L’associazione Vivi Down aveva avviato un procedimento penale in relazione al contenuto di un video, caricato all’insaputa del soggetto, apparso su Google video, servizio di Internet Hosting, in cui compariva un minorenne, affetto dalla sindrome di Down, vessato e umiliato dai compagni con frasi ingiuriose nei suoi confronti e nei confronti dell’associazione Vivi Down: aveva sporto querela anche il padre del ragazzo vessato nel video. Alcuni utenti avevano segnalato la presenza del video chiedendone la rimozione che successivamente veniva chiesta dalla Polizia Postale: in quello stesso giorno il provider aveva avviato la procedura di rimozione del video.
Il procedimento ha visto come imputati i responsabili di Google Italia s.r.l accusati, fra l’altro, di violazione della normativa in materia di protezione dei dati personali perché avevano proceduto al trattamento di dati personali in violazione degli articoli 23, 17 e 26 del decreto legislativo 196/2003 con danno della persona interessata e per l’omissione, da parte dell’internet provider, dell’informativa sulla privacy in sede di attivazione dell’account necessario per eseguire l’upload dei contenuti.
In primo grado il Tribunale di Milano, IV sezione penale ha ritenuto responsabili gli imputati dei reati loro contestati, in quanto avevano omesso “un obbligo di corretta informazione agli utenti dei conseguenti obblighi agli stessi imposti dalla legge, del necessario rispetto degli stessi, dei rischi che si corrono non ottemperandoli”.
Il Tribunale, pur ritenendo inesistente un obbligo di controllo preventivo delle informazioni da parte del provider, ha ritenuto che esista un dovere di corretta informazione in relazione agli obblighi previsti dalla legge.
In secondo grado la Corte d’Appello di Milano, I sezione penale ha riformato la sentenza e ha assoluto i vertici di Google Italia dal trattamento illecito dei dati. La pronuncia, pur riconoscendo al provider la qualifica di host attivo non ritiene si possa far derivare da questo un obbligo di controllo preventivo in capo al provare del materiale immesso, obbligo inesigibile per l’enorme mole di dati e la complessità tecnica di predisporre una tecnologia efficace in grado di filtrare le informazioni illegali e nocive, senza bloccare informazioni perfettamente legali e rischiando di alterare anche la stessa funzione della rete.
Secondo la Corte, a differenza del primo grado, nessuna delle disposizioni impone all’Internet Provider “di rendere edotto l’utente circa l’esistenza ed i contenuti della legge della privacy, pertanto quanto sostenuto in sequenza, anche se di “buon senso”, non si ritiene possa essere condiviso”.
La Corte di Cassazione, III sezione penale ha confermato l’assoluzione dei manager di Google, negando l’esistenza di un obbligo generale di sorveglianza dei dati immessi da terzi sulla piattaforma e di un dovere di informare costoro circa il necessario rispetto della normativa in materia di protezione dei dati personali.
Tra i motivi di impugnazione del ricorso per Cassazione viene sollevata l’erronea applicazione della normativa sul commercio elettronico, ritenendo che la qualificazione come host attivo di Google Video avrebbe dovuto comportare l’esclusione della limitazione di responsabilità.
Nella loro difesa gli imputati avevano eccepito che all’epoca dei fatti non esisteva una tecnologia di filtraggio preventivo atta ad identificare in modo automatico i contenuti eventualmente illeciti di un video e una vigilanza al riguardo risultava inesigibile: inoltre, si rileva da parte degli imputati la mancata conoscenza dell’esistenza di dati personali in uno dei molteplici video caricati e, di conseguenza, viene sostenuta l’applicabilità della normativa sul commercio elettronico.
La Corte di Cassazione, dopo aver ricostruito le normative in materia di protezione dei dati personali, in materia di commercio elettronico e dopo aver richiamato gli articoli 16 e 17 del decreto legislativo 70/2003, conclude che “nessuna di esse prevede che vi sia in capo al provider, sia esso anche un hosting provider, un obbligo generale di sorveglianza dei dati immessi da terzi sul sito da lui gestito. Nè sussiste in capo al provider alcun obbligo sanzionato penalmente di informare il soggetto che ha immesso i dati dell’esistenza e della necessità di fare applicazione della normativa relativa al trattamento dei dati stessi”.
Secondo la Cassazione “il gestore del servizio di hosting non ha alcun controllo sui dati memorizzati, né contribuisce alla loro scelta, alla loro ricerca o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all’utente destinatario del servizio che li carica sulla piattaforma messa a sua disposizione”.
L’articolo 16 del decreto legislativo 70/2003 prevede che l’hosting provider non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, alla condizioni imposte dalla norma: la responsabilità viene basata sull’effettiva conoscenza dei dati immessi e sull’eventuale inerzia nella rimozione delle informazioni conosciute come illecite. Tale interpretazione trova conferma nel tenore letterale dell’articolo 17 del decreto legislativo 70/2003 che “esclude la configurabilità di un obbligo generale di sorveglianza sulle informazioni trasmesse o memorizzare e di un obbligo generale di ricercare attivamente eventuali illeciti”.
Inoltre, secondo la Cassazione sono “gli utenti ad essere titolari del trattamento dei dati personali di terzi ospitati nei servizi di hosting e non i gestori che si limitano a fornire tali servizi” e, di conseguenza, “la persona che può essere chiamata a rispondere delle violazioni delle norme sulla protezione dei dati personali è sempre il titolare del trattamento e non il mero hosting provider in quanto, finché il dato illecito è sconosciuto al service provider, questo non può essere considerato titolare del trattamento. Quando il provider sia a conoscenza del dato illecito e non si attivi per la sua rimozione o per renderlo inaccessibile, esso assume a pieno titolo la qualifica di titolare del trattamento ed è destinatario dei precetti e delle sanzioni penali del Codice Privacy”.
La Cassazione ricostruisce la posizione di Google Italia s.r.l e dei suoi responsabili, imputati, quale mero Internet host provider, soggetto che si limita a fornire una piattaforma sulla quale gli utenti possono liberamente caricare i loro video, del cui contenuto restano gli esclusivi responsabili.