caricati, ai quali soli possono essere applica-te le sanzioni, amministrative e penali, previste per il ti-tolare del trattamento dal Codice privacy.8.1. - Tale essendo l'ambito nel quale va inquadrata lafattispecie concreta, deve rilevarsi che il primo motivodi ricorso infondato.Il ricorrente lamenta, in particolare, che la Corte d'ap-pello non avrebbe considerato che, per i dati idonei arivelare lo stato di salute, vige un divieto assoluto di lo-ro diffusione anche in presenza del consenso dell'inte-ressato, ai sensi dell art. 26, comma 5 d.lgs. n. 196 del2003. Non si sarebbe considerato, inoltre, che lo sta-tus di soggetto affetto da sindrome di Down del ragazzoripreso era ben percepibile dalla visione del video e ri-sultava dal titolo del video stesso.Quanto al primo di tali rilievi - ulteriormente sviluppatonell'ambito del terzo motivo di ricorso - deve premettersiche, secondo quanto affermato dalla giurisprudenza diquesta Corte, pur nel diverso ambito del bilanciamentofra diritto di cronaca e protezione dei dati personali (sez.3, 4 maggio 2011, n. 17215), la pubblicazione di un'im-magine che rappresenti le condizioni di salute di un sog-getto - si trattava in quel caso della foto di una personaricoverata in fin di vita con il volto devastato da un colpodi arma da fuoco - configura un trattamento di dati perso-nali. E ci, perch - come gi osservato - il concetto di"trattamento" assai ampio e prescinde dall'inserimentodei dati in una vera e propria banca-dati, potendosi con-cretizzare in qualunque operazione di utilizzazione e diffu-sione di tali dati, anche per mezzo della rappresentazionefotografica o della ripresa video.



Ne consegue - con riferimento al caso di specie - che larealizzazione e il caricamento sul sito del video da partedegli utenti del servizio Google video configura un"trattamento" ai sensi dell'art. 4, comma 1, lett. a), delCodice privacy, effettuato in violazione del divieto didiffusione dei dati idonei a rilevare lo stato di salute fis-sato dal successivo art. 26, comma 5.Circa i responsabili della violazione, deve per ribadirsiche - contrariamente a quanto sostenuto dal ricorrente- questi sono da identificarsi con gli utenti che hannocaricato il video sulla piattaforma Google video e noncon i soggetti responsabili per la gestione di tale piatta-forma, trattandosi, come gi ampiamente visto, di unmero servizio di hosting. Ed proprio la natura del servi-zio reso ad escludere anche la fondatezza del secondodei rilievi svolti dal Procuratore generale nell'ambitodel primo motivo di ricorso, non essendo configurabilealcun obbligo generale di controllo in capo ai rappre-sentanti di Google Italy s.r.l., gestore del servizio stesso.8.2. - Sull'infondatezza del secondo motivo di ricorso,relativamente alla pretesa inapplicabilit della normati-va sul commercio elettronico alle questioni relative aldiritto alla riservatezza, sufficiente qui richiamare leconsiderazioni gi ampiamente svolte sub 7.3.Quanto alla pretesa non riconducibilit dell'attivitsvolta da Google Italy s.r.l. alla categoria dell'hosting,devono essere invece richiamati i rilievi sub 8., doven-dosi ribadire che nel caso di specie il provider si limita-to a fornire ospitalit ai video inseriti dagli utenti, senzafornire alcun contributo nella determinazione del con-tenuto dei video stessi.8.3. - Analoghe considerazioni valgono con riferimento alterzo motivo di doglianza, con cui si deduce l'inosservanzadegli artt.167, 13, 23 e 4, d.lgs. n. 196 del 2003, e si affer-ma che, secondo l'art. 13, comma 4, richiamato, se i datipersonali non sono raccolti presso l'interessato, l'informa-tiva di cui al comma 1, comprensiva delle categorie deidati trattati, deve essere data dal provider all'interessato al-l'atto della registrazione dei dati o, quando prevista laloro comunicazione, non oltre la prima comunicazione.Va infatti rilevato che nessuno obbligo sussiste in capo alprovider, non essendo questo, ma il singolo utente il re-

sponsabile del trattamento dei dati personali contenutinel video caricato dall'utente stesso. E ci, a prescinderedall'ulteriore analisi del quadro normativo, dalla qualeemerge con chiarezza che l'eventuale violazione dell'art.13 del Codice privacy sanzionata in via meramenteamministrativa dal successivo art. 161 e non rientra, in-vece, fra quelle sanzionate penalmente dall'art. 167.Il ricorrente afferma, poi, che vi sarebbe una qualcheanalogia tra la fattispecie per la quale qui si procede equella esaminata dalla sentenza Cass., sez. III, 24 mag-gio 2012, n. 23798, con la quale era stata affermata laresponsabilit penale del legale rappresentante e del re-sponsabile della privacy di una societ, per illecito trat-tamento di dati personali, in relazione al caso di passag-gio di mano di un database formato da centinaia di mi-gliaia di indirizzi e- mail, per la mancanza dell'informa-tiva volta ad acquisire il consenso degli interessati.Tale affermazione non merita, all'evidenza, di esserecondivisa perch non tiene conto delle peculiarit dellaposizione dell'Internet host provider pi volte evidenziaterispetto alla posizione di un soggetto che, detenendouna vera e propria banca dati contenente gli indirizzi diuna serie di soggetti, che lui stesso ha formato e gestitoe della quale conosce fin dall'inizio il contenuto e le fi-nalit, la cede ad un altro soggetto senza preoccuparsidi acquisire il consenso degli interessati.8.4. - I rilievi finora svolti conducono ad escludere in ra-dice la configurabilit, sotto il profilo oggettivo, di una re-sponsabilit penale dell'Internet host provider e rendono,dunque, superfluo l'esame del quarto motivo di ricorso edei correlati rilievi contenuti nella memoria difensiva re-lativamente alla configurabilit dell'elemento soggettivodel reato. E ci, a prescindere dall'ulteriore considerazioneche la mancanza di una conoscenza, in capo al provider,del dato sensibile contenuto nel video caricato dagli uten-ti sul suo sito e la mancanza di un obbligo generale di sor-veglianza inducono ad escludere comunque - come benevidenziato dalla Corte d'appello - la rappresentazione ela conseguente volizione da parte degli imputati del fattotipico, costituito dall'abusivo trattamento di tale dato.Omissis

Cassazione e Corte di giustizia alle prese con la tuteladella privacy sui servizi di Google

di Elena Falletti (*)

Dopo otto anni giunge al capolinea del giudicato la vicenda processuale seguita alla pubblicazione di unvideo ripreso durante l'orario scolastico pubblicato online e raffigurante uno studente vittima del bullismodei suoi compagni a causa della sindrome di Down. La Corte di cassazione definisce i compiti e distinguei ruoli del titolare del trattamento di dati personali da quello di Internet Service Provider.

(*) Il contributo stato sottoposto, in forma anonima, allavalutazione di un referee.



Introduzione

La vicenda in commento molto nota ed stataampiamente commentata sia a livello nazionale siaa quello internazionale (1). Come si ricorder essaconcerne il processo penale a carico di tre managerdi vertice di Google prima condannati dal Tribu-nale di Milano e poi assolti dalla Corte d'Appellodel medesimo distretto (2) per aver divulgato unvideo contenente dati sensibili relativi a un ragazzosofferente di handicap ripreso durante l'orario sco-lastico mentre veniva preso in giro con frasi of-fensive e azioni vessatorie riferite alla sua sindromeda parte di altri soggetti minorenni (3). Il reatoper il quale il Procuratore generale della Repubbli-ca di Milano ha presentato ricorso concerneva laviolazione degli artt. 110 c.p., 167 commi 1 e 2 deld. lgs 196/2003 poich in concorso tra loro e nelleloro rispettive qualit (amministratori delegati diGoogle Italy e responsabile della policy sulla priva-cy di Google Italy) procedevano al trattamento deidati personali in violazione degli artt. 23, 17 e 26del medesimo decreto legislativo. Si contesta lacondotta omissiva sull'informativa in materia diprivacy, visualizzabile in italiano dalla pagina ini-ziale del servizio di Google Video, in sede di atti-vazione dell'account, al fine di uploadare file, inconsiderazione a quanto stabilito dall'art. 13, com-ma 1 e del consenso validamente espresso ex art.23, comma 3. Ulteriormente, la violazione ipotizza-ta riguarda anche l'art. 26, cit. relativamente allosvelamento di dati idonei a divulgare lo stato di sa-lute della persona inquadrata nel video, nonchl'art. 17 per gli specifici rischi insiti nel trattamen-to omesso, in particolare in relazione alle concretemisure organizzative da prestare.

Motivi di impugnazione del ProcuratoreGenerale della Repubblica di Milano e ledifese delle parti

La sentenza della Corte d'appello di Milano haassolto gli imputati poich l'art. 167 del D. Lgs. n.196/20113 non richiama l'art. 13 e pertanto nonsarebbe stato possibile identificare un obbligo coer-citivo a carico dell'internet provider di rendere edot-to l'utente degli obblighi di protezione della priva-cy. A questo proposito viene ricordato che l'even-

tuale violazione del summenzionato art. 13, consi-stente nell'omessa ovvero inidonea informativa al-l'interessato sarebbe punita non dall'art. 167, madall'art. 161 del medesimo d. lgs., che per prevedeuna sanzione amministrativa. I giudici d'appellohanno escluso l'applicabilit del concorso omissivonel reato contestato e, poich gli imputati non era-no preventivamente a conoscenza del filmato edella pubblicazione del dato sensibile pubblicato,hanno affermato l'insussistenza concreta del dolospecifico previsto dalla norma incriminatrice. Infi-ne, la sentenza d'appello ha giudicato del tuttofuorviante la configurabilit del dolo eventuale co-me invece sostenuto dal Tribunale nella sentenzadi prime cure.Il Procuratore generale della Repubblica presso

la Corte d'appello di Milano ha impugnato in Cas-sazione con quattro motivi di ricorso, che sonoriassumibili come segue: 1) l'erronea applicazionedell'art. 26 d. lgs. 196/2003 si fonda sul divieto as-soluto di divulgazione dei dati idonei a rivelare lostato di salute di un soggetto, previsto dal 5 commadel citato articolo; 2) la normativa sul commercioelettronico stata erroneamente e immotivata-mente applicata. Infatti, l'art. 1, comma 2, lett. b)del d. lgs. n. 70/2003 espressamente stabilisconoche non rientrano nell'ambito applicativo di siffat-ta normativa le questioni relative al diritto alla ri-servatezza, relativamente al trattamento dei datipersonali nel settore delle telecomunicazioni. Inol-tre, sul punto, il giudice d'appello non avrebbecompiutamente considerato che il riconoscimentodella natura di host attivo a Google Video non puche comportare l'esclusione della clausola di limi-tazione della responsabilit ex art. 16, comma 1,del d. lgs. 70/2003. Infatti, l'art. 14 della Direttiva2000/31/CE avrebbe dovuto essere interpretato nelsenso che la limitazione della responsabilit si sa-rebbe dovuta estendere al prestatore del servizio suInternet nel caso in cui detto prestatore non avessesvolto un ruolo attivo relativamente alla conoscen-za e al controllo dei dati raccolti; 3) gli artt. 167,12, 13, 4 del d. lgs. n. 196/2003 sono stati violatipoich, la distinzione tra la ripresa video e il datopersonale oggetto della ripresa video consisterebbein un mero artificio retorico che non consentireb-be di escludere l'applicazione della disciplina sulla

(1) Noah C.N. Hampson, The Internet Is Not a Lawless Prai-rie: Data Protection and Privacy in Italy, 34 B.C. Int'l & Comp. L.Rev. 477, 479-80 (2011); M. Cunningham, Privacy In The AgeOf The Hacker: Balancing Global Privacy And Data SecurityLaw, 44 Geo. Wash. Int'l L. Rev. 643, (2012), 661.

(2) App. Roma, sez. I pen., 27 febbraio 2013, in questa Rivi-

sta, 2013, 7, 921 con nota di E. Falletti, Google v. Vividown, at-to II: il service provider assolto anche per violazione della priva-cy.

(3) Cass., sez. III , Pen. 17 dicembre 2013 - 3 febbraio2014, n. 5107.



privacy. A questo proposito occorre osservare chese si fosse riconosciuta a Google Video la natura dihost attivo si sarebbe integrata la sussistenza dellaqualifica di titolari del trattamento dei dati perso-nali anche in capo agli imputati; 4) in merito all'e-lemento soggettivo della fattispecie, la qualificazio-ne del dolo non sarebbe stata correttamente quali-ficata dal giudice d'appello. Infatti, si potrebbe so-stenere la configurazione del dolo eventuale nell'il-lecito trattamento del dato personale a causa dellafinalit di profitto effettivamente perseguita.Le difese degli imputati hanno eccepito che: a) i

medesimi non sono titolari del trattamento dei datipersonali del soggetto rappresentato nel video cari-cato sulla piattaforma di Google video. In partico-lare, l'art. 4 del Codice della privacy che indivi-dua il titolare del trattamento nel soggetto che ab-bia il potere di esprimere scelte in ordine allo sco-po del trattamento e alle modalit dell'esercizio delmedesimo. In questo caso, i difensori affermanoche il titolare sarebbe la persona che, abusivamen-te, avesse caricato il video sulla piattaforma diGoogle senza preventivamente acquisire il consen-so dell'interessato; b) le difese sottolineano che almomento in cui si svolsero i fatti non esistevanotecnologie di filtraggio preventivo idonee a identi-ficare automaticamente i contenuti illeciti di unvideo, con la conseguenza che la condotta pretesadagli imputati era per questo inesigibile; c) in terzoluogo le difese affermano che tanto secondo la nor-mativa sulla privacy quanto secondo quella sulcommercio elettronico l'hosting provider non acqui-sisce la qualifica del titolare del trattamento e per-tanto non possono essere chiamati a rispondere delcontenuto dei files inseriti da terzi sulla piattaformada lui gestita; d) infine, le difese contestano la sus-sistenza dell'elemento soggettivo del delitto di ille-cito trattamento di dati personali poich gli impu-tati non erano a conoscenza, n avrebbero potutoesserlo, dell'esistenza di dati personali all'interno diuno dei migliaia di video caricati sulla piattaforma,con la conseguenza che essi non si erano rappre-sentati in alcun modo il fatto di procedere ad untrattamento di dati personali.

Le questioni controverse decise dalla Cortedi cassazione

Dopo aver ricostruito nel dettaglio il panoramanormativo vigente nell'ordinamento italiano, laCorte si concentra sulle questioni controverse: daun lato l'eventuale presenza di un obbligo generale

di sorveglianza in capo al provider e dall'altro l'i-dentificazione del titolare del trattamento dei dati.Sotto il primo profilo la Corte di cassazione

esclude che nell'ordinamento italiano esista alcunadisposizione che preveda un obbligo generale disorveglianza a carico del provider dei dati immessida terzi sul sito da questi gestito.Sotto il secondo profilo i giudici di legittimit ri-

badiscono che non sussiste in capo al provider l'ob-bligo penalmente perseguibile di informare il sog-getto che ha uploadato i dati medesimi dell'esi-stenza della normativa relativa a questo trattamen-to. Tale risultato si evince dall'analisi delle defini-zioni utilizzate nell'art. 4 del Codice della privacypoich i termini di trattamento e titolare han-no due accezioni diverse. Infatti, il primo pi am-pio, comprensivo anche dei mezzi e delle tecnicheutilizzate, mentre il secondo pi specifico, con-centrato sull'esistenza di un potere decisionale rela-tivo a finalit, modalit e strumenti utilizzati relati-vamente al trattamento stesso dei dati sensibili. Neconseguirebbe che titolare di tale trattamento sa-rebbe solo il soggetto in grado di determinarne gliscopi, i modi e i mezzi.Nel caso in esame, si tratterebbe dell'utente che

ha uploadato il video ma che per non ha ricevutole necessarie informazioni sul trattamento dei datiutilizzati e dei quali era titolare, poich siffatto ob-bligo a carico del gestore del servizio utilizzato non previsto dalla legge. Tale interpretazione in ma-teria di trattamento dei dati personali sensibili on-line risulterebbe dal combinato disposto degli artt.13 (Informativa), 17 (Trattamento che presenta ri-schi specifici), 23 (Consenso), 26 (Garanzie per idati sensibili), con le sanzioni previste dagli artt.161 (Omessa o inidonea informativa all'interessa-to) e 163 (Trattamento illecito di dati), i quali so-no diretti al responsabile del trattamento ai sensidell'art. 4, comma 1 lett. g).I giudici di legittimit elaborano analogo ragio-

namento assolutorio anche per 'Internet hosting pro-vider, poich, come stabilito dall'art. 16, d. lgs.70/2003, colui che presta un servizio di memoriz-zazione di informazioni fornite da un destinatariodel servizio; pertanto anche in questo caso mancaall'intermediario il potere di controllo diretto suidati memorizzati, non ha il potere di sceglierli, ri-cercarli o elaborare il file che li contiene, essendoessi attribuibili al solo destinatario del servizio cheli carica sulla piattaforma a sua disposizione. Per-tanto, il potere decisionale sul trattamento dei datie la capacit di incidere sui dati medesimi, chenon pu prescindere dalla loro conoscenza, deve



coincidere nella medesima figura ai fini dell'appli-cazione della disciplina penalistica sopra ricostrui-ta. Finch il contenuto del dato sconosciuto alprovider, questo non pu essere responsabile. Alcontrario, qualora esso sia a conoscenza o sia messoa conoscenza dell'illiceit del dato, esso assume apieno titolo la qualifica di titolare del trattamentoe deve attivarsi per la sua rimozione o renderloinaccessibile. In questo caso diviene destinatariodelle sanzioni penali del Codice della privacy. Conl'occasione i giudici di legittimit specificano chein materia di protezione dei dati personali operaun corpus normativo differente rispetto a quello re-lativo al commercio elettronico: a questo propositosi cita l'art. 1, comma 5 lett. b) (ripreso dall'art. 1comma 2, lett. b) del d. lgs n. 70 del 2003). Nel-l'applicare al caso in esame i summenzionati prin-cipi, la Cassazione rileva che il ricorso della Procu-ra generale della Repubblica presso la Corte d'Ap-pello di Milano infondato, perch per quantoconcerne il primo motivo di ricorso il responsabiledel trattamento l'utente che ha caricato il video,mentre per ci che riguarda il secondo motivo diricorso solo il titolare del trattamento a dover es-sere chiamato a rispondere della violazione dellaprivacy e non l'hosting provider. Per ci che concer-ne il terzo motivo di ricorso, i giudici supremi af-fermano che da un lato la violazione dell'art. 13del Codice della privacy sanzionato dall'art. 161,con sanzione amministrativa, e non dall'incrimina-zione penale prevista dal successivo art. 163. Infi-ne, i giudici di legittimit escludono radicalmentela configurabilit, sotto il profilo oggettivo, di unaresponsabilit dell'Internet host provider e quindi ri-sulterebbe del tutto superfluo valutare la sussistenzadella configurabilit dell'elemento soggettivo delreato.

Le reazioni della dottrina

La maggioranza dei primi commentatori (4) si espressa in senso favorevole alla decisione, prima-riamente per l'attivit di ricostruzione sistematicadelle discipline del commercio elettronico (d. lgs.

70/2003) e della privacy (d. lgs 196/2003) ed in-quadrando in questo contesto i confini dell'even-tuale responsabilit dell'host provider, e quindi deigestori dei servizi online (5). Tuttavia, la dottrinaha osservato che la Cassazione non si soffermatasulla figura dell'host attivo sulla base del quale laProcura generale della Repubblica presso la Corted'Aapello di Milano ha concentrato la sua impu-gnazione.In merito alla tutela della privacy e al presunto

obbligo di fornire l'informativa in materia di tuteladella riservatezza agli utenti della piattaforma, lamaggioranza della dottrina concorda sulla insussi-stenza sia della titolarit di Google al trattamentodei dati personali, sia allobbligo sanzionato penal-mente di informare gli utenti della piattaforma (6).Secondo siffatta interpretazione l'host si limitereb-be a memorizzare i video, ma non sceglierebbe nil modo in cui i dati personali vengono diffusi, nper quali finalit. Sotto questo profilo questa cor-rente dottrinale concorda nell'osservare che laCassazione abbia completato il puzzle della discipli-na della irresponsabilit di Google in quanto essorivestirebbe il mero ruolo di intermediario tecnico,cio un host provider, nonostante sia proprietariodella piattaforma (7). Infatti, il provider si sarebbelimitato a fornire ospitalit ai video forniti dagliutenti, senza incidere sulla determinazione sul con-tenuto dei video medesimi (8) e cancellando i ma-teriali appena ha avuto conoscenza della loro illi-ceit successivamente alla segnalazione delle pub-bliche autorit.Parte della dottrina ha criticato aspramente al-

cuni passaggi fondamentali di questa decisione, inparticolare l'aggancio della definizione di titolaritdel trattamento alla conoscibilit dell'illiceit deldato trattato (9), affermando che si tratti di unpalese travisamento di norme giuridiche fondatosu pareri pro-veritate del Article 29 Data ProtectionWorking Party, che non hanno alcun valore difonte giuridica. Secondo questa corrente interpre-tativa, l'aggancio della definizione del titolare deltrattamento alla conoscibilit del dato traviserebbeil senso degli artt. 4 e 29 del Codice della privacy,

(4) A. Ingrassia, La sentenza della Cassazione sul caso Goo-gle, 6 febbraio 2014, in Diritto penale contemporaneo,http://www.penalecontemporaneo.it/materia/-/-/-/2817-la_-sentenza_della_cassazione_sul_caso_google/; M. Bassini, O.Pollicino, Telecinco v YouTube e Google v Vividown: le ultimesulla (ir)responsabilit dei provider in Europa, in Diritto 24, 2014,http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/merca-tiImpresa/2014-02-21/telecinco-youtube-google-vividown-093834.php; G. M. Riccio, Caso Vividown, finalmente la Cassa-zione, 7 febbraio 2014, http://www.medialaws.eu/caso-vivi-

down-finalmente-la-cassazione/(5) A. Ingrassia, La sentenza della Cassazione, cit.(6) G. M. Riccio, op. cit.(7) G. M. Riccio, Caso Vividown, cit.(8) A. Ingrassia, cit. M. Bassini, O. Pollicino, Telecinco v.

Youtube e Google v. Vividown, cit.(9) D. Converso, Google-Vividown: La Cassazione cade sulla

qualifica di titolare del trattamento, in Persona e danno,www.personaedanno.it, 12 febbraio 2014.



che alla suddetta conoscibilit non fanno accennoalcuno, limitandosi al trattamento del dato medesi-mo. Ulteriormente, stabilire che la non conosci-bilit di un dato illecito equivale a non avere pote-re decisionale sul dato stesso (e quindi a non poteressere qualificato quale titolare) deduzione pro-pria della Corte (10). Questa voce dottrinaria dis-senziente evidenzia che, attraverso quest'operazio-ne, la Corte di cassazione effettua un'operazione diri-scrittura del disposto normativo, tralasciando al-tres di tenere in considerazione i due concetti, diestrema importanza, attraverso i quali il titolare sipu orientare nel trattamento dei dati, e quindi delsuo ruolo, ovvero la finalit e la realizzazione con-creta del trattamento medesimo. (11)

La giurisprudenza della Corte di giustiziadell'Unione europea

A supporto del proprio ragionamento giuridicola Cassazione ha utilizzato elementi provenienti daorgani europei. Nello specifico, la Cassazione fa ri-ferimento alle opinioni dell'Article 29 Data Protec-tion Working Party , precisamente l'OpinionNo. 5/2009 sui social network (12) e all'OpinionNo. 1/2010 sui concetti di controller e proces-sor (13). Va tuttavia osservato che siffatte opinio-ni, per quanto prestigiose e di autorevole prove-nienza, non possiedono forza giuridicamente vinco-lante, ma solo valenza scientifica ovvero persuasi-va (14). Inoltre, la Suprema Corte effettua un soloriferimento alle conclusioni dell'avvocato generaledepositate il 25 giugno 2013 nella causa C-131/12Google Spain SL e Google Inc. c. Agencia Espanolade proteccion de datos e Mario Costeja Gonzales, perla quale la Grande Sezione della Corte di giustiziaha emanato una discussa sentenza lo scorso 13aprile 2014 (15). Tuttavia la giurisprudenza in ma-teria molto pi vasta e concerne decisioni tantodella Corte di giustizia del Lussemburgo, quantodella Corte europea dei diritti dell'Uomo di Stra-sburgo alle quali per i giudici di legittimit nonhanno fatto riferimento, mancando, a parere di chiscrive, una importante connessione interpretativacon le fonti di diritto sovranazionale.Per quanto concerne la giurisprudenza della Cor-

te di giustizia, i casi Google France e L'Oreal suppor-

tano le conclusioni adottate dai giudici di legitti-mit. Infatti, nella sentenza del 23 marzo 2010(cause riunite C-236/08, Google France e Goo-gle) (16), la Corte di giustizia ha riconosciuto cheil ruolo dell'ISP meramente tecnico, automaticoe passivo, comportando pertanto una mancanza diconoscenza ovvero di controllo dei dati che essomemorizza. Ne consegue che detto operatore nonpu essere ritenuto responsabile per i dati che egliha memorizzato su richiesta di un inserzionista, sal-vo che, divenuto a conoscenza della natura illecitadi tali dati o di attivit di tale inserzionista, nonabbia agito immediatamente per rimuovere o disa-bilitare l'accesso ai dati in questione.La decisione della Corte di giustizia 12 luglio

2011 (n. C-324/09, L'Oral) affronta un tema chela Cassazione non considera neppure, nonostantel'esplicita impugnazione sul punto da parte del Pro-curatore generale della Repubblica presso la Corted'appello di Milano, ovvero il ruolo dell'host attivo.In questa decisione la Corte di giustizia ha stabilitoche l'art. 14 (1), della direttiva 2000/31 debba es-sere interpretato nel senso che vada distinta l'ipo-tesi in cui il gestore del mercato online scopra lesi-stenza di unattivit o di uninformazione illecite aseguito di un esame effettuato di propria iniziativaovvero siffatta situazione di illegalit gli sia statanotificata da altri. In questo secondo caso, la Corteosserva che seppure una notifica non possa auto-maticamente far venire meno il beneficio delleso-nero dalla responsabilit previsto dall art. 14 delladirettiva 2000/31, poich le notifiche relative adattivit o informazioni che si asseriscono illecitepossono rivelarsi insufficientemente precise e di-mostrate, resta pur sempre evidente che essa costi-tuisce, di norma, un elemento di cui il giudice na-zionale deve tener conto per valutare, alla luce del-le informazioni cos trasmesse al gestore, leffettivi-t della conoscenza da parte di questultimo di fattio circostanze in base ai quali un operatore econo-mico diligente avrebbe dovuto constatare lillicei-t. Ne consegue che possa essere attribuito al ge-store il ruolo di host attivo solo quando egli puavere conoscenza e controllo dei dati memorizzati.L'operatore svolge un siffatto ruolo solo quandofornisce un tipo di assistenza che comporta l'otti-mizzazione della presentazione delle offerte per la

(10) D. Converso, op. cit.(11)D. Converso, op. cit.(12) Disponibile all'URL http://ec.europa.eu/justice/policie-

s/privacy/docs/wpdocs/2009/wp163_en.pdf(13) Disponibile all'URL http://ec.europa.eu/justice/policie-

s/privacy/docs/wpdocs/2010/wp169_en.pdf

(14) D. Converso,Google-Vividown, cit.(15) Corte di giustizia, Grande Sezione, 13 maggio 2014, n.

C-131/12.(16) Corte di giustizia, Grande Sezione, 23 marzo 2010, da

C-236/08 a C-238/08.



vendita di beni o servizi o promuoverla. Tuttavia, igiudici di Piazza Cavour paiono escludere che Goo-gle, nella vicenda in esame, abbia ricoperto dettoruolo.Seppure la vicenda inerente a ViviDown abbia

raggiunto il capolinea giudiziario con la sentenzadefinitiva in commento, il dibattito sui servizi diGoogle stato recentemente rinvigorito. Come ac-cennato, il 13 maggio 2014 la Grande Sezione del-la Corte di giustizia ha pubblicato la sentenza rela-tiva al caso Google v. Agencia Espanola de proteccionde datos e Mario Costeja Gonzales. Il fatto che hadato origine a questo contenzioso riguarda la pub-blicazione dell'avviso della vendita giudiziaria dellacasa del sig. Costeja Gonzales per la riscossione dicrediti previdenziali. Detto annuncio era stato le-gittimamente pubblicato sul giornale cartaceo LaVanguardia nel 1998. Nel 2009 il giornale poneonline il suo archivio e l'avviso dell'esecuzione for-zata viene indicizzato da Google; pertanto il signorCosteja Gonzales vede riemergere elementi sgrade-voli del suo passato attraverso l'attivit del motoridi ricerca. A seguito di ci, il signor Gonzales ri-corre al Garante della Privacy spagnolo affinchimponga tanto al giornale, che l'ha pubblicata on-line, quanto a Google, che l'ha indicizzata, di can-cellare l'informazione relativa allo spiacevole ricor-do ritenuto lesivo della sua reputazione. Il Garantespagnolo della privacy accoglie la sua richiesta solonei confronti di Google, ma non del giornale poi-ch l'informazione era stata pubblicata legittima-mente. Di fronte a questo risultato Google agisceinnanzi all'Audiencia Nacional che rimette allaCorte di giustizia una serie di questioni pregiudizia-li riassumibili come segue (17): a) siccome GoogleSearch gestito dalle filiali europee di una societamericana che lucra con i dati personali dei citta-dini dell'Unione Europea, la societ madre e le suefiliali sono soggette al diritto dell'Unione? b) in ca-so di risposta positiva, quando Google raccoglie,memorizza, indicizza e linka pagine presenti sulweb che contengono dati personali pone in essereuna operazione di trattamento dei dati ai sensi del-la Direttiva 95/46/CE? In caso di risposta positiva,Google Search qualificabile come titolare di queidati e pertanto si assume una responsabilit? Se si,a che titolo? c) in caso di risposta affermativa alleprecedenti questioni, il cittadino dell'Unione Eu-ropea pu ottenere la rimozione di uno specifico ri-

sultato dal servizio di Google senza richiedere cheil medesimo dato venga espunto dalla fonte origi-naria? Infine, il search engine ha il dovere di elimi-nare dai suoi risultati un sito o una informazioneche comunque disponibile online?Le risposte della Grande Sezione affermano: a1)

che al motore di ricerca si applica la normativadell'Unione Europea in materia di protezione deidati personali. b1) Google, che tratta i tutti i datipresenti in Rete attraverso i suoi strumenti a finidi lucro, deve adeguare i suoi servizi alla normativacomunitaria in materia di privacy, considerato che,indicizzando i dati personali contenuti in fonti ter-ze, ne diventa titolare. c1) Dato che rintracciabili-t e indicizzazione delle informazioni rappresenta-no due finalit differenti del trattamento, a giudi-zio della Corte parrebbe possibile distinguere trat-tamenti e responsabilit dei vari operatori. Da unlato un dato pu essere legittimamente trattato suun sito e l'interessato non pu opporsi alla sua pub-blicazione (per esempio la notizia di cronaca: inquesto caso la vendita giudiziaria della casa del ri-corrente). Dall'altro lato, il trattamento del mede-simo dato pu diventare illegittimo se trattato dalmotore di ricerca e ledere i diritti del ricorrente(in questo caso, la riemersione di una vicenda sgra-dita alcuni lustri dopo lo svolgimento dei fatti, le-dendo il diritto alla onorabilit) se trattato indi-stintamente dalle ragioni che ne provocarono ladiffusione. In conclusione, il signor Gonzales puchiedere la rimozione della notizia che lo vedecoinvolto esclusivamente dai risultati delle ricer-che di Google.Questa decisione ha suscitato alcune perplessit,

soprattutto sotto due profili: per quel che concerneil profilo b1), la Corte di giustizia sembra confon-dere la finalit lucrativa del servizio di indicizzazio-ne del motore di ricerca, in particolare dei suoi ser-vizi pubblicitari, con la finalit del trattamento delsingolo dato personale del ricorrente. Siffatto datoassume rilevanza nel momento in cui emerge da unarchivio dove era fisicamente custodito dal 1998,per essere immesso in Rete nel 2009, venire indi-cizzato da Google nel 2010 e reso disponibile dachiunque, ovunque e in qualsiasi momento. A que-sto proposito emergono dei dubbi che sembranocolpire il profilo c1), ovvero la duplicazione dellaresponsabilit sul trattamento. Infatti, se la pubbli-cazione iniziale del dato legittima, altrettanto lo

(17) C. Blengino, La Corte di Giustizia e i motori di ricerca:una sentenza sbagliata, in www.medialaws.eu, 19 maggio2014.



l'indicizzazione da parte di Google, che un sem-plice intermediario dell'informazione. possibiledibattere sull'attualit della pubblicazione di siffat-ta informazione, ma questo punto coinvolge diret-tamente la fonte originaria, non Google, che si li-mita a riproporla perch contenuta nella sua fonte. interessante rilevare tre elementi caratterizzan-

ti questa decisione della Corte di giustizia: 1. comei giudici europei tacciano sull'art. 11 della Cartadei diritti fondamentali, relativo alla libert diespressione e di informazione, specificamente allaeventuale valutazione dell'attualit e rilevanza diuna informazione; 2. i giudici di Lussemburgo dele-gano la gestione della valutazione dell'attualit eonorabilit delle informazioni personali onlineesclusivamente a Google; 3. l'assenza di interventodel potere giudiziario, unico organo istituzionaledeputato ad effettuare un equilibrato bilanciamen-to tra il diritto all'oblio della parte che si sente lesadalla diffusione di certe informazioni sul suo passa-to e il diritto dell'opinione pubblica ad essere in-formata.Al contrario, siffatta confusione dei ruoli nella

gestione delle informazioni evidenzia come la Cor-te sottovaluti l'importanza degli intermediari nellafunzionalit di Internet (18): la Rete esiste grazieall'attivit degli intermediari; che questi effettuinola loro attivit lucrando sui servizi resi, non mutal'essenzialit del loro ruolo, n il fatto che le attivi-t essenziali per la collettivit possono essere svolteanche con fini di lucro, come ad esempio la stampao la vendita di alimenti.Infine, interessante osservare come i primi

commenti su questa decisione si siano divisi. Infat-ti l'origine culturale degli autori influisce sulle loroargomentazioni in merito agli interessi in gioco.Da un lato gli europei (19) valorizzano le esigenzedella tutela della riservatezza e della dignit dei ti-

tolari dei dati divulgati, dall'altro gli statuniten-si (20) rimarcano il diritto alla libert di informa-zione.

La giurisprudenza della Corte europea deidiritti umani

La Corte europea dei diritti umani il giudicedeputato a valutare le violazioni commesse dagliStati aderenti alla Convenzione europea per la sal-vaguardia dei diritti umani e delle libert fonda-mentali. Si tratta di un ordinamento diverso e di-stinto da quello dell'Unione Europea, tuttavia digrande interesse perch riguarda l'applicazione delprincipio di proporzionalit nell'esercizio e nel bi-lanciamento dei diritti garantiti dalla Convenzionestessa. Nello specifico, il caso deciso dalla Corteeuropea dei diritti umani Delfi v. Estonia (21) con-cerne la responsabilit di un portale di notizie suInternet per commenti offensivi che sono statipubblicati dai lettori in calce a uno degli articoli dinotizie online. Il gestore del portale, Delfi, statocondannato dalla giustizia estone a risarcire il dan-no non patrimoniale del soggetto offeso nella suareputazione con la somma di 320 euro. Di frontealla Corte europea dei diritti umani il gestore delportale lamentava di aver subito una violazionedella libert di espressione protetta dall'art. 10 del-la CEDU (22).In primo luogo, la Corte ha esaminato l'argo-

mento della Delfi secondo cui la Direttiva2000/31/CE sul commercio elettronico, implemen-tata nel diritto estone, aveva limitato la responsa-bilit per i commenti diffamatori dei suoi lettori.Tuttavia, la Corte ha affermato che la soluzionedei problemi interpretativi posti dal diritto dell'U-nione Europea di competenza dei giudici nazio-

(18) O. Pollicino, M. Bassini, Bowling for Columbine. La Cor-te di giustizia sul caso Google Spain: l'oblio (quasi) prima di tut-to?, http://www.diritto24.ilsole24ore.com, 13 maggio 2014.

(19) C. Kuner, The Court of Justice of EUs Judgment on theRight to be Forgotten: An International Perspective, EJIL:Talk! May, 20 2014.

(20) J. Zittrain, Dont Force Google to Forget, New York Ti-mes, May 15 2014, page A29; C. Timberg, M. Birnbaum, InGoogle case, E.U. court says people are entitled to control theirown online histories, Washington Post, May 13 2014; W. Hart-zog, Google Cant Forget You, But It Should Make You Hard toFind, May 20 2014, http://cyberlaw.stanford.edu/publication-s/google-can%E2%80%99t-forget-you-it-should-make-you-hard-find.

(21) Corte europea dei diritti umani, 10 ottobre 2013, DelfiAS v. Estonia, in www.forumcostituzionale.it, con commento diG. E. Vigevani, La responsabilit civile dei siti per gli scritti anoni-mi: il caso Delfi c. Estonia, 4 febbraio 2014.

(22) Il citato articolo, rubricato Libert di espressione sta-tuisce che: 1. Ogni persona ha diritto alla libert despressio-ne. Tale diritto include la libert dopinione e la libert di riceve-re o di comunicare informazioni o idee senza che vi possa es-sere ingerenza da parte delle autorit pubbliche e senza limitidi frontiera. Il presente articolo non impedisce agli Stati di sot-toporre a un regime di autorizzazione le imprese di radiodiffu-sione, cinematografiche o televisive. 2. Lesercizio di queste li-bert, poich comporta doveri e responsabilit, pu esseresottoposto alle formalit, condizioni, restrizioni o sanzioni chesono previste dalla legge e che costituiscono misure necessa-rie, in una societ democratica, alla sicurezza nazionale, allin-tegrit territoriale o alla pubblica sicurezza, alla difesa dellordi-ne e alla prevenzione dei reati, alla protezione della salute odella morale, alla protezione della reputazione o dei diritti al-trui, per impedire la divulgazione di informazioni riservate oper garantire lautorit e limparzialit del potere giudiziario.



nali e pertanto, non ha affrontato siffatta questioneinterpretativa.In questa decisione la Corte di Strasburgo ha af-

fermato che l'art. 10 consente la libert di espres-sione, che per deve essere bilanciata con gli altridiritti fondamentali, nello specifico con quello del-la reputazione, garantito dall'art. 8 CEDU. La que-stione fondamentale riguarda il caso in cui l'inter-ferenza subita da Delfi nell'esercizio del suo dirittoalla libert di manifestazione del pensiero, rappre-sentata dalla condanna al risarcimento del danno afavore della persona offesa, sia proporzionata o me-no. La Corte ha enucleato quattro elementi chia-ve: a) il contenuto dei post: ovvero insulti, minac-ce e commenti diffamatori. Secondo la Corte, Delfiavrebbe dovuto prevedere la pubblicazione di mes-saggi offensivi esercitando un certo grado di caute-la al fine di non essere ritenuta responsabile per idanni alla reputazione del soggetto passivo. b) lemisure poste in essere da Delfi al fine di evitare lapubblicazione di commenti diffamatori consisteva-no in una disclaimer dove si specificava che gliautori erano responsabili del contenuto dei lorocommenti; che gli utenti potevano segnalare icommenti inappropriati cliccando su un appositopulsante, per questo rimedio risultato essereinefficace poich non ha garantito che i commentidiffamanti potessero essere rimossi velocemente; c)se il gestore avesse potuto identificare i reali autoridei commenti, al fine di poterli citare in giudizio.Tuttavia rintracciare gli effettivi autori risulterebbeessere molto difficile poich era consentito com-mentare senza previa registrazione. Sotto questoaspetto la Corte osserva che la responsabilit diDelfi non concerne esclusivamente una mera que-stione di praticit, ma segue anche il principio diragionevolezza, poich il portale ospita altres in-serzioni pubblicitarie che gli consentono vantaggieconomici; d) infine, la Corte reputa che il risarci-mento del danno riconosciuto al soggetto diffama-to, quantificato nella somma di 320 euro risulta es-sere irrisorio e pertanto costituirebbe una interfe-renza statale non ingiustificata, n il giudice ha in-terferito nell'esercizio del diritto di libert di mani-festazione del pensiero di Delfi ordinando misurespecifiche su come il portale dovrebbe proteggere idiritti di terzi in futuro.Tenendo conto di tutti i punti, e verificando

che in realt Delfi si sarebbe comportato come uncontent provider e non come un mero host provider,

la Corte ha dichiarato che considerare il portaleresponsabile dei commenti stata una ingerenzagiustificata e proporzionata con il diritto alla liber-t di espressione, pertanto non vi stata alcunaviolazione dell'art. 10 CEDU.Questa decisione ha aperto un significativo di-

battito sul bilanciamento dei diritti contrapposti:in questo caso, libert di manifestazione del pensie-ro da un lato e protezione della onorabilit dall'al-tro, in considerazione del ruolo neutrale dell'inter-net service provider. In dottrina vi chi ha osserva-to che attribuire all'intermediario concretamenteimpossibilitato a farlo, un obbligo di controllo deicontenuti introdotti dagli internauti, significa in-durlo a introdurre meccanismi automatici che fini-ranno per eliminare non solo i messaggi davvero il-leciti ma anche quelli pericolosi, perch conte-nenti critiche severe e aspre (23). Pertanto dasalutarsi con favore il rinvio della causa di frontealla Grande Camera che la Corte europea dei dirit-ti umani stessa ha effettuato il 17 febbraio 2014, inaccoglimento dell'istanza proposta dall'Estonia.

Alcune riflessioni conclusive

Il dibattito sul ruolo dell'Internet Service Providernella divulgazione di dati personali molto vivo inogni luogo dove Internet e soprattutto i social net-work sono diventati uno strumento di comunica-zione virale, cio dall'immediata e amplissima dif-fusione dei contenuti. Ad esempio tra le decisionipi recenti si segnala una pronuncia spagnola ema-nata il 31 gennaio 2014, in cui la Corte d'Appellodi Madrid (24) ha confermato la sentenza di primogrado che affermava la non responsabilit di You-tube per la violazione del diritto d'autore da partedei suoi utenti che caricassero materiali tratti datrasmissioni televisive delle quali l'attrice Telecin-co fosse titolare dei diritti di propriet intellettua-le. Riferendosi alle decisioni della Corte di giustiziaGoogle v Louis Vuitton (da C-236/08 a C-238/08),la Corte d'appello madrilena ha affermato che ladirettiva 2000/31/CE in materia di commercioelettronico prevede che la normativa sulla respon-sabilit degli ISP debba essere applicata concreta-mente in relazione all'effettiva attivit realizzatadagli operatori. In questo caso, alla luce della citatagiurisprudenza della Corte di giustizia, l'ISP, cioYouTube, risulta essere un operatore che agisce inmodo esclusivamente passivo avendo un ruolo di

(23) G. E. Vigevani, La responsabilit civile dei siti per gliscritti anonimi, cit.

(24) Audiencia Provincial Civil de Madrid, 31 gennaio 2014.



mero intermediario. Al contrario, in Australia ilTribunale federale (25) ha respinto una azione in-tentata per diffamazione e la discriminazione prete-se contro Google Australia Pty Ltd da parte di unsoggetto che si era visto diffamato per attestazioniinerenti ai suoi presunti problemi di salute menta-le. I giudici federali australiani hanno affermatoche seppure i materiali erano stati raccolti dalla fi-liale australiana Google Australia, utilizzando unnome di dominio australiano google.com.au, Goo-gle non considerabile quale responsabile per icommenti pubblicati da terzi. Tuttavia i medesimigiudicanti hanno enucleato una approfondita ana-lisi in materia di responsabilit degli intermediaritecnologici, sottolineando la mancanza di chiarezzanella disciplina attraverso motori di ricerca, hostingprovider, siti web e blog.Nonostante i chiarimenti della Corte di cassa-

zione, in Parlamento sembrerebbe essere presentechi condivide siffatto riferimento ad una presuntamancanza di chiarezza della disciplina sugli inter-mediari di internet. A questo proposito, si osservache recentemente stato depositato il disegno dilegge C-2049, intitolato Norme per la tutela delladignit in internet (26), dove gli intermediari ver-

rebbero attivamente responsabilizzati nella tuteladei minori (art. 1) e nell'enformcement del dirittoall'oblio (art. 2) dei soggetti i cui dati siano statiraccolti in emeroteche telematiche. Tra le diver-se misure di enforcement previste dal disegno di leg-ge , si nota anche l'ipotesi di condanna dell'editoreovvero dell'intermediario al pagamento di dannipunitivi. Nella relazione di accompagnamento alsuddetto disegno di legge si fa riferimento proprioal caso Google-ViviDown, specificamente nelle pa-role della prima sentenza del Tribunale di Milano,sulla presunta esistenza di una "sconfinata prateria"dove tutto permesso e niente pu essere vieta-to. Nonostante sia stata sconfessata tanto in ap-pello quanto in Cassazione, sotto un profilo di cul-tura e policy giuridica quella sentenza di primo gra-do entrata nel dibattito pubblico e nell'immagi-nario collettivo al fine di giustificare possibili solu-zioni di tipo censorio, mentre con la decisione5107/2014 la Suprema Corte ha chiaramente spe-cificato ruoli e compiti degli intermediari in Retein materia di privacy. Tuttavia questo risultato pareessere messo discutibilmente in dubbio dalla Cortedi giustizia dell'Unione Europea.

(25) Federal Court of Australia, Rana v Google Australia PtyLtd [2013] FCA 60, 7.2.13

(26) Moretti ed altri: Modifiche al codice di cui al decretolegislativo 30 giugno 2003, n. 196, alla legge 8 febbraio 1948,

n. 47, e al codice penale, in materia di tutela della dignit per-sonale nella rete internet (2049), presentato in data 4 febbraio2014 e annunciato il 5 febbraio 2014.



Google ViviDown: la decisione della Cassazione

Documents

Transcript of Google ViviDown: la decisione della Cassazione