Google versus Vividown: gli argomenti "forti" della decisione di

Stampa l'articolo
Chiudi
Google versus Vividown: gli argomenti "forti"
della decisione di Appello
Oreste Pollicino*
*docente di diritto dei media, Università Bocconi. Of Counsel Portolano Cavallo Studio Legale
Si è già scritto tanto sulla decisione della corte d’Appello di Milano del 21 dicembre che chiude, in secondo
grado, la saga Google versus Vividown, ribaltando la sentenza di condanna per trattamento illecito di dati
che il Tribunale di Milano aveva emesso nei confronti di tre manager di Google.
Forse, qualcuno potrebbe aggiungere, si è scritto anche troppo, in presenza soltanto di dispositivo e nella
totale assenza delle motivazioni a suo supporto. Forse. Il dispositivo però, in questo caso, è cosi
“parlante” che è assai difficile poter rimanere del tutto silenti fino al giorno del deposito delle motivazioni.
“Assoluzione perché il fatto non sussiste”. Nessuna violazione della normativa privacy è stata commessa
da Google.
Tre considerazioni possono farsi in attesa della pubblicazione delle motivazioni, correndo
ovviamente il rischio di essere smentiti.
La prima. Nessun obbligo per l’hosting provider e, in particolare, per le piattaforme che ospitano contenuti
video generati dagli utenti, di acquisire il consenso preventivo di eventuali terzi le cui immagini, dati
personali e spesso sensibili, siano contenuti in tali video. Ad impossibilia nemo tenetur. La piattaforma,
per definizione, non è a conoscenza di quelle immagini, né si può pretendere che lo sia, a meno di non
configurare a carico dell’hosting provider un obbligo di monitoraggio preventivo del materiale immesso
dagli utenti. Obbligo non solo tecnicamente inesigibile, ma la cui enucleazione si scontrerebbe con la
normativa italiana ed europea che espressamente prevede il contrario.
La seconda considerazione. Il cd “alert” o “avviso” la cui asserita assenza ha costituito un punto chiave
del reasoning del Giudice, a detta del quale Google avrebbe dovuto avvertire in modo chiaro, esplicito e
puntuale gli studenti che caricavano il video incriminato, visto che questo conteneva dati sensibili di un
terzo, della necessità di acquisire preventivamente il suo consenso e delle conseguenze, in termini di
responsabilità penale a carico degli stessi uploaders, che sarebbero derivate dalla mancata acquisizione
preventiva di detto consenso, non ha alcuna copertura nel Codice privacy e quindi una sua assenza, tutta
da provare nel caso di specie, non può comportare alcuna violazione del Codice stesso.
Più precisamente, gli obblighi che la normativa vigente pone in capo a chi effettua un trattamento dei dati
consistono nell’informare, secondo la dizione della legge, “o l’interessato o la persona presso cui sono
raccolti i dati”, riprendendo testualmente l’elenco che fa l’art. 13 del Codice privacy, circa “a) le finalità e le
modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei
dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i
dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi; e) il diritto di accesso al trattamento dei dati; d) gli
estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi
dell’articolo 5 e del responsabile.” Non emerge alcun riferimento ad un eventuale obbligo che abbia a che
fare con un avviso che, a detta del giudice di prima istanza, si deve dare all’uploader circa l’importanza
che egli acquisisca in via preventiva il consenso della persona i cui dati personali vuole diffondere in rete.
Una confusione di piani non da poco, in cui ha avuto probabilmente vita facile la corte d’Appello a fare
emergere la debolezza argomentativa del giudice di primo grado, pensando al fatto, tra l’altro che, in
ogni caso, la mancanza di informativa non è in grado di configurare sanzione penale restrittiva della libertà
personale ai sensi dell’art. 167 del Codice privacy ma solo una sanzione amministrativa in forza di un’altra
previsione del Codice, l’art. 161.
Terza e ultima considerazione. È possibile che il giudice d’Appello, nel ribaltare l’esito cui era giunto il
percorso argomentativo del Tribunale, abbia messo l’accento su una eccessiva semplificazione che ha
caratterizzato tale percorso in riferimento ai ruoli che possono giocarsi all’interno del complesso processo
inerente il trattamento dei dati, in particolare per quanto concerne la valutazione di chi debba essere
identificato quale titolare del trattamento in relazione a quei dati consistenti nelle immagini lesive della
dignità del povero ragazzo.
Dal reasoning della decisione di Magi sembra infatti emergere che chiunque “maneggi”, a qualsiasi titolo,
dati personali debba essere considerato il titolare del trattamento operato sui dati stessi. Ma le cose non
stanno affatto cosi ed in questo, la normativa europea, prima ancora che quella italiana, che ha recepito
direttiva del 1995 utilizzando terminologia più equivoca possibile, è molto chiara.
Vi è una diversificazione netta di ruoli e responsabilità tra il “controller”, che è colui a cui competono le
decisioni finali sulle modalità ed i fini del trattamento dei dati ed il “processor”, che è invece colui che
agisce in nome e per conto del controller, eseguendo le istruzioni che gli vengono da esso impartite e che
non risponde, a differenza di quest’ultimo, per trattamento illecito dei dati.
Non vi è infatti alcuna autonomia decisionale da cui possa conseguire l’attribuzione di una tale
responsabilità. Ora, mentre Magi sembra aver dato del “controller” a tutti coloro, Google video compreso,
che, a qualsiasi titolo, abbiano “maneggiato” i dati sensibili del povero ragazzo disabile, è possibile che la
corte d’Appello, in riferimento in particolare a quelle raccapriccianti immagini in cui emergeva in tutta la
sua crudezza la patologia dello studente, abbia operato una ragionevole differenziazione che non trovava
spazio nella eccessiva semplificazione del reasoning della sentenza di primo.
Più precisamente, è possibile che sia stato identificato, nelle motivazioni della corte d'Appello, un solo
controller a cui è da imputare la responsabilità per trattamento illecito di dati, vale a dire chi ha eseguito
l’upload su Google video, mentre a quest’ultimo, che ha soltanto eseguito le istruzioni circa modalità e fini
del trattamento impartite dall’uploader, è stato giustamente attribuito la natura di mero processor, che non
risponde del reato ex art. 167 del Codice.
Ovviamente si accetta il rischio di essere smentiti dalle motivazioni, che non potranno però in nessun
modo negare un elemento incontrovertibile: non si è trattato di un processo ad internet o alla libertà di
espressione in rete ma ad un particolare servizio di Google, così come era congegnato nel settembre del
2006, al tempo in cui i fatti del processo avevano luogo. Processo che si è concluso, nel merito, con
sacrosanta assoluzione a favore degli imputati. Niente di più. Ma neanche niente di meno: per questo
forse si è fatto troppo rumore, ma sicuramente non “per nulla”, come invece si domandava retoricamente il
giudice magi nell’incipit delle sue motivazioni citando il “much ado about nothing” di shakespeariana
memoria.