Invocato dagli utenti, dalle associazioni dei consumatori e dal senatore Fiorello Cortiana, due giorni fa il Garante per la privacy ha annunciato formalmente di volersi costituire in giudizio presso il Tribunale di Roma nel più clamoroso caso italiano di contrasto all’uso delle piattaforme di sharing per la condivisione di file musicali, l’ormai celeberrimo caso Peppermint-Logistep , reso pubblico inizialmente proprio da Punto Informatico .
In una nota, l’Autorità presieduta da Francesco Pizzetti spiega la sua decisione con la volontà di “verificare se nella vicenda siano stati rispettati tutti i diritti di protezione dei dati personali”.
Il Garante intende lavorare sia sul fronte dell’ identificazione degli utenti , ossia sugli strumenti utilizzati e sul conseguente trattamento di dati personali, sia su quello delle raccomandate con richiesta di risarcimento che, come ben sanno i lettori di PI , stanno arrivando in queste settimane alle migliaia di utenti coinvolti nella vicenda.
La decisione del Garante sta naturalmente illuminando forum e gruppi che si occupano dell’argomento, ma plausi sono arrivati anche dai consumatori. In una nota, Adiconsum , che come Altroconsumo (che descrive le raccomandate come ricatto orwelliano ) si era mobilitata perché si facesse chiarezza sulla questione Peppermint, afferma che “ora i consumatori possono tirare un sospiro di sollievo, perché al loro fianco, oltre Adiconsum, hanno l’istituzione più qualificata a far chiarezza sulla liceità della richiesta della Peppermint, cioè se tutto sia avvenuto rispettando i diritti di protezione dei dati personali, ovvero se questi diritti siano stati lesi”.
In realtà, proprio Adiconsum viene criticata da Otto Mahlknecht , il legale che segue la questione per conto di Peppermint-Logistep. Già intervistato da Punto Informatico , in una nuova intervista curata da Internet Magazine di cui PI ha avuto una anteprima, sostiene che “le persone che si sono affidate a quest’organizzazione sono mal consigliate. Da quello che è stato pubblicato fino ad ora si evince che il problema dal punto di vista giuridico non è stato ancora “digerito”. Altrimenti non riesco a capire come mai si possa seriamente sostenere che ci sia stata una violazione della privacy”.
Secondo l’avvocato, “forse coloro che gridano allarme al Garante della privacy non hanno letto attentamente le ordinanze del Tribunale di Roma che ovviamente hanno approfondito questa tematica. Siccome i dati sono stati raccolti per far valere un diritto in sede giudiziaria, non era necessario il consenso della rispettiva persona”. E sottolinea: “Sia aggiunto che – con tutto il rispetto verso il lavoro che fanno le organizzazioni dei consumatori – le persone che illecitamente hanno diffuso opere d’ingegno tutelate nell’internet, giuridicamente non possiedono la qualità di “consumatori”, ma hanno una responsabilità extracontrattuale nei confronti dell’impresa che hanno danneggiata con il loro comportamento, pertanto tutta la normativa a tutela del consumatore non è applicabile”.
A detta di Mahlknecht la posizione degli utenti coinvolti è chiarissima : “Queste persone, di fatto, si sono arrogate una licenza mondiale di distribuzione del rispettivo brano musicale senza averne il diritto. Civilisticamente sono responsabili ex articolo 2043 del codice civile; l’ammontare del danno è calcolato ai sensi dell’articolo 158 della legge sul diritto d’autore”. A suo dire, inoltre, gli utenti che si stanno facendo assistere da un avvocato decidono di pagare i 330 euro richiesti da Peppermint, mentre gli altri, sottolinea, “sappiano che non la passeranno facilmente. Sicuramente, sarà difficile agire contro così tante persone, ma vorrei far presente che la prescrizione del diritto al risarcimento del danno avviene dopo cinque anni, per questo motivo la Peppermint ha molto tempo per tutelarsi. Se vuole, può chiamare in giudizio (gli utenti, ndr) uno dopo l’altro”.
La questione non è però così semplice, almeno a sentire Guido Scorza , professore presso il Master di diritto delle nuove tecnologie dell’Università di Bologna e presso la Scuola Ufficiali dell’Arma dei Carabinieri, intervistato da Internet Magazine : “(…) Logistep (…) ha presumibilmente trattato i dati di centinaia di migliaia di utenti che si sono poi rilevati del tutto estranei alle ipotizzate violazioni e, ad oggi, la sua attività è stata utilizzata esclusivamente per esigere da alcune decine di migliaia di utenti il pagamento di un importo di natura indennizzatoria rispetto alle violazioni asseritamente poste in essere il che, certamente, non costituisce esercizio di un diritto in sede giudiziaria così come prescritto dalla richiamata disciplina (quella sulla privacy, ndr.). In tale contesto, all’origine della vicenda di cui stiamo parlando sembra esservi una plateale violazione della disciplina in materia di trattamento dei dati personali alla quale la Logistep non sembra potersi sottrarre semplicemente sbandierando la propria ‘cittadinanzà svizzera”.
Di seguito una disamina dell’azione Logistep a cura degli avvocati Valentina Frediani e Marco Masieri di Consulentelegaleinformatico.it
L’ormai famoso caso Peppermint negli ultimi giorni sta interessando il mondo virtuale, e molti utenti stanno interrogandosi su quanto sia legittima e valida la richiesta di corresponsione di una tantum che la società tedesca ha avanzato verso gli utenti italiani “macchiatisi” del reato di violazione del diritto d’autore.
Orbene, cerchiamo di valutare la questione verificando alcuni aspetti giuridici relativi alla vicenda.
Anzitutto, un aspetto che “salta” subito alla mente considerando la raccolta IP effettuata dalla società tedesca, è quello relativo alla privacy degli utenti.
Sotto tale profilo è opportuno premettere che la normativa privacy subordina la liceità di un qualsiasi trattamento di dati personali al consenso del soggetto interessato. Tuttavia il legislatore ha espressamente individuato le ipotesi in cui detto trattamento può comunque prescindere da un consenso del soggetto cui si riferiscono i dati trattati, in deroga alla regola generale. In particolare il legislatore prevede che il consenso non sia richiesto quando il trattamento, con esclusione della diffusione (ad esempio, la pubblicazione dati su sito Internet), è necessario per far valere o difendere un diritto in sede giudiziaria.
Nel caso di specie, Peppermint ha individuato gli indirizzi IP degli utenti attraverso l’utilizzo del software di monitoraggio prodotto dalla società svizzera Logistep senza alcun preventivo consenso da parte degli interessati. Tuttavia sotto il profilo della tutela della privacy detta operazione può considerarsi pienamente legittima in applicazione della suddetta norma: in sostanza quindi la Peppermint, raccogliendo e trattando i suddetti indirizzi IP, sia pur senza consenso degli interessati, ha tuttavia agito in piena conformità avendo posto in essere detta operazione al fine di tutelare in sede giudiziaria i propri interessi.
Simili osservazioni riguardano anche la successiva comunicazione dei nominativi degli utenti intestatari dei corrispondenti indirizzi IP da parte di Telecom Italia che ha semplicemente agito in esecuzione dell’ordinanza emessa dal Tribunale di Roma (lo stesso Codice privacy prevede espressamente l’obbligo a carico del gestore telefonico, di comunicare all’autorità giudiziaria che ne faccia richiesta nei limiti di legge). E nel caso di specie il Tribunale di Roma ha giustificato il contenuto dell’ordinanza alla luce del nuovo art. 156 bis della legge sul diritto di autore introdotto dalla direttiva comunitaria “enformcement” n. 48 del 2004 secondo cui “qualora una parte abbia fornito seri elementi dai quali si possa ragionevolmente desumere la fondatezza delle proprie domande, elementi o informazioni detenuti dalla controparte che confermino tali indizi, essa può ottenere che il giudice ne disponga l’esibizione oppure che richieda le informazioni alla controparte……(omissis)”.
Ma gli aspetti privacy non si esauriscono qui. Difatti in secondo luogo è necessario valutare se le modalità di reperimento degli indirizzi IP seguita dal software Logistep possa considerarsi o meno lecita sotto un altro punto di vista ovvero se il suddetto reperimento degli indirizzi IP possa configurarsi come intercettazione di altrui comunicazioni informatiche punita ai sensi dell’art. 617 quater del codice penale secondo cui “Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni”.
Tale fattispecie sembra però doversi escludere, in quanto l’attività di controllo posta in essere con il software Logistep non può configurarsi come intercettazione di comunicazione. Infatti, il sistema utilizzato da Logistep è una versione modificata dell’applicazione P2P Shareaza che opera come un qualsiasi utente (Client) della rete P2P. In particolare, infatti, si connette come Client alla rete P2P, cerca fonti del file illegale e raccoglie gli indirizzi IP che sono stati ottenuti dalla ricerca. Il client chiede di scaricare un “porzione” di file dall’utente che lo possiede e trovato con la ricerca. Non appena l’utente comincia ad uplodare dati ovvero avvia il download del File Sharing Monitor, vengono inseriti in un database una serie di dati relativi al nome del file, al suo valore hash, alla sua dimensione alla data, all’ora e al nick name utilizzato dall’utente. In conclusione, la modalità seguita per raccogliere i suddetti indirizzi IP non può ritenersi neppure penalmente rilevante.
Infine, si pone un’ultima questione relativa alla raccolta degli indirizzi IP: abbiamo la certezza che i dati forniti da Logistep siano o meno attendibili? In proposito, come sopra visto, il software utilizzato rileva non solo il nome del file, che ben potrebbe essere modificato da ciascun utente di una rete P2P a prescindere dal relativo contenuto, ma a seguito di un download test anche il valore hash che consente di identificare univocamente un file avente un determinato contenuto. In ogni caso anche se non sussiste una perfetta corrispondenza biunivoca tra hash e testo, tuttavia sono assai elevati i relativi margini di certezza. Non a caso il Tribunale di Roma ha considerato corretto il funzionamento del software Logistep. Taluni però criticano questo aspetto fondamentale, ritenendo che un intervento di verifica dovrebbe provenire non dalla parte interessata, bensì da un soggetto terzo, con ruolo oggettivo nell’intera vicenda.
Fatte queste brevi considerazioni, possiamo passare a verificare se effettivamente sia configurabile una responsabilità civile e/o penale a carico degli utenti individuati dalla società tedesca a causa della condotta consistente nel porre in condivisione in rete P2P file musicali. A tal fine occorre richiamare l’art. 17 della legge sul diritto di autore che stabilisce “Il diritto esclusivo di distribuzione ha per oggetto la messa in commercio o in circolazione, o comunque a disposizione, del pubblico, con qualsiasi mezzo ed a qualsiasi titolo, dell’originale dell’opera o degli esemplari di essa e comprende, altresì, il diritto esclusivo di introdurre nel territorio degli Stati della Comunità europea, a fini di distribuzione, le riproduzioni fatte negli Stati extracomunitari”.
L’art. 72 precisa poi che il produttore di fonogrammi ha il diritto esclusivo di: autorizzare la distribuzione degli esemplari dei suoi fonogrammi; autorizzare la messa a disposizione del pubblico dei suoi fonogrammi in maniera tale che ciascuno possa avervi accesso dal luogo e nel momento scelti individualmente. Tale diritto non si esaurisce con alcun atto di messa a disposizione del pubblico.
In altri termini dunque la legge richiamata individua tra i diritti di utilizzazione economica esclusivi dell’autore dell’opera – e in particolare del produttore di un fonogramma – il diritto di distribuzione. Pertanto, ove l’utente Internet acceda ad una rete P2P mettendo in condivisione file protetti dal diritto di autore, automaticamente contravviene alle suddette norme distribuendo indirettamente l’opera musicale e ledendo così il diritto esclusivo dell’autore (nel caso di specie Peppermint).
Orbene, ai sensi poi dell’art. 158 l.d.a. “Chi venga leso nell’esercizio di un diritto di utilizzazione economica a lui spettante può agire in giudizio per ottenere che sia distrutto o rimosso lo stato di fatto da cui risulta la violazione o per ottenere il risarcimento del danno” : conseguentemente la Peppermint, accertata la lesione del proprio diritto di distribuzione dell’opera, potrebbe chiedere il risarcimento di danni ai sensi del richiamato art. 158.
Entra però in gioco un aspetto fondamentale, ovvero quanto possano corrispondere la persona del titolare dell’indirizzo IP al soggetto che ha posta in essere una condotta violativa del diritto d’autore e se comunque il titolare dell’indirizzo IP debba rispondere di quanto eventualmente commesso da un terzo.
Sotto quest’ultimo profilo è da ritenersi applicabile l’art. 2051 del codice civile secondo cui ciascuno è responsabile dei danni cagionati dalle cose che ha in custodia, salvo che provi il caso fortuito.
Nel caso di specie il titolare dell’indirizzo IP e della relativa connessione sarebbe dunque responsabile per i danni cagionati a meno che non dimostri concretamente un fatto che escluda il suo utilizzo della connessione internet in occasione dell’attività illecita posta in essere.
Nonostante manchino precedenti giurisprudenziali in tal senso è da ritenere che con molta probabilità un giudice riterrebbe applicabile al caso di specie l’art. 2051 c.c. Non a caso spesso tale responsabilità è espressamente prevista dai contratti conclusi con gli Internet Provider che pongono a carico del cliente la responsabilità per i danni cagionati da un non corretto utilizzo dei servizi Internet.
Sotto il profilo penale l’art. 171 ter l.d.a. stabilisce che “È punito, se il fatto è commesso per uso non personale, con la reclusione da sei mesi a tre anni e con la multa da cinque a trenta milioni di lire chiunque per fine di lucro:a) abusivamente duplica, riproduce, trasmette o diffonde in pubblico con qualsiasi procedimento, in tutto o in parte, un’opera dell’ingegno destinata al circuito televisivo, cinematografico, della vendita o del noleggio, dischi, nastri o supporti analoghi ovvero ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento”.
In proposito secondo la giurisprudenza prevalente, lo scopo di lucro richiesto dal testo di legge attualmente in vigore non è configurabile nell’ipotesi di condivisone gratuita di file musicali, con totale assenza del perseguimento di un vantaggio economicamente apprezzabile.
Si ritiene invece applicabile all’ipotesi di chi metta in condivisione in rete P2P file musicali l’art. 171 lettera a bis) che punisce “Chiunque mette a disposizione del pubblico immettendola in un sistema di reti telematiche, mediante connessione di qualsiasi genere un’opera dell’ingegno protetta o parte di essa”.
Tuttavia in sede penale non è configurabile una responsabilità oggettiva del titolare dell’indirizzo Ip.
Ultimo aspetto è quello relativo alla cifra richiesta dalla Società: da dove viene fuori una tale somma? Evidentemente da una valutazione totalmente autonoma della parte che si ritiene lesa: ma ciò non è sufficiente per ritenere giustificabile tale quantificazione.
La vicenda sembra avere sconvolto il web ma da una analisi complessiva si potrebbe concludere che più che mirare ad un risarcimento danni, l’effetto voglia essere l’impatto psicologico che sarà prodotto su chi utilizza i programmi P2P. Non possiamo ancora sapere se la Peppermint trarrà risarcimenti sufficienti rispetto alla lesione ritenuta subita, ma certamente potrà archiviare il caso tra i più clamorosi nella storia della lotta contro la violazione del diritto d’autore (a prescindere dalla ragione o meno!).
Avv.ti Valentina Frediani e Marco Masieri
www.consulentelegaleinformatico.it