Il caso Vividown c. Google pare giunto al termine. Con il deposito delle motivazioni della sentenza di Appello, avvenuto il 27 febbraio scorso, è possibile capire quali sono le argomentazioni con le quali il giudice di secondo grado ha stabilito l’assoluzione dei tre dirigenti di Google Italy s.r.l..
Il fatto, ormai noto al pubblico, riguarda il caso di un gruppo di ragazzini che maltrattano un loro compagno di scuola affetto da sindrome di Down e pronunciano frasi offensive nei suoi confronti e nei confronti dell’associazione Vividown; il tutto viene filmato e il video pubblicato sulla piattaforma “Google Video”. Oltre alla condanna dei ragazzini e dell’insegnante, in seguito alla denuncia dell’associazione, anche i tre dirigenti del colosso di Mountain View vengono accusati sia del reato di diffamazione sia di violazione della privacy; della prima accusa verranno assolti con giudizio abbreviato, mentre per la seconda verranno condannati.
L’impianto accusatorio del giudice di prime cure (Sent. Tribunale di Milano, sez. IV, del 12 aprile 2010, n. 1972), per ciò che concerne la violazione del codice privacy, in particolare dell’art. 167 del D. Lgs. 196 del 2003, ruota attorno alla violazione di un obbligo di corretta e puntuale informazione, da parte di chi accetti ed apprenda dati provenienti da terzi, nel caso di specie Goggle, ai terzi che questi dati consegnano (ovvero gli utenti di Google Video che utilizzano il servizio di pubblicazione dei video). In virtù di quest’obbligo, previsto secondo il giudice dall’art. 13 del codice privacy, ed esigibile anche in base al buon senso nella gestione di un sistema informatico, Google, nella persona dei tre dirigenti, ha violato l’art. 167 del codice. Il giudice si sofferma anche nella definizione degli altri elementi costituenti la fattispecie del reato, ai fini della configurabilità dello stesso, ovvero il fine di profitto e il nocumento.
Le maggiori perplessità però riguardano la prima ricostruzione, in quanto dell’obbligo di cui si parla, sebbene fosse stato già rispettato dalla stessa società provider, mediante l’apposizione di specifici avvisi nelle condizioni generali d’uso del servizio stesso, il giudice ha ritenuto comunque che ciò non fosse sufficiente. Inoltre, nella normativa del codice privacy, ne nell’art. 13 citato, vi è traccia di un dovere da parte del provider di fornire “agli utenti (…) tutte le necessarie avvertenze in ordine al rispetto delle norme citate, con particolare attenzione a quelle che concernono la necessità di procurarsi l’obbligatorio consenso in ordine alla diffusione di dati personali sensibili”.
Inoltre, la posizione del provider (nella sentenza Google viene classificato come content provider) rispetto alla responsabilità derivante dalla sua attività, è ben delineata dall’art. 17 del Codice del Commercio Elettronico, D. Lgs. 70 del 2003, in base al quale “il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite”. Come già detto, nonostante queste perplessità, la sentenza di primo grado ha portato alla condanna di tre dirigenti di Google, in quanto ritenuti responsabili dell’illecito trattamento dei dati personali.
La sentenza della I sez. penale della Corte di Appello di Milano, si è pronunciata sia sul ricorso del Pubblico Ministero, col quale si chiedeva la condanna anche per quanto riguarda il capo relativo al reato di diffamazione, sia sul ricorso dei tre imputati, che chiedevano anche l’assoluzione per il reato di illecito trattamento dei dati personali, di cui al capo “B”. Sul primo punto il giudice dell’Appello è concorde nel sostenere quanto affermato in primo grado, ovvero sul content-provider non incombe nessun obbligo giuridico di impedire l’evento diffamatorio, in quanto da una parte egli non ricopre alcuna posizione di garanzia, e dall’altra sarebbe impossibile per lo stesso esercitare “un pieno ed efficace controllo sulla massa dei video caricati da terzi, visto l’enorme afflusso di dati”. Pertanto, Google non sarebbe punibile sulla base di una responsabilità cd. omissiva derivante dalla previsione di cui all’art. 40 cpv. c.p.. Su questo punto vale la pena citare quanto affermato dalla Corte, la quale afferma inoltre che “la presenza di una posizione di garanzia da cui far derivare un obbligo di attivazione, in mancanza della quale far ricorrere la previsione dell’art. 40 c.p., di certo non può essere fatto derivare dalla violazione di norme di legge quali quelle a protezione dei dati personali, che non hanno per oggetto tali condotte e che sono state emanate a copertura di comportamenti diversi da quelli oggetto di contestazione”.
Sul reato di illecito trattamento dei dati personali, il giudice d’appello accoglie definitivamente tutte le perplessità sollevate all’indomani della pubblicazione della sentenza di primo grado, prima in parte evidenziate. Punto centrale della questione è l’assoluta configurabilità dell’obbligo di acquisire il consenso al trattamento dei dati personali, in capo al solo titolare del trattamento, e nessun’altro. Nel caso di specie il titolare era l’uploader che, caricando il video si assumeva la responsabilità del trattamento dei dati personali dell’interessato, spettava chiedere ed ottenere il consenso prescritto e tale soggetto doveva ricevere l’informativa sugli obblighi di legge da parte della società Google. Anche la Corte di Giustizia Europea ha sottolineato come il soggetto che carica il video sia qualificato come titolare del trattamento, e quindi solo lui è obbligato ad acquisire il consenso dell’interessato. Inoltre, la Corte sottolinea come l’art. 167 del codice privacy non contiene al suo interno un rimando esplicito all’art. 13 dello stesso codice, pertanto la violazione di quanto dispone va semmai punito in base all’art. 161, il quale peraltro non prevede una responsabilità di natura penale, ma semplicemente amministrativa.
Infine, secondo la Corte, vengono meno anche i presupposti per la sussistenza del dolo specifico richiesti dalla fattispecie incriminatrice di cui all’art. 167, ovvero il fine di profitto. Il giudice di primo grado infatti aveva erroneamente sostenuto che la presenza nel sito di “google video” di pubblicità, fosse indice del fine di profitto ottenuto in violazione delle norme sul trattamento dei dati. Infatti, la vocazione economica dell’azienda non va confusa con il fine di procurarsi un profitto, e non può essere assunta come prova della sussistenza del dolo specifico. Nella sentenza di primo grado infatti, manca ogni riferimento all’effettivo vantaggio conseguito direttamente dai tre imputati, che sarebbe difficile dimostrare stante la totale gratuità del servizio offerto da Google e l’assenza di pubblicità associata al video oggetto del procedimento. Conclude la Corte affermando che “la mancanza di un dolo specifico emerge poi dalla ragionevole certezza che gli imputati non fossero preventivamente a conoscenza del contenuto del filmato e dell’immissione del dato personale non lecitamente trattato”.
- La protezione dei dati personali nelle attività di marketing: brevi riflessioni sul provvedimento del Garante nei confronti della società Tim S.p.A. - 10 Febbraio 2020
- Il decreto di recepimento della Direttiva UE in materia di trattamento dei dati personali da parte delle autorità competenti in ambito penale - 4 Giugno 2018
- La valutazione di impatto sulla protezione dei dati - 12 Maggio 2018