Responsabilità del provider e tutela della privacy: il caso Google vs ViviDown.

Nel 2006 venne pubblicato sull’host GoogleVideo un video registrato da alcuni ragazzi che ritraeva un ragazzo disabile (affetto dalla sindrome di down) umiliato a scuola da alcuni compagni; nel video venivano udite anche frasi offensive nei confronti dell’associazione ViviDown. Una volta che il video venne pubblicato in rete, arrivarono molte segnalazioni a GoogleVideo da parte dagli utenti in riferimento alla natura offensiva dell’episodio, ma l’effettiva rimozione ci fu soltanto dopo due mesi a seguito di una segnalazione da parte della polizia postale.

Il caso, tanto discusso, arrivò fino alla Corte di Cassazione all’esito di un giudizio penale: ViviDown, costituitasi parte civile nel processo, e la Pubblica Accusa contestavano a Google (e GoogleVideo) due reati: i) il reato di diffamazione – aggravata – nei confronti del minore e

89

dell’associazione (art. 595 c.p.); ii) il reato di illecito trattamento (a scopo di lucro) di dati personali attinenti alla salute del ragazzo ripreso96.

La vicenda processuale, sia per il suo rilievo mediatico sia per la complessità dei temi trattati, merita di essere brevemente ricostruita. In primo grado, Google venne assolto per il reato di diffamazione: si escluse che GoogleVideo – come invece al contrario sosteneva l’accusa – avesse il dovere di controllare il contenuto delle pubblicazioni per impedire la commissione di reati da parte degli utenti. Questa esclusione apparve (e appare) evidente su più fronti: innanzitutto, in ragione del fatto che è la stessa Direttiva e-commerce ad escludere l’esistenza di un obbligo di vigilanza sul contenuto dei materiali da pubblicare online; in secondo luogo, in ragione del fatto che risulta oggettivamente impossibile (ed allora inesigibile dal provider) filtrare e controllare ex ante i contenuti che gli utenti vogliono pubblicare.

Per altro verso, il giudice di prime cure ritenne integrato il reato di illecito trattamento di dati personali. Sotto questo profilo, Google non aveva posto in essere tutte le cautele necessarie alla prevenzione della commissione dell’illecito: aveva infatti omesso di avvisare gli utenti degli obblighi che la legge impone loro e del necessario rispetto degli stessi e, inoltre, aveva anche omesso di avvisarli dei rischi in caso di violazione degli stessi (c.d. normativa sulla privacy).

Contro la decisione di primo grado venne proposto appello.

La Corte d’Appello pronunciò una piena assoluzione in favore di Google, in ordine ad entrambi gli addebiti contestati in primo grado (uno dei quali, peraltro, riproposto in secondo grado mediante appello incidentale)97.

96

Cfr. Trib di Milano, Sezione IV, 12 aprile 2010, n. 1972, in www.foro.it.

97

Diversamente dagli altri provider, Google assume la qualità di content provider, e non di hosting. Il content provider è un fornitore di servizi e, in alcuni casi, anche autore dei contenuti pubblicati sui propri server; viene definito come un contenitore passivo di dati, il quale svolge una funzione di sfruttamento pubblicitario

90

Significativi appaiono anzitutto i rilievi svolti dal giudicante in ordine al primo dei due reati contestati.

In particolare, una ipotetica responsabilità (necessariamente omissiva) dell’intermediario richiederebbe – è stato osservato – la presenza a monte di un presupposto. Anzi, tecnicamente, di due presupposti destinati a saldarsi insieme: a) il primo presupposto è che al provider sia ascrivibile una posizione di garanzia; b) il secondo presupposto è che tale posizione di garanzia includa un dovere di controllo ex ante sui contenuti da pubblicare, e che allora un siffatto dovere di controllo sia concretamente esigibile dal medesimo intermediario.

Tali elementi sono tuttavia apparsi inesistenti, sia per ragioni propriamente normative sia per ragioni – si potrebbe dire – funzionali. Sotto il primo profilo, è stato osservato dalla Corte che viene escluso che il provider abbia una posizione di garanzia, in ragione del fatto che non si può applicare in via analogica – in base ad un divieto generale di applicazione per analogia in tutto il diritto penale – la disciplina in materia di stampa agli intermediari online.

Sotto il secondo profilo, è stato altresì rilevato che la possibilità di svolgere controlli efficaci sarebbe esclusa: sia dalla innumerevole quantità di dati trasmessi, sia per il fatto che l’imposizione di filtri preventivi condurrebbe a una mal funzionalità del servizio reso.

Rilievi non diversi sono stati sviluppati anche in riferimento all’altro capo di imputazione.

Al riguardo, la Corte d’Appello annullò la condanna per illecito trattamento dei dati personali, sostenendo che i manager di Google non trattassero preventivamente il contenuto delle pubblicazioni degli

per ottenere un profitto. Per questo motivo l’accusa lo riteneva responsabile della pubblicazione del contenuto: perché in qualità di content avrebbe avuto l’obbligo di controllare ex ante il contenuto della pubblicazione.

A tale scopo, occorre dire che esistono diversi tipi di provider, i quali si distinguono in sottocategorie in base al servizio offerto. Per fare un esempio, una definizione giurisprudenziale delle varie tipologie è contenuta nella Sentenza n. 331/2001 del Trib. di Bologna.

91

utenti e che, quindi, gli unici responsabili dei contenuti caricati fossero gli uploader.

Contro la decisione di secondo grado veniva proposto ricorso per Cassazione.

L’intervento della Corte Suprema ha contribuito a fissare alcuni principi di diritto idonei ad orientare la riflessione successiva della dottrina e la stessa casistica giurisprudenziale.

In armonia con l’orientamento espresso dal giudice d’appello, la Corte ha in primo luogo escluso la responsabilità del provider nel caso in cui gli illeciti siano realizzati dagli utenti attraverso i contenuti da loro pubblicati, purché il provider non ne sia conoscenza e, se avvisato – tra gli altri – dall’autorità, provveda prontamente alla rimozione dei contenuti stessi98.

In secondo luogo, viene affermata l’impossibilità per il provider di svolgere un controllo preventivo per impedire il compimento di illeciti da parte degli uploader.

Il terzo principio di diritto riguarda la possibilità di un distinguishing tra la figura dell’hosting provider e la figura (secondo alcuni diversa, ed allora – per ipotesi – meritevole di un trattamento sanzionatorio differente) del cosiddetto content provider. La Corte, sul punto, avallando l’idea di una piena equiparazione tra le due figure, ha stabilito che l’attività di content provider svolta da Google – diversa,

98

Nello stesso senso si è espressa la Corte d’Appello di Roma nella recente sentenza n. 1065/2018 tra l’avvocato Cesare Previti contro Wikipedia, la quale era stata ritenuta responsabile per la pubblicazione sulla propria piattaforma di contenuti offensivi (più specificamente si trattava di notizie “altamente diffamatorie” lesive della reputazione e dell’onore dell’avvocato). La Corte sulla base degli artt. 16 e 17 del d.lgs. n. 70/2003 e tenendo conto anche della giurisprudenza precedente, ribadì l’assenza di un dovere di controllo preventivo in capo all’hosting provider, circoscrivendo la responsabilità di quest’ultimo solo nel caso in cui non rimuovi il materiale illecito, quando: a) è venuto a conoscenza dell’attività o dell’informazione illecita e, per le azioni risarcitorie, solo se è a conoscenza di fatti o circostanze che rendano “manifesta” l’illeceità dell’attività e dell’informazione; b) oppure su comunicazione da parte di un’autorità competente di rimuovere il materiale illecito (perché nel caso in cui l’avviso provenga da un’autorità determina un livello di conoscenza sufficiente – conoscenza c.d. qualificata – tale da far sorgere la responsabilità nel caso in cui il provider non si attivi prontamente per rimuovere il contenuto offensivo).

92

per questo, dalla fornitura di servizi di hosting – è in sé inidonea a far venir meno le esenzioni da responsabilità (salve le condizioni che necessariamente debbono risultare integrate affinché il provider possa essere ritenuto esente da obbligazioni risarcitorie di sorta, ossia: la mancanza di una conoscenza dell’illecito che si sta consumando attraverso la rete e, dal momento della conoscenza dei contenuti illeciti, l’adozione di misure reattive che risultino non intempestive e in ogni caso adeguate allo scopo).