• Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità di impresa nei social network Avv. Carlo Grignani (Partner, NCTM)

on

  • 1,892 views

SULAKE ITALIA - NCTM Social networking nuove frontiere del marketing e relativi profili giuridici. ...

SULAKE ITALIA - NCTM Social networking nuove frontiere del marketing e relativi profili giuridici.

Milano 17.11.10

Intervento Avv. Carlo Grignani - La condivisione dei dati personali e la responsabilità di impresa nei social network.

La condivisione infragruppo dei dati del cliente

- il trasferimento all’estero: safe harbour e clausole contrattuali standard

- contitolarità, titolarità autonoma e responsabilità

- localizzazione del data base e legge applicabile

social networking: norme e linee guida

- la tutela della privacy nei servizi di Social Network (conferenza di Strasburgo del 15-17 ottobre
2008)

- le linee guida del Garante del 2009

responsabilità del titolare di siti di social networking per la diffusione su internet di contenuti da
parte dei propri utenti

- l’evoluzione normativa e giurisprudenziale: i casi google e youtube

- il ruolo del moderatore

- la rimozione tempestiva dei contenuti sospetti

- il fine di lucro e l’assenza di corrispettivo

- il carattere editoriale dei motori di ricerca, dei portali e delle piattaforme

Statistics

Views

Total Views
1,892
Views on SlideShare
1,892
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità di impresa nei social network Avv. Carlo Grignani (Partner, NCTM) SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità di impresa nei social network Avv. Carlo Grignani (Partner, NCTM) Presentation Transcript

  •  
    • Condivisione infragruppo dei dati del cliente
    • trasferimento all’estero: safe harbour e clausole contrattuali standard.
    • contitolarità, titolarità autonoma e responsabilità
    • localizzazione del data base e legge applicabile.
  • Trasferimenti all’interno dell’Unione Europea Art. 42 D.Lgs 196/2003 Principio generale della libera circolazione dei dati personali fra gli Stati Membri Le disposizioni del Codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri.
  • Trasferimenti consentiti in Paesi Terzi (art. 43) Il trasferimento anche temporaneo fuori dal territorio dello Stato, se diretto verso un Paese non appartenente all’UE, è consentito se: • l’interessato ha manifestato il proprio consenso; • sia necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato; • sia necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o regolamento; • sia necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo o dell’interessato; • sia necessario per lo svolgimento delle investigazioni difensive; • sia effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi; • sia necessario per esclusivi scopi scientifici o statistici; • il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni
  • Trasferimenti in Paesi Terzi (art. 44) E’ altresì consentito quando sia autorizzato da un provvedimento del Garante sulla base di adeguate garanzie per i diritti dell’interessato individuate: • dallo stesso Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell’ambito di società appartenenti ad un medesimo gruppo • dalla Commissione Europea (la quale verifica che il Paese extra UE garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti). In virtù di tale previsione, il Garante ha autorizzato il trasferimento di dati personali dall’Italia verso paesi non appartenenti all’Unione Europea purché effettuato in conformità alle clausole contrattuali tipo approvate dalla Commissione Europea.
  • DECISIONI DELLA COMISSIONE 2001/497/CE E 2004/915/CE Clausole contrattuali tipo per il trasferimento di dati personali a titolari del trattamento stabiliti in paesi extra-UE (c.d. controller to controller ) La Commissione Europea ha approvato, con decisioni adottate in data 15 giugno 2001 e 27 dicembre 2004, due set alternativi di condizioni contrattuali standard da utilizzarsi nei trasferimenti internazionali di dati personali effettuati tra soggetti che agiscano entrambi quali titolari del trattamento, dove l’esportatore dei dati sia stabilito all’interno dell’Unione Europea mentre l’importatore dei dati personali sia stabilito in un paese extra-UE In particolare, il primo set di clausole standard viene approvato dalla Commissione nel giugno 2001; successivamente, un gruppo di associazioni imprenditoriali internazionali presenta alla Commissione un insieme alternativo di clausole destinato a garantire un livello di protezione di dati comparabile a quello offerto dall’insieme di clausole adottato nella decisione 2001/497/CE, pur utilizzando meccanismi diversi Le parti interessate potranno dunque scegliere tra uno degli standard contrattuali approvati dalla Commissione, senza poterne tuttavia modificare le clausole né combinare le singole clausole
  • Clausole contrattuali tipo per il trasferimento di dati personali a titolari del trattamento stabiliti in paesi extra-UE ( controller to controller ) (continua) La principale differenza tra i 2 set di clausole standard approvate dalla Commissione riguarda il regime di responsabilità dell’esportatore e dell’importatore nei confronti dell’interessato (i cui dati sono oggetto di trasferimento all’estero). In particolare, le clausole approvate con Decisione 2001/497/CE prevedono –essenzialmente– un regime di responsabilità solidale dell’esportatore e dell’importatore. Al contrario, le clausole approvate con Decisione 2004/945/CE prevedono un regime di responsabilità basato sulla violazione di obblighi di normale diligenza ; in particolare, n ei casi in cui l’interessato voglia far valere l'inadempimento dell’importatore di dati, l’interessato dovrà richiedere in primo luogo all’esportatore di avviare azioni adeguate per far valere i suoi diritti nei confronti dell’importatore di dati; se l’esportatore non compie tali azioni entro un termine ragionevole (che nelle normali circostanze sarebbe di un mese), l’interessato potrà far valere i suoi diritti direttamente contro l’importatore di dati. Gli interessati potranno procedere direttamente contro l’esportatore di dati quando questi non abbia compiuto sforzi ragionevoli per determinare se l’importatore di dati sia in grado di rispettare gli obblighi giuridici ai quali è tenuto in virtù delle clausole in oggetto (ricadendo su quest’ultimo l’onere di provare l’effettivo compimento di sforzi ragionevoli).
  • Legislazione applicabile e mediazione a) Le clausole sono soggette alla legislazione del paese nel quale è stabilito l’esportatore di dati , ad eccezione delle disposizioni legali e regolamentari relative al trattamento dei dati personali da parte dell’importatore di dati, che saranno applicabili solo se l’importatore avrà scelto tale opzione nell’ambito della clausola; b) le parti si informeranno reciprocamente di tali controversie o reclami e collaboreranno al fine di risolverli in modo amichevole; c) le parti concordano di rispondere a qualsiasi procedura di mediazione avviata da un interessato o dall’autorità. Possono partecipare alla procedura a distanza (ad es. per telefono); d) ciascuna delle parti si impegna ad accettare qualsiasi decisione dei tribunali competenti o dell’autorità del paese di stabilimento dell’esportatore di dati le cui decisioni siano definitive e contro le quali non sia possibile alcun ulteriore appello.
  • Decisione della Commissione 2010/87/UE, recepita con Deliberazione del Garante in data 27 maggio 2010 Clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi extra-UE (c.d. controller to processor ) – La Commissione europea con decisione del 5 febbraio 2010, n. 2010/87/UE ha individuato un nuovo insieme di clausole contrattuali tipo al fine di fornire garanzie sufficienti ai fini della tutela della riservatezza in caso di trasferimento di dati personali effettuati da un titolare del trattamento avente sede nella Unione europea (soggetto esportatore) ad un responsabile del medesimo trattamento (soggetto importatore) stabilito in un Paese terzo che non assicura un livello di protezione adeguato – La medesima decisione, come recepita dal Garante, contiene poi specifiche clausole contrattuali tipo concernenti anche i successivi trasferimenti di dati personali posti in essere da un responsabile del trattamento (soggetto importatore), stabilito in un Paese comunitario ovvero in un Paese extra-UE ad un altro responsabile del trattamento, stabilito in un Paese terzo che non assicura un livello di protezione adeguato (c.d. subincaricato), sulla base di un apposito accordo (c.d. «subcontratto») stipulato tra i predetti soggetti
  • Principali obblighi dell’importatore a) trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto b) non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell’esportatore o di adempiere agli obblighi contrattuali, e comunicare all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto; c) aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati personali trasferiti; d) comunicare prontamente all’esportatore: (i) qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali, salvo che la comunicazione sia vietata da norme specifiche , ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini; (ii) qualsiasi accesso accidentale o non autorizzato ; e (iii) qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere; e) rispondere a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;
  • f) sottoporre i propri impianti di trattamento, su richiesta dell’esportatore, al controllo dell’esportatore o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo; g) fornire, su richiesta degli interessati, copia delle clausole, e una descrizione generale delle misure di sicurezza qualora gli interessati non siano in grado di ottenerne copia direttamente dall’esportatore, o copia dei subcontratti del trattamento, omettendo le informazioni commerciali contenute nelle clausole o nel contratto; h) in caso di subcontratto, provvedere a informare l’esportatore e da questi ottenere il consenso scritto; j) inviare prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole.
    • Subcontratto tra importatore e sub-incaricato
    • L a Decisione 2010/87/UE, come recepita dal Garante con Deliberazione del 27 maggio 2010, ha previsto la possibilità di trasferimenti di dati personali da parte di un responsabile del trattamento (soggetto importatore), stabilito in un Paese comunitario ovvero in un Paese extra-UE, ad un altro responsabile del trattamento, stabilito in un Paese terzo; tale trasferimento è consentito a condizione che:
    • l'importatore si impegni, in caso di subcontratto, a informare l'esportatore e a ottenere da quest'ultimo un previo consenso scritto in mancanza del quale non potra' subcontrattare i trattamenti effettuati per conto dell'esportatore;
    • l'importatore e' tenuto a stipulare con il subincaricato un accordo scritto che imponga a quest'ultimo il rispetto degli stessi obblighi cui lo stesso e' vincolato in virtu’ della sottoscrizione delle clausole contrattuali standard, e che tale prescrizione puo’ considerarsi soddisfatta anche qualora il subincaricato si limiti a sottoscrivere il contratto concluso tra l'esportatore e l'importatore
    • l'importatore è tenuto ad inviare all'esportatore copia dei subcontratti conclusi e quest'ultimo, a sua volta, deve tenere un elenco aggiornato di tali subcontratti e a tenerlo a disposizione della relativa autorita' di controllo
    • In tali casi, l’importatore rimane pienamente responsabile nei confronti dell’esportatore per l’inadempimento, da parte del subincaricato, degli obblighi di protezione dei dati previsti dall’accordo scritto. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole. Le disposizioni sulla protezione dei dati ai fini del subcontratto sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore.
  • Obblighi dell’importatore (e del sub-incaricato) al termine dell’attività di trattamento dei dati personali L’importatore (e il sub-incaricato) provvedono, a scelta dell’esportatore, a restituire a quest’ultimo tutti i dati personali trasferiti e le relative copie ovvero a distruggere tali dati, certificando all’esportatore l’avvenuta distruzione. Se obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti, l’importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di propria iniziativa tali dati. L’importatore e il sub-incaricato si impegnano a sottoporre a controllo i propri impianti di trattamento su richiesta dell’esportatore e/o dell’autorità di controllo, ai fini della verifica dell’esecuzione della distruzione dei dati.
  • Responsabilità Le parti convengono che l’interessato che abbia subito un pregiudizio per violazione degli obblighi ad opera di una parte o del subincaricato ha diritto di ottenere dall’esportatore il risarcimento del danno sofferto . Qualora l’interessato non sia in grado di proporre l’azione di risarcimento nei confronti dell’esportatore in quanto l’esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’importatore riconosce all’interessato stesso il diritto di agire nei suoi confronti così come se egli fosse l’esportatore, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. L’importatore non può far valere la violazione degli obblighi ad opera del subincaricato al fine di escludere la propria responsabilità.
  • Responsabilità (continua…) Qualora l’interessato non sia in grado di agire in giudizio, nei confronti dell’esportatore o dell’importatore in quanto sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi - il subincaricato riconosce all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti da quello effettuati in conformità alle clausole, così come se egli fosse l’esportatore o l’importatore, a meno che tutti gli obblighi dell’esportatore o dell’importatore siano stati trasferiti, per contratto o per legge, all’eventuale successore. Nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. La responsabilità del subincaricato è limitata ai trattamenti da quello effettuati in conformità delle clausole.
  • Legge Applicabile e Mediazione Le clausole contrattuali standard del tipo controller to processor sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore . Qualora l’interessato chieda il risarcimento dei danni in base alle presenti clausole, l’importatore accetterà la decisione dell’interessato: a) di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente dell’autorità di controllo ; b) di deferire la controversia agli organi giurisdizionali dello Stato membro in cui è stabilito l’esportatore .
    • Localizzazione di Data Base e Legge Applicabile
    • Particolare importanza, nel settore dei servizi di Internet, nonché, in generale, nei servizi caratterizzati da una predominante componente IT, riveste l’individuazione del diritto applicabile alle operazioni di trattamento dei dati personali, nel caso in cui gli strumenti utilizzati per fornire detti servizi siano ubicati in Stati diversi
    • In particolare, i casi più frequenti in cui si pone il problema se la legge italiana sia (o meno) applicabile sono normalmente i seguenti:
    • Il trattamento di dati personali effettuato all’estero, per conto di società (titolari del trattamento) italiane (ad es. nel caso di affidamento in outsourcing dei servizi IT a società straniere)
    • il trattamento di dati personali effettuato in Italia (ad es. presso un data-center) per conto di società (titolari del trattamento) aventi sede all’estero (sia nell’Unione Europea che al di fuori); nonché
  • Localizzazione di Data Base e Legge Applicabile ( segue ) – Per quanto riguarda il trattamento di dati personali effettuato all’estero, per conto di società (titolari del trattamento) stabilite nel territorio italiano, il Codice Privacy stabilisce che tale trattamento sia disciplinato dal medesimo Codice Privacy (e dunque dal diritto italiano) – Per quanto riguarda il trattamento dei dati personali effettuato da un titolare stabilito nel territorio della Comunità Europea utilizzando strumenti situati nel territorio italiano, trova applicazione il principio per cui la legge applicabile è quella del luogo di stabilimento del titolare del trattamento ”. Pertanto, questo significa che “ allorché il trattamento è effettuato da un titolare del trattamento stabilito nel territorio di uno Stato membro, si applicherà al relativo trattamento la normativa in materia di protezione dei dati di tale Stato membro (a prescindere dal fatto che una o più attività di trattamento siano effettuate, per suo conto, in Italia) Per quanto riguarda la nozione di ‘stabilimento’, questa implica, secondo la Corte di giustizia delle Comunità europee, ‘ l’esercizio effettivo di un’attività economica per una durata di tempo indeterminata mediante insediamento in pianta stabile ‘
  • Localizzazione di Data Base e Legge Applicabile ( segue ) – Ai sensi dell’art. 5 del Codice Privacy si applica la normativa italiana a chiunque è stabilito nel territorio di un Paese non appartenente all’Unione Europea e impiega, per il trattamento , strumenti situati nel territorio dello Stato italiano , salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione Europea. In caso di applicazione della normativa italiana, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio italiano. – pertanto, nel caso di titolari stabiliti extra-UE, il principio del paese di stabilimento non viene più utilizzato per determinare il diritto applicabile ma occorre individuare un altro fattore di connessione. Il legislatore nazionale (conformemente a quello comunitario) ha scelto il paese dell’ubicazione territoriale degli strumenti utilizzati. Di conseguenza, si applica la legge dello Stato dove sono ubicati gli strumenti utilizzati per il trattamento – Per quanto riguarda il significato di “ strumenti”, si deve ritenere che tale termine includa un complesso di strumenti o dispositivi riuniti per un fine specifico (es. software, personal computer, terminali, periferiche, dispositivi di memorizzazione, server) – Al fine di stabilire l’applicabilità della legge Italiana in base all’uso di tali strumenti in Italia, non ha rilevanza se il titolare estero sia proprietario o meno, bensì se sia costui a decidere la politica di trattamento di tali dati personali mediante tali strumenti
    • Social networking - norme e linee guida
    • - La tutela della privacy nei servizi di social network ( Conferenza di Strasburgo del 15-17 ottobre 2008).
    • - Le Linee Guida del Garante del 23 gennaio 2009 in materia di social networks .
  • I rischi conseguenti all’utilizzo dei Social Network (perdita di controllo dell’utilizzo dei dati personali pubblicati in rete) hanno già formato oggetto di analisi nel documento "Relazione e Linee-Guida sulla Privacy nei Servizi di Social Network ("Memorandum di Roma") " adottato durante la 43 ma riunione dell'International Working Group on Data Protection in Telecommunications (3-4 marzo 2008), nonché nel Position Paper n. 1 dell'ENISA dedicato a "Security Issues and Recommendations for Online Social Networks" (ottobre 2007). Le Autorità per la protezione dei dati personali, riunitesi a Strasburgo in occasione della 30 ma Conferenza Internazionale il 5-17 ottobre 2008, sono convinte della necessità di condurre una campagna informativa che investa tutti i soggetti pubblici e privati al fine di prevenire i molteplici rischi associati all'utilizzo dei servizi di social network .
  • Risoluzione di Strasburgo sulla tutela della privacy nei servizi di social network I servizi di social network offrono una gamma del tutto nuova di opportunità comunicative e di interazione in tempo reale attraverso ogni possibile tipologia di informazioni, ma l'utilizzo di questi servizi può comportare rischi per la privacy sia degli utenti sia di terzi . I dati personali divengono disponibili pubblicamente e in modo globale, secondo schemi qualitativi e quantitativi che non hanno precedenti, anche attraverso enormi quantità di foto e video digitali. Il rischio è perdere il controllo dell'utilizzo dei propri dati una volta pubblicati in rete Attualmente non vi sono che scarse tutele rispetto alla riproduzione dei dati personali contenuti nei profili-utente; possono essere copiati da altri membri della rete, o da terzi non autorizzati esterni alla rete, e quindi venire utilizzati per costruire profili personali oppure essere ripubblicati altrove. Spesso è impossibile, ottenere la totale cancellazione dei propri dati da Internet una volta che essi siano stati pubblicati. Anche dopo la cancellazione dal sito originario possono esisterne copie in mano a soggetti terzi o ai fornitori del servizio di social network.
    • Risoluzione di Strasburgo sulla tutela della privacy nei social network –  Raccomandazioni)
    • Utenti dei servizi di social network Gli utenti di servizi di social network devono valutare con attenzione se e in quale misura pubblicare dati personali in un profilo creato su tali servizi:
    • le informazioni o le immagini pubblicate potrebbero riemergere in tempi successivi;
    • da valutare se utilizzare nel profilo uno pseudonimo anziché il nome reale (la tutela offerta dall'utilizzo di pseudonimi è piuttosto limitata, in quanto altri potrebbero individuare chi vi si cela dietro).
    • Risoluzione di Strasburgo sulla tutela della privacy nei social network –  Raccomandazioni (segue)
    • Fornitori dei servizi di social network
    • – I fornitori devono rispettare gli standard in materia di privacy vigenti nei Paesi ove operano, consultandosi, ove necessario, con le Autorità per la protezione dei dati.
    • – I fornitori dei servizi di social network devono informare gli utenti in merito:
    • al trattamento dei dati personali che li riguardano, secondo modalità trasparenti e corrette;
    • alle conseguenze derivanti dalla pubblicazione di dati personali in un profilo;
    • ai rischi in materia di sicurezza e sulla possibilità che soggetti terzi (comprese, ad esempio, le forze dell'ordine) accedano legalmente a tali dati;
    • l'informativa deve indicare anche le modalità per una corretta gestione dei dati personali relativi a terzi che siano contenuti nei singoli profili-utente.
    • Risoluzione di Strasburgo sulla tutela della privacy nei social network –  Raccomandazioni (segue)
    • Controllo da parte degli utenti sui dati dei profilo
    • I fornitori devono consentire agli utenti di:
    • potenziare ulteriormente la capacità degli utenti di:
    • limitare la visibilità dell'intero profilo;
    • decidere sugli utilizzi ulteriori dei dati di traffico e dei dati contenuti nei rispettivi profili – ad esempio, per quanto riguarda attività di marketing;
    • offrire la possibilità di negare il consenso (opt-out) rispetto all'utilizzo dei dati non sensibili contenuti nel profilo;
    • prevedere un consenso previo (opt-in) rispetto all'utilizzo di dati di natura sensibile contenuti nel profilo (ad esempio, dati relativi ad opinioni politiche o all'orientamento sessuale) nonché rispetto ai dati di traffico.
  • Risoluzione di Strasburgo sulla tutela della privacy nei social network –  Raccomandazioni (segue) Impostazioni di default orientate alla privacy I fornitori devono prevedere impostazioni di default orientate a favorire la privacy degli utenti per quanto riguarda le informazioni contenute nei singoli profili. Le impostazioni di default sono essenziali ai fini della tutela della privacy; è noto infatti che solo una minoranza degli utenti che aderiscono ad un servizio di social network Le impostazioni in oggetto devono essere particolarmente restrittive se il servizio di social network è destinato o rivolto a minori. Sicurezza I fornitori devono continuare a potenziare e garantire la sicurezza dei sistemi informativi, impedendo accessi abusivi ai profili-utente, utilizzando standard riconosciuti per quanto concerne la programmazione, lo sviluppo e la gestione delle rispettive applicazioni, e ricorrendo a verifiche e certificazioni indipendenti.
  • Risoluzione di Strasburgo sulla tutela della privacy nei social network –  Raccomandazioni (segue) Diritti di accesso I fornitori devono riconoscere alle persone (siano esse membri del servizio o meno) il diritto di accedere e, se necessario, apportare modifiche a tutti i dati personali detenuti dai fornitori stessi. Cancellazione dei profili-utente I fornitori devono permettere agli utenti di recedere facilmente dal servizio, cancellando il rispettivo profilo ed ogni contenuto o informazione da essi pubblicato attraverso il servizio di social network. Utilizzo di pseudonimi I fornitori devono consentire la creazione e l'utilizzo, in via opzionale, di profili basati su pseudonimi e promuovere il ricorso a tale modalità opzionale.
  • Risoluzione di Strasburgo sulla tutela della privacy nei social network –  Raccomandazioni (segue) Accesso da parte di soggetti terzi I fornitori devono prendere misure atte ad impedire che soggetti terzi possano raccogliere attraverso dispositivi di spidering e/o scaricare (o raccogliere) in massa i dati contenuti nei profili-utente. Indicizzazione dei profili-utente I fornitori devono garantire che i dati relativi agli utenti siano navigabili da parte dei motori di ricerca soltanto con il previo consenso espresso ed informato da parte del singolo utente. Deve essere prevista per default la non-indicizzazione dei profili-utente da parte dei motori di ricerca.
    • Linee guida del Garante del 23 gennaio 2009
    • Le linee Guida del Garante sono destinate ai fornitori di servizi di social network ed ai loro utenti e recepiscono, tra gli altri, le disposizioni della Risoluzione di Strasburgo di cui sopra.
    • Linee guida per i fornitori di servizi di social networking
    • Prevedere la possibilità di ricorrere a pseudonimi – ossia, di muoversi nel servizio attraverso uno pseudonimo, se già non prevista nell'ambito delle norme di disciplina.
    • Fare in modo che i fornitori di questi servizi adottino un approccio trasparente nell'indicare le informazioni necessarie per accedere al servizio-base , in modo che gli utenti siano in grado di scegliere a ragion veduta se aderire o meno al singolo servizio, e di opporsi ad eventuali utilizzi secondari.
    • Garantire la massima trasparenza nell'informare gli utenti. L'informativa resa all'utente deve comprendere, in modo specifico, informazioni sullo Stato in cui opera il fornitore del servizio, sui diritti riconosciuti agli utenti (accesso, rettifica, cancellazione) rispetto ai loro dati personali, e sulle modalità di finanziamento del servizio stesso. Le informazioni devono essere commisurate alle esigenze specifiche dell'utenza cui sono indirizzate – soprattutto per quanto riguarda i minori, in modo da consentire decisioni realmente informate. L'informativa resa all'utente deve prendere in considerazione anche i dati relativi a soggetti terzi.
    • Linee guida per i fornitori di servizi di social networking (segue)
      • Migliorare il controllo da parte degli utenti sull'utilizzo dei dati contenuti nei loro profili all'interno della comunità di utenti (ad es., consentendo limitazioni alla visibilità integrale dei profili e dei dati contenuti in tali profili).
      • 2. Creare strumenti che consentano agli utenti di controllare l'utilizzo dei dati contenuti nei loro profili da parte di soggetti terzi – essenziale per gestire il rischio di furti di identità.
      • 3. Consentire agli utenti di controllare gli utilizzi secondari dei dati di traffico e dei dati contenuti nei loro profili.
      • 4. Rispettare il diritto degli interessati di ottenere la cancellazione tempestiva dei dati – che in taluni casi può senz'altro comportare la cancellazione dell'intero profilo
      • 5. Esaminare le problematiche eventualmente derivanti dalla fusione e/o incorporazione di una società che offra servizi di social network
    • Linee Guida per gli Utenti di servizi di social network
    • Attenzione a pubblicare i dati personali (nome, indirizzo, numero di telefono) in un profilo-utente.
    • Non utilizzare il vero nome in un profilo (Utilizzare uno pseudonimo)
    • Rispettare la privacy degli altri utenti . Non pubblicare informazioni personali relative ad altri (comprese immagini) senza il loro consenso.
    • Utilizzare impostazioni orientate alla privacy . Limitare al massimo la disponibilità di informazioni, soprattutto rispetto all'indicizzazione da parte dei motori di ricerca.
    • Utilizzare identificativi diversi (login e password) da quelli che utilizzate su altri siti web (ad esempio per la posta elettronica o per la gestione del conto corrente bancario).
    • Utilizzare ogni possibilità di mantenere il controllo sull'utilizzo dei dati personali (dati del profilo e dati di traffico) da parte del fornitore del servizio
  • Responsabilità dei titolari di siti di social networking per la diffusione su internet di contenuti da parte di utenti (1) l’evoluzione normativa e giurisprudenziale: i casi google e youtube (2) il ruolo del moderatore (3) la rimozione tempestiva dei contenuti sospetti (4) il fine di lucro e l’assenza di corrispettivo (5) il carattere editoriale dei motori di ricerca, dei portali e delle piattaforme
  • Internet service provider (ISP) – Funzione : fornire agli utilizzatori l’accesso alla Rete, essendo l’interfaccia fra l’utenza e il Network Service Provider (NSP), che si appoggiano a loro volta agli operatori di telecomunicazioni La prassi riconduce alla figura dell’ISP diverse tipologie di fornitori di servizi quali, ad esempio: 1. il fornitore di accesso alla rete Internet (c.d. access provider ) 2. l’operatore che offre ‘ospitalità’ sui propri servers a siti internet gestiti da terzi (c.d. host provider ) 3. il fornitore delle reti di accesso alla rete internet (c.d. network service provider ). Esegue vera e propria attività commerciale , dove accanto ai ricavi provenienti dall’offerta di connessione, vanno considerati anche gli introiti derivanti dalla fornitura dell’hardware e del software necessari per attuare la connessione a internet, nonché i servizi aggiuntivi (quali la fornitura di uno spazio sul server dello stesso provider nonché del tempo macchina eventualmente necessario per le elaborazioni richieste dal sito ospitato.
  • La responsabilità degli ISP – le prime pronunce giurisprudenziali Prima dell’entrata in vigore del D. Lgs. 70/2003, la responsabilità civile del provider era stata diversamente ricostruita, in dottrina e in giurisprudenza, essendo stata inquadrata talora come responsabilità soggettiva, ai sensi della regola generale di cui agli artt. 2043 cod. civ. • Tribunale di Roma, 22 marzo 1999. “ Il provider che effettua il collegamento in rete non è tenuto ad accertarsi del contenuto illecito delle comunicazione e dei messaggi che immessi in un sito: tuttavia esiste la sua responsabilità per colpa se il contenuto delle dette comunicazioni da trasmettere appaia all’evidenza illecito; in questo caso, il provider, dando corso al collegamento concorre nel fatto illecito in quanto dà un apporto causale alla commissione dello stesso. Nella specie, il provider ha concorso nell’illecito consistente in un atto di concorrenza sleale per non aver rilevato, secondo l’ordinaria diligenza, l’uso di un noto acronimo da parte di un soggetto non autorizzato. ” Talvolta come responsabilità oggettiva, con ricorso alle previsioni dell’artt. 2050 (“ Responsabilità per l’esercizio di cose pericolose ”) e 2051 (“ Danno cagionato da cose in custodia ”) cod. civ. • Tribunale di Napoli, 8 agosto 1997. “ Il proprietario di un "sito" Internet ha obblighi precisi di vigilanza sul compimento di atti di concorrenza sleale eventualmente perpetrati attraverso la pubblicazione di messaggi pubblicitari. La colposa o dolosa inottemperanza a questi obblighi comporta la sua corresponsabilità nell'illecito concorrenziale. ”
  • La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70 Il Decreto n. 70/2003 attua la Direttiva 2000/31/CE (“ in materia di servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico” ) , relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno (“ Direttiva sul commercio elettronico ”). Il Decreto affronta il tema della responsabilità extracontrattuale del provider distinguendo tra tre diverse categorie di operatori , e precisamente: – il prestatore della mere attività di trasporto ( mere conduit ) – il prestatore di attività di memorizzazione temporanea ( caching ) – il prestatore di attività di memorizzazione di informazioni ( hosting )
  • La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70 ( segue ) Attività di mere conduit (art. 14 D. Lgs. 70/2003) mera trasmissione -su una rete di comunicazione- di informazioni fornite da un destinatario del servizio, o nel fornire un mero accesso alla rete di comunicazione ( access provider ). Non è responsabile delle informazioni trasmesse a condizione che: 1. non dia origine alla trasmissione 2. non selezioni il destinatario della trasmissione 3. non selezioni né modifichi le informazioni trasmesse Precedentemente, la giurisprudenza, aveva utilizzato criterio elastico sul punto e, nello specifico, che sebbene non vi fosse un obbligo di controllo del provider sulle informazioni immesse, tanto non era ostativo dall’esigere dal prestatore una cooperazione per la rimozione dell’illecito atteso, anche, il carattere di professionalità del provider. • Tribunale di Napoli, 15 maggio 2002. “ Non può escludersi la legittimità di una interpretazione valevole per l’ordinamento italiano che, mettendo in risalto la natura professionale dell’attività svolta dal provider nella prestazione di servizi della società dell’informazione e gli indubbi profitti che egli ne trae esiga da lui una piena cooperazione nel momento in cui si tratta di impedire il protrarsi dell’illecito posto in essere attraverso la rete informatica astraendo da qualsiasi considerazione di ordine soggettivo”
  • La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70 ( segue ) Attività di caching (art. 15 D. Lgs. 70/2003) memorizzazione automatica, intermedia e temporanea di informazioni effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta. Funzione di conservare presso il server del prestatore, per un certo periodo di tempo, i dati ai quali hanno avuto accesso i fruitori del servizio, al fine di consentirne la consultazione in un secondo momento anche ad altri. Il prestatore non è responsabile delle informazioni memorizzate a condizione che, tra gli altri: 1. non modifichi le informazioni 2. agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l'accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l'accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un'autorità amministrativa ne ha disposto la rimozione o la disabilitazione. Sul punto • Tribunale di Napoli, 4 settembre 2002. “ La responsabilità del provider per i fatti illeciti commessi in siti internet è di carattere soggettivo e ricollegabile alla violazione in concreto delle norme di prudenza, perizia e diligenza prescritte per gli operatori modello del settore commerciale, ex art. 2043 cod.civ, e alla stregua di detti criteri va adeguatamente valutato il comportamento del provider che, appena venuto al corrente i tali fatti illeciti, non agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso ”
  • La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70 ( segue ) Attività di hosting (art. 16 D. Lgs. 70/2003) memorizzazione di informazioni fornite da un destinatario del servizio e si realizza quando un provider mette a disposizione dell’utente uno spazio su un server per la registrazione di file personali dell’utente In tale caso il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: 1. non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell'informazione 2. non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso. Sul punto • Tribunale di Milano, 18 marzo 2004. “ per sostenere la responsabilità a titolo di omissione del “host provider” per fatto illecito del “content provider” occorre affermare a loro carico un obbligo giuridico di impedimento e quindi da un lato una sua posizione di garanzia, stante l’assenza di una previsione specifica. Nè la posizione di garanzia può argomentarsi sostenendo l’esercizio precedente da parte di detto provider di un’attività pericolosa in quanto tale non può considerarsi la sua offerta di uno spazio nel web e l’apertura di un “link” con un determinato sito che rappresenta un’azione consentita o del tutto neutra per il diritto penale. Sotto il secondo profilo, non è ravvisabile la possibilità concreta di esercitare un efficace controllo sui messaggi ospitati sul proprio sito visto l’enorme afflusso dei dati che transitano sui servers e la possibilità costante di immissione di nuove comunicazioni ”
    • Assenza dell'obbligo generale di sorveglianza (art. 17 D.Lgs. 70/2003)
    • Nella prestazione di tutti i servizi di cui sopra, il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite .
    • Fatto salvo quanto sopra, il prestatore è comunque tenuto a:
    • 1. informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione;
    • 2. fornire senza indugio , a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite
    • Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui , richiesto dall'autorità giudiziaria o amministrativa, non ha agito prontamente per impedire l'accesso a detto contenuto , ovvero se, avendo avuto conoscenza del carattere illecito del contenuto di un servizio al quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente
  • La responsabilità degli ISP – il Decreto Legislativo 9 aprile 2003 n.70 ( segue ) Principio che generale che anima gli artt. 14-17 e ss. -esaminati in dettaglio nel proseguo- è che: il provider non è responsabile alla sola condizione che il suo ruolo sia stato circoscritto alla mera intermediazione tecnica e che non vi sia una partecipazione attiva alla commissione dell’illecito . A tal proposito la giurisprudenza ha affermato la responsabilità del provider allorché questi non abbia dimostrato la propria estraneità e, inoltre, il proprio adoperarsi per la cessazione della condotta. • Tribunale di Roma, 29 aprile 2004. “ Il prestatore di un servizio della società dell’informazione il quale, rispetto al sito web dallo stesso allestito e gestito, non si limita alla fornitura dei servizi di connettività e alla gestione tecnica, ma operi quale fornitore di materiale informativo, è responsabile, ai sensi dell’art. 2043 cod. civ., dei contenuti inseriti “on-line”. Diversamente, il “provider” che si limiti alla prestazione del servizio di memorizzazione, tendenzialmente stabile, dei dati immessi dai propri clienti o da altri utenti della rete (i.e. “host provider”) è responsabile, ai sensi degli artt. 2043 e 2055 cod. civ., a titolo di colpa, qualora, consapevole della presenza di materiale sospetto sul sito, si astenga dall’accertarne l’illiceità e, al tempo stesso, dal rimuoverlo; a titolo di dolo, nel caso in cui egli sia consapevole anche dell’antigiuridicità della condotta dell’utente e, ancora una volta, ometta di intervenire ” .
    • Legge 6 febbraio 2006, n. 38 " Disposizioni in materia di lotta contro la pedopornografia anche a mezzo Internet ”.
    • responsabilità di natura amministrativa a carico dell’ISP
    • i fornitori dei servizi resi attraverso reti di comunicazione elettronica sono obbligati a segnalare all’autorità competente , qualora ne vengano a conoscenza, le imprese o i soggetti che, a qualunque titolo, diffondono, distribuiscono o fanno commercio , anche in via telematica, di materiale pedopornografico , nonche' a comunicare senza indugio all’autorità, che ne faccia richiesta, ogni informazione relativa ai contratti con tali imprese o soggetti
    • salvo che il fatto costituisca reato, la violazione degli obblighi di cui sopra comporta una sanzione amministrativa pecuniaria da euro 50.000 a euro 250.000
  • La responsabilità dell’ISP in giurisprudenza Pur in assenza di un generale obbligo di sorveglianza, la giurisprudenza ha interpretato in modo molto restrittivo l’obbligo di informare tempestivamente l’autorità e di rimuovere il materiale illecito a carico del provider . Sulla responsabilità dell’ISP, in alcune pronunce, è stata riconosciuta la responsabilità extracontrattuale ex art. 2043 c.c. del provider , mentre in altre, è stata riconosciuta la responsabilità del gestore del sito per fatti illeciti commessi dai terzi. E’ stata considerata, inoltre, l’ipotesi di escludere la responsabilità dell’ISP relativa ai soli messaggi immessi in Rete. La fissazione di obblighi di tempestiva informazione dell’autorità, ha altresì portato parte della giurisprudenza a sostenere che, ogni qualvolta il provider non abbia analizzato il materiale pubblicato, in capo al medesimo sussista una culpa in vigilando , così delineando una forma di responsabilità analoga a quella editoriale, sottolineando la portata di Internet e, quindi, la strumentalità del sito del provider nel consolidare l’illecito, con la conseguente copertura da parte del provider riguardo l’anonimato dell’utente. Altro orientamento nega che il provider possa essere responsabile per il semplice fatto di offrire l’accesso alla rete o lo spazio sul proprio server, dubitando della assimilabilità del sito internet alla testata giornalistica .
  • La responsabilità dell’ISP in giurisprudenza ( continua …) Vi è quindi una contraddittorietà di fondo causata probabilmente dalla difficoltà di applicare strumenti e concetti giuridici tradizionali ad una materia così specifica ed evidentemente ancora poco conosciuta. (Trib. Roma, I sez. civ., ordinanza 22 marzo 1999) Il problema è dunque comprendere se ed entro quali limiti si possano imporre obblighi di controllo ai provider .
  • La responsabilità dell’ISP in giurisprudenza ( continua …) • Tribunale di Milano, 9 marzo 2006. “ I provider che agevolano i collegamenti ai siti a mezzo dei quali vengono diffuse le partite calcistiche, non sono punibili ai sensi dell'art. 171 bis, lett. a) l. n. 633 del 1941 poiché la loro è una condotta successiva rispetto a quella incriminata di immissione nella rete internet di opere protette che non assicura alcun contributo causale o anche solo agevolatore della condotta incriminata” (ampio riscontro l testo della raccolta di usi e consuetudini nei contratti tra provider ed utenti approvato dalla locale Camera di Commercio). • Tribunale di Aosta, 26 maggio 2006. “ il Gestore di un blog va equiparato al direttore responsabile di una testata giornalistica avendo il controllo su quanto viene diffuso sul blog stesso ed ha l’obbligo di eliminare i contenuti offensivi, incorrendo, altrimenti, nella responsabilità per diffamazione a mezzo stampa ”. • Tribunale di Lucca 20 agosto 2007. (Google Italia Srl-News Group Reti Wireless) “ l’operatore che consente agli utenti di accedere ai newsgroup (nella specie Google) non può essere ritenuto responsabile dei messaggi che passano attraverso i propri elaboratori in quanto si limita a mettere a disposizione degli utenti lo spazio virtuale dell’area di discussione e non ha alcun potere di controllo e di vigilanza sugli interventi che vi vengono inseriti ”.
    • Il caso RTI – Grande Fratello
    • • Tribunale di Roma, 16 dicembre 2009
    • Con ricorso in corso di causa depositato in data 3.11.2009 la Reti Televisive Italiane S.p.A. ha chiesto un provvedimento cautelare con il quale, inter alia :
    • si ordinasse a YouTube LLC, YouTube Inc. e Google UK Ltd. - direttamente o anche per mezzo di soggetti terzi da esse controllati e/o collegati - la immediata rimozione dai propri server e disabilitazione all’accesso di tutti i contenuti riproducenti - in tutto o in parte - sequenze di immagini fisse o in movimento relative al programma “Il Grande Fratello”;
    • 2) si inibisse alle resistenti il proseguimento della violazione dei diritti connessi di utilizzazione e di sfruttamento economico del “ Programma ”, del “ logo/titolo/marchio ”;
    • 3) venisse fissata una somma - non inferiore a Euro 10.000,00 - per ogni minuto o frazione di esso di diffusione (diretta o indiretta) dei contenuti audiovisivi afferenti al “ Programma ” successivamente constatata e una somma - non inferiore a Euro 10.000,00 - per ogni giorno di ritardo nell’esecuzione dell’emanando provvedimento.
  • Il caso RTI – Grande Fratello ( continua… ) YouTube LLC e Google UK Ltd. hanno addotto a propria difesa che: YouTube svolge mera attività di hosting provider e, pertanto, ai sensi del D.Lgs. n. 70 del 2003: 1) non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio ; 2) non è assoggettata ad un obbligo generale di sorveglianza sulle informazioni che trasmette e di ricercare fatti e circostanze che indichino presenza di attività illecite , non potendosi imporre loro di svolgere un’attività preventiva di controllo e accertamento di quanto viene immesso in rete dai loro utenti. YouTube LLC e Google UK Ltd. inoltre rilevano che un eventuale provvedimento del giudice a favore di RTI, che obbligasse al menzionato preventivo controllo, renderebbe di fatto tecnicamente ineseguibile e paralizzerebbe l’attività di YouTube a livello mondiale , essendo questa esclusivamente tenuta a rimuovere i soli contenuti che vengono specificatamente indicati ed individuati dall’autorità competente come illeciti .
  • Il caso RTI – Grande Fratello ( continua… ) Con ordinanza del 16 dicembre 2009 il Tribunale ha disposto l’immediata rimozione dai server di YouTube LLC e Google UK Ltd. e la conseguente immediata disabilitazione all’accesso di tutti i contenuti riproducenti sequenze di immagini fisse o in movimento relative al programma “ Grande Fratello ” decima edizione. Il Tribunale ha difatti affermato che: “ a fronte di una condotta così palesemente e reiteratamente lesiva dei diritti non è sostenibile la tesi delle resistenti (n.d.r. Google e YouTube) su una presunta assoluta irresponsabilità del provider che si limiterebbe a svolgere l’unica funzione di mettere a disposizione gli spazi web sui quali gli utenti gestirebbero i contenuti dagli stessi caricati e sulla legittimità di avere un ritorno economico - escludendo il fine commerciale - connesso al proprio servizio in mancanza di un obbligo di controllare i contenuti illeciti e disabilitarne l ’ accesso ”. “ del resto la normativa e la giurisprudenza sta ormai orientandosi nel senso di una valutazione caso per caso della responsabilità del provider che seppur non è riconducibile ad un generale obbligo di sorveglianza rispetto al contenuto non ritenendosi in grado di operare una verifica di tutti i dati trasmessi che si risolverebbe in una inaccettabile responsabilità oggettiva, tuttavia assoggetta il provider a responsabilità quando non si limiti a fornire la connessione alla rete, ma eroghi servizi aggiuntivi (per es. caching, hosting) e/o predisponga un controllo delle informazioni e, soprattutto quando, consapevole della presenza di materiale sospetto si astenga dall’accertarne la illiceità e dal rimuoverlo o se consapevole dell’antigiuridicità ometta di intervenire ”
  • Il caso Google • Tribunale di Milano, 24 febbraio 2010. Il fatto in questione risale al 2006 e riguarda un video caricato su Google Video – servizio di video sharing al pari di YouTube – dove si vede un ragazzo autistico sbeffeggiato e picchiato da alcuni compagni di classe. In data 9 novembre 2006, l’associazione milanese “ Vivi Down ”depositava presso la Procura di Milano denuncia di querela in relazione al contenuto del sopra-menzionato vide, apparso nella sezione “video divertenti -sezione all’interno della quale tale video rivestiva il primo posto in termini di numero di visioni-. Pochi giorni dopo scattava una perquisizione nella sede di Google Italy S.r.l. e due anni dopo, nel novembre del 2008, cominciava il processo penale contro quattro dirigenti della multinazionale americana per diffamazione e violazione della tutela sulla privacy : David Carl Drummond, ex presidente del C.d.A. di Google Italy (ora senior vice presidente), George De Los Reyes, ex membro del C.d.A. di Google Italy S.r.l. (ora in pensione), Peter Fleischer, responsabile delle strategie per la privacy per l'Europa di Google Inc. e Arvind Desikan, responsabile del progetto Google video per l'Europa.
  • Il caso Google ( continua… ) Google sostiene a sua difesa che ogni minuto nel mondo vengono caricate sul sito di video sharing 13 ore di video, che non potrebbero tecnicamente essere soggette a una “visione informata” da parte del provider . In aggiunta bisogna considerare che ai sensi del D. Lgs. n. 70/2003 il service provider non ha alcun obbligo generale di verificare preventivamente quanto viene messo in rete dagli utenti . Il prestatore è responsabile del contenuto dei servizi forniti nel caso in cui, richiesto dall’autorità giudiziaria o amministrativa aventi funzione di vigilanza, non ha agito prontamente per impedire l’accesso a detto contenuto, ovvero, se avendo avuto conoscenza del carattere illecito o pregiudizievole per terzi soggetti del contenuto del servizio al quale assicura l’accesso, non ha provveduto ad informare le autorità competenti .
  • Il caso Google ( continua… ) Analisi tecnica Il giudice nello svolgimento della propria indagine ha, in primis , eseguito una analisi sul servizio Google Video , delle procedure di upload dei video nonché dei tempi di immissione in rete. Tale attività ha permesso di accertare l’ inesistenza di fatto di alcun controllo preventivo in fase di immissione, dal momento che il video di prova veniva immediatamente reso disponibile per la visione a tutti gli utenti di Google Video . Difatti, la società ha inteso realizzare una piattaforma video di libero accesso ed in grado di massimizzare la sua potenzialità diffusiva (virale) -anche tramite la trasmissione di video ripresi con i cellulari- . Ispezioni Dalle ispezioni sugli “hard disk” di alcuni key employees di Google Video è emerso un documento che faceva riferimento a alcuni cambiamenti procedimentali nel controllo dei video -tra i quali l’introduzione del sistema di flag in-. Ancora, “ le procedure di screening manuale non sono una soluzione praticabile e abbiamo bisogno di affidarci di più a procedure automatizzate e/o di rimozione più veloce di video”.
  • Il caso Google ( continua… ) Accertamenti circa la mancata rimozione di contenuti. I dipendenti di Google Italy -più volte sentiti a sommarie informazioni- hanno puntualizzato come, in materia di contenuti lesivi del diritto d’autore, il rispetto del Digital Millenium Copyright Act imponesse alla società l’immediata rimozione, una volta ricevuta la segnalazione dell’utente -ed in effetti questo impone tale normativa a carico di coloro che possano trarne profitto . In tal caso, però, Google Italy non ha sempre provveduto un tal senso, ritenendo che la stessa dovesse essere veicolata tramite una apposita elencazione dei contenuti illeciti. La gestione societaria. Espressamente consigliato ai legali interni di Google UK di verificare presso il cliente “ la revisione delle procedure in materia di privacy in Google Italia S.r.l. ” ottenendo la seguente risposta “ siamo al corrente della vigente legislazione (i.e. d.lgs 70/03) e siamo al top su questo tema ”.
  • Il caso Google ( continua… ) Pubblicità che non si vede - ADWORDS. È l’attività c.d. adwords -che abbina ai risultati delle ricerche i c.d. “link sponsorizzati ” che appaiono in alto a destra della pagina di Google- l’anima commerciale, anche, di Google Italy S.r.l. Questo meccanismo era previsto anche per quanto riguarda il servizio di Google Video, come ammesso dai dipendenti italiani ed emerso anche dalla documentazione promozionalei.
  • Il caso Google ( continua… ) - LA POSIZIONE DEL GIUDICE “ Non esiste, a parere di chi scrive, perlomeno fino ad oggi, un obbligo di legge codificato che imponga agli ISP un controllo preventivo della innumerevole serie di dati che passano ogni secondo nelle maglie dei gestori o proprietari di siti web, e non appare possibile ricavarlo aliunde superando d’un blazo il divieto di analogia in malam partem” È pertanto ovvio… “che il content provider (…) avrà certamente un livello di obblighi e di comportamenti più elevato di quello di un semplice host provider o service provider o access provider: lo rende inevitabile il suo diventare dominus di dati che non sono più il flusso indistinto che non si conosce e che non si ha l’obbligo di conoscere; ma ciò, non crea una specie di effetto catena che fa dell’hoster attivo automaticamente il corresponsabile di tutti i reati che gli uploaders hanno commesso comunicando e caricando dati in loro possesso ” Perciò… “nel caso in esame, (…) è ben vero che non può essere imposto (perché) irrealizzabile allo stesso un obbligo generale e specifico di controllo su tutti i dati “sensibili” caricati (obbligo impossibile, se non altro, perché si imporrebbe a un terzo la preventiva conoscenza di tutti i dati personali e particolari di tutte le persone che ogni momento transitano sul web”.
  • Il caso Google ( continua… ) - LA POSIZIONE DEL GIUDICE L’esistenza di una serie di indici rivelatori di tipo fattuale dimostra una chiara accettazione consapevole del richio conctreto di inserimento e divulgazione di dati, anche e soprattutto sensibili, che avrebbero dovuto essere oggetto di particolare tutela anche dell’interesse cconomico ricollegabile a tale accettazione del rischio e della chiara consapevolezza di questo ultimo In parole semplici… “ non è la scritta sul muro che costituisce reato per il proprietario del muro, ma il suo sfruttamento commerciale può esserlo, in determinati casi e in presenza di determinate circostanze ”
  • Il caso Google ( continua… ) - LA POSIZIONE DEL GIUDICE 2. Reato di diffamazione “ Pur non essendovi dubbio che il gestore o proprietario del sito web qualificabile come “content provider” possa o debba essere ritenuto potenzialmente responsabile della violazione del DL sulla privacy non appare conforme alle situazioni di fatto e di diritto finora esistenti, renderlo per ciò solo corresponsabile di altro reato di diffamazione (ma non solo) derivabile dal contenuto del materiale caricato .” Infatti …. “pur mettendo in ipotesi che esista un potere giuridico derivante dalla normativa sulla pricacy che costituisca l’obbligo giuridico fondante la posizione di garanzia, non vi è chi non veda che tale potere, anche se correttamente utilizzato, certamente non avrebbe potuto “impedire l’evento” diffamatorio” … “ anche se l’informativa sulla privacy fosse stata data in modo chiaro e comprensibile all’utente, non può certamente escludersi che l’utente medesimo non avrebbe caricato il video incriminato”. “ sarà possibile considerarli responsabili dei contenuti dei file sugli stessi caricati (soprattutto nel caso si tratti di hoster attivi o content provider) solo nel momento in cui si provi la consapevolezza del fatto del fatto delittuoso, al di là della esistenza di posizioni di garanzia non mutuabili da altri settori dell’ordinamento ”. Una vicenda di questo tipo, “ segnala che aprire le cataratte della libertà assoluta e senza controllo non costituisce un buon esercizio del principio di responsabilità e di correttezza, che sempre dovrebbe presiedere alla attività umane (anche se esercitate nel mondo “parallelo” di internet). ”
  • Il caso Google ( continua… ) - LA POSIZIONE DEL GIUDICE Il Tribunale di Milano, in composizione monocratica, (Quarta sezione penale) il 24 febbraio, ha condannato - primo caso a livello internazionale - i tre dirigenti di Google Italy per non avere impedito la pubblicazione, sull’omonimo motore di ricerca, del video. I tre imputati, dirigenti europei di Google Italia, sono stati condannati a sei mesi di reclusione (pena sospesa) per violazione della privacy , ed assolti dal secondo capo di imputazione , relativo al reato di diffamazione . È stato assolto invece Arvind Desikan, responsabile del progetto Google video per l'Europa, a cui veniva contestata la sola diffamazione.
  • Il caso Google – considerazioni finali del giudice La condanna del webmaster in ordine al reato di illecito trattamento dei dati personali, infatti, non viene qui costruita sulla base di un obbligo preventivo di controllo sui dati immessi, ma sulla base di un profilo valutativo differente che è, come detto, quello di un insufficiente (e colpevole) comunicazione degli obblighi di legge nei confronti degli uploaders , per fini di profitto. Il D.L. sulla privacy “copre” in modo legislativamente completo i comportamenti di chi si trovi nella situazione di “maneggiare” dati sensibili, e quindi non può essere trascurato nel momento in cui se ne appalesi la possibilità di intervento. La distinzione tra content provider e service provider è sicuramente significativa ma, allo stato e in carenza di una normativa specifica in materia, non può costituire l’unico parametro di riferimento ai fini della costruzione di una responsabilità penale degli internet providers . Tuttavia, questo procedimento costituisce un importante segnale di avvicinamento ad una zona di pericolo per quel che concerne la responsabilità penale dei webmasters : non vi è dubbio che la travolgente velocità del progresso tecnico in materia consentirà di “controllare” in modo sempre più stringente ed attento il caricamento dei dati da parte del gestore del website, e l’esistenza di filtri preventivi sempre più raffinati obbligherà a una maggiore responsabilità. In tal caso, la responsabilità penale per omesso controllo avrà un gioco più facile di quanto non sia stato nel momento attuale