La notizia è ormai nota. Il Tribunale di Milano ha condannato a sei mesi di reclusione tre dirigenti di Big G per violazione della disciplina italiana in materia di privacy. La decisione dei giudici milanesi ha rapidamente fatto il giro del mondo perché, a prescindere da come la si pensi, è la prima volta che in uno dei centinaia di Paesi coperti dai propri servizi, Big G – o comunque un suo dipendente – viene condannato in relazione ad un contenuto pubblicato da un utente. Intendiamoci, il fatto che non sia capitato in nessuna altra parte al mondo, non significa che non sarebbe dovuto accadere neppure in Italia ma, è fuor di dubbio, che esiste come hanno puntualmente annotato gli osservatori internazionali un “caso Italia” rispetto a queste tematiche.
Che poi ci sia di che andarne fieri o, piuttosto, di che preoccuparsi, è un altro discorso…
Ma veniamo alla decisione della quale, peraltro, non si conoscono ancora le motivazione ed in relazione alla quale è, pertanto, necessario essere cauti e scrivere usando il condizionale.
Quali che siano le motivazioni c’è, tuttavia, un primo dato significativo ed imprescindibile: i giudici del Tribunale di Milano hanno ritenuto che i trattamenti dei dati personali effettuati in relazione al servizio Google video su server collocati all’estero e sotto la responsabilità di Google Inc. e dunque di un soggetto di diritto straniero, ricadano nell’ambito di applicazione della disciplina italiana sulla privacy.
L’ art. 5 del Codice Privacy , tuttavia, nel delimitare il proprio ambito di applicazione, stabilisce che esso “disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato” e “si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea”.
Le motivazioni della Sentenza chiariranno quale sia stato l’iter logico-argomentativo seguito dai Giudici per superare l’apparente incompatibilità tra la norma appena richiamata e la decisione di ritenere applicabile a Google Inc., esercente il servizio Google Video, la disciplina italiana. Frattanto, tuttavia, non si può fare a meno di rilevare che, benché non abbia mai affrontato – almeno a mia memoria – la specifica questione relativa ai dati contenuti nei video pubblicati su Google Video, il Garante per la privacy ha, in diverse occasioni, rilevato come la disciplina italiana in materia di privacy non possa ritenersi applicabile a Google Inc. in relazione a tutta una serie di servizi erogati dall’estero e senza l’utilizzo di “strumenti situati” nel nostro Paese. A prescindere dal caso di specie, credo che la questione dei rapporti tra le decisioni del Garante per la privacy e quelle dell’Autorità giudiziaria, sia un tema da affrontare con estrema attenzione, almeno in una prospettiva de iure condendo , perché eventuali divergenze interpretative rischiano di minare la certezza del diritto e, con essa, la libertà di impresa.
Ma andiamo avanti e guardiamo al merito della decisione o, almeno, a ciò che del merito – in attesa di conoscerne le motivazioni – è possibile ipotizzare dal contenuto del dispositivo.
La responsabilità dei dirigenti di Google sembrerebbe essere stata individuata – almeno stando a quanto riferito dalla stampa – nella circostanza che Google avrebbe omesso di richiedere , così come necessario trattandosi di dati sensibili, l’autorizzazione al Garante per la privacy prima di procedere all’upload del video del bambino disabile e di fornire all’uploader una puntuale informativa.
Se questa fosse effettivamente la motivazione della Decisione ci sarebbe di che restare perplessi.
È ovvio, infatti, che valutare la natura “sensibile” dei dati contenuti in un video che un utente invia a Google Inc. perché sia pubblicato al fine, eventualmente, di richiedere la speciale autorizzazione al Garante, è attività che richiede un’analisi manuale dei singoli contenuti oggetto di upload. Un’analisi effettuata, per di più, da soggetti in grado di discernere puntualmente i dati “solo personali” da quelli “sensibili”, eventualmente alla stregua delle analoghe – ma non identiche – discipline in materia di privacy in vigore in tutti i Paesi in cui BigG opera.
Si tratta di un’attività evidentemente incompatibile con quella di qualsiasi gestore di piattaforma user generated content e che, personalmente, trovo incompatibile altresì con la disciplina dettata dal legislatore europeo in materia di commercio elettronico a proposito dell’assenza di un obbligo generale di sorveglianza da parte dell’intermediario.
Esigere da Google (così come da qualsiasi altro soggetto in analoga posizione) che effettui un monitoraggio “manuale” – dubito che esistano e che mai esisteranno filtri capaci di distinguere il dato sensibile da quello personale! – dei contenuti al fine, eventualmente, di prevenire la diffusione di dati sensibili in assenza della necessaria autorizzazione dell’interessato e del Garante (autorizzazione che, peraltro, andrebbe, semmai, richiesta ad opera dell’utente che procede all’upload del contenuto) significa infatti, se non mi inganno, finire indirettamente con il porre in capo al fornitore di servizi UGC un obbligo di sorveglianza in contrasto con quanto previsto dalla disciplina in materia di commercio elettronico.
Quanto all’informativa che Google non avrebbe dato – se la ricostruzione dei magistrati fosse corretta – all’utente che ha caricato il video incriminato, in relazione all’esigenza di preoccuparsi di acquisire il preventivo consenso dell’involontario e sfortunato protagonista del video, francamente, credo che al riguardo sia necessario da parte di tutti maggior realismo e minor formalismo. Il video di cui si discute è stato messo online da un ragazzino che – a causa dell’evidente fallimento del sistema educativo familiare e scolastico – non si è neppure reso conto della circostanza che insultare un suo compagno di scuola più sfortunato è un gesto di cui vergognarsi e non, certamente, di cui andar tanto fieri al punto da pubblicizzarlo.
Si può davvero sostenere che se Google avesse aggiunto qualche riga nelle proprie condizioni generali ed avesse ricordato al ragazzino in questione che prima di caricare un video contenente dati sensibili (come si fa a spiegare ad un ragazzino un concetto tanto complesso persino per gli addetti ai lavori!) era necessario chiedere il consenso dell’interessato ed acquisire l’autorizzazione del Garante, il ragazzino in questione avrebbe letto e compreso questa avvertenza e proceduto di conseguenza?
Attendiamo, naturalmente, di conoscere le motivazioni della Sentenza prima di pronunciare, a nostra volta, sentenze che potrebbero risultare affrettate. Ma i dubbi, allo stato, sussistono e sono tanti ed inquietanti.
A prescindere dai tecnicismi giuridici – che pure, naturalmente, sono i soli che contano in Tribunale – il fatto che si fa più fatica ad accettare è che per la giustizia italiana sembra essere più responsabile chi ha posto a disposizione degli utenti una piattaforma per la diffusione di un video contenente un episodio che non avrebbe mai dovuto verificarsi piuttosto che chi non ha vigilato – ammesso che ciò fosse possibile – affinché tale episodio non si verificasse.
Ho già scritto – consapevole di utilizzare una figura retorica come l’iperbole – che, per quel che sin qui è dato comprendere, il Tribunale di Milano ha sostanzialmente ritenuto di imputare alle ferrovie la violazione della privacy di un soggetto terzo posta in essere da alcuni viaggiatori. L’iperbole delle ferrovie, tra l’altro, consente di sfatare uno dei più “antipatici” principi che appaiono sottesi alla decisione del Tribunale di Milano: è giusto che Google sia ritenuto responsabile dei contenuti immessi in Rete dagli utenti perché, attraverso tali contenuti, sebbene in maniera indiretta, trae profitto. È un’equazione che, come mostra appunto l’iperbole delle ferrovie, non può esser condivisa: tutti gli intermediari della comunicazione traggono profitto – in un modo o nell’altro – dai contenuti intermediati ma, ciononostante, il legislatore europeo non ha mai pensato di ricollegare il principio dell’assenza di un obbligo generale di sorveglianza o, piuttosto, quello di non responsabilità dell’intermediario alla circostanza che quest’ultimo non guadagni dai contenuti veicolati.
Avere dei dubbi sulla bontà della decisione del Tribunale di Milano, peraltro – appare opportuno chiarirlo a scanso di equivoci – non significa non avere a cuore la privacy o ritenere che i diritti della persona debbano cedere il passo a quelli dell’impresa. Più semplicemente, significa ritenere che, data una violazione commessa attraverso le risorse telematiche, sia necessario individuare e chiamare a risponderne l’autore – come peraltro già accaduto nella vicenda di cui si discute – senza, necessariamente spingersi poi alla ricerca di ulteriori colpevoli e responsabili, finendo con l’individuarli nei soliti intermediari.
A colpi di sentenze e provvedimenti cautelari – condivisibili o meno che siano sotto il profilo strettamente giuridico – negli ultimi mesi, il nostro Paese, ha, di fatto, avviato una preoccupante operazione di “disapplicazione” della disciplina europea della materia, disciplina che, vale la pena ricordarlo, è stata voluta a presidio della libertà di informazione e dell’utilizzo della Rete come straordinario strumento di concreta attuazione di tale libertà. Ridiscutere questo principio – forti del fatto che ci si trova dinanzi a fatti eclatanti o emotivamente toccanti (The Pirate Bay, Bakeca, Mediaset c. YouTube) rischia di minare alla base l’impostazione della disciplina europea della materia e trasformare rapidamente la Rete che conosciamo in una grande TV nella quale i contenuti – proprio come accadeva un tempo – sono prodotti solo ed esclusivamente da parte di soggetti nei quali gli intermediari possano riporre piena fiducia.
Se questo accadesse credo, francamente, che avremmo perso tutti e non avrebbe vinto nessuno.
Guido Scorza
Presidente Istituto per le politiche dell’innovazione
www.guidoscorza.it