Call Us +39 011 55.84.111

La responsabilità penale dell’hosting service provider

Con le motivazioni rese il 3 febbraio, la terza sezione penale della Corte di Cassazione ha messo definitivamente la parola fine all’annosa questione salita agli onori delle cronache come vicenda “Google-Vividown”.  La Suprema Corte ha confermato l'assoluzione dei manager di Google Italy sotto processo per un video diffuso nel 2006 nel quale un minorenne disabile di Torino veniva maltrattato dai compagni di scuola. La vicenda ha visto istruire un procedimento penale a carico di tre amministratori della società per i reati di diffamazione e di trattamento illecito di dati personali (art. 167 d.lgs. n. 196 del 2003) e si è articolata, nel corso degli anni, in una sentenza resa in primo grado (Tribunale di Milano, sentenza n. 1972 del 24 febbraio 2010) che ha mandato assolti gli imputati dalle accuse di diffamazione, ma li ha condannati a sei mesi di reclusione (pena sospesa) per violazione della privacy.

Con la successiva sentenza della prima Sezione Penale della Corte d’Appello di Milano, depositata il 27 febbraio 2013, gli imputati sono stati mandati assolti con la formula “perché il fatto non sussiste”.  La Cassazione ha confermato la decisione della Corte di Appello concentrandosi su tre aspetti particolarmente rilevanti in tema di diritto della privacy.

Il primo è che nella sua qualità di fornitore del servizio di hosting “Google Video”, Google non è titolare del trattamento dei dati personali che sono immessi dagli utenti.  Il punto è decisivo: la Cassazione, per la prima volta in maniera così netta, afferma che il trattamento illecito dei dati è reato che può essere compiuto solo ed esclusivamente dal titolare del trattamento. Si tratta, quindi, di un reato “proprio”, ossia di un reato che può essere commesso solo da chi ha una certa qualifica. In particolare, due passaggi delle motivazioni vanno messi in evidenza:

i) il titolare del trattamento è il soggetto che decide di trattare i dati personali per propri fini”: il punto chiave è l’“esistenza di un potere decisionale in ordine alle finalità, alle modalità di trattamento di dati personali e agli strumenti utilizzati”;

ii) nel caso in esame, i titolari dei dati caricati in siti di hosting sono i singoli utenti e quindi nessun obbligo sussiste in capo al provider, non essendo questo, ma il singolo utente il responsabile del trattamento dei dati personali contenuti nel video caricato dall’utente stesso;

Il secondo aspetto riguarda la relazione tra la disciplina del commercio elettronico e quella della privacy. La Suprema Corte sostiene che: l’applicazione delle norme in materia di commercio elettronico deve avvenire in armonia con le norme in materia di tutela dei dati personali, armonia perfettamente riscontrabile - come appena visto - nel caso della determinazione dell’ambito di responsabilità penale dell’Internet hosting provider relativamente ai dati sensibili caricati dagli utenti sulla sua piattaforma”.

Quindi, la disciplina sul commercio elettronico conferma che Google, quale fornitore di hosting, non ha alcun potere decisionale sul contenuto dei video immessi dai propri utenti – dal momento che non ne conosce e non ne deve conoscere il contenuto ai sensi di detta disciplina - e quindi non determina finalità e modalità del trattamento. Interessante anche osservare come Google Video venga definito un servizio di hosting dato che il provider si è limitato a fornire ospitalità ai video inseriti dagli utenti, senza fornire alcun contributo nella determinazione del contenuto dei video stessi”. La sentenza non affronta dunque il tema dell’hosting attivo, escludendo, con riferimento al caso di specie, che Google Video possa essere considerato tale.

Il terzo aspetto, infine, lascia spazio a qualche dubbio; la Suprema Corte, infatti, afferma che Google non è titolare del trattamento fintantoché non ha consapevolezza del contenuto illecito. In altre parole: “finché il dato illecito è sconosciuto al service provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso; quando, invece, il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile, esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni penali del Codice Privacy”.

Si tratta di un passaggio molto delicato, in relazione al quale sarebbe stato auspicabile un intervento più dettagliato, che non lasciasse adito a dubbi interpretativi. Infatti la Cassazione non chiarisce l’aspetto fondamentale, ossia quando e in presenza di quali condizioni il provider deve essere considerato a conoscenza del contenuto illecito.

La questione ha fatto molto discutere sia gli operatori del diritto e che gli operatori di internet perché lungi dal “molto rumore per nulla”, secondo la citazione utilizzata dalla sentenza di primo grado, si è di fronte ad una vicenda che attiene, come affermano i Giudici di appello, alla questione del “governo di internet” che impone ai giudici di perimetrare con estrema attenzione l’ambito della responsabilità penale degli operatori del web.

Alessandro Racano

Esperto dei reati societari, fallimentari, tributari e dei reati concernenti la tutela del marchio.

Website: www.replegal.it/it/cerca-i-professionisti/250-alessandro-racano.html

Turin
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milan
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Rome
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy