Caso Google: un primo commento alle motivazioni della sentenza

aprile 14, 2010

Sono state recentemente pubblicate le motivazioni della sentenza “Vividown”, che ha visto condannati tre dirigenti di Google Italia per trattamento illecito di dati personali
Tralascio tutte le altre serie di questioni per cercare di ricostruire la vicenda solo ed esclusivamente dal punto di vista della privacy.
Applicare i dettami del D.Lgs. 196/03 in sostanza, impone di riscostruire una o più attività umane sulla base delle regole peculiari ivi contenute.
Bisogna capire nell’ordine:

  1. se si rientra nell’ambito di applicabilità della norma (art. 5)
  2. se si è in presenza di un trattamento di dati personali
  3. chi sono i soggetti del trattamento, con particolare riferimento a quelli indispensabili, ossia il titolare e l’interessato
  4. quali delle diverse regole si possono/devono applicare al caso concreto

Il Tribunale di Milano ha seguito correttamente questo iter? Leggendo la motivazione, molto semplicemente non lo ha fatto. E neppure, cosa più singolare, lo ha fatto la Difesa degli imputati.
Il Giudice parte dall’articolo 167, che stabilisce cosa è un trattamento illecito di dati personali, saltando a piè pari il punto 3.
E’ il primo grande errore che inficia l’intero ragionamento.
Vediamo nel dettaglio come si sarebbe dovuto procedere.
Diamo per scontato che il D.Lgs. 196 sia applicabile.
Quanto al punto due bisogna capire se l’attività di pubblicare un filmato sia un trattamento di dati personali. Per “trattamento” si intende una qualsiasi operazione che può essere compiuta su quelle particolari informazioni che sono i dati personali: mettere online è sicuramente un’attività ricompresa in questa definizione (diffusione). Le videoriprese di una persona, poi, rientrano senza dubbio alcuno nell’ampio concetto di “dato personale”.
Ma quanto al terzo punto? Secondo la sentenza, Google in questo caso è titolare del trattamento in quanto “hoster attivo”. Ma è davvero così? E’ un punto fondamentale dell’intera vicenda, dato che gli obblighi previsti dalla norma sorgono in capo al Titolare e non ad altri soggetti. La soluzione del Giudice è molto discutibile. Titolare è colui “cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.
Questa definizione ci fa capire che nel momento in cui qualcuno utilizza una piattaforma come youtube ci si trova in presenza di due distinti trattamenti che fanno capo a due distinti titolari.

1° trattamento: Tizio si registra su Youtube per poter usufruire del servizio. Chi è il titolare? Certamente Google: infatti raccoglie i dati da Tizio (l’interessato) e li tratta per fornire un servizio di cui Google stesso stabilisce le regole e il funzionamento. E’ Google, ad esempio, che è tenuto a far si che i dati personali di Tizio vengano protetti adeguatamente.

2° trattamento: Tizio realizza un filmato e lo carica sulla piattaforma. Ai sensi dell’articolo 5 egli è titolare del trattamento ed è chiamato a rispettare le regole del D.Lgs. 196/03. Deve informare il soggetto ripreso ai sensi dell’articolo 13, deve, qualora sia previsto, ottenerne il consenso informato.

Sono questi due piani ben distinti e che non possono intersecarsi. Per capirsi, Google non ha alcun titolo per chiedere il consenso al soggetto che viene ripreso nel video messo on-line da Tizio perchè non è lui il titolare di quello specifico trattamento, dato che neanche nella più fantasiosa ricostruzione si può sostenere seriamente che la società abbia la possibilità di incidere su tali operazioni. Un punto fermo della vicenda, confermata anche dal Giudice, è che Google non ha alcun controllo delle informazioni caricate tramite le sue piattaforme. Come si può, allora sostenere che possa decidere sulle finalità e modalità di quelle operazioni di trattamento, ossia che svolga quelle attività che identificano chi è il Titolare del trattamento?
Posso decidere le modalità di un’attività che non conosco e su cui non ho alcuna possibilità di incidere? Mi sembra evidente la risposta…

Pensiamo paradossalmente all’ipotesi in cui il video incriminato non fosse stato diffuso tramite Google Video ma utilizzando Gmail, la casella di posta elettronica di Google. Anche in questo caso le informazioni sono conservate sui server di Google, e anche questa è un’operazione che può rientrare nel concetto di trattamento. Se non si opera la distinzione vista sopra tra i due livelli distinti di trattamento, si finisce per ritenere colpevole Google per le mail mandate da un suo utente!

Tornando poi al punto 4 della scaletta, vediamo poi se il giudice ha correttamente interpretato l’articolo 167 che mi dice quando un trattamento illecito viene sanzionato penalmente.
Vediamo l’articolo:

Art. 167. Trattamento illecito di dati
1.Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2.Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

E’ chiaro, quindi, che perchè si possa parlare di trattamenti illeciti è necessario che:
– che esista il fine di trarre profitto o di recare un danno;
– che ci sia la violazione specifica degli articoli indicati.

Anche in questo caso il Giudice si occupa del primo punto ma trascura il secondo: anche dando per scontato una cosa che scontata non è, ossia che Google tragga profitto dall’attività di consentire la pubblicazione del video, bisogna vedere se viola quanto previsto dagli articoli indicati. Nella sentenza il Giudice contesta “il comportamento scorretto” di Google che consiste nel fornire una informativa carente e, comunque, talmente nascosta nelle condizioni generali di contratto da essere inefficace per i fini previsti dalla legge. Non si contesta, si badi bene, il mancato consenso, anzi si stabilisce che Google non aveva alcun obbligo di richiederlo.

Come potete ben notare, però, l’articolo 167 non fa nessun riferimento all’articolo 13, che è quello che definisce l’obbligo di informativa, ma agli articoli 23 e 26 relativi al consenso!
Stando alla norma, se tratto dati personali non fornendo adeguata informativa sarà al limite applicabile l’articolo 161 (omessa o inidonea informativa), che prevede la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro, ma di certo non l’articolo 167!

Tirando le somme, quindi, il problema di questa sentenza non è solo “politico”, ma essenzialmente giuridico. Quello che bisogna chiedersi non è tanto se il provvedimento rispetta la libertà e le peculiarità della Rete, ma, soprattutto, se rispetta la normativa vigente. Cosa su cui, personalmente, ho molti dubbi.


Caso Google: la responsabilità del provider -1^ parte

marzo 15, 2010

Ha scatenato molto scalpore la notizia della condanna di tre dirigenti di Google Italia per le oramai note vicende relative alla diffusione su YouTube di un video in cui alcuni ragazzi  umiliavano un loro compagno affetto dalla sindrome di Down.

La vicenda è nota e ci torneremo quando si potrà finalmente conoscere le motivazioni della sentenza. Quello che voglio affrontare, invece, è più in generale, una breve panoramica sullo spinoso argomento della responsabilità dei provider che, di fatto, è la questione che i giudici di Milano hanno dovuto affrontare.

Infatti si legge nell’imputazione che uno dei reati contestati è il concorso nella diffamazione commessa “consentendo che venisse immesso per la successiva diffusione” il suddetto video.

Ma qual è il compito di un provider? Inzitutto non esiste nel nostro ordinamento una norma che preveda per il service provider una c.d. posizione di garanzia. In altre parole, non esiste una norma che obblighi il provider a controllare i contenuti immessi nel web da terzi. Questo vale, a maggior ragione, quando si parla di web 2.0, ossia di una realtà in cui la figura del content provider si scolora sino a diventare marginale mentre l’utente passa da fruitore passivo delle informazioni a soggetto attivo nella creazione di contenuti.

La mancanza di una norma siffatta non è una lacuna: da sempre la dottrina ritiene inesigibile il controllo del provider sui contenuti immessi da terzi per una duplice serie di valide ragioni:

  1. la mole dei dati immessi senza soluzione di continuità rende di fatto impossibile un efficace controllo e una valida valutazione del materiale pubblicato, e questo a prescindere da quanto stabilito dal consulente tecnico della Procura di Milanoche che ha affermato la “sussistenza di strumenti tecnici in grado di automatizzare il processo di analisi” e di “inferire informazioni rispetto ad un certo numero di classi semantiche“;
  2. la variabilità del contenuto rende vano ogni procedura di autorizzazione alla pubblicazione del materiale, in quanto il materiale pubblicato può essere modificato più volte, sia ad opera di chi lo ha inizialmente diffuso, sia di altri utenti.

L’opinione dominante è confermata da quanto riportato dal Decreto Legislativo 70/2003 che, pur riguardando nello specifico un’altra materia, l’e-commerce, ben può essere trasposta al nostro caso.

Il decreto individua tre tipologie di provider:

  1. attività di semplice trasporto – Mere conduit (art. 14): l’attività del provider consiste nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire un accesso alla rete di comunicazioni;
  2. attività di memorizzazione temporanea – Caching (art. 15): l’attività consiste nel fornire il servizio di memorizzazione automatica, intermedia e temporanea delle informazioni fornite da un terzo effettuato al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta;
  3. attività di memorizzazione di informazioni – Hosting (art. 16): il provider memorizza le informazioni e i contenuti fornite da un terzo.

L’attività di Google ben rientra in questa ultima opzione. Per quanto attiene alla responsabilità, il provider non è responsabile delle informazioni memorizzate a richiesta di un terzo, a condizione che:

  1. non sia effettivamente a conoscenza del fatto che l’attività o l’informazione sia illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione;
  2. non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.

Come si può ben facilmente capire, nel caso in questione di certo non si può imputare a Google un’effettiva conoscenza del materiale pubblicato. Di contro, se l’accusa avesse contestato alla società californiana la rimozione non tempestiva del materiale, l’imputazione sarebbe stata costruita diversamente.

Nei prossimi giorni affronterò la seconda parte delle accuse a Google, quella relativa alla violazione della normativa sulla privacy.