Sei sulla pagina 1di 13

Responsabilit del provider

CASSAZIONE PENALE , sez. III, 3 febbraio 2014, n. 5107 (u.p. 17 dicembre 2013) - Pres. Man-
nino - Rel. Andronio - P.M. Fraticelli - Ric. Procuratore generale della Repubblica presso la Cor-
te d'appello di Milano
Se il concetto di trattamento assai ampio, perch comprensivo di ogni operazione che abbia ad oggetto
dati personali, indipendentemente dai mezzi e dalle tecniche utilizzati, il concetto di titolare assai pi spe-
cifico perch si incentra sull'esistenza di un potere decisionale in ordine alle finalit, alle modalit del tratta-
mento dei dati personali e agli strumenti utilizzati. Il titolare del trattamento non chiunque materialmente
svolga il trattamento stesso, ma solo il soggetto che possa determinarne gli scopi, i modi, i mezzi. Il gestore
del servizio di hosting service non ha alcun controllo sui dati memorizzati, n contribuisce in alcun modo alla
loro scelta o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all'utente destina-
tario del servizio che li carica sulla piattaforma messa a sua disposizione.
ORIENTAMENTI GIURISPRUDENZIALI
Conforme App. Milano, 21 dicembre 2012, n. 8611
Difforme Trib. Milano, 12 aprile 2010, n. 1972,
Omissis
Considerato in diritto
5. - Il ricorso del Procuratore generale non fondato.
6. - La complessit e la novit delle questioni trattate
impongono una sintetica ricostruzione del quadro nor-
mativo interno di riferimento.
6.1. - Il comma 1 dell'art. 4 del Codice privacy reca le se-
guenti definizioni: "a) "trattamento", qualunque operazio-
ne o complesso di operazioni, effettuati anche senza l'au-
silio di strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la con-
sultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la diffusione, la cancellazione
e la distruzione di dati, anche se non registrati in una
banca di dati; b) "dato personale", qualunque informazio-
ne relativa a persona fisica, identificata o identificabile,
anche indirettamente, mediante riferimento a qualsiasi
altra informazione, ivi compreso un numero di identifica-
zione personale; ... d) "dati sensibili", i dati personali ido-
nei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politi-
che, l'adesione a partiti, sindacati, associazioni od orga-
nizzazioni a carattere religioso, filosofico, politico o sinda-
cale, nonch i dati personali idonei a rivelare lo stato di
salute e la vita sessuale;... f) "titolare", la persona fisica,
la persona giuridica, la pubblica amministrazione e qual-
siasi altro ente, associazione od organismo cui competo-
no, anche unitamente ad altro titolare, le decisioni in or-
dine alle finalit, alle modalit del trattamento di dati
personali e agli strumenti utilizzati, ivi compreso il profilo
della sicurezza; g) "responsabile", la persona fisica, la per-
sona giuridica, la pubblica amministrazione e qualsiasi al-
tro ente, associazione od organismo preposti dal titolare
al trattamento di dati personali; ... i) "interessato", la per-
sona fisica, cui si riferiscono i dati personali; l) "comuni-
cazione", il dare conoscenza dei dati personali a uno o
pi soggetti determinati diversi dall'interessato, dal rap-
presentante del titolare nel territorio dello Stato, dal re-
sponsabile e dagli incaricati, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a
soggetti indeterminati, in qualunque forma, anche me-
diante la loro messa a disposizione o consultazione".
6.2. - L'art. 13 del Codice Privacy prevede, al comma 1,
che:
L'interessato o la persona presso la quale sono raccolti
i dati personali sono previamente informati oralmente o
per iscritto circa:
a) le finalit e le modalit del trattamento cui sono desti-
nati i dati; b) la natura obbligatoria o facoltativa del con-
ferimento dei dati; c) le conseguenze di un eventuale ri-
fiuto di rispondere; d) i soggetti o le categorie di soggetti
ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza in qualit di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi; e) i
diritti di cui all'art. 7; f) gli estremi identificativi del tito-
lare e, se designati, del rappresentante nel territorio dello
Stato ai sensi dell'art. 5 e del responsabile.
Quando il titolare ha designato pi responsabili indi-
cato almeno uno di essi, indicando il sito della rete di
comunicazione o le modalit attraverso le quali cono-
scibile in modo agevole l'elenco aggiornato dei respon-
sabili. Quando stato designato un responsabile per il
riscontro all'interessato in caso di esercizio dei diritti di
cui all'art. 7, indicato tale responsabile.
Prevede inoltre, al comma 4, che, Se i dati personali
non sono raccolti presso l'interessato, l'informativa di
cui al comma 1, comprensiva delle categorie di dati
trattati, data al medesimo interessato all'atto della re-
gistrazione dei dati o, quando prevista la loro comuni-
cazione, non oltre la prima comunicazione.
Giurisprudenza
Diritto civile
798 il Corriere giuridico 6/2014
La violazione delle disposizioni dell'art. 13 punita dal
successivo art. 161 del Codice privacy con la sanzione
amministrativa del pagamento di una somma di denaro.
6.3. - L'art. 17 dello stesso Codice prevede, poi, che il
trattamento di dati che presentano rischi specifici per i
diritti e le libert fondamentali, nonch per la dignit
dell'interessato, in relazione alla natura dei dati o alle
modalit del trattamento o agli effetti che pu determi-
nare, ammesso nel rispetto di misure ed accorgimenti a
garanzia dell'interessato, ove prescritti. Tali misure e ac-
corgimenti sono prescritti dal Garante in applicazione
dei principi sanciti dal presente codice, nell'ambito di
una verifica preliminare all'inizio del trattamento, effet-
tuata anche in relazione a determinate categorie di tito-
lari o di trattamenti, anche a seguito di un interpello del
titolare.
6.4. - L'art. 23 dispone - per quanto qui rileva - che il trat-
tamento di dati personali da parte di privati o di enti pub-
blici economici ammesso solo con il consenso espresso
dell'interessato e che tale consenso manifestato in forma
scritta quando il trattamento riguarda dati sensibili.
6.5. - Il successivo art 26, dopo avere affermato, al com-
ma 1, che i dati sensibili possono essere oggetto di
trattamento solo con il consenso scritto dell'interessato
e previa autorizzazione del Garante, nell'osservanza dei
presupposti e dei limiti stabiliti dal presente codice,
nonch dalla legge e dai regolamenti, prevede, al com-
ma 5, che i dati idonei a rivelare lo stato di salute non
possono essere diffusi.
6.6. - La violazione di tali ultime disposizioni sanziona-
ta dall'art. 167, a norma del quale, 1. Salvo che il fatto
costituisca pi grave reato, chiunque, al fine di trame per
s o per altri profitto o di recare ad altri un danno, proce-
de al trattamento di dati personali in violazione di quan-
to disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero
in applicazione dell'art. 129, punito, se dal fatto deriva
nocumento, con la reclusione da sei a diciotto mesi o, se
il fatto consiste nella comunicazione o diffusione, con la
reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca pi grave reato, chiun-
que, al fine di trame per s o per altri profitto o di reca-
re ad altri un danno, procede al trattamento di dati per-
sonali in violazione di quanto disposto dagli artt. 17,
20, 21 e art. 22, commi 8 e 11, artt. 25, 26, 27 e 45,
punito, se dal fatto deriva nocumento, con la reclusione
da uno a tre anni.
6.7. - A tale disciplina si affianca quella contenuta nel
d.lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva
2000/31/CE relativa a taluni aspetti giuridici dei servizi
della societ dell'informazione nel mercato interno, con
particolare riferimento al commercio elettronico), che
all'art. 1, comma 2, alinea e lett. b), dispone che Non
rientrano nel campo di applicazione del presente decre-
to: ... b) le questioni relative al diritto alla riservatezza,
con riguardo al trattamento dei dati personali nel setto-
re delle telecomunicazioni di cui alla L. 31 dicembre
1996, n. 675, e al d.lgs. 13 maggio 1998, n. 171, e suc-
cessive modificazioni.
6.8. - Quanto alla responsabilit nell'attivit di memoriz-
zazione di informazioni (hosting), il successivo art. 16 del
medesimo d.lgs. n. 70 del 2003 prevede che, 1. Nella
prestazione di un servizio della societ dell'informazione,
consistente nella memorizzazione di informazioni fornite
da un destinatario del servizio, il prestatore non respon-
sabile delle informazioni memorizzate a richiesta di un
destinatario del servizio, a condizione che detto prestato-
re: a) non sia effettivamente a conoscenza del fatto che
l'attivit o l'informazione illecita e, per quanto attiene
ad azioni risarcitorie, non sia al corrente di fatti o di cir-
costanze che rendono manifesta l'illiceit dell'attivit o
dell'informazione; b) non appena a conoscenza di tali fat-
ti, su comunicazione delle autorit competenti, agisca
immediatamente per rimuovere le informazioni o per di-
sabilitarne l'accesso.
2. Le disposizioni di cui al comma 1 non si applicano se
il destinatario del servizio agisce sotto l'autorit o il
controllo del prestatore.
3. L'autorit giudiziaria o quella amministrativa compe-
tente pu esigere, anche in via d'urgenza, che il presta-
tore, nell'esercizio delle attivit di cui al comma 1, im-
pedisca o ponga fine alle violazioni commesse.
6.9. - Infine, a norma del successivo art. 17 (Assenza
dell'obbligo generale di sorveglianza), 1. Nella presta-
zione dei servizi di cui agli artt. 14, 15 e 16, il prestatore
non assoggettato ad un obbligo generale di sorveglian-
za sulle informazioni che trasmette o memorizza, n ad
un obbligo generale di ricercare attivamente fatti o cir-
costanze che indichino la presenza di attivit illecite. 2.
Fatte salve le disposizioni di cui agli artt. 14, 15 e 16, il
prestatore comunque tenuto: a) ad informare senza in-
dugio l'autorit giudiziaria o quella amministrativa
avente funzioni di vigilanza, qualora sia a conoscenza di
presunte attivit o informazioni illecite riguardanti un
suo destinatario del servizio della societ dell'informa-
zione; b) a fornire senza indugio, a richiesta delle auto-
rit competenti, le informazioni in suo possesso che
consentano l'identificazione del destinatario dei suoi
servizi con cui ha accordi di memorizzazione dei dati, al
fine di individuare e prevenire attivit illecite.
3. Il prestatore civilmente responsabile del contenuto
di tali servizi nel caso in cui, richiesto dall'autorit giu-
diziaria o amministrativa avente funzioni di vigilanza,
non ha agito prontamente per impedire l'accesso a det-
to contenuto, ovvero se, avendo avuto conoscenza del
carattere illecito o pregiudizievole per un terzo del con-
tenuto di un servizio al quale assicura l'accesso, non ha
provveduto ad informarne l'autorit competente.
7. - Dall'esame complessivo delle disposizioni riportate
emerge che nessuna di esse prevede che vi sia in capo
al provider, sia esso anche un hosting provider, un obbligo
generale di sorveglianza dei dati immessi da terzi sul sito
da lui gestito. N sussiste in capo al provider alcun ob-
bligo sanzionato penalmente di informare il soggetto
che ha immesso i dati dell'esistenza e della necessit di
fare applicazione della normativa relativa al trattamento
dei dati stessi.
7.1. - A tali conclusioni si giunge muovendo dall'analisi
delle definizioni di "trattamento" e "titolare del tratta-
mento" fornite dal richiamato art. 4 del Codice privacy.
Infatti, se non vi dubbio che il concetto di "tratta-
Giurisprudenza
Diritto civile
il Corriere giuridico 6/2014 799
mento" sia assai ampio, perch comprensivo di ogni
operazione che abbia ad oggetto dati personali, indipen-
dentemente dai mezzi e dalle tecniche utilizzati, il con-
cetto di "titolare" , invece, assai pi specifico, perch
si incentra sull'esistenza di un potere decisionale in or-
dine alle finalit, alle modalit del trattamento di dati
personali e agli strumenti utilizzati. Dalla definizione le-
gislativa si desume, in altri termini, che titolare del trat-
tamento non chiunque materialmente svolga il tratta-
mento stesso, ma solo il soggetto che possa determinar-
ne gli scopi, i modi, i mezzi.
Dal complesso dei precetti fissati dagli artt. 13, 17, 23,
26 del Codice privacy, interpretati in combinato disposto
con le norme sanzionatorie degli artt. 161 e 167 stesso
Codice emerge, poi, che essi sono tutti diretti al titolare
del trattamento, eventualmente nella persona del "re-
sponsabile", ovvero del soggetto preposto al trattamento
stesso dal titolare, ai sensi dell'art. 4, comma 1, lett. g).
Tali disposizioni presuppongono, infatti, l'esistenza di un
effettivo potere decisionale circa: a) le finalit e le moda-
lit del trattamento cui sono destinati i dati e la comuni-
cazione eventuale dei dati stessi ad altri soggetti, anche
attraverso la designazione dei responsabili (art. 13); b) la
gestione dei rischi specifici "per i diritti e le libert fon-
damentali, nonch per la dignit dell'interessato, in rela-
zione alla natura dei dati o alle modalit del trattamento"
(art. 17); c) la ricezione del consenso degli interessati,
nel rispetto dei divieti legge (artt. 23 e 26).
Ne deriva, pi in particolare, che i reati di cui all'art.
167 del Codice privacy - per i quali qui si procede - de-
vono essere intesi come reati propri, trattandosi di con-
dotte che si concretizzano in violazioni di obblighi dei
quali destinatario in modo specifico il solo titolare del
trattamento e non ogni altro soggetto che si trovi ad
avere a che fare con i dati oggetto di trattamento senza
essere dotato dei relativi poteri decisionali.
7.2. - Tali conclusioni trovano applicazione anche con ri-
guardo alla figura dell'internet hosting provider, perch esso
definito dall art. 16 d.lgs. n. 70 del 2003, come colui
che si limita a prestare un servizio consistente nella me-
morizzazione di informazioni fornite da un destinatario del
servizio. Da tale definizione, interpretata nel contesto
complessivo dello stesso art. 16, emerge, infatti, che il ge-
store del servizio di hosting non ha alcun controllo sui da-
ti memorizzati, n contribuisce in alcun modo alla loro
scelta, alla loro ricerca o alla formazione del file che li
contiene, essendo tali dati interamente ascrivibili all'uten-
te destinatario del servizio che li carica sulla piattaforma
messa a sua disposizione. A tale proposito, risulta significa-
tivo che, secondo l'espressa previsione dello stesso art. 16,
lo hosting provider non sia responsabile delle informazioni
memorizzate a richiesta di un destinatario del servizio.
E ci, alla duplice condizione: che il provider non sia
effettivamente a conoscenza del fatto che l'attivit o
l'informazione illecita e, per quanto attiene ad azioni
risarcitorie, non sia al corrente di fatti o di circostanze
che rendono manifesta l'illiceit dell'attivit o dell'in-
formazione;
che, non appena a conoscenza di tali fatti, su comunica-
zione delle autorit competenti, agisca immediatamente
per rimuovere le informazioni o per disabilitarne l'acces-
so. Cos disponendo, in conformit della direttiva
2000/31/CE, il legislatore ha inteso porre quali presuppo-
sti della responsabilit del provider proprio la sua effetti-
va conoscenza dei dati immessi dall'utente e l'eventuale
inerzia nella rimozione delle informazioni da lui cono-
sciute come illecite. Se ne desume, ai fini della ricostru-
zione interpretativa della figura del titolare del tratta-
mento dei dati, che il legislatore ha inteso far coincidere
il potere decisionale sul trattamento con la capacit di
concretamente incidere su tali dati, che non pu prescin-
dere dalla conoscenza dei dati stessi. In altri termini, fin-
ch il dato illecito sconosciuto al service provider, que-
sto non pu essere considerato quale titolare del tratta-
mento, perch privo di qualsivoglia potere decisionale
sul dato stesso;
quando, invece, il provider sia a conoscenza del dato il-
lecito e non si attivi per la sua immediata rimozione o
per renderlo comunque inaccessibile esso assume a pie-
no titolo la qualifica di titolare del trattamento ed ,
dunque, destinatario dei precetti e delle sanzioni penali
del Codice privacy. In via generale, sono, dunque gli
utenti ad essere titolari del trattamento dei dati perso-
nali di terzi ospitati nei servizi di hosting e non i gestori
che si limitano a fornire tali servizi.
7.3. - L'interpretazione appena delineata risulta ulterior-
mente confermata dal tenore letterale del successivo art.
17 - applicabile a tutte le categorie di provider disciplina-
te dagli artt. precedenti, ivi compreso lo hosting service
provider - che esclude la configurabilit di un obbligo ge-
nerale di sorveglianza sulle informazioni trasmesse o me-
morizzate e di un obbligo generale di ricercare attivamen-
te eventuali illeciti. La stessa disposizione individua il
punto di equilibrio fra la libert del provider e la tutela
dei soggetti eventualmente danneggiati nella fissazione di
obblighi di informazione alle autorit, a carico dello stes-
so provider, relativamente a presunte attivit o informa-
zioni illecite dei quali sia venuto a conoscenza, anche al
fine di consentire l'individuazione dei responsabili.
N a tale conclusione pu obiettarsi - come fa il Procura-
tore generale con il secondo motivo di ricorso - che lart.
1 comma 2, lett. b), d.lgs. n. 70 del 2003, prevede espres-
samente che non rientrano nel campo di applicazione del-
la normativa sul commercio elettronico le questioni relati-
ve al diritto alla riservatezza, con riguardo al trattamento
dei dati personali nel settore delle telecomunicazioni.
La richiamata disciplina sul commercio elettronico vie-
ne infatti in rilievo - come visto - non in via diretta ma
solo in via interpretativa, al fine di chiarire ulterior-
mente e confermare la portata che la disciplina in ma-
teria di privacy ha gi di per s.
In questo quadro, la definizione di Internet hosting provider
contenuta nel richiamato art. 16 d.lgs. n. 70 del 2003,
deve essere intesa come meramente ripetitiva della no-
zione comune di Internet hosting provider gi desumibile
dal linguaggio utilizzato dagli operatori informatici. Si
tratta, peraltro, di una nozione che si pone in linea con
l'orientamento del gruppo di lavoro istituito dall'art. 29
della direttiva 95/46/CE e composto dai rappresentanti
delle autorit garanti in materia di privacy dei singoli
Giurisprudenza
Diritto civile
800 il Corriere giuridico 6/2014
Stati membri; organo consultivo indipendente avente il
compito di esaminare le questioni attinenti all'applicazio-
ne delle norme nazionali di attuazione di detta direttiva.
Nei suoi pareri (v., in particolare, il n. 5 del 2009 e il n.
1 del 2010, in ec.europa.eu/justice/policies/docs) si eviden-
zia, in particolare, che i titolari del trattamento dei dati
caricati in siti di hosting sono i singoli utenti che li han-
no caricati e che l'essere titolare del trattamento deriva
dal fatto concreto che un soggetto abbia scelto di trattare
dati personali per propri fini; con la conseguenza che la
persona che pu essere chiamata a rispondere delle viola-
zioni delle norme sulla protezione dei dati sempre il ti-
tolare del trattamento e non il mero hosting provider.
Analoghe considerazioni vengono svolte, a proposito del
fornitore di servizi di motore di ricerca su Internet, ai
punti 84 e seguenti delle conclusioni dell'Avvocato ge-
nerale presentate il 25 giugno 2013 di fronte alla Corte
di giustizia nella causa C-131/12 (Google Spain SL e Goo-
gle Inc. contro Agencia Espanda de Proteccion de Datos e
Mario Costeja Gonzalez), laddove si precisa, in particola-
re, che tale fornitore riconducibile alla categoria dei ti-
tolari del trattamento di dati solo laddove incida diretta-
mente sulla struttura degli indici di ricerca, ad esempio
favorendo o rendendo pi difficile il reperimento di un
determinato sito.
7.4. - A tali considerazioni deve aggiungersi, infine, che
la clausola di cui all'art. 1, comma 5, lettera b), della di-
rettiva sul commercio elettronico, ripresa da quella con-
tenuta nell art. 1, comma 2, lett. b), d.lgs. n. 70 del
2003, non ha di per s la funzione di rendere inoperanti
comunque in ogni fattispecie che riguardi la materia
della protezione dei dati personali le norme in materia
di commercio elettronico. Pi semplicemente, detta
clausola ha la funzione di chiarire che la tutela dei dati
personali disciplinata da un corpus normativo diverso
da quello sul commercio elettronico;
corpus normativo che rimane applicabile in ambito te-
lematico anche in seguito all'emanazione della normati-
va sul commercio elettronico. Da ci discende l'ovvia
conseguenza che l'applicazione delle norme in materia
di commercio elettronico deve avvenire in armonia con
le norme in materia di tutela dei dati personali; armonia
perfettamente riscontrabile - come appena visto - nel
caso della determinazione dell'ambito di responsabilit
penale dell'Internet hosting provider relativamente ai dati
sensibili caricati dagli utenti sulla sua piattaforma. Tale
interpretazione trova piena conferma, inoltre, nella Pri-
ma relazione della Commissione in merito all'applica-
zione della direttiva 2000/31/CE, del 21 novembre
2003, in cui si legge, al paragrafo 4.6, che le limitazioni
della responsabilit giuridica stabilite dalla direttiva sul
commercio elettronico hanno carattere generale e co-
prono tanto la responsabilit civile quanto quella pena-
le, per tutti i tipi di attivit illegali intraprese da terzi.
Un'ulteriore conferma data, poi, dalla sentenza della
Corte di giustizia dell'Unione Europea 23 marzo 2010,
nei procedimenti da C- 236/08 a C-238/08 (punto 120),
nella quale si afferma che l'art. 14 della Direttiva sul
commercio elettronico (corrispondente allart. 16 d.lgs.
n. 70 del 2003) deve essere interpretato nel senso che si
applica al prestatore di un servizio di posizionamento su
Internet qualora detto prestatore non abbia svolto un
ruolo attivo a conferire la conoscenza o il controllo dei
dati memorizzati. Se non ha svolto un tale ruolo, il provi-
der non pu essere ritenuto responsabile per i dati che ha
memorizzato, salvo che, essendo venuto a conoscenza
della natura illecita di tali dati, abbia omesso di pronta-
mente rimuoverli o di disabilitare l'accesso agli stessi.
8. - I principi appena enunciati trovano applicazione
anche nel caso in esame, nel quale, in estrema sintesi:
a) il video raffigurante un soggetto affetto da sindrome
di Down ingiuriato e preso in giro dai suoi compagni
proprio in relazione alla sua particolare sindrome era
stato caricato su Google video, servizio di Internet ho-
sting, all'insaputa di tale soggetto; b) nei giorni 5 e 6
novembre 2006 alcuni utenti avevano segnalato la pre-
senza del video sul sito e ne avevano chiesto la rimozio-
ne; c) la rimozione era stata chiesta dalla Polizia postale
il 7 novembre 2006; d) in quello stesso giorno il video
era stato rimosso dal provider.
La posizione di Google Italia S.r.l. e dei suoi responsabili,
imputati nel presente procedimento, infatti quella di
mero Internet host provider, soggetto che si limita a fornire
una piattaforma sulla quale gli utenti possono liberamen-
te caricare i loro video; video del cui contenuto restano
gli esclusivi responsabili. Ne consegue che gli imputati
non sono titolari di alcun trattamento e che gli unici ti-
tolari del trattamento dei dati sensibili eventualmente
contenuti nei video caricati sul sito sono gli stessi utenti
che li hanno caricati, ai quali soli possono essere applica-
te le sanzioni, amministrative e penali, previste per il ti-
tolare del trattamento dal Codice privacy.
8.1. - Tale essendo l'ambito nel quale va inquadrata la
fattispecie concreta, deve rilevarsi che il primo motivo
di ricorso infondato.
Il ricorrente lamenta, in particolare, che la Corte d'ap-
pello non avrebbe considerato che, per i dati idonei a
rivelare lo stato di salute, vige un divieto assoluto di lo-
ro diffusione anche in presenza del consenso dell'inte-
ressato, ai sensi dell art. 26, comma 5 d.lgs. n. 196 del
2003. Non si sarebbe considerato, inoltre, che lo sta-
tus di soggetto affetto da sindrome di Down del ragazzo
ripreso era ben percepibile dalla visione del video e ri-
sultava dal titolo del video stesso.
Quanto al primo di tali rilievi - ulteriormente sviluppato
nell'ambito del terzo motivo di ricorso - deve premettersi
che, secondo quanto affermato dalla giurisprudenza di
questa Corte, pur nel diverso ambito del bilanciamento
fra diritto di cronaca e protezione dei dati personali (sez.
3, 4 maggio 2011, n. 17215), la pubblicazione di un'im-
magine che rappresenti le condizioni di salute di un sog-
getto - si trattava in quel caso della foto di una persona
ricoverata in fin di vita con il volto devastato da un colpo
di arma da fuoco - configura un trattamento di dati perso-
nali. E ci, perch - come gi osservato - il concetto di
"trattamento" assai ampio e prescinde dall'inserimento
dei dati in una vera e propria banca-dati, potendosi con-
cretizzare in qualunque operazione di utilizzazione e diffu-
sione di tali dati, anche per mezzo della rappresentazione
fotografica o della ripresa video.
Giurisprudenza
Diritto civile
il Corriere giuridico 6/2014 801
Ne consegue - con riferimento al caso di specie - che la
realizzazione e il caricamento sul sito del video da parte
degli utenti del servizio Google video configura un
"trattamento" ai sensi dell'art. 4, comma 1, lett. a), del
Codice privacy, effettuato in violazione del divieto di
diffusione dei dati idonei a rilevare lo stato di salute fis-
sato dal successivo art. 26, comma 5.
Circa i responsabili della violazione, deve per ribadirsi
che - contrariamente a quanto sostenuto dal ricorrente
- questi sono da identificarsi con gli utenti che hanno
caricato il video sulla piattaforma Google video e non
con i soggetti responsabili per la gestione di tale piatta-
forma, trattandosi, come gi ampiamente visto, di un
mero servizio di hosting. Ed proprio la natura del servi-
zio reso ad escludere anche la fondatezza del secondo
dei rilievi svolti dal Procuratore generale nell'ambito
del primo motivo di ricorso, non essendo configurabile
alcun obbligo generale di controllo in capo ai rappre-
sentanti di Google Italy s.r.l., gestore del servizio stesso.
8.2. - Sull'infondatezza del secondo motivo di ricorso,
relativamente alla pretesa inapplicabilit della normati-
va sul commercio elettronico alle questioni relative al
diritto alla riservatezza, sufficiente qui richiamare le
considerazioni gi ampiamente svolte sub 7.3.
Quanto alla pretesa non riconducibilit dell'attivit
svolta da Google Italy s.r.l. alla categoria dell'hosting,
devono essere invece richiamati i rilievi sub 8., doven-
dosi ribadire che nel caso di specie il provider si limita-
to a fornire ospitalit ai video inseriti dagli utenti, senza
fornire alcun contributo nella determinazione del con-
tenuto dei video stessi.
8.3. - Analoghe considerazioni valgono con riferimento al
terzo motivo di doglianza, con cui si deduce l'inosservanza
degli artt.167, 13, 23 e 4, d.lgs. n. 196 del 2003, e si affer-
ma che, secondo l'art. 13, comma 4, richiamato, se i dati
personali non sono raccolti presso l'interessato, l'informa-
tiva di cui al comma 1, comprensiva delle categorie dei
dati trattati, deve essere data dal provider all'interessato al-
l'atto della registrazione dei dati o, quando prevista la
loro comunicazione, non oltre la prima comunicazione.
Va infatti rilevato che nessuno obbligo sussiste in capo al
provider, non essendo questo, ma il singolo utente il re-
sponsabile del trattamento dei dati personali contenuti
nel video caricato dall'utente stesso. E ci, a prescindere
dall'ulteriore analisi del quadro normativo, dalla quale
emerge con chiarezza che l'eventuale violazione dell'art.
13 del Codice privacy sanzionata in via meramente
amministrativa dal successivo art. 161 e non rientra, in-
vece, fra quelle sanzionate penalmente dall'art. 167.
Il ricorrente afferma, poi, che vi sarebbe una qualche
analogia tra la fattispecie per la quale qui si procede e
quella esaminata dalla sentenza Cass., sez. III, 24 mag-
gio 2012, n. 23798, con la quale era stata affermata la
responsabilit penale del legale rappresentante e del re-
sponsabile della privacy di una societ, per illecito trat-
tamento di dati personali, in relazione al caso di passag-
gio di mano di un database formato da centinaia di mi-
gliaia di indirizzi e- mail, per la mancanza dell'informa-
tiva volta ad acquisire il consenso degli interessati.
Tale affermazione non merita, all'evidenza, di essere
condivisa perch non tiene conto delle peculiarit della
posizione dell'Internet host provider pi volte evidenziate
rispetto alla posizione di un soggetto che, detenendo
una vera e propria banca dati contenente gli indirizzi di
una serie di soggetti, che lui stesso ha formato e gestito
e della quale conosce fin dall'inizio il contenuto e le fi-
nalit, la cede ad un altro soggetto senza preoccuparsi
di acquisire il consenso degli interessati.
8.4. - I rilievi finora svolti conducono ad escludere in ra-
dice la configurabilit, sotto il profilo oggettivo, di una re-
sponsabilit penale dell'Internet host provider e rendono,
dunque, superfluo l'esame del quarto motivo di ricorso e
dei correlati rilievi contenuti nella memoria difensiva re-
lativamente alla configurabilit dell'elemento soggettivo
del reato. E ci, a prescindere dall'ulteriore considerazione
che la mancanza di una conoscenza, in capo al provider,
del dato sensibile contenuto nel video caricato dagli uten-
ti sul suo sito e la mancanza di un obbligo generale di sor-
veglianza inducono ad escludere comunque - come ben
evidenziato dalla Corte d'appello - la rappresentazione e
la conseguente volizione da parte degli imputati del fatto
tipico, costituito dall'abusivo trattamento di tale dato.
Omissis
Cassazione e Corte di giustizia alle prese con la tutela
della privacy sui servizi di Google
di Elena Falletti (*)
Dopo otto anni giunge al capolinea del giudicato la vicenda processuale seguita alla pubblicazione di un
video ripreso durante l'orario scolastico pubblicato online e raffigurante uno studente vittima del bullismo
dei suoi compagni a causa della sindrome di Down. La Corte di cassazione definisce i compiti e distingue
i ruoli del titolare del trattamento di dati personali da quello di Internet Service Provider.
(*) Il contributo stato sottoposto, in forma anonima, alla
valutazione di un referee.
Giurisprudenza
Diritto civile
802 il Corriere giuridico 6/2014
Introduzione
La vicenda in commento molto nota ed stata
ampiamente commentata sia a livello nazionale sia
a quello internazionale (1). Come si ricorder essa
concerne il processo penale a carico di tre manager
di vertice di Google prima condannati dal Tribu-
nale di Milano e poi assolti dalla Corte d'Appello
del medesimo distretto (2) per aver divulgato un
video contenente dati sensibili relativi a un ragazzo
sofferente di handicap ripreso durante l'orario sco-
lastico mentre veniva preso in giro con frasi of-
fensive e azioni vessatorie riferite alla sua sindrome
da parte di altri soggetti minorenni (3). Il reato
per il quale il Procuratore generale della Repubbli-
ca di Milano ha presentato ricorso concerneva la
violazione degli artt. 110 c.p., 167 commi 1 e 2 del
d. lgs 196/2003 poich in concorso tra loro e nelle
loro rispettive qualit (amministratori delegati di
Google Italy e responsabile della policy sulla priva-
cy di Google Italy) procedevano al trattamento dei
dati personali in violazione degli artt. 23, 17 e 26
del medesimo decreto legislativo. Si contesta la
condotta omissiva sull'informativa in materia di
privacy, visualizzabile in italiano dalla pagina ini-
ziale del servizio di Google Video, in sede di atti-
vazione dell'account, al fine di uploadare file, in
considerazione a quanto stabilito dall'art. 13, com-
ma 1 e del consenso validamente espresso ex art.
23, comma 3. Ulteriormente, la violazione ipotizza-
ta riguarda anche l'art. 26, cit. relativamente allo
svelamento di dati idonei a divulgare lo stato di sa-
lute della persona inquadrata nel video, nonch
l'art. 17 per gli specifici rischi insiti nel trattamen-
to omesso, in particolare in relazione alle concrete
misure organizzative da prestare.
Motivi di impugnazione del Procuratore
Generale della Repubblica di Milano e le
difese delle parti
La sentenza della Corte d'appello di Milano ha
assolto gli imputati poich l'art. 167 del D. Lgs. n.
196/20113 non richiama l'art. 13 e pertanto non
sarebbe stato possibile identificare un obbligo coer-
citivo a carico dell'internet provider di rendere edot-
to l'utente degli obblighi di protezione della priva-
cy. A questo proposito viene ricordato che l'even-
tuale violazione del summenzionato art. 13, consi-
stente nell'omessa ovvero inidonea informativa al-
l'interessato sarebbe punita non dall'art. 167, ma
dall'art. 161 del medesimo d. lgs., che per prevede
una sanzione amministrativa. I giudici d'appello
hanno escluso l'applicabilit del concorso omissivo
nel reato contestato e, poich gli imputati non era-
no preventivamente a conoscenza del filmato e
della pubblicazione del dato sensibile pubblicato,
hanno affermato l'insussistenza concreta del dolo
specifico previsto dalla norma incriminatrice. Infi-
ne, la sentenza d'appello ha giudicato del tutto
fuorviante la configurabilit del dolo eventuale co-
me invece sostenuto dal Tribunale nella sentenza
di prime cure.
Il Procuratore generale della Repubblica presso
la Corte d'appello di Milano ha impugnato in Cas-
sazione con quattro motivi di ricorso, che sono
riassumibili come segue: 1) l'erronea applicazione
dell'art. 26 d. lgs. 196/2003 si fonda sul divieto as-
soluto di divulgazione dei dati idonei a rivelare lo
stato di salute di un soggetto, previsto dal 5 comma
del citato articolo; 2) la normativa sul commercio
elettronico stata erroneamente e immotivata-
mente applicata. Infatti, l'art. 1, comma 2, lett. b)
del d. lgs. n. 70/2003 espressamente stabiliscono
che non rientrano nell'ambito applicativo di siffat-
ta normativa le questioni relative al diritto alla ri-
servatezza, relativamente al trattamento dei dati
personali nel settore delle telecomunicazioni. Inol-
tre, sul punto, il giudice d'appello non avrebbe
compiutamente considerato che il riconoscimento
della natura di host attivo a Google Video non pu
che comportare l'esclusione della clausola di limi-
tazione della responsabilit ex art. 16, comma 1,
del d. lgs. 70/2003. Infatti, l'art. 14 della Direttiva
2000/31/CE avrebbe dovuto essere interpretato nel
senso che la limitazione della responsabilit si sa-
rebbe dovuta estendere al prestatore del servizio su
Internet nel caso in cui detto prestatore non avesse
svolto un ruolo attivo relativamente alla conoscen-
za e al controllo dei dati raccolti; 3) gli artt. 167,
12, 13, 4 del d. lgs. n. 196/2003 sono stati violati
poich, la distinzione tra la ripresa video e il dato
personale oggetto della ripresa video consisterebbe
in un mero artificio retorico che non consentireb-
be di escludere l'applicazione della disciplina sulla
(1) Noah C.N. Hampson, The Internet Is Not a Lawless Prai-
rie: Data Protection and Privacy in Italy, 34 B.C. Int'l & Comp. L.
Rev. 477, 479-80 (2011); M. Cunningham, Privacy In The Age
Of The Hacker: Balancing Global Privacy And Data Security
Law, 44 Geo. Wash. Int'l L. Rev. 643, (2012), 661.
(2) App. Roma, sez. I pen., 27 febbraio 2013, in questa Rivi-
sta, 2013, 7, 921 con nota di E. Falletti, Google v. Vividown, at-
to II: il service provider assolto anche per violazione della priva-
cy.
(3) Cass., sez. III , Pen. 17 dicembre 2013 - 3 febbraio
2014, n. 5107.
Giurisprudenza
Diritto civile
il Corriere giuridico 6/2014 803
privacy. A questo proposito occorre osservare che
se si fosse riconosciuta a Google Video la natura di
host attivo si sarebbe integrata la sussistenza della
qualifica di titolari del trattamento dei dati perso-
nali anche in capo agli imputati; 4) in merito all'e-
lemento soggettivo della fattispecie, la qualificazio-
ne del dolo non sarebbe stata correttamente quali-
ficata dal giudice d'appello. Infatti, si potrebbe so-
stenere la configurazione del dolo eventuale nell'il-
lecito trattamento del dato personale a causa della
finalit di profitto effettivamente perseguita.
Le difese degli imputati hanno eccepito che: a) i
medesimi non sono titolari del trattamento dei dati
personali del soggetto rappresentato nel video cari-
cato sulla piattaforma di Google video. In partico-
lare, l'art. 4 del Codice della privacy che indivi-
dua il titolare del trattamento nel soggetto che ab-
bia il potere di esprimere scelte in ordine allo sco-
po del trattamento e alle modalit dell'esercizio del
medesimo. In questo caso, i difensori affermano
che il titolare sarebbe la persona che, abusivamen-
te, avesse caricato il video sulla piattaforma di
Google senza preventivamente acquisire il consen-
so dell'interessato; b) le difese sottolineano che al
momento in cui si svolsero i fatti non esistevano
tecnologie di filtraggio preventivo idonee a identi-
ficare automaticamente i contenuti illeciti di un
video, con la conseguenza che la condotta pretesa
dagli imputati era per questo inesigibile; c) in terzo
luogo le difese affermano che tanto secondo la nor-
mativa sulla privacy quanto secondo quella sul
commercio elettronico l'hosting provider non acqui-
sisce la qualifica del titolare del trattamento e per-
tanto non possono essere chiamati a rispondere del
contenuto dei files inseriti da terzi sulla piattaforma
da lui gestita; d) infine, le difese contestano la sus-
sistenza dell'elemento soggettivo del delitto di ille-
cito trattamento di dati personali poich gli impu-
tati non erano a conoscenza, n avrebbero potuto
esserlo, dell'esistenza di dati personali all'interno di
uno dei migliaia di video caricati sulla piattaforma,
con la conseguenza che essi non si erano rappre-
sentati in alcun modo il fatto di procedere ad un
trattamento di dati personali.
Le questioni controverse decise dalla Corte
di cassazione
Dopo aver ricostruito nel dettaglio il panorama
normativo vigente nell'ordinamento italiano, la
Corte si concentra sulle questioni controverse: da
un lato l'eventuale presenza di un obbligo generale
di sorveglianza in capo al provider e dall'altro l'i-
dentificazione del titolare del trattamento dei dati.
Sotto il primo profilo la Corte di cassazione
esclude che nell'ordinamento italiano esista alcuna
disposizione che preveda un obbligo generale di
sorveglianza a carico del provider dei dati immessi
da terzi sul sito da questi gestito.
Sotto il secondo profilo i giudici di legittimit ri-
badiscono che non sussiste in capo al provider l'ob-
bligo penalmente perseguibile di informare il sog-
getto che ha uploadato i dati medesimi dell'esi-
stenza della normativa relativa a questo trattamen-
to. Tale risultato si evince dall'analisi delle defini-
zioni utilizzate nell'art. 4 del Codice della privacy
poich i termini di trattamento e titolare han-
no due accezioni diverse. Infatti, il primo pi am-
pio, comprensivo anche dei mezzi e delle tecniche
utilizzate, mentre il secondo pi specifico, con-
centrato sull'esistenza di un potere decisionale rela-
tivo a finalit, modalit e strumenti utilizzati relati-
vamente al trattamento stesso dei dati sensibili. Ne
conseguirebbe che titolare di tale trattamento sa-
rebbe solo il soggetto in grado di determinarne gli
scopi, i modi e i mezzi.
Nel caso in esame, si tratterebbe dell'utente che
ha uploadato il video ma che per non ha ricevuto
le necessarie informazioni sul trattamento dei dati
utilizzati e dei quali era titolare, poich siffatto ob-
bligo a carico del gestore del servizio utilizzato non
previsto dalla legge. Tale interpretazione in ma-
teria di trattamento dei dati personali sensibili on-
line risulterebbe dal combinato disposto degli artt.
13 (Informativa), 17 (Trattamento che presenta ri-
schi specifici), 23 (Consenso), 26 (Garanzie per i
dati sensibili), con le sanzioni previste dagli artt.
161 (Omessa o inidonea informativa all'interessa-
to) e 163 (Trattamento illecito di dati), i quali so-
no diretti al responsabile del trattamento ai sensi
dell'art. 4, comma 1 lett. g).
I giudici di legittimit elaborano analogo ragio-
namento assolutorio anche per 'Internet hosting pro-
vider, poich, come stabilito dall'art. 16, d. lgs.
70/2003, colui che presta un servizio di memoriz-
zazione di informazioni fornite da un destinatario
del servizio; pertanto anche in questo caso manca
all'intermediario il potere di controllo diretto sui
dati memorizzati, non ha il potere di sceglierli, ri-
cercarli o elaborare il file che li contiene, essendo
essi attribuibili al solo destinatario del servizio che
li carica sulla piattaforma a sua disposizione. Per-
tanto, il potere decisionale sul trattamento dei dati
e la capacit di incidere sui dati medesimi, che
non pu prescindere dalla loro conoscenza, deve
Giurisprudenza
Diritto civile
804 il Corriere giuridico 6/2014
coincidere nella medesima figura ai fini dell'appli-
cazione della disciplina penalistica sopra ricostrui-
ta. Finch il contenuto del dato sconosciuto al
provider, questo non pu essere responsabile. Al
contrario, qualora esso sia a conoscenza o sia messo
a conoscenza dell'illiceit del dato, esso assume a
pieno titolo la qualifica di titolare del trattamento
e deve attivarsi per la sua rimozione o renderlo
inaccessibile. In questo caso diviene destinatario
delle sanzioni penali del Codice della privacy. Con
l'occasione i giudici di legittimit specificano che
in materia di protezione dei dati personali opera
un corpus normativo differente rispetto a quello re-
lativo al commercio elettronico: a questo proposito
si cita l'art. 1, comma 5 lett. b) (ripreso dall'art. 1
comma 2, lett. b) del d. lgs n. 70 del 2003). Nel-
l'applicare al caso in esame i summenzionati prin-
cipi, la Cassazione rileva che il ricorso della Procu-
ra generale della Repubblica presso la Corte d'Ap-
pello di Milano infondato, perch per quanto
concerne il primo motivo di ricorso il responsabile
del trattamento l'utente che ha caricato il video,
mentre per ci che riguarda il secondo motivo di
ricorso solo il titolare del trattamento a dover es-
sere chiamato a rispondere della violazione della
privacy e non l'hosting provider. Per ci che concer-
ne il terzo motivo di ricorso, i giudici supremi af-
fermano che da un lato la violazione dell'art. 13
del Codice della privacy sanzionato dall'art. 161,
con sanzione amministrativa, e non dall'incrimina-
zione penale prevista dal successivo art. 163. Infi-
ne, i giudici di legittimit escludono radicalmente
la configurabilit, sotto il profilo oggettivo, di una
responsabilit dell'Internet host provider e quindi ri-
sulterebbe del tutto superfluo valutare la sussistenza
della configurabilit dell'elemento soggettivo del
reato.
Le reazioni della dottrina
La maggioranza dei primi commentatori (4) si
espressa in senso favorevole alla decisione, prima-
riamente per l'attivit di ricostruzione sistematica
delle discipline del commercio elettronico (d. lgs.
70/2003) e della privacy (d. lgs 196/2003) ed in-
quadrando in questo contesto i confini dell'even-
tuale responsabilit dell'host provider, e quindi dei
gestori dei servizi online (5). Tuttavia, la dottrina
ha osservato che la Cassazione non si soffermata
sulla figura dell'host attivo sulla base del quale la
Procura generale della Repubblica presso la Corte
d'Aapello di Milano ha concentrato la sua impu-
gnazione.
In merito alla tutela della privacy e al presunto
obbligo di fornire l'informativa in materia di tutela
della riservatezza agli utenti della piattaforma, la
maggioranza della dottrina concorda sulla insussi-
stenza sia della titolarit di Google al trattamento
dei dati personali, sia allobbligo sanzionato penal-
mente di informare gli utenti della piattaforma (6).
Secondo siffatta interpretazione l'host si limitereb-
be a memorizzare i video, ma non sceglierebbe n
il modo in cui i dati personali vengono diffusi, n
per quali finalit. Sotto questo profilo questa cor-
rente dottrinale concorda nell'osservare che la
Cassazione abbia completato il puzzle della discipli-
na della irresponsabilit di Google in quanto esso
rivestirebbe il mero ruolo di intermediario tecnico,
cio un host provider, nonostante sia proprietario
della piattaforma (7). Infatti, il provider si sarebbe
limitato a fornire ospitalit ai video forniti dagli
utenti, senza incidere sulla determinazione sul con-
tenuto dei video medesimi (8) e cancellando i ma-
teriali appena ha avuto conoscenza della loro illi-
ceit successivamente alla segnalazione delle pub-
bliche autorit.
Parte della dottrina ha criticato aspramente al-
cuni passaggi fondamentali di questa decisione, in
particolare l'aggancio della definizione di titolarit
del trattamento alla conoscibilit dell'illiceit del
dato trattato (9), affermando che si tratti di un
palese travisamento di norme giuridiche fondato
su pareri pro-veritate del Article 29 Data Protection
Working Party, che non hanno alcun valore di
fonte giuridica. Secondo questa corrente interpre-
tativa, l'aggancio della definizione del titolare del
trattamento alla conoscibilit del dato traviserebbe
il senso degli artt. 4 e 29 del Codice della privacy,
(4) A. Ingrassia, La sentenza della Cassazione sul caso Goo-
gl e, 6 febbrai o 2014, i n Di ri tto penal e contemporaneo,
http://www.penalecontemporaneo.it/materia/-/-/-/2817-la_-
sentenza_della_cassazione_sul_caso_google/; M. Bassini, O.
Pollicino, Telecinco v YouTube e Google v Vividown: le ultime
sulla (ir)responsabilit dei provider in Europa, in Diritto 24, 2014,
http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/merca-
tiImpresa/2014-02-21/telecinco-youtube-google-vividown-
093834.php; G. M. Riccio, Caso Vividown, finalmente la Cassa-
zione, 7 febbraio 2014, http://www.medialaws.eu/caso-vivi-
down-finalmente-la-cassazione/
(5) A. Ingrassia, La sentenza della Cassazione, cit.
(6) G. M. Riccio, op. cit.
(7) G. M. Riccio, Caso Vividown, cit.
(8) A. Ingrassia, cit. M. Bassini, O. Pollicino, Telecinco v.
Youtube e Google v. Vividown, cit.
(9) D. Converso, Google-Vividown: La Cassazione cade sulla
qual i fi ca di ti tol are del trattamento, i n Persona e danno,
www.personaedanno.it, 12 febbraio 2014.
Giurisprudenza
Diritto civile
il Corriere giuridico 6/2014 805
che alla suddetta conoscibilit non fanno accenno
alcuno, limitandosi al trattamento del dato medesi-
mo. Ulteriormente, stabilire che la non conosci-
bilit di un dato illecito equivale a non avere pote-
re decisionale sul dato stesso (e quindi a non poter
essere qualificato quale titolare) deduzione pro-
pria della Corte (10). Questa voce dottrinaria dis-
senziente evidenzia che, attraverso quest'operazio-
ne, la Corte di cassazione effettua un'operazione di
ri-scrittura del disposto normativo, tralasciando al-
tres di tenere in considerazione i due concetti, di
estrema importanza, attraverso i quali il titolare si
pu orientare nel trattamento dei dati, e quindi del
suo ruolo, ovvero la finalit e la realizzazione con-
creta del trattamento medesimo. (11)
La giurisprudenza della Corte di giustizia
dell'Unione europea
A supporto del proprio ragionamento giuridico
la Cassazione ha utilizzato elementi provenienti da
organi europei. Nello specifico, la Cassazione fa ri-
ferimento alle opinioni dell'Article 29 Data Protec-
ti on Worki ng Party, precisamente l' Opi ni on
No. 5/2009 sui social network (12) e all'Opinion
No. 1/2010 sui concetti di controller e proces-
sor (13). Va tuttavia osservato che siffatte opinio-
ni, per quanto prestigiose e di autorevole prove-
nienza, non possiedono forza giuridicamente vinco-
lante, ma solo valenza scientifica ovvero persuasi-
va (14). Inoltre, la Suprema Corte effettua un solo
riferimento alle conclusioni dell'avvocato generale
depositate il 25 giugno 2013 nella causa C-131/12
Google Spain SL e Google Inc. c. Agencia Espanola
de proteccion de datos e Mario Costeja Gonzales, per
la quale la Grande Sezione della Corte di giustizia
ha emanato una discussa sentenza lo scorso 13
aprile 2014 (15). Tuttavia la giurisprudenza in ma-
teria molto pi vasta e concerne decisioni tanto
della Corte di giustizia del Lussemburgo, quanto
della Corte europea dei diritti dell'Uomo di Stra-
sburgo alle quali per i giudici di legittimit non
hanno fatto riferimento, mancando, a parere di chi
scrive, una importante connessione interpretativa
con le fonti di diritto sovranazionale.
Per quanto concerne la giurisprudenza della Cor-
te di giustizia, i casi Google France e L'Oreal suppor-
tano le conclusioni adottate dai giudici di legitti-
mit. Infatti, nella sentenza del 23 marzo 2010
(cause riunite C-236/08, Google France e Goo-
gle) (16), la Corte di giustizia ha riconosciuto che
il ruolo dell'ISP meramente tecnico, automatico
e passivo, comportando pertanto una mancanza di
conoscenza ovvero di controllo dei dati che esso
memorizza. Ne consegue che detto operatore non
pu essere ritenuto responsabile per i dati che egli
ha memorizzato su richiesta di un inserzionista, sal-
vo che, divenuto a conoscenza della natura illecita
di tali dati o di attivit di tale inserzionista, non
abbia agito immediatamente per rimuovere o disa-
bilitare l'accesso ai dati in questione.
La decisione della Corte di giustizia 12 luglio
2011 (n. C-324/09, L'Oral) affronta un tema che
la Cassazione non considera neppure, nonostante
l'esplicita impugnazione sul punto da parte del Pro-
curatore generale della Repubblica presso la Corte
d'appello di Milano, ovvero il ruolo dell'host attivo.
In questa decisione la Corte di giustizia ha stabilito
che l'art. 14 (1), della direttiva 2000/31 debba es-
sere interpretato nel senso che vada distinta l'ipo-
tesi in cui il gestore del mercato online scopra lesi-
stenza di unattivit o di uninformazione illecite a
seguito di un esame effettuato di propria iniziativa
ovvero siffatta situazione di illegalit gli sia stata
notificata da altri. In questo secondo caso, la Corte
osserva che seppure una notifica non possa auto-
maticamente far venire meno il beneficio delleso-
nero dalla responsabilit previsto dall art. 14 della
direttiva 2000/31, poich le notifiche relative ad
attivit o informazioni che si asseriscono illecite
possono rivelarsi insufficientemente precise e di-
mostrate, resta pur sempre evidente che essa costi-
tuisce, di norma, un elemento di cui il giudice na-
zionale deve tener conto per valutare, alla luce del-
le informazioni cos trasmesse al gestore, leffettivi-
t della conoscenza da parte di questultimo di fatti
o circostanze in base ai quali un operatore econo-
mico diligente avrebbe dovuto constatare lillicei-
t. Ne consegue che possa essere attribuito al ge-
store il ruolo di host attivo solo quando egli pu
avere conoscenza e controllo dei dati memorizzati.
L'operatore svolge un siffatto ruolo solo quando
fornisce un tipo di assistenza che comporta l'otti-
mizzazione della presentazione delle offerte per la
(10) D. Converso, op. cit.
(11) D. Converso, op. cit.
(12) Disponibile all'URL http://ec.europa.eu/justice/policie-
s/privacy/docs/wpdocs/2009/wp163_en.pdf
(13) Disponibile all'URL http://ec.europa.eu/justice/policie-
s/privacy/docs/wpdocs/2010/wp169_en.pdf
(14) D. Converso,Google-Vividown, cit.
(15) Corte di giustizia, Grande Sezione, 13 maggio 2014, n.
C-131/12.
(16) Corte di giustizia, Grande Sezione, 23 marzo 2010, da
C-236/08 a C-238/08.
Giurisprudenza
Diritto civile
806 il Corriere giuridico 6/2014
vendita di beni o servizi o promuoverla. Tuttavia, i
giudici di Piazza Cavour paiono escludere che Goo-
gle, nella vicenda in esame, abbia ricoperto detto
ruolo.
Seppure la vicenda inerente a ViviDown abbia
raggiunto il capolinea giudiziario con la sentenza
definitiva in commento, il dibattito sui servizi di
Google stato recentemente rinvigorito. Come ac-
cennato, il 13 maggio 2014 la Grande Sezione del-
la Corte di giustizia ha pubblicato la sentenza rela-
tiva al caso Google v. Agencia Espanola de proteccion
de datos e Mario Costeja Gonzales. Il fatto che ha
dato origine a questo contenzioso riguarda la pub-
blicazione dell'avviso della vendita giudiziaria della
casa del sig. Costeja Gonzales per la riscossione di
crediti previdenziali. Detto annuncio era stato le-
gittimamente pubblicato sul giornale cartaceo La
Vanguardia nel 1998. Nel 2009 il giornale pone
online il suo archivio e l'avviso dell'esecuzione for-
zata viene indicizzato da Google; pertanto il signor
Costeja Gonzales vede riemergere elementi sgrade-
voli del suo passato attraverso l'attivit del motori
di ricerca. A seguito di ci, il signor Gonzales ri-
corre al Garante della Privacy spagnolo affinch
imponga tanto al giornale, che l'ha pubblicata on-
line, quanto a Google, che l'ha indicizzata, di can-
cellare l'informazione relativa allo spiacevole ricor-
do ritenuto lesivo della sua reputazione. Il Garante
spagnolo della privacy accoglie la sua richiesta solo
nei confronti di Google, ma non del giornale poi-
ch l'informazione era stata pubblicata legittima-
mente. Di fronte a questo risultato Google agisce
innanzi all'Audiencia Nacional che rimette alla
Corte di giustizia una serie di questioni pregiudizia-
li riassumibili come segue (17): a) siccome Google
Search gestito dalle filiali europee di una societ
americana che lucra con i dati personali dei citta-
dini dell'Unione Europea, la societ madre e le sue
filiali sono soggette al diritto dell'Unione? b) in ca-
so di risposta positiva, quando Google raccoglie,
memorizza, indicizza e linka pagine presenti sul
web che contengono dati personali pone in essere
una operazione di trattamento dei dati ai sensi del-
la Direttiva 95/46/CE? In caso di risposta positiva,
Google Search qualificabile come titolare di quei
dati e pertanto si assume una responsabilit? Se si,
a che titolo? c) in caso di risposta affermativa alle
precedenti questioni, il cittadino dell'Unione Eu-
ropea pu ottenere la rimozione di uno specifico ri-
sultato dal servizio di Google senza richiedere che
il medesimo dato venga espunto dalla fonte origi-
naria? Infine, il search engine ha il dovere di elimi-
nare dai suoi risultati un sito o una informazione
che comunque disponibile online?
Le risposte della Grande Sezione affermano: a1)
che al motore di ricerca si applica la normativa
dell'Unione Europea in materia di protezione dei
dati personali. b1) Google, che tratta i tutti i dati
presenti in Rete attraverso i suoi strumenti a fini
di lucro, deve adeguare i suoi servizi alla normativa
comunitaria in materia di privacy, considerato che,
indicizzando i dati personali contenuti in fonti ter-
ze, ne diventa titolare. c1) Dato che rintracciabili-
t e indicizzazione delle informazioni rappresenta-
no due finalit differenti del trattamento, a giudi-
zio della Corte parrebbe possibile distinguere trat-
tamenti e responsabilit dei vari operatori. Da un
lato un dato pu essere legittimamente trattato su
un sito e l'interessato non pu opporsi alla sua pub-
blicazione (per esempio la notizia di cronaca: in
questo caso la vendita giudiziaria della casa del ri-
corrente). Dall'altro lato, il trattamento del mede-
simo dato pu diventare illegittimo se trattato dal
motore di ricerca e ledere i diritti del ricorrente
(in questo caso, la riemersione di una vicenda sgra-
dita alcuni lustri dopo lo svolgimento dei fatti, le-
dendo il diritto alla onorabilit) se trattato indi-
stintamente dalle ragioni che ne provocarono la
diffusione. In conclusione, il signor Gonzales pu
chiedere la rimozione della notizia che lo vede
coinvolto esclusivamente dai risultati delle ricer-
che di Google.
Questa decisione ha suscitato alcune perplessit,
soprattutto sotto due profili: per quel che concerne
il profilo b1), la Corte di giustizia sembra confon-
dere la finalit lucrativa del servizio di indicizzazio-
ne del motore di ricerca, in particolare dei suoi ser-
vizi pubblicitari, con la finalit del trattamento del
singolo dato personale del ricorrente. Siffatto dato
assume rilevanza nel momento in cui emerge da un
archivio dove era fisicamente custodito dal 1998,
per essere immesso in Rete nel 2009, venire indi-
cizzato da Google nel 2010 e reso disponibile da
chiunque, ovunque e in qualsiasi momento. A que-
sto proposito emergono dei dubbi che sembrano
colpire il profilo c1), ovvero la duplicazione della
responsabilit sul trattamento. Infatti, se la pubbli-
cazione iniziale del dato legittima, altrettanto lo
(17) C. Blengino, La Corte di Giustizia e i motori di ricerca:
una sentenza sbagliata, in www.medialaws.eu, 19 maggio
2014.
Giurisprudenza
Diritto civile
il Corriere giuridico 6/2014 807
l'indicizzazione da parte di Google, che un sem-
plice intermediario dell'informazione. possibile
dibattere sull'attualit della pubblicazione di siffat-
ta informazione, ma questo punto coinvolge diret-
tamente la fonte originaria, non Google, che si li-
mita a riproporla perch contenuta nella sua fonte.
interessante rilevare tre elementi caratterizzan-
ti questa decisione della Corte di giustizia: 1. come
i giudici europei tacciano sull'art. 11 della Carta
dei diritti fondamentali, relativo alla libert di
espressione e di informazione, specificamente alla
eventuale valutazione dell'attualit e rilevanza di
una informazione; 2. i giudici di Lussemburgo dele-
gano la gestione della valutazione dell'attualit e
onorabilit delle informazioni personali online
esclusivamente a Google; 3. l'assenza di intervento
del potere giudiziario, unico organo istituzionale
deputato ad effettuare un equilibrato bilanciamen-
to tra il diritto all'oblio della parte che si sente lesa
dalla diffusione di certe informazioni sul suo passa-
to e il diritto dell'opinione pubblica ad essere in-
formata.
Al contrario, siffatta confusione dei ruoli nella
gestione delle informazioni evidenzia come la Cor-
te sottovaluti l'importanza degli intermediari nella
funzionalit di Internet (18): la Rete esiste grazie
all'attivit degli intermediari; che questi effettuino
la loro attivit lucrando sui servizi resi, non muta
l'essenzialit del loro ruolo, n il fatto che le attivi-
t essenziali per la collettivit possono essere svolte
anche con fini di lucro, come ad esempio la stampa
o la vendita di alimenti.
Infine, interessante osservare come i primi
commenti su questa decisione si siano divisi. Infat-
ti l'origine culturale degli autori influisce sulle loro
argomentazioni in merito agli interessi in gioco.
Da un lato gli europei (19) valorizzano le esigenze
della tutela della riservatezza e della dignit dei ti-
tolari dei dati divulgati, dall'altro gli statuniten-
si (20) rimarcano il diritto alla libert di informa-
zione.
La giurisprudenza della Corte europea dei
diritti umani
La Corte europea dei diritti umani il giudice
deputato a valutare le violazioni commesse dagli
Stati aderenti alla Convenzione europea per la sal-
vaguardia dei diritti umani e delle libert fonda-
mentali. Si tratta di un ordinamento diverso e di-
stinto da quello dell'Unione Europea, tuttavia di
grande interesse perch riguarda l'applicazione del
principio di proporzionalit nell'esercizio e nel bi-
lanciamento dei diritti garantiti dalla Convenzione
stessa. Nello specifico, il caso deciso dalla Corte
europea dei diritti umani Delfi v. Estonia (21) con-
cerne la responsabilit di un portale di notizie su
Internet per commenti offensivi che sono stati
pubblicati dai lettori in calce a uno degli articoli di
notizie online. Il gestore del portale, Delfi, stato
condannato dalla giustizia estone a risarcire il dan-
no non patrimoniale del soggetto offeso nella sua
reputazione con la somma di 320 euro. Di fronte
alla Corte europea dei diritti umani il gestore del
portale lamentava di aver subito una violazione
della libert di espressione protetta dall'art. 10 del-
la CEDU(22).
In primo luogo, la Corte ha esaminato l'argo-
mento del l a Del f i secondo cui l a Di retti va
2000/31/CE sul commercio elettronico, implemen-
tata nel diritto estone, aveva limitato la responsa-
bilit per i commenti diffamatori dei suoi lettori.
Tuttavia, la Corte ha affermato che la soluzione
dei problemi interpretativi posti dal diritto dell'U-
nione Europea di competenza dei giudici nazio-
(18) O. Pollicino, M. Bassini, Bowling for Columbine. La Cor-
te di giustizia sul caso Google Spain: l'oblio (quasi) prima di tut-
to?, http://www.diritto24.ilsole24ore.com, 13 maggio 2014.
(19) C. Kuner, The Court of Justice of EUs Judgment on the
Right to be Forgotten: An International Perspective, EJIL:
Talk! May, 20 2014.
(20) J. Zittrain, Dont Force Google to Forget, New York Ti-
mes, May 15 2014, page A29; C. Timberg, M. Birnbaum, In
Google case, E.U. court says people are entitled to control their
own online histories, Washington Post, May 13 2014; W. Hart-
zog, Google Cant Forget You, But It Should Make You Hard to
Find, May 20 2014, http://cyberlaw.stanford.edu/publication-
s/google-can%E2%80%99t-forget-you-it-should-make-you-
hard-find.
(21) Corte europea dei diritti umani, 10 ottobre 2013, Delfi
AS v. Estonia, in www.forumcostituzionale.it, con commento di
G. E. Vigevani, La responsabilit civile dei siti per gli scritti anoni-
mi: il caso Delfi c. Estonia, 4 febbraio 2014.
(22) Il citato articolo, rubricato Libert di espressione sta-
tuisce che: 1. Ogni persona ha diritto alla libert despressio-
ne. Tale diritto include la libert dopinione e la libert di riceve-
re o di comunicare informazioni o idee senza che vi possa es-
sere ingerenza da parte delle autorit pubbliche e senza limiti
di frontiera. Il presente articolo non impedisce agli Stati di sot-
toporre a un regime di autorizzazione le imprese di radiodiffu-
sione, cinematografiche o televisive. 2. Lesercizio di queste li-
bert, poich comporta doveri e responsabilit, pu essere
sottoposto alle formalit, condizioni, restrizioni o sanzioni che
sono previste dalla legge e che costituiscono misure necessa-
rie, in una societ democratica, alla sicurezza nazionale, allin-
tegrit territoriale o alla pubblica sicurezza, alla difesa dellordi-
ne e alla prevenzione dei reati, alla protezione della salute o
della morale, alla protezione della reputazione o dei diritti al-
trui, per impedire la divulgazione di informazioni riservate o
per garantire lautorit e limparzialit del potere giudiziario.
Giurisprudenza
Diritto civile
808 il Corriere giuridico 6/2014
nali e pertanto, non ha affrontato siffatta questione
interpretativa.
In questa decisione la Corte di Strasburgo ha af-
fermato che l'art. 10 consente la libert di espres-
sione, che per deve essere bilanciata con gli altri
diritti fondamentali, nello specifico con quello del-
la reputazione, garantito dall'art. 8 CEDU. La que-
stione fondamentale riguarda il caso in cui l'inter-
ferenza subita da Delfi nell'esercizio del suo diritto
alla libert di manifestazione del pensiero, rappre-
sentata dalla condanna al risarcimento del danno a
favore della persona offesa, sia proporzionata o me-
no. La Corte ha enucleato quattro elementi chia-
ve: a) il contenuto dei post: ovvero insulti, minac-
ce e commenti diffamatori. Secondo la Corte, Delfi
avrebbe dovuto prevedere la pubblicazione di mes-
saggi offensivi esercitando un certo grado di caute-
la al fine di non essere ritenuta responsabile per i
danni alla reputazione del soggetto passivo. b) le
misure poste in essere da Delfi al fine di evitare la
pubblicazione di commenti diffamatori consisteva-
no in una disclaimer dove si specificava che gli
autori erano responsabili del contenuto dei loro
commenti; che gli utenti potevano segnalare i
commenti inappropriati cliccando su un apposito
pulsante, per questo rimedio risultato essere
inefficace poich non ha garantito che i commenti
diffamanti potessero essere rimossi velocemente; c)
se il gestore avesse potuto identificare i reali autori
dei commenti, al fine di poterli citare in giudizio.
Tuttavia rintracciare gli effettivi autori risulterebbe
essere molto difficile poich era consentito com-
mentare senza previa registrazione. Sotto questo
aspetto la Corte osserva che la responsabilit di
Delfi non concerne esclusivamente una mera que-
stione di praticit, ma segue anche il principio di
ragionevolezza, poich il portale ospita altres in-
serzioni pubblicitarie che gli consentono vantaggi
economici; d) infine, la Corte reputa che il risarci-
mento del danno riconosciuto al soggetto diffama-
to, quantificato nella somma di 320 euro risulta es-
sere irrisorio e pertanto costituirebbe una interfe-
renza statale non ingiustificata, n il giudice ha in-
terferito nell'esercizio del diritto di libert di mani-
festazione del pensiero di Delfi ordinando misure
specifiche su come il portale dovrebbe proteggere i
diritti di terzi in futuro.
Tenendo conto di tutti i punti, e verificando
che in realt Delfi si sarebbe comportato come un
content provider e non come un mero host provider,
la Corte ha dichiarato che considerare il portale
responsabile dei commenti stata una ingerenza
giustificata e proporzionata con il diritto alla liber-
t di espressione, pertanto non vi stata alcuna
violazione dell'art. 10 CEDU.
Questa decisione ha aperto un significativo di-
battito sul bilanciamento dei diritti contrapposti:
in questo caso, libert di manifestazione del pensie-
ro da un lato e protezione della onorabilit dall'al-
tro, in considerazione del ruolo neutrale dell'inter-
net service provider. In dottrina vi chi ha osserva-
to che attribuire all'intermediario concretamente
impossibilitato a farlo, un obbligo di controllo dei
contenuti introdotti dagli internauti, significa in-
durlo a introdurre meccanismi automatici che fini-
ranno per eliminare non solo i messaggi davvero il-
leciti ma anche quelli pericolosi, perch conte-
nenti critiche severe e aspre (23). Pertanto da
salutarsi con favore il rinvio della causa di fronte
alla Grande Camera che la Corte europea dei dirit-
ti umani stessa ha effettuato il 17 febbraio 2014, in
accoglimento dell'istanza proposta dall'Estonia.
Alcune riflessioni conclusive
Il dibattito sul ruolo dell'Internet Service Provider
nella divulgazione di dati personali molto vivo in
ogni luogo dove Internet e soprattutto i social net-
work sono diventati uno strumento di comunica-
zione virale, cio dall'immediata e amplissima dif-
fusione dei contenuti. Ad esempio tra le decisioni
pi recenti si segnala una pronuncia spagnola ema-
nata il 31 gennaio 2014, in cui la Corte d'Appello
di Madrid (24) ha confermato la sentenza di primo
grado che affermava la non responsabilit di You-
tube per la violazione del diritto d'autore da parte
dei suoi utenti che caricassero materiali tratti da
trasmissioni televisive delle quali l'attrice Telecin-
co fosse titolare dei diritti di propriet intellettua-
le. Riferendosi alle decisioni della Corte di giustizia
Google v Louis Vuitton (da C-236/08 a C-238/08),
la Corte d'appello madrilena ha affermato che la
direttiva 2000/31/CE in materia di commercio
elettronico prevede che la normativa sulla respon-
sabilit degli ISP debba essere applicata concreta-
mente in relazione all'effettiva attivit realizzata
dagli operatori. In questo caso, alla luce della citata
giurisprudenza della Corte di giustizia, l'ISP, cio
YouTube, risulta essere un operatore che agisce in
modo esclusivamente passivo avendo un ruolo di
(23) G. E. Vigevani, La responsabilit civile dei siti per gli
scritti anonimi, cit.
(24) Audiencia Provincial Civil de Madrid, 31 gennaio 2014.
Giurisprudenza
Diritto civile
il Corriere giuridico 6/2014 809
mero intermediario. Al contrario, in Australia il
Tribunale federale (25) ha respinto una azione in-
tentata per diffamazione e la discriminazione prete-
se contro Google Australia Pty Ltd da parte di un
soggetto che si era visto diffamato per attestazioni
inerenti ai suoi presunti problemi di salute menta-
le. I giudici federali australiani hanno affermato
che seppure i materiali erano stati raccolti dalla fi-
liale australiana Google Australia, utilizzando un
nome di dominio australiano google.com.au, Goo-
gle non considerabile quale responsabile per i
commenti pubblicati da terzi. Tuttavia i medesimi
giudicanti hanno enucleato una approfondita ana-
lisi in materia di responsabilit degli intermediari
tecnologici, sottolineando la mancanza di chiarezza
nella disciplina attraverso motori di ricerca, hosting
provider, siti web e blog.
Nonostante i chiarimenti della Corte di cassa-
zione, in Parlamento sembrerebbe essere presente
chi condivide siffatto riferimento ad una presunta
mancanza di chiarezza della disciplina sugli inter-
mediari di internet. A questo proposito, si osserva
che recentemente stato depositato il disegno di
legge C-2049, intitolato Norme per la tutela della
dignit in internet (26), dove gli intermediari ver-
rebbero attivamente responsabilizzati nella tutela
dei minori (art. 1) e nell'enformcement del diritto
all'oblio (art. 2) dei soggetti i cui dati siano stati
raccolti in emeroteche telematiche. Tra le diver-
se misure di enforcement previste dal disegno di leg-
ge , si nota anche l'ipotesi di condanna dell'editore
ovvero dell'intermediario al pagamento di danni
punitivi. Nella relazione di accompagnamento al
suddetto disegno di legge si fa riferimento proprio
al caso Google-ViviDown, specificamente nelle pa-
role della prima sentenza del Tribunale di Milano,
sulla presunta esistenza di una "sconfinata prateria
"dove tutto permesso e niente pu essere vieta-
to. Nonostante sia stata sconfessata tanto in ap-
pello quanto in Cassazione, sotto un profilo di cul-
tura e policy giuridica quella sentenza di primo gra-
do entrata nel dibattito pubblico e nell'immagi-
nario collettivo al fine di giustificare possibili solu-
zioni di tipo censorio, mentre con la decisione
5107/2014 la Suprema Corte ha chiaramente spe-
cificato ruoli e compiti degli intermediari in Rete
in materia di privacy. Tuttavia questo risultato pare
essere messo discutibilmente in dubbio dalla Corte
di giustizia dell'Unione Europea.
(25) Federal Court of Australia, Rana v Google Australia Pty
Ltd [2013] FCA 60, 7.2.13
(26) Moretti ed altri: Modifiche al codice di cui al decreto
legislativo 30 giugno 2003, n. 196, alla legge 8 febbraio 1948,
n. 47, e al codice penale, in materia di tutela della dignit per-
sonale nella rete internet (2049), presentato in data 4 febbraio
2014 e annunciato il 5 febbraio 2014.
Giurisprudenza
Diritto civile
810 il Corriere giuridico 6/2014