La sentenza di Milano sul caso Google-Vivi Down continua a
suscitare aspre polemiche. Il giudice Oscar Magi risponde
con un 'intervista a Daniele Lepido su Agorà del Sole 24 Ore)
e dice, rivolto ai suoi critici: "O non hanno letto
bene la sentenza o ho scritto qualche cosa che io stesso
non riesco a misurare, come portata. Io continuo a
pensare che la mia sia una sentenza assolutamente
favorevole al mondo di internet in generale e a Google
in particolare. Mi sembra di non aver assolutamente
modificato nessun canone fondamentale della rete". Allora leggiamola bene, questa sentenza: per capire
se le critiche sono fondate, se il ragionamento
giuridico è corretto, se le considerazioni del giudice
(che vanno ben oltre il caso in discussione) sono condivisibili. In ultima analisi, se sono giustificate le
preoccupazioni per gli effetti che la decisione potrebbe avere sul
piano legislativo (vedi Google-Vivi Down: sentenza
pericolosa, attenti a Gasparri!).
Saltiamo i
fatti ormai noti a tutti (li ho sommariamente riassunti
in Sentenza
Google. La Rete è davvero in
pericolo?) e affrontiamo il lungo testo.
Che incomincia esponendo i due capi di imputazione. Il
capo A, per il quale sono giudicati quattro dirigenti di
Google, riguarda il reato di diffamazione (per i non
giuristi: il reato è previsto dall'art. 595 c.p.;
l'art. 110 riguarda il concorso di più persone nel
reato, l'art. 40 dice che "Non impedire un evento,
che si ha l’obbligo giuridico di impedire, equivale a
cagionarlo". L'evento. cioè la diffamazione, non sarebbe
stato impedito perché non sono state osservate le
prescrizioni degli articoli 13
(informativa), 26
(dati sensibili) e 17
(trattamento che presenta rischi specifici) del decreto
legislativo 196/03, il cosiddetto "codice privacy".
Il capo B contesta a tre dei quattro imputati il
concorso (art. 110 del codice penale, nel testo della
sentenza il riferimento è saltato) nella violazione
dell'articolo 167 del codice privacy (Illeciti penali -
Trattamento illecito di dati). Seguono le richieste dell'accusa e delle difese e
quindi si passa alla narrazione dello svolgimento del
processo, che occupa 10 pagine.
Poi si arriva alle motivazioni. "In
fatto" si ricostruisce tutta la vicenda
giudiziaria, a partire dalla denuncia-querela presentata
dall'associazione Vivi Down alla procura di Milano il 6
novembre 2006. Settanta pagine che riproducono, in
sostanza, le carte dell'accusa e danno conto delle
indagini e degli interrogatori degli imputati e dei
testimoni. Si ricostruiscono nel dettaglio lo sviluppo e
la struttura di Google, la costituzione e il ruolo di
Google Italia, le politiche commerciali, il
funzionamento di Google video.
Naturalmente una particolare attenzione è dedicata
alle procedure di caricamento e di controllo dei video,
come a quelle della rimozioni dei contenuti
"illegali". Qui è interessante la
ricostruzione delle comunicazioni interne in merito alla
vicenda del video incriminato, che danno l'idea di una
lenta e pesante burocrazia (d'altra parte forse
inevitabile in un'azienda di tali dimensioni).
Della società americana, con le sue propaggini
estere, la ricostruzione dei PM accolta dal giudice offre un'immagine del tutto
negativa. Gente attenta solo a far soldi e in piena
confusione quando si tratta di adeguare le proprie
politiche alle regole dei paesi nei quali opera. E'
normale che l'accusa tenda a presentare sempre
l'imputato come un criminale incallito e sanguinario, ma
forse qui si esagera. Certo, Google non è un coro
di angioletti e sono molti e molto seri gli addebiti che possono
esserle mossi,
soprattutto alla mancanza di trasparenza delle sue
politiche (che emergono anche
nella controversia davanti all'antitrust, sollevata
dagli editori dei giornali - vedi il provvedimento n. 20224 del 26 agosto
2009 e la Delibera n. 72
dell'11 marzo 2010 dell'AGCM).
Segue la parte (più di venti pagine), che riguarda
i capi di imputazione e la "valutazione in
diritto delle emergenze processuali". Il giudice premette
che il ritiro della querela da parte dei familiari del
ragazzo offeso limita l'accertamento ai fatti che
riguardano la seconda parte lesa, l'associazione Vivi
Down, ma non fa decadere l'imputazione del capo A,
contrariamente a quanto sostenuto dalla difesa. Quindi
risolve il problema della competenza territoriale
affermando che il reato è stato commesso anche a
Milano, dove ha sede la società Google Italy
"sotto il profilo del trattamento dei dati inteso
come elaborazione e organizzazione degli stessi".
Sarebbe lungo esaminare tutti i passaggi del
ragionamento del giudice, oltre che assai poco
divertente per chi non è un giurista o un appassionato
di diritto. Limitiamoci quindi alle questioni più
rilevanti che hanno dato luogo alla condanna e a quelle
che possono avere conseguenze
su una non impossibile futura regolamentazione delle
attività on line. E anche sul precedente che la
sentenza può costituire
per altri giudizi su casi simili (pur nei limiti di una
decisione di primo grado, contro la quale è già stato
annunciato l'appello).
Il primo punto in questione riguarda la giurisdizione: la
normativa sul trattamento dei dati personali si applica
(art. 5 DLGV 196/2003) ai trattamenti di dati personali
"anche detenuti all'estero, effettuato da chiunque
è stabilito nel territorio dello Stato o in un luogo
comunque soggetto alla sovranità dello Stato" e
anche "effettuato da chiunque è stabilito nel
territorio di un Paese non appartenente all'Unione
europea e impiega, per il trattamento, strumenti situati
nel territorio dello Stato anche diversi da quelli
elettronici, salvo che essi siano utilizzati solo ai
fini di transito nel territorio dell'Unione
europea".
Dunque la prima parte del trattamento, cioè il
caricamento del video, si svolge senza dubbio
nell'ambito della giurisdizione italiana. Ma è stato
giudicato in un altro processo. Qui si discute solo
della responsabilità di Google. E dalla ricostruzione
fin troppo dettagliata compiuta dall'accusa si evince
che la rappresentanza italiana di Google non ha alcun
ruolo nel trattamento: tutto è deciso negli USA. Dove
non c'è alcun obbligo di rispetto della nostra
normativa.
Tuttavia il giudice arriva alla conclusione opposta,
rifacendosi alla sentenza della Cassazione n. 49437 del
2009 (processo Pirate Bay), secondo la quale il
provider concorre al reato di violazione del diritto
d'autore nel momento in cui indicizza le informazioni.
Ma le due situazioni non sono paragonabili, perché nel
caso di Pirate Bay il processo di selezione e
indicizzazione dei siti di file sharing è
specificamente volto a fornire i link dai quali
scaricare i contenuti illeciti, mentre nel caso di
Google video c'è solo un'indicizzazione, passaggio
strumentale indispensabile per raggiungere qualsiasi contenuto.
In ogni caso il collegamento tra il trattamento effettuato negli
USA e l'Italia consisterebbe, se ho letto bene la
sentenza, nel "lucro" che deriva dalla
pubblicità, per la quale l'azienda ha una
rappresentanza nel nostro paese. Qui si potrebbe aprire
un'interminabile discussione sulla connessione tra il
trattamento svolto all'estero e il lucro conseguito in
Italia, ma non è questo il caso. Perché la difesa ha
dimostrato che all'epoca dei fatti non c'era un
collegamento diretto tra Google Video e la pubblicità e
l'argomentazione appare convincente (ora, con Facebook
la situazione è cambiata). Dunque basterebbe questo
dato, l'assenza di lucro, per escludere il reato.
Ma fino a questo punto siamo ancora alle premesse.
Alla fine della storia ci sono i reati contestati ai tre
imputati. Essi, come abbiamo visto, consistono nella
violazione degli articoli 23 (consenso), 17 (trattamento
che presenta particolari rischi) e 26 (garanzie per i
dati sensibili) del codice privacy. La violazione
dell'art. 23 è punita dal primo comma dell'art. 167 con
la reclusione da sei a ventiquattro mesi. Ma
l'interessato al quale si riferisce il consenso è colui
che ha un rapporto con il titolare del trattamento,
cioè chi carica il video. Non la persona che ha tratto
"nocumento" dal contenuto, che è un terzo nel
rapporto tra il provider e il destinatario del servizio.
L'art. 167 non contiene un'ipotesi penale per la
violazione dell'art. 17, elencata nel capo di
imputazione, ma solo per quella dell'art. 26, e la pena
va da uno a tre anni. In sostanza i tre dirigenti di
Google, secondo il giudice, avrebbero omesso di chiedere
il consenso scritto dell'interessato (la persona
danneggiata) per il trattamento dei dati sensibili.
Dunque avrebbero dovuto: a) controllare i contenuti del
video prima di metterlo in rete; b) identificare e
trovare l'indirizzo della persona ritratta; c) attendere
il suo consenso scritto prima di dare il via libera alla
diffusione. Evidentemente nel ragionamento del giudice
c'è qualcosa che non funziona.
Ma la
sentenza, prima nell'esame dei fatti e poi nelle
considerazioni in diritto, si spinge molto più avanti.
Ed è questa la parte che ci interessa di più, perché
riguarda la responsabilità dei fornitori di servizi,
qual è appunto Google. Qui dobbiamo fare un piccolo
passo indietro.
La responsabilità dei fornitori di servizi internet è
contenuta nelle norme sul commercio elettronico in vigore in Europa
(direttiva 2000/31/CE) e in Italia (DLGV 70/03, artt.
14, 15 e 16). Esse le indicano con precisione: i
provider non sono responsabili dei
contenuti, a meno che non abbiano un ruolo attivo nella
loro formazione o trasmissione. E sono obbligati a
rimuoverli o a disabilitarne l'accesso "su
comunicazione delle autorità competenti".
Il successivo art. 17 del DLGV 70/03 sancisce
esplicitamente l'assenza di un "obbligo generale di
sorveglianza" a carico del prestatori di servizi.
Egli è tenuto solo a informare le autorità
competenti "qualora sia a conoscenza di presunte
attività o informazioni illecite riguardanti un suo
destinatario del servizio". Inoltre è
"civilmente responsabile" (non penalmente!)
"nel caso in cui, richiesto dall'autorità
giudiziaria o amministrativa avente funzioni di
vigilanza, non ha agito prontamente per impedire
l'accesso a detto contenuto, ovvero se, avendo avuto
conoscenza del carattere illecito o pregiudizievole per
un terzo del contenuto di un servizio al quale assicura
l'accesso, non ha provveduto ad informarne l'autorità
competente".
Dunque la legge, nel precisare i limiti della
responsabilità civile, esclude quella penale. In ogni
caso il contenuto illecito
è stato rimosso - si apprende sempre dalla sentenza -
nel giro di 24 ore dalla segnalazione dell'autorità
italiana. E allora come si giustifica la condanna?
Dobbiamo leggere la sentenza da pag. 188, dove i PM
"inventano" una figura non prevista dalla
normativa, quella del "hoster attivo", poiché
provvede a organizzare e indicizzare le informazioni.
Quindi, sempre secondo i PM, ne diventa dominus e
perciò "titolare del trattamento" (per la
nostra normativa "la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od organismo
cui competono, anche unitamente ad altro titolare, le decisioni in ordine
alle finalità, alle modalità del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo della sicurezza").
Il giudice non accoglie in pieno questa tesi, ma
nella sostanza non se ne discosta molto. In generale
delinea correttamente la responsabilità del provider e
riconosce l'assenza dell'obbligo generale di
sorveglianza, "ma, d'altro canto - scrive il
magistrato - non esiste
nemmeno la 'sconfinata prateria di Internet' dove tutto
è permesso e niente può essere vietato, pena la
scomunica mondiale del popolo web".
E allora, partendo dalla "promozione"
precedentemente compiuta - e non corretta, a mio avviso
- dell'hosting provider in content provider,
quindi responsabile del trattamento dei dati, ravvisa
nel trattamento dei dati sensibili senza le garanzie
prescritte dall'art. 26 l'illecito commesso dai
responsabili di Google.
Tutto qui? Pare di sì. Ma non è poco, perché dalla
motivazione dell'assoluzione dei reati del capo A appare
chiara la preoccupazione del giudice:
La responsabilità penale degli ISP, mancando una
precisa legislazione in materia che li equipari alle
produzioni stampate o alle reti televisive, non può
essere costruita al di là dei canoni interpretativi ed
applicativi dell'attuale quadro normativo(quadro a cui
si è recentemente aggiunta la Legge sul commercio
elettronico - DL.gs. n. 70/2003 - che, tuttavia, appare
applicabile agli host provider e nei limiti oggettivi
identificati dalla stessa).
Sarà possibile considerarli responsabili dei contenuti
dei file sugli stessi caricati (soprattutto nel caso di
tratti di hoster attivi o content provider sole nel
momento in cui si provi la consapevolezza del fatto
delittuoso, al di là di posizioni di garanzia non
mutuabili da altri settori dell'ordinamento.
Per esempio, nel caso in questione, l'ufficio
dell'accusa vi è andato molto vicino (si ripete, al di
là della esistenza di della posizione di garanzia): il
fatto, indubitabile, che il video sia stato presente sul
sito web per più di due mesi e che lo stesso sia stato
inserito nei video più divertenti e più "cliccati"
dagli utenti(sic!) già costituisce un principio di
prova della "consapevolezza" da parte dei
gestori del suo contenuto; principio che non ha
raggiunto la pienezza della prova solo per l'estrema
difficoltà dell'effettuazione delle indagini (e della
ricostruzione del dolo del soggetto agente) in vicende
di questo tipo, ma che segnala (a chi ha la voglia di
stare ad ascoltare) che aprire le cataratte della
libertà assoluta e senza controllo non costituisce un
buon esercizio del principio di responsabilità e di
correttezza, che sempre dovrebbe presiedere alle
attività umane (anche se esercitate nel mondo
"parallelo" di Internet (pag 105).
Opinioni discutibili, che ricalcano le posizioni di
molti politici che vedono aperte nella Rete le
"cataratte della libertà assoluta e senza
controllo". Entrano qui in gioco due problemi:
quello dei controlli "automatici" che
dovrebbero segnalare i contenuti "critici" e a
quello della responsabilità nel caso di omessa
rimozione in seguito a segnalazioni degli utenti.
Problema gravissimo, perché pone qualsiasi contenuto a
rischio di censura dietro semplice segnalazione di
chiunque abbia in antipatia l'autore del contenuto
stesso (eventualità che si è già manifestata più
volte su Facebook). E che costituisce un rischio
inaccettabile per il provider, che potrebbe essere
chiamato a risarcire i danni derivanti da una rimozione
che poi si riveli immotivata.
Conclude il giudice:
Perciò, in attesa di una buona legge che
costruisce una ipotesi di responsabilità penale per il
mondo dei siti Web (magari colposa, ed allora sì per
omesso controllo), non resta che assolvere gli imputati
dal reato di cui al capo A, reato che, così come
formulato, non sussiste.
Dunque, per il giudice, occorre una legge (anzi, una
"buona legge") che punisca la responsabilità
- anche colposa! - dei provider. Che, se adottata in
Italia, porterebbe l'intera comunità nazionale
dell'internet a migrare verso paesi più ospitali e i
provider a chiudere bottega.
Però da questa conclusione si capisce perché l'accusa
e il giudice hanno scritto centinaia di pagine di
acrobazie giuridiche per un caso che, in altra ottica si
sarebbe potuto archiviare: era necessario condannare.
Comunque.
Una tendenza che si sta pericolosamente affermando (vedi, su InterLex, Pirate Bay, YouTube, Google: l’Italia
al contrattacco di Paolo Ricchiuto).
Alla fine della storia, resta quanto ho scritto pochi
giorni fa nel post I bulli sul Web e i
genitori di Adro. E non credo di dover aggiungere
altro.
|