Per ricevere in anteprima e in maniera totalmente gratuita le più recenti e rilevanti sentenze della Cassazione penale CLICCA SUL TASTO MI PIACE qui al lato -------->
Cassazione penale, sez. III, 17 dicembre 2013 (depositata il 3 febbraio 2014), n. 5107.
Nota a sentenza a cura del Dott. Alessandro
Bonavita*
Con la
Sentenza indicata in epigrafe, la Corte di Cassazione ha affrontato
la questione relativa alla diffusione indebita di dati personali in
violazione al Dgls 196/2003.
Preliminarmente
si ricorda ai lettori che la vicenda in esame ha scosso, e non poco,
le coscienze pubbliche, poiché ha mostrato inevitabilmente la
fragilità del nuovo mondo cibernetico che è definitivamente entrato
nella vita di tutti i giorni. Eppure qualche avvisaglia sulla
fragilità di questo nuovo sistema, che si snoda ancora attraverso
leggi e codici più che mai inadatti a disciplinarlo, è stata, come
si cercherà di illustrare, ignorata.
La
vicenda riguarda la diffusione di un video, caricato sulla
piattaforma web Google, ove si riconosceva un minore affetto dalla
sindrome di Down che veniva vessato e denigrato per la sua sindrome
da alcuni suoi coetanei.
Nel
giudizio di primo grado, il Tribunale di Milano, con Sentenza del 24
febbraio 2010, aveva ritenuto l’amministratore delegato di Google
Italy s.r.l., il responsabile della policy
sulla privacy di
Google Inc. e un secondo amministratore delegato di Google Italy
s.r.l. responsabili del reato loro contestato ex artt. 110 c.p. e 167
co. 1-2 Dlgs n. 196/2003 poiché avrebbero proceduto al trattamento
dei dati personali in violazione agli artt. 23, 17 e 26 dello stesso
Dlgs 196/2003, in riferimento appunto al video immesso sulla
piattaforma Google.
Tale
pronuncia costituì la conclusione della prima azione penale mai
intrapresa contro i vertici di una società di Internet
Hosting, in materia di diffusione di dati
personali1.
Con
sentenza del 21 dicembre 2012, la Corte di Appello di Milano ha
invece riformato la sentenza impugnata dai vertici Google, asserendo
che non si potesse imporre all’Internet
provider di rendere edotto l’utente circa
l’esistenza e i contenuti della legge sulla privacy,
insistendo altresì sulla mancanza del dolo
specifico richiesto dalla norma incriminatrice (art. 167 Dlgs
196/2003), poiché, nel caso di specie, i dirigenti Google non erano
preventivamente venuti a conoscenza dell’esistenza del video e dei
dati personali illecitamente trattati e diffusi.
Tale
provvedimento venne pertanto impugnato con ricorso per cassazione dal
Procuratore Generale della Repubblica presso la Corte d’Appello di
Milano.
I
giudici della Suprema Corte, conformandosi ad un orientamento
giurisprudenziale pressoché costante offerto dalle pronunce sia
della Cassazione che dell’Autorità Garante della Privacy, hanno
definitivamente escluso la responsabilità penale di un Internet
host provider, nel caso di specie Google.
Fulcro
della decisione presa dalla Corte è la nozione di “titolare” del
trattamento dei dati personali: l’attività svolta da Google nella
categoria dell’internet hosting non
sembra rientrare nella casistica dei poteri tassativamente previsti
per definire taluno titolare del trattamento dei dati. Come la
Suprema Corte precisa, infatti, titolare è la persona fisica, la
persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo, cui
competono, anche unitamente ad altro titolare, le decisioni in ordine
alle finalità, alle modalità del trattamento di dati personali e
agli strumenti utilizzati, ivi compreso il profilo della sicurezza2.
Nel caso di specie, dunque, Google si è
limitato ad ospitare i video inseriti dagli utenti, senza fornire
alcun contributo nella determinazione dei video stessi.
Dunque,
seguendo questa linea giurisprudenziale, non sussiste alcun obbligo
in capo al provider, poiché
non questo, ma i singoli utenti, sono responsabili del trattamento
dei dati personali contenuti nel video caricato, come nel caso di
specie, dagli utenti stessi.
Tale
posizione è stata ampiamente ripresa anche dai componenti
dell’Autorità Garante della Privacy, i quali hanno più volte
ricordato che vi è responsabilità dell’internet
service provider solo quando questi non
rispetti l’obbligo di denuncia che la legge gli impone3.
Infatti già in precedenza lo stesso Garante della Privacy aveva
ritenuto responsabile delle informazioni memorizzate all’interno di
un internet provider, il
solo utente e non lo stesso internet host
provider. Il caso era quello di una
infermiera del reparto di rianimazione di un ospedale che aveva
scattato e messo online sulla piattaforma Facebook alcune fotografie
che ritraevano il reparto e i pazienti ricoverati4.
Non
rileva, altresì, per la Suprema Corte, la giurisprudenza consolidata
della stessa Cassazione che prevede la responsabilità penale del
legale rappresentante e del responsabile della privacy
di una società, per l’illecito trattamento
di dati personali, in relazione al caso di passaggio di mano di un
database composto da indirizzi e-mail, per mancanza dell’informativa
volta ad acquisire il consenso degli interessati5.
La posizione di una società di internet
provider, riprendono i giudici,
è distinta rispetto ad una società che
detiene una banca dati contenente dati personali, che lei stesso ha
formato e gestito e della quale sin dall’inizio conosce il
contenuto e le finalità, per poi illecitamente cederli ad un altro
soggetto, senza acquisirne il preventivo consenso degli interessati6.
Sulla
base di queste considerazioni, la Suprema Corte ha dunque dichiarato
infondato il ricorso del Procuratore generale della Repubblica presso
la Corte di Appello di Milano e ha ribadito ancora una volta la
scissione del ruolo di Google, mera scatola ove caricare i contenuti,
e gli utenti, veri responsabili del trattamento dei dati personali.
La
questione, a mio avviso, presenta tuttavia alcune perplessità di
ordine giuridico.
Infatti,
tralasciando ogni facile speculazione morale della vicenda, alcune
soluzioni prospettate dalla Suprema Corte appaiono non esaustive.
In
primo luogo, la normativa di riferimento in assoluto è il Codice
della Privacy Dlgs 196/2003, vero e proprio memento della
terminologia giuridica inerente i dati personali. Tale codice non
appare più, a mio avviso, adatto a disciplinare i nuovi aspetti
legati alla diffusione dei dati personali, soprattutto in questo
periodo storico, ove la trasmissione e diffusione dei dati è
pressoché incontrollata e immediata. Su questo punto, segnalo i
lavori intrapresi dalla Commissione Europea, che in data 25 gennaio
2012 ha approvato una proposta di regolamento sulla protezione dei
dati personali, che non solo sostituirà l’attuale Codice Privacy,
ma introdurrà numerose novità in materia quali, a titolo
esemplificativo, il diritto all’oblio e il diritto degli
interessati alla portabilità del dato, nel caso taluno volesse
trasferire i propri dati da un social network ad un altro7.
Altro
aspetto interessante riguarda la natura di Google, concepita dalla
Suprema Corte come semplice hosting di
dati, mero contenitore ove sono memorizzate informazioni caricate
dagli utenti. La Corte di Cassazione insiste nell’escludere, in
capo a Google, qualsivoglia potere decisionale in ordine alle
finalità, alle modalità del trattamento di dati personali e agli
strumenti utilizzati: dunque non ne determina gli scopi, i modi e i
mezzi. I giudici però non rilevano alcuni punti che mal conciliano
con la mera natura di contenitore di Google, poiché innanzitutto non
spiegano come materialmente avviene il caricamento dei video, se vi è
un controllo pre-caricamento come avviene, per esempio, per altre
piattaforme come Bakeca o Vimeo, ed infine se c’è un’effettiva
conoscenza dei dati immessi. Google sembra limitarsi, infatti, ad un
mero controllo di routine che attiene soltanto alla gestione dei
profili degli utenti e alle autodichiarazioni concernenti la maggiore
età.
In
conclusione, l’intervento comunitario prospettato può finalmente
chiarire ancora gli aspetti oscuri legati alla diffusione dei dati
personali all’interno di Internet, stante l’incompleta e a volte
contraddittoria applicazione di norme ormai desuete a casi che per
natura sono in continua evoluzione.
*ALESSANDRO
BONAVITA
Praticante
avvocato del Foro di Roma specializzato in diritti d’autore.
Laureato in Giurisprudenza presso l’Università degli Studi Alma
Mater di Bologna, ove ha conseguito altresì il Level D del
C.I.L.T.A. – Lingua inglese, ha collaborato con alcuni studi legali
di Bologna e Napoli. Attualmente offre consulenza e supporto legale
in materia di brevetti e marchi e diritti d’autore, soprattutto in
ambito cinematografico e musicale.
1
http://www.corriere.it/International/english/articoli/2010/02/24/google_executives_convicted_down_syndrome.shtml
2
Art. 4 Dlgs 196/2003
http://blogs.ugidotnet.org/raider/archive/2009/06/02/gli-internet-service-provider-non-sono-responsabili-delle-violazioni-degli.aspx
4
http://www.informationsociety.it/ictlaw/foto-scattate-da-medici-e-infermieri-sul-posto-di-lavoro-privacy-e-facebook.html
In
senso opposto, Yahoo contatta i singoli utenti per informarli del
futuro trasferimento delle banche dati,
http://www.repubblica.it/economia/finanza/2014/02/05/news/yahoo_si_trasferisce_in_irlanda_i_servizi_italiani_migrano_a_dublino-77772781/
7
Presentata la proposta di nuova normativa UE sulla protezione
dei dati personali
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1868732
Nessun commento:
Posta un commento