Oltre Google c'è di più

Oltre Google c'è di più

di G. Scorza - L'equilibrio tra diritto alla privacy e il principio di non responsabilità degli intermediari, la libertà di espressione. Riflessioni sulle spiegazioni della Procura in attesa delle motivazioni della sentenza Vividown
di G. Scorza - L'equilibrio tra diritto alla privacy e il principio di non responsabilità degli intermediari, la libertà di espressione. Riflessioni sulle spiegazioni della Procura in attesa delle motivazioni della sentenza Vividown

La decisione resa lo scorso 24 febbraio dal Tribunale di Milano continua a far discutere in tutto il mondo e, nei giorni scorsi, la stessa Procura di Milano ha avvertito l’esigenza di intervenire, fornendo attraverso le pagine de L’Espresso alcuni importanti chiarimenti in relazione alla posizione dell’accusa e, dunque, alle ragioni che, con ogni probabilità, hanno indotto i Giudici milanesi a condannare i tre manager di Big G.

Non basta, naturalmente l’interpretazione autentica della Procura a sostituire le motivazioni con le quali i Giudici del Tribunale di Milano spiegheranno la propria decisione. Finito, quindi, il tempo dei commenti “a caldo” converrà, a questo punto, attendere di conoscere le motivazioni prima di tornare a riflettere sulla questione Google c. Vividown. Ad un tempo, tuttavia, è innegabile che la decisione abbia messo in discussione alcuni aspetti giuridici di grande rilievo sui quali si fonda l’attività di milioni di soggetti operanti in ogni parte del mondo e che pur non avendo – salvo poche eccezioni – raggiunto la notorietà ed il successo di Big G utilizzano analoghi modelli di impresa e di gestione dell’informazione.
In attesa, dunque, di conoscere le motivazioni del Tribunale sul caso Google, i chiarimenti della Procura legittimano alcune riflessioni di carattere più generale in relazione all’ambito geografico di applicabilità della nostra disciplina sulla privacy e al ruolo ed alla responsabilità degli intermediari della comunicazione in relazione alle questioni connesse, appunto, al trattamento dei dati personali.

Sulla prima questione, non serve attendere le motivazioni della Sentenza, per assumere che il Tribunale di Milano ha, evidentemente, ritenuto applicabile a Google Italy, almeno in relazione al servizio Google Video, il nostro Codice Privacy . Si tratta di una circostanza tutt’altro che scontata e che solleva delicate e complesse questioni che riguardano centinaia di migliaia di soggetti che prestano servizi della società dell’informazione nel nostro Paese pur avendo sede all’estero e non disponendo in Italia di alcuno “strumento situato nel territorio dello Stato”.

Al riguardo è noto che l’art. 5 del Codice Privacy stabilisce che esso ” disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato ” e ” si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea “. Sin qui non è emerso alcun elemento idoneo a far ritenere che i Giudici milanesi abbiano contestato a Google la realtà a tutti nota: il servizio Google Video era erogato, all’epoca dei fatti, da Google Inc utilizzando esclusivamente server collocati negli Stati Uniti d’America.

Lo stesso Garante italiano per la privacy, d’altro canto, in alcune pronunce relative ai servizi di indicizzazione erogati da Google, in diversi provvedimenti (9 novembre 2005 e 18 gennaio 2006 solo per citarne due) ha ritenuto che la circostanza che detti servizi fossero erogati da un soggetto con sede all’estero ed attraverso server situati negli USA, precludesse l’applicazione, ad essi, della disciplina italiana sulla privacy.
Non risulta, d’altro canto, che Google – né nessun altro soggetto con analogo modello di struttura e di business (Facebook, MySpace, DailyMotion, Twitter ecc) – abbia mai adempiuto alle specifiche prescrizioni imposte dalla disciplina italiana sulla privacy in tema, ad esempio, di informativa, richiesta del consenso, notifica al Garante, redazione del Documento programmatico sulla sicurezza ecc.

Neppure, per la verità, scorrendo i provvedimenti del Garante privacy se ne trova alcuno che ordini a tali soggetti di adeguarsi alla disciplina nazionale o, piuttosto, che constati l’inadempimento ed irroghi la conseguente sanzione.
Non vi è, tuttavia, alcun dubbio che i Giudici di Milano, sul punto, siano giunti a diversa conclusione.

Al riguardo la Procura di Milano ha dichiarato a L’Espresso : “l’utilizzo dei dati personali, a fini di lucro (nella documentazione ritrovata presso la sede italiana era indicato chiaramente come ‘la missione di Google Video’ fosse quella di ‘monetizzare ogni video presente nel nostro indicè) e trattati presso la sede di Google Italy a Milano, rientra nell’ambito di applicazione della normativa europea ed italiana a tutela della persona (legge privacy)”.
Sorge quindi il dubbio che, secondo i Giudici milanesi, svolgere un’attività lucrativa in Italia che sia connessa ad un trattamento di dati personali effettuato all’estero da un soggetto straniero equivalga a trattare nel nostro Paese tali dati con conseguente applicazione della disciplina italiana in materia di privacy. Google Italy, in altre parole, sarebbe soggetto al Codice Privacy in quanto in Italia si svolgerebbe un’attività – credo peraltro solo di supporto – connessa alla vendita di pubblicità correlata ai video ospitati sulla piattaforma di Google Inc.

Si tratta innegabilmente di una tesi stimolante, destinata tuttavia – se si trattasse di quella effettivamente accolta dal Tribunale di Milano – ad ampliare notevolmente l’ambito soggettivo e geografico di applicazione della disciplina italiana in materia di privacy, rendendola applicabile all’attività di tutti i soggetti che, per effetto di accordi intragruppo o di altri contratti pubblicitari, vendono spazi pubblicitari connessi a siti, piattaforme o servizi erogati da soggetti stranieri attraverso server situati all’estero. Facebook, Twitter, Dailymotion ma anche i siti dei principali broadcaster stranieri quali BBC, CNN e chiunque altro raccolga pubblicità nel nostro Paese sarebbero, dunque, soggetti alla disciplina italiana in materia di privacy.
Possibile. L’importante è, tuttavia, ricordare che oltre Google, in Rete, c’è molto di più e che complice l’omogeneità delle dinamiche di gestione dei contenuti e dei modelli di business, una volta dettata una regola occorre farla rispettare a tutti. Un altro dei principi che appare destinato a venir stabilito dalla Sentenza del Tribunale di Milano ed a produrre effetti ben al di là del caso di specie, concerne i rapporti tra la disciplina sul commercio elettronico con particolare riferimento alle disposizioni relative alla responsabilità degli intermediari della comunicazione e quella in materia di privacy e trattamento dei dati personali.
“Secondo la tesi della Procura – si legge sempre su L’Espresso – l’informazione non veritiera che Google ha veicolato – fin dall’inizio del processo, fuori e dentro l’aula – consiste nel qualificarsi, in relazione al servizio Google Video, come mero intermediario, non assumendo quindi alcuna responsabilità sui contenuti. In realtà i Pubblici Ministeri sostengono come la normativa sul commercio elettronico non possa trovare applicazione al caso in esame anche perché è lo stesso D.Lvo 70/2003 (art. 1 comma 2) a prevedere che ‘non rientrano nel campo di applicazione del presente decreto… le questioni relative al diritto alla riservatezza, con riguardo al trattamento dei dati personalì”.
In altre parole, secondo la Procura, Google non potrebbe trincerarsi dietro al principio dell’assenza di un obbligo generale di sorveglianza degli intermediari della comunicazione in quanto – in relazione ai profili privacy – tale principio non opererebbe. Si tratta di una tesi, ancora una volta stimolante e della quale la letteratura giuridica europea così come la giurisprudenza non si è, sin qui, occupata in modo approfondito.

È tuttavia evidente che l’applicazione del principio al di là del caso Google comporta conseguenze significative per tutti gli intermediari della comunicazione, svolgano essi funzioni di mere conduit , caching o, piuttosto, hosting : tali soggetti, qualora trattino – il che costituisce la regola – dati personali contenuti nelle informazioni scambiate e/o diffuse tra i propri utenti sarebbero tenuti ad uniformarsi alla disciplina italiana in materia di privacy e trattamento dei dati personali come se tali dati fossero da essi direttamente trattati. Nella tesi della Procura, infatti, sembrerebbe mancare qualsivoglia riferimento a specifiche qualità soggettive di Google. Ogni fornitore di servizi di hosting, dunque, sarebbe responsabile dei dati personali – anche di soggetti terzi – archiviati dai propri utenti sotto il profilo della disciplina sulla privacy così come ogni altro genere di intermediario dovrebbe preoccuparsi di prestare un’informativa sulla privacy e di acquisire il consenso non tanto in relazione al trattamento dei dati dei propri clienti quanto, piuttosto, a quello dei dati personali contenuti nelle informazioni veicolate, ospitate o trasmesse in esecuzione del contratto perfezionato con il proprio cliente.
Uno scenario sensibilmente diverso da quello attuale e che, a ben vedere, non sembra coerente con il quadro normativo europeo nel quale, a mio parere, non si è mai inteso escludere l’efficacia della disciplina contenuta nella direttiva sul commercio elettronico in ambito privacy ma, più semplicemente, garantire la compatibilità tra i due sistemi regolamentari.

Un paio di considerazioni varranno a chiarire tale conclusione.
Il Considerando 14 della Direttiva 31/2000 , innanzitutto, dice espressamente che ” L’applicazione della presente direttiva deve essere pienamente conforme ai principi relativi alla protezione dei dati personali, in particolare per quanto riguarda le comunicazioni commerciali non richieste e il regime di responsabilità per gli intermediari “. È, dunque, evidente che gli Stati membri siano chiamati a garantire la contestuale applicazione delle due discipline – privacy e e-commerce – e non già semplicemente – come sembrerebbe erroneamente ritenere la Procura di Milano – a far sì che la disciplina sulla privacy prevalga sistematicamente su quella in materia di e-commerce di modo che, ad esempio, tutti gli intermediari della comunicazione debbano perdere tale loro qualità soggettiva ed assumere quella di titolari del trattamento in ogni ipotesi nella quale la loro attività abbia ad oggetto dati personali.

È, d’altro canto, evidente che, ad interpretare in questo modo la Direttiva, si finisce inesorabilmente con il travolgere il principio dell’assenza di un obbligo generale di sorveglianza degli intermediari giacché, questi ultimi, per assicurarsi – così come esige la disciplina in materia di trattamento dei dati personali ove letta ed applicata autonomamente – di non trattare dati personali in violazione della disciplina sulla privacy si troverebbero indirettamente obbligati a “sorvegliare” l’intero patrimonio informativo veicolato.

Ritengo, invece, che il senso delle “clausole di salvaguardia” relative alla disciplina sulla privacy contenute nella direttiva e-commerce sia, più semplicemente e realisticamente, quello di chiarire che essa non vada applicata in luogo di quella sulla privacy nelle aree di possibile sovrapposizione ma, piuttosto, in concorso con essa. In altre parole, un intermediario della comunicazione rimane tale anche quando tratta dati personali e se tali dati sono nella disponibilità giuridica e fattuale dell’utente che è libero di aggiornarli e rimuoverli – così come avviene nel caso di upload di un video su qualsivoglia piattaforma UGC – non vi è alcuna ragione per trasformare l’intermediario in titolare di un trattamento che, in realtà, esso non gestisce se non dal punto di vista strettamente tecnico.

Alla stessa conclusione – ovvero nel senso di ritenere che tra la disciplina in materia di responsabilità degli intermediari e quella in materia di privacy debba sussistere un rapporto di “convivenza” e non già di “conflittualità” da risolvere in favore della seconda – sembra inoltre condurre anche il recente “Parere del Garante europeo della protezione dei dati personali sulla proposta di decisione del Parlamento Europeo e del Consiglio che istituisce un programma comunitario pluriennale per la protezione dei minori che usano internet e le altre tecnologie di comunicazione”.
Nel documento del 23 giugno 2008, infatti, il Garante Europeo sottolinea ripetutamente di ritenere ” essenziale che le iniziative pianificate siano coerenti con il quadro giuridico esistente… e, in particolare, la direttiva 2000/31/CE sul commercio elettronico, la direttiva 2002/58/CE sulla e-privacy e la direttiva 95/46/CE sulla protezione dei dati “. Nello stesso documento, inoltre, viene espressamente evidenziato che ” Per quanto riguarda i fornitori di servizi di telecomunicazione, la sorveglianza delle telecomunicazioni è tuttavia una questione discutibile, sia essa diretta al controllo dei contenuti protetti da diritti di proprietà intellettuale o di altri contenuti illeciti. Questo punto solleva la questione dell’intervento di un soggetto commerciale, che offre un servizio (di telecomunicazione) specifico, in una sfera in cui in linea di principio non è previsto che intervenga, vale a dire il controllo del contenuto delle telecomunicazioni. Il GEPD ricorda che, in linea di principio, tale controllo non dovrebbe essere esercitato dai fornitori di servizi e certamente non in modo sistematico. Laddove necessario in circostanze specifiche, in linea di principio dovrebbe essere compito delle autorità di contrasto “.

Il Garante Europeo, conclude quindi ricordando che ” nel parere del 18 gennaio 2005, il Gruppo dell’articolo 29 ha ricordato in relazione a tale questione che non può essere imposto ai fornitori di servizi Internet alcun obbligo sistematico di sorveglianza e collaborazione, conformemente all’articolo 15 della direttiva 2000/31/CE sul commercio elettronico “. Se effettivamente la disciplina sul commercio elettronico fosse destinata – così come sostenuto dalla Procura di Milano – a cedere sempre il passo alla disciplina sulla privacy, è difficile credere che essa avrebbe potuto rappresentare un elemento addirittura centrale in un parere del Garante Europeo su di una materia, peraltro, contigua a quella oggetto del giudizio celebratosi dinanzi al Tribunale.

Sul punto – se la Sentenza confermasse la tesi sin qui rappresentata dall’accusa – sarebbe pertanto urgente conoscere il Parere della Corte di Giustizia UE, giacché chiamare gli intermediari della comunicazione a rispondere – sebbene “solo” sotto il profilo privacy – dei contenuti veicolati da parte dei loro utenti, significa ridiscutere in modo importante il modello di gestione delle informazioni e di business di decine di migliaia di operatori in tutto il mondo.

Un’ultima contestazione che la Procura di Milano, anche nell’interpretazione autentica proposta a L’Espresso , sembra muovere a Google ma che, per la sua portata, appare destinata a trascendere il caso di specie e ad incidere sulle dinamiche di gestione dell’informazione online caratteristiche di un novero di soggetti che va ben al di là di Big G, concerne i tempi di rimozione del video. Secondo l’accusa, infatti, Google ha atteso troppo a rimuovere il video rispetto ai primi commenti e segnalazioni pubblicati ed inviati dagli utenti.
La difesa di Google, invece, sul punto ha sostenuto e dimostrato, come emerge dalla puntuale ricostruzione de L’Espresso , di aver rimosso il video pressoché immediatamente a seguito della segnalazione della Polizia delle telecomunicazioni.

Sul punto – che alla fattispecie sia o non sia applicabile la disciplina sul commercio elettronico – credo sia importante assumere una posizione chiara e non equivoca: la responsabilità di un soggetto diverso dall’autore di una comunicazione per la pubblicazione di tale contenuto non può esser ricollegata a qualsivoglia segnalazione pervenutagli ma solo a segnalazioni “qualificate” o perché contenenti la prova inequivocabile del carattere illecito della pubblicazione o perché provenienti da un’Autorità deputata a tale genere di attività.
A prescindere dal caso di specie, infatti, spesso l’accertamento del carattere lecito o illecito di un contenuto è attività complessa ed opinabile che – a tutela dell’esercizio da parte di tutti della libertà di manifestazione del pensiero – non può restare affidata al libero arbitrio di soggetti privati che possono segnalare la pretesa illegittimità di un contenuto per interessi propri non meritevoli di tutela da parte dell’ordinamento o sulla base di personali giudizi di tipo etico, politico o morale.

La velocità di diffusione delle comunicazioni telematiche non costituisce una buona ragione per derogare ad un fondamentale principio di libertà che vuole che l’accertamento della liceità o illiceità di una condotta – in ogni Paese democratico – sia rimesso, ove previsto anche con procedure d’urgenza, ad un’autorità terza ed indipendente.
Derogare tale principio, significa, a mio avviso, avviarsi a rinunciare alla Rete come straordinaria opportunità di effettivo esercizio della libertà di manifestazione del pensiero ed accettare il rischio che tale libertà, nella società dell’informazione, sia limitata da interessi economici ed imprenditoriali quale quello dell’intermediario a sottrarsi a qualsivoglia genere di responsabilità per aver continuato a “dare la parola” ad un utente in un contesto di incertezza circa la legittimità di tale parola.

Il Caso Google – Vividown, più che il confine tra diritto di impresa e diritto alla privacy così come sostenuto dalla procura di Milano, credo sia prezioso per delineare il confine tra libertà di manifestazione del pensiero in Rete e meccanismi di tutela dei diritti dei singoli.
Sino a che punto è preferibile rischiare di limitare la prima a fronte del riconoscimento di più efficaci meccanismi repressivi e sanzionatori a tutela dei secondi?
È questa la domanda alla quale, sulla scia di quanto accaduto, credo che occorra farsi carico di rispondere.

Guido Scorza
Presidente Istituto per le politiche dell’innovazione
www.guidoscorza.it

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
8 mar 2010
Link copiato negli appunti