In un precedente articolo “Google-Vividown: il caso è chiuso” è stata già affrontata la vicenda che ha visto coinvolta l’azienda di Mountain View, nell’ambito della quale, con sentenza del 21 dicembre 2012 della Corte d’Appello di Milano, i legali rappresentanti della società Google Italy s.r.l. furono assolti dai reati penali, di illecito trattamento dei dati personali, loro ascritti.

La recente sentenza del 3 febbraio 2014, n. 5107 della Corte di Cassazione, sezione III penale, emessa a seguito di ricorso della Procura della Repubblica milanese, ha confermato tutti i punti della sentenza del giudice di secondo grado, dando così ragione a chi già riteneva chiusa la vicenda all’indomani della sentenza della Corte d’Appello.

Senza ripercorrere nel merito la vicenda (per il quale si rimanda all’articolo sopra citato e già pubblicato su questo sito web), appare opportuno evidenziare alcuni passaggi della decisione della Corte di Cassazione che ha chiarito alcuni aspetti, in particolare sul rapporto tra la normativa di cui al D. Lgs. 196/2003 in materia di tutela dei dati personali e il D. Lgs. 70/2003 sul commercio elettronico, e la responsabilità penale degli Internet Service Providers relativamente ai dati sensibili caricati dagli utenti nelle piattaforme. 

Dopo aver riportato testualmente tutta la normativa richiamata nel ricorso, anche la Cassazione ha confermato che non sussiste per il provider, quale che sia l’attività da questi svolta (mere-conduit, caching o hosting, così come individuata dagli art. 14, 15 e 16 del D.Lgs. 70/2003), un obbligo generale di sorveglianza dei dati immessi dai terzi all’interno del sito web da lui gestito. Inoltre, in base alla disciplina del Codice Privacy, non è previsto alcun obbligo, penalmente sanzionato, in capo al provider di informare il soggetto terzo (utilizzatore della piattaforma) della necessità di fare applicazione della normativa sul trattamento dei dati.

Le norme di cui agli art. 13, 17, 23 e 26 del Codice Privacy, interpretati in combinato disposto con le norme sanzionatorie dello stesso codice, art. 161 e 167, sono tutte rivolte alla figura del titolare in quanto soggetto giuridicamente responsabile del trattamento dei dati. In particolare, il reato punito e previsto dall’art. 167 è da ritenersi un reato proprio del titolare del trattamento, in quanto trattasi di “condotte che si concretizzano in violazioni di obblighi dei quali è destinatario in modo specifico il solo titolare del trattamento e non ogni altro soggetto che si trovi ad avere a che fare con i dati oggetto di trattamento senza essere dotato dei relativi poteri decisionali”

Anche le norme contenute nel D. Lgs. 70/2003, interpretate alla luce della direttiva 2000/31/CE, non si pongono in contrasto con quanto affermato. Infatti, l’internet service provider, in particolare nella forma dell’hosting, offre un servizio di mera memorizzazione di informazioni fornite da un destinatario del servizio stesso, senza esercitare alcuna attività di controllo sui dati. La responsabilità per le informazioni memorizzate è sempre esclusa a condizione che il provider non sia effettivamente a conoscenza del fatto che l’attività o l’informazione sia illecita e che, non appena a conoscenza di tale illiceità, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.

Secondo la Cassazione, se ne desume che il potere decisionale sul trattamento coincide con la capacità di incidere concretamente su tali dati, che non può prescindere dalla conoscenza dei dati stessi. Pertanto, ne deriva che “finché il dato illecito è sconosciuto al service provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso; quando, invece, il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni penali del Codice Privacy”.

Fatte salve le considerazioni appena svolte, nel caso di specie, ma ciò vale anche per la generalità dei casi, la Cassazione ha ritenuto di dover qualificare il terzo fruitore del servizio di hosting (l’utente) quale unico titolare del trattamento e, quindi, destinatario degli obblighi e delle norme penali previsti nel Codice Privacy, escludendo così la responsabilità penale dei tre imputati e della Google Italy s.r.l..

Gianluca Satta
Latest posts by Gianluca Satta (see all)