di Michele Iaselli
[vc_row] [vc_column width=”5/6″]
Corte di Appello di Milano, sentenza n. 29 del 10 luglio 2014 e depositata il 7 gennaio 2015
Dal quadro normativo nazionale e dell’Unione europea si evince che l’hosting provider non ha alcun obbligo di preventivo vaglio dell’effettiva titolarità dei diritti d’autore posseduti da parte dei singoli soggetti che caricano i video sullo spazio di memoria messo a disposizione e che l’unica ipotesi di responsabilità ipotizzabile concerne i casi in cui l’hosting provider si sia reso partecipe del caricamento dei dati, sia stato informato dell’illiceità del contenuto dei video caricati e non li abbia, ciononostante, rimossi dal portale.
[/vc_column][vc_column width=”1/6″][/vc_column] [/vc_row]
La Corte di Appello di Milano con questa sentenza dice la sua su un argomento noto e delicato come la responsabilità dell’Hosting Provider in merito ai contenuti presenti in Rete. In particolare la controversia coinvolge una società nei confronti della filiale italiana di un Provider mondiale ed ha per oggetto uno specifico servizio di quest’ultimo, che ai tempi della controversia erogava un servizio di pubblica fruizione di video attraverso i suoi siti web: i singoli utenti potevano caricare, sulle piattaforme messe a disposizione dal gestore, contenuti video da condividere con altri utenti di Internet, i quali, dunque, senza alcuna preventiva registrazione, potevano accedere e visionare gratuitamente i video, potendo altresì procedere a un commento degli stessi attraverso l’inserzione di un messaggio a mezzo di appositi spazi. La società appellante, titolare dei diritti di sfruttamento economico di molti programmi televisivi inseriti illecitamente da terzi sulla rete telematica gestita dal provider, chiama in giudizio quest’ultimo contestando un ingiustificato comportamento omissivo circa la rimozione dei programmi oggetto di contestazione con conseguente sviluppo di un’accesa vertenza giudiziaria che probabilmente non cesserà con questa pronuncia della Corte di Appello di Milano.
In verità il giudice di 2° grado riformando, a favore del provider, la sentenza n. 10893/2011 del Tribunale di Milano si allontana molto da quel delicato assetto di equilibrio e di bilanciamento che, ormai, si stava delineando in materia sia in dottrina che in giurisprudenza, e che in verità in toto aveva recepito il giudice di prime cure. La stessa Corte di Giustizia [1] con recenti sentenze sta ormai assumendo una posizione di maggior rigore nei confronti dei Provider che mal si concilia con questa decisione della Corte di Appello. Ma entriamo nel merito della controversia che comporta inevitabilmente un’analisi specifica di molte normative comunitarie (si pensi alle direttive 2000/31, 2001/29, 2004/48, 95/46 e 2002/58) nonché della stessa legislazione nazionale come il d.lgs. n. 70/2003.
La questione di fondo è sempre rappresentata dalla corretta interpretazione della famosa direttiva 2000/31/CE e conseguente nostra normativa nazionale (D.Lgs. n. 70/2003), avuto riferimento alla effettiva responsabilità del prestatore di servizi (hosting provider). La responsabilità dei prestatori di servizi della società dell’informazione è disciplinata, difatti, in ambito nazionale, dalle norme di cui al D.Lgs. n. 70/2003 che, rimanendo estremamente fedele all’impostazione comunitaria, offre la definizione e la disciplina della responsabilità delle diverse tipologie di prestatori di servizi, individuando tre diversi gradi di responsabilità in ragione dell’attività svolta. Il mero trasporto (mere conduit) delle informazioni o di semplice fornitura dell’accesso alla rete (art. 14); la memorizzazione automatica, intermedia e temporanea di informazioni (caching) allo scopo di rendere più efficace il successivo inoltro ad altri destinatari su loro richiesta (art. 15); la memorizzazione “duratura” di informazioni (hosting) fornite dai destinatari del servizio (art. 16).
Diverse sono le questioni che l’organo giudicante esamina nel caso specifico e tutte meritano la giusta attenzione al fine di inquadrare in modo corretto la fattispecie giuridica di riferimento. La questione fondamentale riguarda il regime di responsabilità del prestatore di servizi di “ospitalità” di dati (hosting) che procura ai propri clienti un servizio di accesso a un sito, senza proporre altri servizi di elaborazione dei dati. Difatti, secondo la Corte di Appello, il servizio oggetto della controversia, deve essere inquadrato nell’ambito delle previsioni di cui al d.lgs. 70/2003 (artt. 16 e 17), a sua volta attuativo della direttiva 2000/31/CE sulla vendita telematica, in cui, in sostanza, si sancisce un regime di esenzione da responsabilità dell’ hosting provider per le informazioni fornite da un destinatario del servizio, a condizione che detto prestatore: a) non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita; b) per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione; c) non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso (art 16).
Con la normativa comunitaria (di cui il d.lgs. n. 70/2013 è una puntuale riproduzione) si sancisce, quindi, il principio in base al quale il prestatore del servizio telematico di attività di memorizzazione delle informazioni non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite (art. 17). Pur tuttavia, il prestatore è comunque tenuto ad informare, senza indugio, l’autorità giudiziaria o quella amministrativa avente funzione di vigilanza qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell’informazione e a fornire le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi.
Quindi dall’esame congiunto sia della normativa nazionale che comunitaria, secondo la Corte, si può affermare che l’hosting provider non ha alcun obbligo di preventivo vaglio dell’effettiva titolarità dei diritti d ‘autore posseduti da parte dei singoli soggetti che caricano i video sullo spazio di memoria messo a disposizione e che l’unica ipotesi di responsabilità ipotizzabile concerne i casi in cui l’hosting provider si sia reso partecipe del caricamento dei dati o sia stato informato dell’illiceità del contenuto dei video caricati e non li abbia, ciononostante, rimossi dal portale [2] .
Il vero problema è che nel caso di specie, come sostenuto in 1° grado di giudizio, si configura un radicale mutamento della natura del servizio di hosting provider di tipo passivo (secondo la classificazione utilizzata dalla giurisprudenza nazionale richiamata dalla sentenza appellata), in servizio di hosting provider di tipo attivo, in ragione della mera presenza di sofisticate tecniche di intercettazione del contenuto dei file caricati, attraverso un motore di ricerca, delle più svariate modalità di gestione del sito e del particolare interesse del gestore a conseguire vantaggi economici.
Per la Corte di Appello, invece, tali elementi non sono sufficienti a mutare la natura del Fornitore di Accesso in Internet (FAI) in Servizio di elaborazione dei dati in Internet Provider (ISP), con conseguente esclusione del privilegio dell’esonero dalla responsabilità affermato negli artt. 16 e 17 del d.lgs. 70/2003 e nelle norme riscontrabili nella direttiva europea 2000/31/CE (nei considerando 42, 43, 44, 45, 46 , 47 e 48), mettendo in questione la presunzione di neutralità del gestore e la sua stessa natura di FAI.
A sostegno della sua tesi la Corte di Appello di Milano sostiene che il Considerando 42) della direttiva europea va letto insieme agli altri Considerando che, parimenti, indicano i termini e motivi dell’esonero da responsabilità dell’hosting provider [3]. Lo stesso Considerando 44) della direttiva 2000/31/CE sancisce un’eccezione al regime di esonero dalla responsabilità del provider che svolge servizi di “mere conduit” (mero trasporto) di contenuti o di “caching” (memorizzazione temporanea) solo nel caso in cui il prestatore del servizio “che deliberatamente collabori con un destinatario del suo servizio al fine di commettere atti illeciti, non si limiti alle attività di semplice trasporto e di temporanea memorizzazione”, e dunque nell’ipotesi, del tutto remota, in cui il gestore del sito non circoscriva la sua attività al processo tecnico di attivare e fornire accesso ad informazioni messe a disposizione da terzi, ma cooperi col fruitore nel commettere un atto illecito; mentre nel Considerando n. 42) si sancisce che le deroghe alla responsabilità stabilita nella direttiva riguardano esclusivamente il caso in cui l’attività di prestatore di servizi della società dell’informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell’informazione non conosce né controlla le informazioni trasmesse o memorizzate.
In realtà, contrariamente a quanto affermato dalla Corte di Appello, la Corte UE [4] ha chiarito che, per essere correttamente applicato, l’articolo 14 della Direttiva 2000/31/CE “deve essere interpretato non soltanto in considerazione del suo tenore letterale, ma anche del suo contesto e degli scopi perseguiti dalla normativa di cui fa parte”. È evidente quindi che le ragioni dello speciale regime di responsabilità prevista dal legislatore comunitario a favore dei servizi dei “prestatori intermediari” di cui agli articoli 12-14 della Direttiva sul commercio elettronico vanno rinvenute proprio negli scopi perseguiti da tale corpo normativo: scopo enunciato, con specifico riferimento ai “servizi della società dell’informazione”, dai considerando 40-42. La ratio del legislatore europeo va quindi individuata nella volontà di delineare un sistema giuridico in cui, in termini generali, qualunque prestatore di servizi della società dell’informazione soggiace al regime normativo (anche in tema di responsabilità) delineato dalle legislazioni nazionali purché ciò avvenga nel rispetto “degli obiettivi comunitari”. Invece, nel campo della responsabilità dei prestatori di servizi che agiscono come intermediari – quindi solo i prestatori intermediari e non tutti i fornitori di “servizi della società dell’informazione”- si pone l’esigenza di introdurre delle limitazioni di carattere eccezionale proprio in considerazione delle specifiche caratteristiche dei detti servizi: proprio perché – e fintantoché – è esclusa ab initio ogni forma di interazione del prestatore con le informazioni trasmesse o memorizzate.
Di conseguenza la Corte d’Appello ha mal interpretato la portata degli articoli 14 della Direttiva 2000/31/CE e 16 del D. Lgs. n. 70/2003 nello stabilire che i “servizi di ospitalità di dati (hosting)” consistono in attività che “in ogni caso deve essere inquadrata e sussunta nelle previsioni di cui al d. lgs. 70/2003 (artt. 16)”. Tale asserto si pone in aperta contraddizione con il corpo normativo di riferimento: l’art. 16 D. Lgs. n. 70/2003, infatti, non è affatto riferibile a qualsiasi prestatore del servizio di “ospitalità di dati (hosting)” ma unicamente al fornitore di servizi “ospitalità” di ordine “meramente tecnico, automatico e passivo” e che, conseguentemente, “non conosce né controlla le informazioni trasmesse o memorizzate”. Infatti, come ripetutamente chiarito dalla Corte UE, ove non ricorrano tali condizioni, l’hosting – al pari di tutti gli altri “servizi della società dell’informazione”– non è destinatario di alcuna speciale previsione normativa e va qualificato come un “qualsiasi servizio prestato per via elettronica e a richiesta individuale di un destinatario di servizi” che, in quanto tale, deve sottostare all’ordinario regime di responsabilità dettato dal diritto interno. ©
NOTE
- V. sentenza C-291/13 dell’11 settembre 2014 (Papasavvas c. Fileleftheros), nella quale il sig. Papasavvas aveva chiesto il risarcimento del preteso danno causatogli da alcuni articoli pubblicati dal quotidiano a diffusione nazionale Fileleftheros ed on line su due siti Internet.
- La stessa Corte di Giustizia con la sentenza C-291/13 dell’11 settembre 2014 ha confermato che il considerando 42 della direttiva deve ritenersi riferibile anche ai servizi di “hosting” e che in presenza di attività non “neutra” del detto prestatore, esso non potrà beneficiare dei limiti di responsabilità previsti dall’art. 14 della Direttiva 2000/31/CE.
- V. anche conclusioni Avv. Gen. nel caso L’Oreal C-324/09, p. 141 e 142
- V. sentenza C-291/13 dell’11 settembre 2014. ◊
Altri articoli di Michele Iaselli
- Accesso e conservazione dei dati di traffico telefonico e telematico: sanzione del Garante privacy per 800 mila euro
di Michele Iaselli (N. III_MMXX)
Ordinanza-ingiunzione del Garante per la protezione dei dati personali n. 138 del 9 luglio 2020. Continua l’attività di controllo del Garante per la protezione dei dati personali nei confronti degli operatori telefonici anche a seguito delle centinaia di segnalazioni e reclami che settimanalmente pervengono all’Autorità per lamentare casi di “marketing selvaggio”. In particolare nella riunione del 9 luglio scorso il Garante ha preso in esame anche le risultanze degli accertamenti disposti nei confronti di un altro gestore telefonico, ILIAD, che è stato trovato carente sotto altri profili, in particolare in merito alle modalità di accesso dei propri dipendenti ai dati di traffico e che per tali ragioni, con ordinanza-ingiunzione n. 138 del 9 luglio 2020 ha disposto la sanzione pecuniaria di 800.000 euro. - LE LINEE-GUIDA SULLA FIGURA DEL RESPONSABILE DELLA PROTEZIONE DEI DATI: ANALISI E CONSIDERAZIONI CRITICHE
di Michele Iaselli (n.II_MMXVII)
Working Party 29 - Linee-guida sui responsabili della protezione dei dati (RPD) - Versione emendata e adottata il 5 aprile 2017 Sono state pubblicate sul sito del Gruppo di Lavoro Art. 29 le linee-guida aggiornate sul Responsabile della protezione dei dati, alla luce della consultazione pubblica terminata il 15 febbraio 2017. Il Garante per la protezione dei dati personali ha pubblicato in questa pagina la traduzione italiana del testo e in tempi brevi metterà a disposizione una versione aggiornata della scheda informativa. - LA RIFORMA DELLE INTERCETTAZIONI TRA TUTELA DELLA PRIVACY, DELLE ESIGENZE DI GIUSTIZIA E DELL’INFORMAZIONE
di Michele Iaselli (n.II_MMXVII)
Modifiche al codice penale, al codice di procedura penale e all’ordinamento penitenziario. Il 14 giugno 2017 la Camera dei deputati ha definitivamente approvato la proposta di legge C. 4368, che modifica l’ordinamento penale, sia sostanziale sia processuale, nonché l’ordinamento penitenziario. Il provvedimento è il frutto della unificazione in un unico testo, oltre che di una pluralità di disegni di legge di iniziativa di senatori, di tre progetti di legge già approvati dalla Camera: il disegno di legge di iniziativa governativa C. 2798 (Modifiche al codice penale e al codice di procedura penale per il rafforzamento delle garanzie difensive e la durata ragionevole dei processi nonché all’ordinamento penitenziario per l’effettività rieducativa della pena, S. 2067), la proposta di legge Ferranti ed altri C. 2150 (Modifiche al codice penale in materia di prescrizione del reato, S. 1844) e la proposta di legge Molteni C. 1129 (Modifiche all’articolo 438 del codice di procedura penale, in materia di inapplicabilità e di svolgimento del giudizio abbreviato, S. 2032). La proposta di legge è stata approvata dal Senato il 15 marzo 2017, a seguito della approvazione di un maxiemendamento del Governo, ed è costituita da un unico articolo, suddiviso in 95 commi. - BIOMETRIA: PROVVEDIMENTO GENERALE PRESCRITTIVO DEL GARANTE
di Michele Iaselli (n.II_MMXV)
Il Garante per la privacy ha approvato un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometric. La semplificazione riguarderà solo le specifiche tipologie di trattamento. - Storia della Privacy
di Michele Iaselli e Stefano Gorla
La nozione di privacy ha sicuramente nobili origini. La storia ci insegna che l’evoluzione dell’uomo non si arresta e con lei anche tutti i concetti e parametri che ci circondano. Infatti, se all’inizio l’uomo non era consapevole della sua persona come “essenza”, con la sua evoluzione ha sempre preso più coscienza che il suo io era una sfera nella quale confluivano molteplici aspetti compreso quello delle relazioni e della riservatezza. - Entrata in vigore del regolamento per i droni
di Michele Iaselli
Il 14 febbraio 2014 il Direttore Generale dell’ENAC ha emesso una Disposizione che rinvia la data di entrata in vigore del Regolamento “Mezzi Aerei a Pilotaggio Remoto” o Sistemi Aeromobili a Pilotaggio Remoto (SAPR), i c.d “droni”, al 30 Aprile 2014. - NEL PROCESSO PENALE LE PARTI NON POSSONO COMUNICARE TRAMITE LA PEC
di Michele Iaselli (N. II_MMXIV)
Corte di Cassazione, Sezione III Penale, sentenza n. 7058 dell’11 febbraio 2014 e depositata il 13 febbraio 2014. La Corte ha affermato che nel processo penale non possono essere effettuate notificazioni e comunicazioni con le parti private mediante l’utilizzo della posta elettronica certificata. - APPORTO DELL’INTELLIGENZA ARTIFICIALE NELLA VALUTAZIONE DELLA PROVA PENALE
di Michele Iaselli ( n.IV_MMXIII )
Come è noto l’indagine di polizia giudiziaria può essere definita informatica in due casi: quando è tesa all’identificazione dell’autore di crimini informatici, intendendosi con tale accezione, principalmente, quei crimini previsti ed introdotti nel nostro ordinamento dalla legge 547/93; quando si utilizzano tecnologie informatiche e telematiche nello svolgimento delle investigazioni su reati comuni, già esistenti prima della rete Internet e dell’avvento della così detta Società dell’informazione. - EVASIONE FISCALE: LEGITTIMO IL SEQUESTRO DEL PC E DELLA PEN DRIVE SE UTILE ALL’ESPLETAMENTO DI ULTERIORI INDAGINI
di Michele Iaselli ( n.III_MMXIII )
Corte di Cassazione, Sezione VI Penale, sentenza n. 21103 del 26 marzo 2013 e depositata il 16 maggio 2013. Con la sentenza n. 21103/2013 la Suprema Corte conferma la validità del sequestro probatorio disposto dalla Procura della Repubblica ed ammesso dal Tribunale del riesame di Napoli per il reato di dichiarazione fiscale infedele al fine di evasione delle imposte, formulata sulla base di una circostanziata informativa della Guardia di finanza. In sostanza si prospettava la concreta possibilità che, attraverso un’operazione di “ripulitura”, erano stati cancellati dal computer sequestrato centinaia di files sui quali erano annotati gli importi dei ricavi delle prestazioni mediche eseguite nei confronti dei pazienti, così da nascondere il reale volume degli affari. - INTEGRA IL DELITTO EX ART. 494 C.P. PUBBLICARE SULLA CHAT LINE IL RECAPITO TELEFONICO DI ALTRA PERSONA ASSOCIATO A UN NICKNAME DI FANTASIA
di Michele Iaselli ( n.II_MMXIII )
Corte di Cassazione, Sezione V Penale, sentenza n. 18826 del 28 novembre 2012 e depositata il 29 aprile 2013. La Corte ha affermato che, nell’ottica di una interpretazione meramente estensiva dell’art. 494 cod. pen., debba ritenersi integrare il delitto di “sostituzione di persona” la condotta di chi inserisca nel sito di una chat line a tema erotico il recapito telefonico di altra persona associato ad un nickname di fantasia, qualora abbia agito al fine di arrecare danno alla medesima, giacché in tal modo gli utilizzatori del servizio vengono tratti in inganno sulla disponibilità della persona associata allo pseudonimo a ricevere comunicazioni a sfondo sessuale. - Michele IASELLI Vicedirigente del Ministero della Difesa, Presidente di ANDIP, docente Università di Cassino, coordinatore comitato scientifico Federprivacy
- LA DIFFAMAZIONE TRAMITE FACEBOOK PUÒ CONFIGURARSI COME REATO AGGRAVATO DALL’USO DEL MEZZO STAMPA
di Michele Iaselli ( n.I_MMXIII )
Tribunale di Livorno, Ufficio del G.I.P., sentenza n. 38912 del 2 ottobre 2012 e depositata il 31 dicembre 2012. Il tribunale di Livorno, con sentenza di primo grado, stabilisce che l’uso di espressioni di valenza denigratoria e lesiva della reputazione professionale della parte civile per mezzo di Facebook integra gli estremi del delitto di diffamazione, aggravato dall’avere arrecato l’offesa con un mezzo di pubblicità della fattispecie considerata dell’art. 595 c.p. e equiparato, sotto il profilo sanzionatorio, alla diffamazione commessa con il mezzo stampa.