IL PROVIDER NON È RESPONSABILE DEI DATI CARICATI IN GOOGLE

La vicenda nasce dal caricamento sulla piattaforma Google di un video raffigurante un giovane studente affetto dalla sindrome di Down, ingiuriato e preso in giro dai suoi compagni di scuola. I tre amministratori di Google sono stati sottoposti a giudizio penale con l"accusa di diffamazione e violazione della privacy, e in secondo grado, sono stati assolti perché "il fatto non sussiste".

Tale sentenza è stata impugnata con ricorso per cassazione dal Procuratore generale della Repubblica presso la Corte d"appello.

La Corte di Cassazione con la pronuncia n. 5107/2014 ha ritenuto che "Le società che mettono a disposizione degli utenti della rete piattaforme per caricare i loro video, fornendo dunque un semplice servizio di Internet host provider, non sono responsabili dei contenuti nel caso in cui le immagini violino il Codice della privacy".

Le argomentazioni poste a fondamento di tale principio arrivano alla conclusione che non vi è nell"ordinamento giuridico nessuna norma che impone un obbligo di sorveglianza dei dati immessi da terzi sul sito gestito dal provider, né sussiste in capo ad esso alcun onere sanzionato penalmente di informare il soggetto che ha immesso i dati dell"esistenza e della necessità di fare applicazione della normativa relativa al trattamento dei dati stessi.

Gli unici titolari del trattamento dei dati sensibili eventualmente contenuti nel video caricati sul sito sono gli stessi utenti che li hanno caricati.

È opportuno, pertanto, richiamare le norme rilevanti nel caso in oggetto:

Art 4 comma 1: "Ai fini del presente codice (Codice della privacy) si intende per: a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; c) "dati identificativi", i dati personali che permettono l' identificazione diretta dell'interessato; d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; i) "interessato", la persona fisica cui si riferiscono i dati personali; l) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

L"art 13 sempre del Codice della privacy prevede che " L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. Al comma 4 precede che " Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione".

L"art 17, Codice della privacy prevede che " Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare".

L" art 23 Codice della privacy prevede che "Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.  Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

L"art 26, Codice della privacy prevede al comma 1 che "I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti. E successivamente al comma 5 che "I dati idonei a rivelare lo stato di salute non possono essere diffusi." Tale violazione è sanzionata ex art 167 " Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi, 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni"

Pertanto i reati di cui all"art 167 Codice privacy devono essere intesi come reati propri, trattandosi di condotte che si concretizzano i violazione di obblighi dei quali è destinatario in modo specifico solo il titolare del trattamento e non ogni altro soggetto  che si trovi ad avere a che fare con dati oggetto di trattamento senza essere dotato dei relativi poteri decisionali. Ciò è applicabile anche per il provider che è colui che si limita a prestare un servizio consistente nella memorizzazione di informazioni fornite da un destinatario del servizio ex art 16 d.lgs. n. 70/2003 a condizione però che non sia effettivamente a conoscenza del fatto che l"attività o informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l"illiceità dell"attività o dell"informazione; che non appena a conoscenza di tali fatti, su comunicazione della autorità competenti, agisca immediatamente per rimuovere tali informazioni o per disabilitarne l"accesso: finché il dato illecito è sconosciuto al provider, questo non può essere considerato quale titolare del trattamento perché privo di qualsivoglia potere decisionale sul dato stesso.; quando invece, il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione esso assume la qualifica di titolare del trattamento e dunque diviene destinatario dei precetti e delle sanzioni penali del Codice privacy.

In via generale, pertanto, sono gli utenti ad essere titolari del trattamento dei dati personali di terzi ospitati nei servizi di hosting e non i gestori che si limitano a fornire tali servizi.

La sentenza richiamata nel ricorso, n. 23798/2012 con la quale era stata affermata la responsabilità penale del legale rappresentante e del responsabile della privacy di una società, per illecito trattamento di dati personali, in relazione al caso di un passaggio di mano di un database formato da centinaia di migliaia di indirizzi e-mail, per la mancanza dell"informativa volta ad acquisire il consenso degli interessati, non può trovare analogia con il caso in oggetto poiché non tiene conto della particolare posizione dell"internet provider rispetto alla posizione di un soggetto, che detenendo una vera e propria banca dati contenente gli indirizzi di una serie di soggetti, che lui stesso ha formato e gestito e della quale conosce fin dall"inizio il contenuto e le finalità, la cede ad un altro soggetto senza preoccuparsi di acquisire il consenso degli interessati.

È necessario pertanto sottolineare che il titolare del trattamento dei dati caricati sul sito Google video è lo stesso utente che li ha caricati, in quanto l"essere titolare del trattamento deriva dal fatto concreto che un soggetto abbia scelto di trattare dati personali per propri fini. La persona che deve essere chiamata a rispondere delle violazioni delle norme sulla protezione dei dati è il titolare del trattamento dei e non il mero provider.

In base alle considerazioni svolte la responsabilità in capo ai tre amministratori di Google è da escludersi già sotto il profilo oggettivo senza peraltro addentrarsi nell"analisi dell"elemento soggettivo che tale nel caso di specie ne risulta irrilevante l"approfondimento.