L’intensa circolazione di contenuti in rete pone la questione relativa alla responsabilità del prestatore e del cosiddetto “Internet service provider” (ISP), in relazione ai contenuti immessi dagli utenti.
Il prestatore è la persona fisica o giuridica che presta un servizio della società dell’informazione, ossia un’attività economica svolta online, nonché qualsiasi servizio prestato dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi: più specificatamente il provider è il soggetto che esercita un’attività imprenditoriale di prestatore di servizi della società dell’informazione, offrendo in particolare servizi di connessione, trasmissione e memorizzazione dei dati, anche potendo ospitare un sito.
Dopo un acceso dibattito che ha visto orientamenti contrapposti, la risposta da parte del diritto sulla responsabilità del provider arriva con la direttiva 2000/31/CE e il decreto legislativo n.70 del 9 Aprile 2003: si sancisce l’assenza di un generico obbligo di controllo e ricerca attiva a carico del provider.
Il principio di declina nella normativa in tre diverse fattispecie che corrispondono alle distinte attività che il provider può compiere: in tutti questi casi l’assenza dell’obbligo generale di sorveglianza e la limitazione della
responsabilità si giustificano con il ruolo svolto dal prestatore quale provider passivo, ossia come soggetto che si limita ad un’attività “di ordine meramente tecnico, automatico e passivo” rispetto alle informazioni e ai contenuti trasmessi e, di conseguenza, non conosce, non controlla e risulta estraneo rispetto ai contenuti delle informazioni trasmesse o memorizzate.
La responsabilità insorge solo in caso di effettiva conoscenza dell’illiceità dei contenuti da parte del prestatore.
- La prima fattispecie riguarda l’attività di mero trasporto o mere conduit, che consiste nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio o semplicemente nel fornire accesso alla rete di É il caso del fornitore di servizi di posta elettronica e del fornitore di servizi di connessione ad Internet: in tale ipotesi il prestatore si trova in posizione neutra rispetto alle informazioni trasmesse. Il prestatore non è responsabile delle informazioni trasmesse a condizione che non dia origine alla trasmissione, non selezioni il destinatario della trasmissione e non selezioni né modifichi le informazioni.
- La seconda fattispecie attiene all’attività di memorizzazione temporanea o caching, che consiste nel trasmettere, su una rete di comunicazione, informazioni fornite da una destinatario del servizio, effettuando la memorizzazione automatica, intermedia e temporanea di tali informazioni da parte del provider, al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta. Esempi tipici di soggetti che svolgono tale attività sono i cosiddetti proxy server e i motori di ricerca: anche in questo caso il prestatore non è responsabile, a condizione che a) non modifichi le informazioni; si conformi alle condizioni di accesso alle informazioni; c) si conformi alle norme di aggiornamento delle informazioni; d) agisca prontamente per rimuovere le informazioni che ha memorizzato.
- La terza fattispecie prevista è l’attività di memorizzazione di informazioni o hosting, che consiste nella memorizzazione di informazioni fornite da un destinatario del servizio e su sua richiesta. É il caso, ad esempio, della messa a disposizione di uno spazio del server per la condivisione di contenuti, siti o pagine web e, di conseguenza, di una memorizzazione a carattere duraturo. Anche in tale ipotesi il prestatore non è responsabile delle informazioni memorizzate, a condizione che a) non sia a conoscenza del fatto che l’attività o l’informazione è illecita; b) non appena sia a conoscenza di tali fatti agisca immediatamente per rimuovere le informazioni.
Al riguardo, però, tali disposizioni relative alla limitazione di responsabilità in caso di hosting “non si applicano se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore”: la norma si riferisce al caso del content provider che offre contenuti di cui è autore o che ha selezionato e che, di conseguenza, va identificato come provider attivo, per il quale la normativa esclude la cause di esonero di responsabilità che spettano al provider passivo: in tal caso viene ad applicarsi la disciplina ordinaria di responsabilità.
Il provider è comunque tenuto, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio, a informare senza indugio l’autorità giudiziaria o quella amministrativa avente funzione di vigilanza e, a fornire senza indugio le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.
Nelle tre fattispecie, mere conduit, caching e hosting, l’autorità giudiziaria o quella amministrativa competente, può esigere che il prestatore impedisca o ponga fine alle violazioni commesse. La responsabilità civile del prestatore si configura nel caso in cui, richiesto dall’autorità giudiziaria o amministrava avete funzioni di vigilanza, non agisca prontamente per impedire l’accesso al contenuto ovvero se non abbia provveduto ad informarne l’autorità competente.
Pertanto, la disciplina contenuta nell’articolo 14 e seguenti del decreto legislativo 70/2003 prevede un favor per il prestatore e la limitazione della responsabilità in ragione delle attività tecniche, passive a automatiche compiute dal prestatore, che non conosce né controlla le informazioni memorizzate e trasmesse.
Di conseguenza, deve essere distinto da tali casi quello del provider attivo, ossia il soggetto che commette illeciti come qualsiasi altro soggetto di diritto con la peculiarità di servirsi del mezzo della rete: il comportamento di tale soggetto sarà valutato in base alle ordinarie regole di responsabilità civile come tutti gli altri soggetti, senza alcun esonero o regime di favore.
La difficoltà consiste nell’individuare le circostanze in base alle quali si possa parlare di provare attivo rispetto ai contenuti.
Nel corso degli anni si assiste da orientamenti diversi, talvolta la giurisprudenza ha individuato l’host provider attivo in un soggetto che si differenzia dal content provider, in quanto non compie una selezione di contenuti, e dal provider passivo, dal momento che non svolge mero deposito e non esercita un ruolo completamente passivo e neutro rispetto all’organizzazione e alla gestione dei contenuti immessi dagli utenti: compie una selezione automatica dei contenuti, offrendo servizi aggiuntivi e traendone anche un sostegno finanziario, in ragione dello sfruttamento pubblicitario connesso alla presentazione organizzata dei contenuti, come nel caso di Youtube.
Al riguardo, va rilevato come in realtà gli algoritmi analizzano la descrizione fornita dall’utente e non i contenuti e, di conseguenza, non permettono di conoscere contenuti illegittimi.
Nella disciplina relativa alla responsabilità del provider deve essere tenuta in debita considerazione anche la protezione dei dati personali degli utenti, che non mancano di venire in gioco in contrapposizione alla tutela della proprietà intellettuale.