Il 3 Febbraio 2014 sono state depositate le motivazioni della sentenza della Corte di Cassazione, sez. III Penale, sentenza 17 dicembre 2013 n. 5107, relative al caso Google Vividown, che ha confermato la definitiva assoluzione di Google per il video caricato dalla ragazzina, avente ad oggetto i maltrattamenti ad un ragazzino disabile.
La sentenza ripercorre tutta la vicenda rammentando che con sentenza del 24 febbraio 2010, il Tribunale di Milano aveva ritenuto gli imputati D.D., F.P., D.G. responsabili del reato relativo alla violazione degli art. 110 cod. pen., 167 del d.lgs. n. 196 del 2003 (di seguito il Codice), perché, in concorso tra loro e nelle loro rispettive qualità (D., di amministratore delegato di Google Italy, F., di responsabile della policy sulla privacy di Google Inc.; D., di amministratore delegato di Google Italy) procedevano al trattamento dei dati personali in violazione degli artt. 23, 17 e 26 del Codice con riferimento a un video immesso per la successiva diffusione a mezzo Internet sul sito www.video.google.it, raffigurante un soggetto affetto da sindrome di Down preso in giro con frasi offensive e azioni vessatorie riferite alla sua sindrome da parte di altri soggetti minorenni.
La condotta contestata consisteva, in particolare, nell’avere omesso un’informativa sulla privacy, visualizzabile in italiano dalla pagina iniziale del servizio Google video, in sede di attivazione del relativo account, al fine di porre in essere l’upload di files, in ordine a quanto prescritto dal richiamato art. 13 e, per esso, del valido consenso di cui all’art. 23, comma 3. La violazione ipotizzata investe anche l’art. 26 , riguardando dati idonei a rivelare lo stato di salute della persona inquadrata nel video, e l’art. 17 per i rischi specifici insiti nel tipo di trattamento omesso, anche in relazione alle concrete misure organizzative da prestare.
Con sentenza del 21 dicembre 2012, la Corte d’appello di Milano ha riformato la sentenza impugnata, evidenziando che l’art. 167 del Codice non richiama il precedente art. 13 e, dunque, non impone all’Internet provider di rendere edotto l’utente circa l’esistenza e i contenuti della legislazione sulla privacy.
Nella stessa sentenza si esclude, inoltre, la configurabilità di un concorso omissivo nel reato contestato. Si esclude, altresì, la sussistenza del dolo specifico richiesto dalla disposizione incriminatrice, sul rilievo che gli imputati non erano preventivamente a conoscenza del filmato e dell’immissione del dato personale illecitamente trattato.
MIO PERSONALE PARERE: vero è che il 167 non richiama il 13 (obbligo di informativa) quale condotta tipica per la concretizzazione del reato, ma richiama invece
il 23 (mancanza di consenso),
il 26 (garanzie per i dati sensibili) e
il 17 (trattamento che presenta rischi specifici),
cioè imponendo – qualora si trattino dati sensibili –
il consenso dell’interessato (che naturalmente non può essere prestato se non SOLO ED ESCLUSIVAMENTE in seguito a idonea informativa, il cosiddetto CONSENSO INFORMATO che invece la Corte non ha neanche preso in considerazione);
IL DIVIETO DI DIFFUSIONE DI DATI SULLA SALUTE
ED UNA MAGGIORE ATTENZIONE IN CASO DI TRATTAMENTI PARTICOLARMENTE DELICATI, COME QUELLO IN QUESTIONE.
Difficile sostenere – esaminando bene la norma – che la fattispecie criminosa di cui al 167 non si fosse invece realizzata nel caso di Google.
Tornando alla sentenza, nella stessa si narra che con memoria depositata in prossimità dell’udienza, gli imputati, tramite i difensori, hanno eccepito, in primo luogo, di non essere titolari, in base al Codice Privacy del trattamento dei dati personali del soggetto rappresentato nel video caricato sulla piattaforma Google video.
Rilevavano, in particolare, che il titolare del trattamento è individuato, dall’art. 4 del Codice come il soggetto che abbia il potere di esprimere scelte in ordine allo scopo del trattamento e alle modalità dello stesso; soggetto che nel caso di specie deve identificarsi con la persona che abusivamente aveva caricato il video sulla piattaforma senza preventivamente acquisire il consenso dell’interessato al trattamento dei dati e senza, comunque, rispettare le altre prescrizioni imposte dallo stesso Codice. Le difese richiamano, a tale scopo un parere pro ventate fornito dall’ex Presidente dell’Autorità Garante per la Protezione dei Dati Personali, oltre ai pareri del Gruppo di Lavoro Articolo 29 per la protezione dei dati, organo consultivo dell’Unione europea, composto dai rappresentanti delle Autorità garanti dei singoli Stati membri.
Su questo elemento sofferemerei l’attenzione perchè sostenere che Google non sarebbe Titolare del trattamento (lasciando la sola titolarità del trattamento alla ragazzina che aveva caricato il video) in base a quanto contenuto nel Decreto sul commercio elettronico 70 del 2003 (che peraltro prevede espressamente la non applicabilità dello stesso in casi di tutela dei dati personali) e dal Parere dei Garanti Europei del 2010 sulla definizione del Titolare, significa dimenticarsi della disciplina Privacy in generale e soprattutto di pareri più pertinenti al caso in esame come quello dei Garanti Europei sui social network del 2009 che epressamente prevede che il fornitore dei servizi di social network (tra i quali piace ricordare che rientra in toto You Tube e Google Video) è Titolare del trattamento (3.1 del documento) in quanto
mettono a disposizione i mezzi per l’elaborazione dei dati degli utenti;
forniscono TUTTI I SERVIZI DI BASE RELATIVI ALLA GESTIONE DELL’UTENTE (ES. registrazione e cancellazione degli account); determinano i modi in cui i dati degli utenti possono essere usati a fini pubblicitari e commerciali (inclusa la pubblicità fornita da terzi).
Tale precisazione è interessante soprattutto considerata l’inesistenza del profitto di Google decisa dalla Corte.
La sentenza poi si dilunga molto sull’inesistenza dell’obbligo di preventiva sorveglianza del fornitore di servizi di comunicazione ai sensi dell’art 17 del decreto sul commercio elttronico, pur ammettendo (in quanto previsto dalla norma) che,
Nella prestazione di un servizio della società dell’informazione, consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:
a) non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione;
b) non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.
Ma la Corte sostiene che “Dall’esame complessivo delle disposizioni riportate emerge che nessuna di esse prevede che vi sia in capo al provider, sia esso anche un hosting provider, un obbligo generale di sorveglianza dei dati immessi da terzi sul sito da lui gestito. Né sussiste in capo al provider alcun obbligo sanzionato penalmente di informare il soggetto che ha immesso i dati dell’esistenza e della necessità di fare applicazione della normativa relativa al trattamento dei dati stessi”.
In conclusione secondo la Corte il 167 non sarebbe stato applicabile a Google in quanto la stessa non era da considerarsi un Titolare del trattamento perchè in base al decreto sul commercio elettronico (che non è la norma di riferimento sulla Privacy) si tratterebbe di un soggetto che si limita a prestare un «servizio consistente nella memorizzazione di informazioni fornite da un destinatario del servizio» senza aver alcun controllo sui contenuti (come un fornitore di servizi di posta elettronica, in soldoni).
Inutile ripetere ancora cosa dice invece norma ben più applicabile al caso concreto che è il Parere dei Garanti Europei sui social network, sopra illustrata.
Nel 2003 tempo in cui si scrisse la disciplina sul commercio elettronico i social network neanche esistevano.
Al riguardo ricordo la definizione: “Un servizio di social network (rete sociale) consiste nella creazione e nel controllo di reti sociali online destinate a comunità di soggetti che condividono determinati interessi e attività, ovvero intendono esplorare gli interessi e le attività di altri soggetti, necessariamente attraverso l’impiego di applicazioni software.
Si tratta in maggioranza di servizi basati sull’utilizzo del web. Numerose sono le modalità di interazione fra gli utenti”.
*****
Mi auguro nonostante la complessità della materia di essere riuscita ad evidenziare almeno qualche elemento fondamentale sul perchè io concordi con la prima sentenza di condanna per Google e mi distacchi fortemente da quanto deciso invece dalla Cassazione che in conclusione si può riassumere in una frase:
Google è Titolare del trattamento e come tale sanzionabile ai sensi del 167 Codice Privacy, in quanto aveva il controllo dei dati immessi, come gli altri Titolari di Social Network e pure esisteva il dolo specifico consitente nel profitto. La condotta sanzionabile è la mancanza di inidonea informativa che non ha permesso la comprensione dell’impossibilità di diffusione di dati della salute in rete (o qualora non vogliano considerarsi tali, di mancanza di consenso dell’interessato ai sendi del 23 Codice Privacy) da parte del soggetto che ha caricato il video.
Qui la sentenza per esteso
