Google-Vivi Down, una sentenza da cancellare

di Manlio Cammarata - 19.04.10

Allora leggiamola bene, questa sentenza: per capire se le critiche sono fondate, se il ragionamento giuridico è corretto, se le considerazioni del giudice (che vanno ben oltre il caso in discussione) sono condivisibili. In ultima analisi, se sono giustificate le preoccupazioni per gli effetti che la decisione potrebbe avere sul piano legislativo (vedi Google-Vivi Down: sentenza pericolosa, attenti a Gasparri!).

Saltiamo i fatti ormai noti a tutti (li ho sommariamente riassunti in Sentenza Google. La Rete è davvero in pericolo?) e affrontiamo il lungo testo. Che incomincia esponendo i due capi di imputazione. Il capo A, per il quale sono giudicati quattro dirigenti di Google, riguarda il reato di diffamazione (per i non giuristi: il reato è previsto dall'art. 595 c.p.; l'art. 110 riguarda il concorso di più persone nel reato, l'art. 40 dice che "Non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo". L'evento. cioè la diffamazione, non sarebbe stato impedito perché non sono state osservate le prescrizioni degli articoli 13 (informativa), 26 (dati sensibili) e 17 (trattamento che presenta rischi specifici) del decreto legislativo 196/03, il cosiddetto "codice privacy".

Il capo B contesta a tre dei quattro imputati il concorso (art. 110 del codice penale, nel testo della sentenza il riferimento è saltato) nella violazione dell'articolo 167 del codice privacy (Illeciti penali - Trattamento illecito di dati). Seguono le richieste dell'accusa e delle difese e quindi si passa alla narrazione dello svolgimento del processo, che occupa 10 pagine.

Poi si arriva alle motivazioni. "In fatto" si ricostruisce tutta la vicenda giudiziaria, a partire dalla denuncia-querela presentata dall'associazione Vivi Down alla procura di Milano il 6 novembre 2006. Settanta pagine che riproducono, in sostanza, le carte dell'accusa e danno conto delle indagini e degli interrogatori degli imputati e dei testimoni. Si ricostruiscono nel dettaglio lo sviluppo e la struttura di Google, la costituzione e il ruolo di Google Italia, le politiche commerciali, il funzionamento di Google video.

Naturalmente una particolare attenzione è dedicata alle procedure di caricamento e di controllo dei video, come a quelle della rimozioni dei contenuti "illegali". Qui è interessante la ricostruzione delle comunicazioni interne in merito alla vicenda del video incriminato, che danno l'idea di una lenta e pesante burocrazia (d'altra parte forse inevitabile in un'azienda di tali dimensioni). 

Della società americana, con le sue propaggini estere, la ricostruzione dei PM accolta dal giudice offre un'immagine del tutto negativa. Gente attenta solo a far soldi e in piena confusione quando si tratta di adeguare le proprie politiche alle regole dei paesi nei quali opera. E' normale che l'accusa tenda a presentare sempre l'imputato come un criminale incallito e sanguinario, ma forse qui si esagera. Certo, Google non è un coro di angioletti e sono molti e molto seri gli addebiti che possono esserle mossi, soprattutto alla mancanza di trasparenza delle sue politiche (che emergono anche nella controversia davanti all'antitrust, sollevata dagli editori dei giornali - vedi il provvedimento n. 20224 del 26 agosto 2009 e la Delibera n. 72 dell'11 marzo 2010 dell'AGCM).

Segue la parte (più di venti pagine), che riguarda i capi di imputazione e la "valutazione  in diritto delle emergenze processuali". Il giudice premette che il ritiro della querela da parte dei familiari del ragazzo offeso limita l'accertamento ai fatti che riguardano la seconda parte lesa, l'associazione Vivi Down, ma non fa decadere l'imputazione del capo A, contrariamente a quanto sostenuto dalla difesa. Quindi risolve il problema della competenza territoriale affermando che il reato è stato commesso anche a Milano, dove ha sede la società Google Italy "sotto il profilo del trattamento dei dati inteso come elaborazione e organizzazione degli stessi".

Sarebbe lungo esaminare tutti i passaggi del ragionamento del giudice, oltre che assai poco divertente per chi non è un giurista o un appassionato di diritto. Limitiamoci quindi alle questioni più rilevanti che hanno dato luogo alla condanna e a quelle che possono avere conseguenze su una non impossibile futura regolamentazione delle attività on line. E anche sul precedente che la sentenza può costituire per altri giudizi su casi simili (pur nei limiti di una decisione di primo grado, contro la quale è già stato annunciato l'appello).

Il primo punto in questione riguarda la giurisdizione: la normativa sul trattamento dei dati personali si applica (art. 5 DLGV 196/2003) ai trattamenti di dati personali "anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato" e anche "effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea".

Dunque la prima parte del trattamento, cioè il caricamento del video, si svolge senza dubbio nell'ambito della giurisdizione italiana. Ma è stato giudicato in un altro processo. Qui si discute solo della responsabilità di Google. E dalla ricostruzione fin troppo dettagliata compiuta dall'accusa si evince che la rappresentanza italiana di Google non ha alcun ruolo nel trattamento: tutto è deciso negli USA. Dove non c'è alcun obbligo di rispetto della nostra normativa.

Tuttavia il giudice arriva alla conclusione opposta, rifacendosi alla sentenza della Cassazione n. 49437 del 2009 (processo Pirate Bay), secondo la quale il provider concorre al reato di violazione del diritto d'autore nel momento in cui indicizza le informazioni. Ma le due situazioni non sono paragonabili, perché nel caso di Pirate Bay il processo di selezione e indicizzazione dei siti di file sharing è specificamente volto a fornire i link dai quali scaricare i contenuti illeciti, mentre nel caso di Google video c'è solo un'indicizzazione, passaggio strumentale indispensabile per raggiungere qualsiasi contenuto.

In ogni caso il collegamento tra il trattamento effettuato negli USA e l'Italia consisterebbe, se ho letto bene la sentenza, nel "lucro" che deriva dalla pubblicità, per la quale l'azienda ha una rappresentanza nel nostro paese. Qui si potrebbe aprire un'interminabile discussione sulla connessione tra il trattamento svolto all'estero e il lucro conseguito in Italia, ma non è questo il caso. Perché la difesa ha dimostrato che all'epoca dei fatti non c'era un collegamento diretto tra Google Video e la pubblicità e l'argomentazione appare convincente (ora, con Facebook la situazione è cambiata). Dunque basterebbe questo dato, l'assenza di lucro, per escludere il reato.

Ma fino a questo punto siamo ancora alle premesse. Alla fine della storia ci sono i reati contestati ai tre imputati. Essi, come abbiamo visto, consistono nella violazione degli articoli 23 (consenso), 17 (trattamento che presenta particolari rischi) e 26 (garanzie per i dati sensibili) del codice privacy. La violazione dell'art. 23 è punita dal primo comma dell'art. 167 con la reclusione da sei a ventiquattro mesi. Ma l'interessato al quale si riferisce il consenso è colui che ha un rapporto con il titolare del trattamento, cioè chi carica il video. Non la persona che ha tratto "nocumento" dal contenuto, che è un terzo nel rapporto tra il provider e il destinatario del servizio.

L'art. 167 non contiene un'ipotesi penale per la violazione dell'art. 17, elencata nel capo di imputazione, ma solo per quella dell'art. 26, e la pena va da uno a tre anni. In sostanza i tre dirigenti di Google, secondo il giudice, avrebbero omesso di chiedere il consenso scritto dell'interessato (la persona danneggiata) per il trattamento dei dati sensibili.
Dunque avrebbero dovuto: a) controllare i contenuti del video prima di metterlo in rete; b) identificare e trovare l'indirizzo della persona ritratta; c) attendere il suo consenso scritto prima di dare il via libera alla diffusione. Evidentemente nel ragionamento del giudice c'è qualcosa che non funziona.

Ma la sentenza, prima nell'esame dei fatti e poi nelle considerazioni in diritto, si spinge molto più avanti. Ed è questa la parte che ci interessa di più, perché riguarda la responsabilità dei fornitori di servizi, qual è appunto Google. Qui dobbiamo fare un piccolo passo indietro.
La responsabilità dei fornitori di servizi internet è contenuta nelle norme sul commercio elettronico in vigore in Europa (direttiva 2000/31/CE) e in Italia (DLGV 70/03, artt. 14, 15 e 16). Esse le indicano con precisione: i provider non sono responsabili dei contenuti, a meno che non abbiano un ruolo attivo nella loro formazione o trasmissione. E sono obbligati a rimuoverli o a disabilitarne l'accesso "su comunicazione delle autorità competenti".

Il successivo art. 17 del DLGV 70/03 sancisce esplicitamente l'assenza di un "obbligo generale di sorveglianza" a carico del prestatori di servizi. Egli è  tenuto solo a informare le autorità competenti "qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio". Inoltre è "civilmente responsabile" (non penalmente!) "nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente".

Dunque la legge, nel precisare i limiti della responsabilità civile, esclude quella penale. In ogni caso il contenuto illecito è stato rimosso - si apprende sempre dalla sentenza - nel giro di 24 ore dalla segnalazione dell'autorità italiana. E allora come si giustifica la condanna? Dobbiamo leggere la sentenza da pag. 188, dove i PM "inventano" una figura non prevista dalla normativa, quella del "hoster attivo", poiché provvede a organizzare e indicizzare le informazioni. Quindi, sempre secondo i PM, ne diventa dominus e perciò "titolare del trattamento" (per la nostra normativa "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza").

Il giudice non accoglie in pieno questa tesi, ma nella sostanza non se ne discosta molto. In generale delinea correttamente la responsabilità del provider e riconosce l'assenza dell'obbligo generale di sorveglianza, "ma, d'altro canto - scrive il magistrato - non esiste nemmeno la 'sconfinata prateria di Internet' dove tutto è permesso e niente può essere vietato, pena la scomunica mondiale del popolo web".
E allora, partendo dalla "promozione" precedentemente compiuta - e non corretta, a mio avviso - dell'hosting provider in content provider, quindi responsabile del trattamento dei dati, ravvisa nel trattamento dei dati sensibili senza le garanzie prescritte dall'art. 26 l'illecito commesso dai responsabili di Google.

Tutto qui? Pare di sì. Ma non è poco, perché dalla motivazione dell'assoluzione dei reati del capo A appare chiara la preoccupazione del giudice:

La responsabilità penale degli ISP, mancando una precisa legislazione in materia che li equipari alle produzioni stampate o alle reti televisive, non può essere costruita al di là dei canoni interpretativi ed applicativi dell'attuale quadro normativo(quadro a cui si è recentemente aggiunta la Legge sul commercio elettronico - DL.gs. n. 70/2003 - che, tuttavia, appare applicabile agli host provider e nei limiti oggettivi identificati dalla stessa).
Sarà possibile considerarli responsabili dei contenuti dei file sugli stessi caricati (soprattutto nel caso di tratti di hoster attivi o content provider sole nel momento in cui si provi la consapevolezza del fatto delittuoso, al di là di posizioni di garanzia non mutuabili da altri settori dell'ordinamento.
Per esempio, nel caso in questione, l'ufficio dell'accusa vi è andato molto vicino (si ripete, al di là della esistenza di della posizione di garanzia): il fatto, indubitabile, che il video sia stato presente sul sito web per più di due mesi e che lo stesso sia stato inserito nei video più divertenti e più "cliccati" dagli utenti(sic!) già costituisce un principio di prova della "consapevolezza" da parte dei gestori del suo contenuto; principio che non ha raggiunto la pienezza della prova solo per l'estrema difficoltà dell'effettuazione delle indagini (e della ricostruzione del dolo del soggetto agente) in vicende di questo tipo, ma che segnala (a chi ha la voglia di stare ad ascoltare) che aprire le cataratte della libertà assoluta e senza controllo non costituisce un buon esercizio del principio di responsabilità e di correttezza, che sempre dovrebbe presiedere alle attività umane (anche se esercitate nel mondo "parallelo" di Internet (pag 105).

Opinioni discutibili, che ricalcano le posizioni di molti politici che vedono aperte nella Rete le "cataratte della libertà assoluta e senza controllo". Entrano qui in gioco due problemi: quello dei controlli "automatici" che dovrebbero segnalare i contenuti "critici" e a quello della responsabilità nel caso di omessa rimozione in seguito a segnalazioni degli utenti. Problema gravissimo, perché pone qualsiasi contenuto a rischio di censura dietro semplice segnalazione di chiunque abbia in antipatia l'autore del contenuto stesso (eventualità che si è già manifestata più volte su Facebook). E che costituisce un rischio inaccettabile per il provider, che potrebbe essere chiamato a risarcire i danni derivanti da una rimozione che poi si riveli immotivata.
Conclude il giudice:

Perciò, in attesa di una buona legge che costruisce una ipotesi di responsabilità penale per il mondo dei siti Web (magari colposa, ed allora sì per omesso controllo), non resta che assolvere gli imputati dal reato di cui al capo A, reato che, così come formulato, non sussiste.

Dunque, per il giudice, occorre una legge (anzi, una "buona legge") che punisca la responsabilità - anche colposa! - dei provider. Che, se adottata in Italia, porterebbe l'intera comunità nazionale dell'internet a migrare verso paesi più ospitali e i provider a chiudere bottega.
Però da questa conclusione si capisce perché l'accusa e il giudice hanno scritto centinaia di pagine di acrobazie giuridiche per un caso che, in altra ottica si sarebbe potuto archiviare: era necessario condannare. Comunque.
Una tendenza che si sta pericolosamente affermando (vedi, su InterLex, Pirate Bay, YouTube, Google: l’Italia al contrattacco di Paolo Ricchiuto).

Alla fine della storia, resta quanto ho scritto pochi giorni fa nel post I bulli sul Web e i genitori di Adro. E non credo di dover aggiungere altro.