Accedi Non sei ancora Registrato?
chiudi
Registrati

Iscriviti per ricevere i nostri articoli via email in tempo reale

Oops! Non è stato possibile trovare il tuo modulo.

chiudi
Chi Siamo
Portolano Cavallo concentra la propria attività nel settore TMT sin dalla sua nascita nel 2001 ed è ora riconosciuto come lo studio legale italiano leader in questo settore.
chiudi
Lo Studio
Portolano Cavallo è stato fondato nel 2001 dai soci Manuela Cavallo e Francesco Portolano. L’attività dello studio si concentra soprattutto su M&A e sul settore Media, sotto ogni aspetto.
chiudi
Blog
Ita / Eng
dic 28

Google versus Vividown: gli argomenti “forti” della decisione di Appello

Si è già scritto tanto sulla decisione della corte d’Appello di Milano del 21 dicembre che chiude, in secondo grado, la saga Google versus Vividown, ribaltando la sentenza di condanna per trattamento illecito di dati che il Tribunale di Milano aveva emesso nei confronti di tre manager di Google.


Forse, qualcuno potrebbe aggiungere, si è scritto anche troppo, in presenza soltanto di  dispositivo e nella totale assenza delle motivazioni a suo supporto.  Forse.  Il dispositivo però, in questo caso, è  cosi  “parlante” che è assai difficile poter rimanere del tutto silenti fino al giorno del deposito delle motivazioni. “Assoluzione perché il fatto non sussiste”. Nessuna violazione della normativa privacy è stata commessa da Google.

Tre considerazioni possono farsi in attesa della pubblicazione delle motivazioni, correndo ovviamente il rischio di essere smentiti.

La prima. Nessun obbligo per l’hosting provider e, in particolare, per le piattaforme che ospitano contenuti video generati dagli utenti, di acquisire il consenso preventivo di eventuali terzi le cui immagini, dati personali e spesso sensibili, siano contenuti in tali video. Ad impossibilia  nemo tenetur. La piattaforma, per definizione, non è a conoscenza di quelle immagini, né si può pretendere che lo sia, a meno di non configurare a carico dell’hosting provider un obbligo di monitoraggio preventivo del materiale immesso dagli utenti. Obbligo non solo tecnicamente inesigibile, ma la cui enucleazione si scontrerebbe con la normativa italiana ed europea che espressamente prevede il contrario.

La seconda considerazione. Il cd “alert” o “avviso” la cui asserita assenza ha costituito un punto chiave del reasoning del Giudice, a detta del quale Google avrebbe dovuto avvertire in modo chiaro, esplicito e puntuale gli studenti che caricavano il video incriminato, visto che questo conteneva dati sensibili di un terzo, della necessità di acquisire preventivamente il suo consenso e delle conseguenze, in termini di responsabilità penale a carico degli stessi uploaders, che sarebbero derivate dalla mancata acquisizione preventiva di detto consenso, non ha alcuna copertura nel Codice privacy e quindi una sua assenza, tutta da provare nel caso di specie, non può comportare alcuna violazione del Codice stesso.

Più precisamente, gli obblighi che la normativa vigente pone in capo a chi effettua un trattamento dei dati consistono nell’informare, secondo la dizione della legge, “o l’interessato o la persona presso cui sono raccolti i dati”, riprendendo testualmente l’elenco che fa l’art. 13 del Codice privacy, circa “a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi; e) il diritto di accesso al trattamento dei dati; d) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile.” Non emerge alcun riferimento ad un eventuale obbligo che abbia a che fare con un avviso che, a detta del giudice di prima istanza, si deve dare all’uploader circa l’importanza che egli acquisisca in via preventiva il consenso della persona i cui dati personali vuole diffondere in rete.

Una confusione di piani non da poco, in cui ha avuto probabilmente vita facile la corte d’Appello a fare emergere la debolezza argomentativa del giudice di primo grado, pensando al fatto, tra l’altro che, in ogni caso, la mancanza di informativa non è in grado di configurare sanzione penale restrittiva della libertà personale ai sensi dell’art. 167 del Codice privacy ma solo una sanzione amministrativa in forza di un’altra previsione del Codice, l’art. 161.

Terza e ultima considerazione. È possibile che il giudice d’Appello, nel ribaltare l’esito cui era giunto il percorso argomentativo del Tribunale, abbia messo l’accento su una eccessiva semplificazione che  ha caratterizzato tale percorso in riferimento ai ruoli che possono giocarsi all’interno del complesso processo inerente il trattamento dei dati, in particolare per quanto concerne la valutazione di chi debba essere identificato quale titolare del trattamento in relazione a quei dati consistenti nelle immagini lesive della dignità del povero ragazzo.

Dal reasoning della decisione di Magi sembra infatti emergere che chiunque “maneggi”, a qualsiasi titolo, dati personali debba essere considerato il titolare del trattamento operato sui dati stessi. Ma  le cose non stanno affatto cosi ed in questo, la normativa europea, prima ancora che quella italiana, che ha recepito direttiva del 1995 utilizzando terminologia più equivoca possibile, è molto chiara.

Vi è una diversificazione netta di ruoli e responsabilità tra il  “controller”, che è colui a cui competono le decisioni finali sulle modalità ed i fini del trattamento dei dati ed il “processor”, che è invece colui che agisce in nome e per conto del controller, eseguendo le istruzioni che gli vengono da esso impartite e che non risponde, a differenza di quest’ultimo, per trattamento illecito dei dati.

Non vi è infatti alcuna autonomia decisionale da cui possa conseguire l’attribuzione di una tale responsabilità. Ora, mentre Magi sembra aver dato del “controller” a tutti coloro, Google video compreso, che,  a qualsiasi titolo, abbiano “maneggiato” i dati sensibili del povero ragazzo disabile, è possibile che la corte d’Appello, in riferimento in particolare a quelle raccapriccianti immagini in cui emergeva in tutta la sua crudezza la patologia dello studente, abbia  operato una ragionevole differenziazione che non trovava spazio nella eccessiva semplificazione del reasoning della sentenza di primo.

Più precisamente, è possibile che sia stato identificato, nelle motivazioni della corte d’Appello, un solo controller a cui è da imputare la responsabilità per trattamento illecito di dati, vale a dire chi ha eseguito l’upload su Google video, mentre a quest’ultimo, che ha soltanto eseguito le istruzioni circa modalità e fini del trattamento impartite dall’uploader, è stato giustamente attribuito la natura di mero processor, che non risponde del reato ex art. 167 del Codice.

Ovviamente si accetta il rischio di essere smentiti dalle motivazioni, che non potranno però in nessun modo negare un elemento incontrovertibile: non si è trattato di un processo ad  internet  o alla libertà di espressione in rete ma ad un particolare servizio di Google, così come era congegnato nel settembre del 2006, al tempo in cui i fatti del processo avevano luogo. Processo che si è concluso, nel merito, con sacrosanta assoluzione a favore degli imputati. Niente di più. Ma neanche niente di meno: per questo forse si è fatto troppo rumore, ma sicuramente non “per nulla”, come invece si domandava retoricamente il giudice magi nell’incipit delle sue motivazioni citando il “much ado about nothing” di shakespeariana  memoria.

Pubblicato su Diritto 24