giovedì 6 febbraio 2014

La Cassazione assolve GOOGLE per la vicenda "Vividown": non è responsabile dei dati trattati.

Per ricevere in anteprima e in maniera totalmente gratuita le più recenti e rilevanti sentenze della Cassazione penale CLICCA SUL TASTO MI PIACE qui al lato -------->

Cassazione penale, sez. III, 17 dicembre 2013 (depositata il 3 febbraio 2014), n. 5107.

Nota a sentenza a cura del Dott. Alessandro Bonavita*

Con la Sentenza indicata in epigrafe, la Corte di Cassazione ha affrontato la questione relativa alla diffusione indebita di dati personali in violazione al Dgls 196/2003.
Preliminarmente si ricorda ai lettori che la vicenda in esame ha scosso, e non poco, le coscienze pubbliche, poiché ha mostrato inevitabilmente la fragilità del nuovo mondo cibernetico che è definitivamente entrato nella vita di tutti i giorni. Eppure qualche avvisaglia sulla fragilità di questo nuovo sistema, che si snoda ancora attraverso leggi e codici più che mai inadatti a disciplinarlo, è stata, come si cercherà di illustrare, ignorata.
La vicenda riguarda la diffusione di un video, caricato sulla piattaforma web Google, ove si riconosceva un minore affetto dalla sindrome di Down che veniva vessato e denigrato per la sua sindrome da alcuni suoi coetanei.
Nel giudizio di primo grado, il Tribunale di Milano, con Sentenza del 24 febbraio 2010, aveva ritenuto l’amministratore delegato di Google Italy s.r.l., il responsabile della policy sulla privacy di Google Inc. e un secondo amministratore delegato di Google Italy s.r.l. responsabili del reato loro contestato ex artt. 110 c.p. e 167 co. 1-2 Dlgs n. 196/2003 poiché avrebbero proceduto al trattamento dei dati personali in violazione agli artt. 23, 17 e 26 dello stesso Dlgs 196/2003, in riferimento appunto al video immesso sulla piattaforma Google.
Tale pronuncia costituì la conclusione della prima azione penale mai intrapresa contro i vertici di una società di Internet Hosting, in materia di diffusione di dati personali1.
Con sentenza del 21 dicembre 2012, la Corte di Appello di Milano ha invece riformato la sentenza impugnata dai vertici Google, asserendo che non si potesse imporre all’Internet provider di rendere edotto l’utente circa l’esistenza e i contenuti della legge sulla privacy, insistendo altresì sulla mancanza del dolo specifico richiesto dalla norma incriminatrice (art. 167 Dlgs 196/2003), poiché, nel caso di specie, i dirigenti Google non erano preventivamente venuti a conoscenza dell’esistenza del video e dei dati personali illecitamente trattati e diffusi.
Tale provvedimento venne pertanto impugnato con ricorso per cassazione dal Procuratore Generale della Repubblica presso la Corte d’Appello di Milano.
I giudici della Suprema Corte, conformandosi ad un orientamento giurisprudenziale pressoché costante offerto dalle pronunce sia della Cassazione che dell’Autorità Garante della Privacy, hanno definitivamente escluso la responsabilità penale di un Internet host provider, nel caso di specie Google.

Fulcro della decisione presa dalla Corte è la nozione di “titolare” del trattamento dei dati personali: l’attività svolta da Google nella categoria dell’internet hosting non sembra rientrare nella casistica dei poteri tassativamente previsti per definire taluno titolare del trattamento dei dati. Come la Suprema Corte precisa, infatti, titolare è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo, cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza2. Nel caso di specie, dunque, Google si è limitato ad ospitare i video inseriti dagli utenti, senza fornire alcun contributo nella determinazione dei video stessi.
Dunque, seguendo questa linea giurisprudenziale, non sussiste alcun obbligo in capo al provider, poiché non questo, ma i singoli utenti, sono responsabili del trattamento dei dati personali contenuti nel video caricato, come nel caso di specie, dagli utenti stessi.
Tale posizione è stata ampiamente ripresa anche dai componenti dell’Autorità Garante della Privacy, i quali hanno più volte ricordato che vi è responsabilità dell’internet service provider solo quando questi non rispetti l’obbligo di denuncia che la legge gli impone3. Infatti già in precedenza lo stesso Garante della Privacy aveva ritenuto responsabile delle informazioni memorizzate all’interno di un internet provider, il solo utente e non lo stesso internet host provider. Il caso era quello di una infermiera del reparto di rianimazione di un ospedale che aveva scattato e messo online sulla piattaforma Facebook alcune fotografie che ritraevano il reparto e i pazienti ricoverati4.
Non rileva, altresì, per la Suprema Corte, la giurisprudenza consolidata della stessa Cassazione che prevede la responsabilità penale del legale rappresentante e del responsabile della privacy di una società, per l’illecito trattamento di dati personali, in relazione al caso di passaggio di mano di un database composto da indirizzi e-mail, per mancanza dell’informativa volta ad acquisire il consenso degli interessati5. La posizione di una società di internet provider, riprendono i giudici, è distinta rispetto ad una società che detiene una banca dati contenente dati personali, che lei stesso ha formato e gestito e della quale sin dall’inizio conosce il contenuto e le finalità, per poi illecitamente cederli ad un altro soggetto, senza acquisirne il preventivo consenso degli interessati6.
Sulla base di queste considerazioni, la Suprema Corte ha dunque dichiarato infondato il ricorso del Procuratore generale della Repubblica presso la Corte di Appello di Milano e ha ribadito ancora una volta la scissione del ruolo di Google, mera scatola ove caricare i contenuti, e gli utenti, veri responsabili del trattamento dei dati personali.
La questione, a mio avviso, presenta tuttavia alcune perplessità di ordine giuridico.
Infatti, tralasciando ogni facile speculazione morale della vicenda, alcune soluzioni prospettate dalla Suprema Corte appaiono non esaustive.
In primo luogo, la normativa di riferimento in assoluto è il Codice della Privacy Dlgs 196/2003, vero e proprio memento della terminologia giuridica inerente i dati personali. Tale codice non appare più, a mio avviso, adatto a disciplinare i nuovi aspetti legati alla diffusione dei dati personali, soprattutto in questo periodo storico, ove la trasmissione e diffusione dei dati è pressoché incontrollata e immediata. Su questo punto, segnalo i lavori intrapresi dalla Commissione Europea, che in data 25 gennaio 2012 ha approvato una proposta di regolamento sulla protezione dei dati personali, che non solo sostituirà l’attuale Codice Privacy, ma introdurrà numerose novità in materia quali, a titolo esemplificativo, il diritto all’oblio e il diritto degli interessati alla portabilità del dato, nel caso taluno volesse trasferire i propri dati da un social network ad un altro7.
Altro aspetto interessante riguarda la natura di Google, concepita dalla Suprema Corte come semplice hosting di dati, mero contenitore ove sono memorizzate informazioni caricate dagli utenti. La Corte di Cassazione insiste nell’escludere, in capo a Google, qualsivoglia potere decisionale in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati: dunque non ne determina gli scopi, i modi e i mezzi. I giudici però non rilevano alcuni punti che mal conciliano con la mera natura di contenitore di Google, poiché innanzitutto non spiegano come materialmente avviene il caricamento dei video, se vi è un controllo pre-caricamento come avviene, per esempio, per altre piattaforme come Bakeca o Vimeo, ed infine se c’è un’effettiva conoscenza dei dati immessi. Google sembra limitarsi, infatti, ad un mero controllo di routine che attiene soltanto alla gestione dei profili degli utenti e alle autodichiarazioni concernenti la maggiore età.
In conclusione, l’intervento comunitario prospettato può finalmente chiarire ancora gli aspetti oscuri legati alla diffusione dei dati personali all’interno di Internet, stante l’incompleta e a volte contraddittoria applicazione di norme ormai desuete a casi che per natura sono in continua evoluzione.

*ALESSANDRO BONAVITA
Praticante avvocato del Foro di Roma specializzato in diritti d’autore. Laureato in Giurisprudenza presso l’Università degli Studi Alma Mater di Bologna, ove ha conseguito altresì il Level D del C.I.L.T.A. – Lingua inglese, ha collaborato con alcuni studi legali di Bologna e Napoli. Attualmente offre consulenza e supporto legale in materia di brevetti e marchi e diritti d’autore, soprattutto in ambito cinematografico e musicale.

1 http://www.corriere.it/International/english/articoli/2010/02/24/google_executives_convicted_down_syndrome.shtml

2 Art. 4 Dlgs 196/2003

3
http://blogs.ugidotnet.org/raider/archive/2009/06/02/gli-internet-service-provider-non-sono-responsabili-delle-violazioni-degli.aspx

4 http://www.informationsociety.it/ictlaw/foto-scattate-da-medici-e-infermieri-sul-posto-di-lavoro-privacy-e-facebook.html

5
Cass. Sez. III pen. n. 23798/2012

6
In senso opposto, Yahoo contatta i singoli utenti per informarli del futuro trasferimento delle banche dati, http://www.repubblica.it/economia/finanza/2014/02/05/news/yahoo_si_trasferisce_in_irlanda_i_servizi_italiani_migrano_a_dublino-77772781/


7 Presentata la proposta di nuova normativa UE sulla protezione dei dati personali http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1868732


Nessun commento:

Posta un commento