Un altro dei principi che appare destinato a venir stabilito dalla Sentenza del Tribunale di Milano ed a produrre effetti ben al di là del caso di specie, concerne i rapporti tra la disciplina sul commercio elettronico con particolare riferimento alle disposizioni relative alla responsabilità degli intermediari della comunicazione e quella in materia di privacy e trattamento dei dati personali.
"Secondo la tesi della Procura - si legge sempre su
L'Espresso - l'informazione non veritiera che Google ha veicolato - fin dall'inizio del processo, fuori e dentro l'aula - consiste nel qualificarsi, in relazione al servizio Google Video, come mero intermediario, non assumendo quindi alcuna responsabilità sui contenuti. In realtà i Pubblici Ministeri sostengono come la normativa sul commercio elettronico non possa trovare applicazione al caso in esame anche perché è lo stesso D.Lvo 70/2003 (art. 1 comma 2) a prevedere che 'non rientrano nel campo di applicazione del presente decreto... le questioni relative al diritto alla riservatezza, con riguardo al trattamento dei dati personalì".
In altre parole, secondo la Procura, Google non potrebbe trincerarsi dietro al principio dell'assenza di un obbligo generale di sorveglianza degli intermediari della comunicazione in quanto - in relazione ai profili privacy - tale principio non opererebbe. Si tratta di una tesi, ancora una volta stimolante e della quale la letteratura giuridica europea così come la giurisprudenza non si è, sin qui, occupata in modo approfondito.
È tuttavia evidente che l'applicazione del principio al di là del caso Google comporta conseguenze significative per tutti gli intermediari della comunicazione, svolgano essi funzioni di
mere conduit,
caching o, piuttosto,
hosting: tali soggetti, qualora trattino - il che costituisce la regola - dati personali contenuti nelle informazioni scambiate e/o diffuse tra i propri utenti sarebbero tenuti ad uniformarsi alla disciplina italiana in materia di privacy e trattamento dei dati personali come se tali dati fossero da essi direttamente trattati. Nella tesi della Procura, infatti, sembrerebbe mancare qualsivoglia riferimento a specifiche qualità soggettive di Google. Ogni fornitore di servizi di hosting, dunque, sarebbe responsabile dei dati personali - anche di soggetti terzi - archiviati dai propri utenti sotto il profilo della disciplina sulla privacy così come ogni altro genere di intermediario dovrebbe preoccuparsi di prestare un'informativa sulla privacy e di acquisire il consenso non tanto in relazione al trattamento dei dati dei propri clienti quanto, piuttosto, a quello dei dati personali contenuti nelle informazioni veicolate, ospitate o trasmesse in esecuzione del contratto perfezionato con il proprio cliente.
Uno scenario sensibilmente diverso da quello attuale e che, a ben vedere, non sembra coerente con il quadro normativo europeo nel quale, a mio parere, non si è mai inteso escludere l'efficacia della disciplina contenuta nella direttiva sul commercio elettronico in ambito privacy ma, più semplicemente, garantire la compatibilità tra i due sistemi regolamentari.
Un paio di considerazioni varranno a chiarire tale conclusione.
Il Considerando 14 della
Direttiva 31/2000, innanzitutto, dice espressamente che "
L'applicazione della presente direttiva deve essere pienamente conforme ai principi relativi alla protezione dei dati personali, in particolare per quanto riguarda le comunicazioni commerciali non richieste e il regime di responsabilità per gli intermediari". È, dunque, evidente che gli Stati membri siano chiamati a garantire la contestuale applicazione delle due discipline - privacy e e-commerce - e non già semplicemente - come sembrerebbe erroneamente ritenere la Procura di Milano - a far sì che la disciplina sulla privacy prevalga sistematicamente su quella in materia di e-commerce di modo che, ad esempio, tutti gli intermediari della comunicazione debbano perdere tale loro qualità soggettiva ed assumere quella di titolari del trattamento in ogni ipotesi nella quale la loro attività abbia ad oggetto dati personali.
È, d'altro canto, evidente che, ad interpretare in questo modo la Direttiva, si finisce inesorabilmente con il travolgere il principio dell'assenza di un obbligo generale di sorveglianza degli intermediari giacché, questi ultimi, per assicurarsi - così come esige la disciplina in materia di trattamento dei dati personali ove letta ed applicata autonomamente - di non trattare dati personali in violazione della disciplina sulla privacy si troverebbero indirettamente obbligati a "sorvegliare" l'intero patrimonio informativo veicolato.
Ritengo, invece, che il senso delle "clausole di salvaguardia" relative alla disciplina sulla privacy contenute nella direttiva e-commerce sia, più semplicemente e realisticamente, quello di chiarire che essa non vada applicata in luogo di quella sulla privacy nelle aree di possibile sovrapposizione ma, piuttosto, in concorso con essa. In altre parole, un intermediario della comunicazione rimane tale anche quando tratta dati personali e se tali dati sono nella disponibilità giuridica e fattuale dell'utente che è libero di aggiornarli e rimuoverli - così come avviene nel caso di upload di un video su qualsivoglia piattaforma UGC - non vi è alcuna ragione per trasformare l'intermediario in titolare di un trattamento che, in realtà, esso non gestisce se non dal punto di vista strettamente tecnico.
Alla stessa conclusione - ovvero nel senso di ritenere che tra la disciplina in materia di responsabilità degli intermediari e quella in materia di privacy debba sussistere un rapporto di "convivenza" e non già di "conflittualità" da risolvere in favore della seconda - sembra inoltre condurre anche il recente "Parere del Garante europeo della protezione dei dati personali sulla proposta di decisione del Parlamento Europeo e del Consiglio che istituisce un programma comunitario pluriennale per la protezione dei minori che usano internet e le altre tecnologie di comunicazione".
Nel
documento del 23 giugno 2008, infatti, il Garante Europeo sottolinea ripetutamente di ritenere "
essenziale che le iniziative pianificate siano coerenti con il quadro giuridico esistente... e, in particolare, la direttiva 2000/31/CE sul commercio elettronico, la direttiva 2002/58/CE sulla e-privacy e la direttiva 95/46/CE sulla protezione dei dati". Nello stesso documento, inoltre, viene espressamente evidenziato che "
Per quanto riguarda i fornitori di servizi di telecomunicazione, la sorveglianza delle telecomunicazioni è tuttavia una questione discutibile, sia essa diretta al controllo dei contenuti protetti da diritti di proprietà intellettuale o di altri contenuti illeciti. Questo punto solleva la questione dell'intervento di un soggetto commerciale, che offre un servizio (di telecomunicazione) specifico, in una sfera in cui in linea di principio non è previsto che intervenga, vale a dire il controllo del contenuto delle telecomunicazioni. Il GEPD ricorda che, in linea di principio, tale controllo non dovrebbe essere esercitato dai fornitori di servizi e certamente non in modo sistematico. Laddove necessario in circostanze specifiche, in linea di principio dovrebbe essere compito delle autorità di contrasto".
Il Garante Europeo, conclude quindi ricordando che "
nel parere del 18 gennaio 2005, il Gruppo dell'articolo 29 ha ricordato in relazione a tale questione che non può essere imposto ai fornitori di servizi Internet alcun obbligo sistematico di sorveglianza e collaborazione, conformemente all'articolo 15 della direttiva 2000/31/CE sul commercio elettronico". Se effettivamente la disciplina sul commercio elettronico fosse destinata - così come sostenuto dalla Procura di Milano - a cedere sempre il passo alla disciplina sulla privacy, è difficile credere che essa avrebbe potuto rappresentare un elemento addirittura centrale in un parere del Garante Europeo su di una materia, peraltro, contigua a quella oggetto del giudizio celebratosi dinanzi al Tribunale.
Sul punto - se la Sentenza confermasse la tesi sin qui rappresentata dall'accusa - sarebbe pertanto urgente conoscere il Parere della Corte di Giustizia UE, giacché chiamare gli intermediari della comunicazione a rispondere - sebbene "solo" sotto il profilo privacy - dei contenuti veicolati da parte dei loro utenti, significa ridiscutere in modo importante il modello di gestione delle informazioni e di business di decine di migliaia di operatori in tutto il mondo.
Un'ultima contestazione che la Procura di Milano, anche nell'interpretazione autentica proposta a
L'Espresso, sembra muovere a Google ma che, per la sua portata, appare destinata a trascendere il caso di specie e ad incidere sulle dinamiche di gestione dell'informazione online caratteristiche di un novero di soggetti che va ben al di là di Big G, concerne i tempi di rimozione del video. Secondo l'accusa, infatti, Google ha atteso troppo a rimuovere il video rispetto ai primi commenti e segnalazioni pubblicati ed inviati dagli utenti.
La difesa di Google, invece, sul punto ha sostenuto e dimostrato, come emerge dalla puntuale ricostruzione de
L'Espresso, di aver rimosso il video pressoché immediatamente a seguito della segnalazione della Polizia delle telecomunicazioni.
Sul punto - che alla fattispecie sia o non sia applicabile la disciplina sul commercio elettronico - credo sia importante assumere una posizione chiara e non equivoca: la responsabilità di un soggetto diverso dall'autore di una comunicazione per la pubblicazione di tale contenuto non può esser ricollegata a qualsivoglia segnalazione pervenutagli ma solo a segnalazioni "qualificate" o perché contenenti la prova inequivocabile del carattere illecito della pubblicazione o perché provenienti da un'Autorità deputata a tale genere di attività.
A prescindere dal caso di specie, infatti, spesso l'accertamento del carattere lecito o illecito di un contenuto è attività complessa ed opinabile che - a tutela dell'esercizio da parte di tutti della libertà di manifestazione del pensiero - non può restare affidata al libero arbitrio di soggetti privati che possono segnalare la pretesa illegittimità di un contenuto per interessi propri non meritevoli di tutela da parte dell'ordinamento o sulla base di personali giudizi di tipo etico, politico o morale.
La velocità di diffusione delle comunicazioni telematiche non costituisce una buona ragione per derogare ad un fondamentale principio di libertà che vuole che l'accertamento della liceità o illiceità di una condotta - in ogni Paese democratico - sia rimesso, ove previsto anche con procedure d'urgenza, ad un'autorità terza ed indipendente.
Derogare tale principio, significa, a mio avviso, avviarsi a rinunciare alla Rete come straordinaria opportunità di effettivo esercizio della libertà di manifestazione del pensiero ed accettare il rischio che tale libertà, nella società dell'informazione, sia limitata da interessi economici ed imprenditoriali quale quello dell'intermediario a sottrarsi a qualsivoglia genere di responsabilità per aver continuato a "dare la parola" ad un utente in un contesto di incertezza circa la legittimità di tale parola.
Il Caso Google - Vividown, più che il confine tra diritto di impresa e diritto alla privacy così come sostenuto dalla procura di Milano, credo sia prezioso per delineare il confine tra libertà di manifestazione del pensiero in Rete e meccanismi di tutela dei diritti dei singoli.
Sino a che punto è preferibile rischiare di limitare la prima a fronte del riconoscimento di più efficaci meccanismi repressivi e sanzionatori a tutela dei secondi?
È questa la domanda alla quale, sulla scia di quanto accaduto, credo che occorra farsi carico di rispondere.
Guido ScorzaPresidente Istituto per le politiche dell'innovazionewww.guidoscorza.it