Cassazione: la parola fine alla vicenda Google-Vividown
Il 3 febbraio 2014, la Terza Sezione Penale della Corte di Cassazione ha reso note le motivazioni della sentenza depositata il 18 dicembre 2013 (si possono leggere qui), con la quale vengono definitivamente assolti i tre dirigenti di Google, accusati e condannati in primo grado dal Tribunale di Milano a sei mesi di carcere (sentenza n. 1972 del 24 febbraio 2010) a seguito del caricamento sul sito www.video.google.it e della successiva diffusione di un video in cui un minore disabile era fatto oggetto di frasi offensive e azioni vessatorie dai compagni di scuola.
La vicenda aveva suscitato fin da principio un forte interesse non solo tra i giuristi, ma anche nell’opinione pubblica, coinvolgendo temi di attualità come l’uso di Internet e la sua regolamentazione. A far discutere, in particolare, era stata proprio la sentenza di primo grado che, condannando i tre manager di Google per aver commesso l’illecito penale sanzionato dall’art. 167 del Codice della Privacy, qualificava Google Italia Srl e i suoi amministratori quali titolari del trattamento dei dati e responsabili della violazione.
La vicenda giudiziaria approdava in seguito avanti la Corte d’Appello, che ribaltava la decisione di primo grado, assolvendo gli imputati con formula piena. Il giudice stabiliva la non configurabilità del reato di trattamento illecito dei dati personali, escludendo la responsabilità in capo ai manager di Google dal momento che “la responsabilità per il trattamento dei dati è legata al mancato adempimento di specifiche condizioni che rendono lecito l’uso di tali dati, ma tali condizioni non possono che essere messe in capo al titolare, al “controller” dei dati medesimi. […]Trattare un video, acquisirlo, memorizzarlo, cancellarlo, non può significare di per sé trattamento di dati sensibili”.
La Cassazione ha confermato in toto la decisione della Corte d’Appello. Sono particolarmente interessanti le motivazioni della sentenza in cui, dopo un excursus sulla normativa vigente con esplicito riferimento al Codice della Privacy e al D.Lgs 9 aprile 2003 n. 70, la Corte enuclea una serie di principi fondamentali in relazione alla responsabilità, qualificazione e ruolo degli intermediari della Rete, quale, di fatto, è Google. Vengono infatti chiariti:
– gli obblighi dell’host provider: la Corte chiarisce che, proprio in relazione alla natura del servizio reso, non vi è in capo al provider, sia esso anche host provider, alcun obbligo generale di sorveglianza dei dati immessi dai terzi, né alcun obbligo sanzionato penalmente di informare il terzo sulla disciplina relativa al trattamento dei dati, fatto salvo l’obbligo, su comunicazione delle autorità competenti, di agire immediatamente per rimuovere eventuali contenuti illeciti;
– la qualifica di host provider e la titolarità del trattamento dei dati immessi in Rete. La Corte afferma che “la posizione di Google Italia e dei suoi responsabili è quella di mero Internet host provider, soggetto che si limita a fornire agli utenti una piattaforma sulla quale caricare liberamente i loro video, del cui contenuto” gli uploader “restano gli esclusivi responsabili”. Pertanto Google, nel caso di specie, non può essere qualificato quale “titolare” del trattamento dei dati immessi poiché, pur svolgendo materialmente un “trattamento” dei dati in questione, non ha il potere decisionale in ordine alle finalità, alle modalità di trattamento e ai mezzi utilizzati (decisioni che spettano invece all’uploader del video); la Corte, richiamandosi alle conclusioni dell’Avvocato Generale presentate avanti alla Corte di Giustizia nella causa C-131/12*, specifica che la qualifica di titolare dei dati personali può al contrario configurarsi nel momento in cui l’host provider “incida direttamente sulla struttura degli indici di ricerca, ad esempio favorendo o rendendo più difficile il reperimento di un determinato sito”.
La sentenza della Corte, escludendo che la responsabilità di violazioni compiute caricando user generated content possa essere ricondotta a chi si occupa della gestione della piattaforma, essendo quest’ultima attività di mero hosting, e individuando quale esclusivo titolare e responsabile del trattamento di eventuali dati sensibili ivi contenuti l’uploader, rappresenta uno snodo importante dell’evoluzione giurisprudenziale in una materia complessa che, non si dubita, conoscerà ancora molti sviluppi.
*Aggiornamento del 26.08.2014: il 15 maggio 2014 la Corte di Giustizia si è espressa sulla domanda di pronuncia pregiudiziale proposta nella causa C131/12, offrendo un’interpretazione dell’articolo 2 della direttiva 95/46/CE contraria a quella sostenuta dall’Avv. Generale, su cui si è in parte fondata la decisione della Corte di Cassazione nella sentenza qui trattata. Nello specifico la Corte di Giustizia afferma che “l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali», ai sensi del citato articolo 2, lettera b), qualora tali informazioni contengano dati personali, e che, dall’altro lato, il gestore di detto motore di ricerca deve essere considerato come il «responsabile» del trattamento summenzionato“.