“Hosting provider”: tra obsolescenza del dato normativo ed esigenze di un mondo interconnesso
“Hosting provider”: tra obsolescenza del dato normativo ed esigenze di un mondo interconnesso
a cura di Alessandro Signorini
SOMMARIO: I. Introduzione; 1. Premessa metodologica – 2. Internet service providers: generalità – 3. Internet service providers: tra dato normativo e giurisprudenziale; II. Rilievi critici nella responsabilità del provider; 1. Fattispecie e decisione del giudice – 2 “Manifesta illiceità”: la lettera di un dato “incerto” – 3. I problemi di una recente invenzione: l’hosting provider “attivo” – 4. Natura della responsabilità e implicazioni sottese – 5. Questioni aperte: dal controllo sui contenuti al grado di diligenza – 6. Elemento soggettivo: l’art. 16 d.lgs. 70/2003 tra dubbi e proposte – 7. Segnalazione dei contenuti? Il modello “TikTok”; III. G.D.P.R. e ISP: due facce della stessa medaglia; 1. Sulla responsabilità da trattamento illecito dei dati personali – 2. Due ipotesi di responsabilità; IV. Conclusioni
I – Introduzione
- Premessa metodologica
Al giorno d’oggi risulta ormai assodato come i tempi si sono notevolmente e repentinamente evoluti così da rendere i precedenti paradigmi soggetti a nuove possibili interpretazioni.
Le tecnologie e i prodotti della digitalizzazione, hanno tracciato il solco all’interno del quale collocare l’intervento del legislatore europeo e nazionale, i quali hanno cercato di dare una risposta in termini di celerità e coerenza alla complessità del fenomeno.
Da questo angolo visuale, qualcuno parla di “ubi societas technologica, ibi ius”[1] per sottolineare come l’emersione di veri e propri nuovi diritti abbia reso necessaria la predisposizione di tecniche di tutela mai utilizzate, da immettere nella nuova società tecnologica[2].
Le implicazioni sottese al fenomeno sono diverse e nel corso degli anni hanno sempre più allargato il proprio centro di interessi.
Si pensi, in primo luogo, alla garanzia del libero accesso ad Internet a tutti i cittadini come, da una parte, chiave di ingresso a diritti prima sconosciuti e dall’altra, come realizzazione dell’uguaglianza sostanziale declinata in termini tecnologici.
Già nel 1984, Norberto Bobbio[3] rifletteva sulla possibilità di affidare ad un computer o, ad altresì strumento elettronico, il legittimo esercizio del diritto di voto.
Ancora, si può far risalire al decennio scorso, il dibattito, all’interno dello scenario giuridico italiano, sulla tutela della Rete a livello costituzionale con conseguente proposta dell’art. 21 bis della Costituzione: “Tutti hanno eguale diritto di accedere alla Rete Internet, in condizione di parità, con modalità tecnologicamente adeguate e che rimuovano ogni ostacolo di ordine economico e sociale” [4].
Tale iniziativa, insieme ad altre che si sono susseguite negli anni[5], non ha superato le prime fasi del procedimento generando ulteriori dubbi sull’opportunità di dedicare una norma costituzionale alla tutela di internet.
Il tema della responsabilità civile, collocato nel contesto anzi delineato, è molto complesso e soprattutto di estrema attualità.
Gli spunti in materia sono ricchissimi, spaziando dai settori dello “iure privatorum” come il diritto delle obbligazioni al diritto d’autore, dal diritto industriale e della proprietà intellettuale alla privacy e la riservatezza informatica.
Data, la vastità dei temi che possono emergere, nel presente scritto ci si soffermerà in chiave critica sulle implicazioni sottese l’attività svolta dagli intermediari telematici che operano nei servizi della società dell’informazione, delineando possibili problemi di bilanciamento di interessi come difficoltà nell’applicazione della normativa vigente.
- Internet service providers: generalità
Il mondo di Internet rappresenta il nodo più avanzato nella genesi della tecnologia dell’informazione e della comunicazione.[6]
Il tema in questione ha subito, come si è detto prima, una rapida evoluzione tale per cui gli aspetti squisitamente tecnico-giuridici si sono collocati in un quadro sempre più complesso, con successivo e necessario coinvolgimento dei diritti della persona, alcuni dei quali assunti anche a valore costituzionale.
Al di là delle varie definizioni che si sono succedute nei vari decenni e nei diversi panorami giurisprudenziali, è condiviso che Internet consenta la continua possibilità di colloquio tra i diversi interpreti attraverso mezzi di comunicazione.
La rete e le sue “nervature telematiche” rappresentano, infatti, un mezzo di comunicazione capace di far crescere esponenzialmente le possibilità di aggressione alle posizioni giuridiche meritevoli di tutela tanto che, sempre più spesso, emerge la convinzione generalmente diffusa che la “dimensione virtuale” lato sensu sia un vero e proprio spazio immune da controlli sui contenuti.
Ne sono derivati, così, celebri casi giurisprudenziali che hanno richiamato l’attenzione dell’opinione pubblica sia in ambito penale che in ambito civile.
Si pensi a titolo di esempio, alla nota vicenda “Peppermint” [7], nella quale un ruolo chiave nella vicenda viene svolto dagli ISP (Internet service provider).
Ancora, il caso “Pirate Bay” [8], dove l’accento è posto chiaramente sull’influenza che può avere una piattaforma digitale e le sue implicazioni con il diritto d’autore.
Si sottolinea, poi, il forte impatto che questo tema ha sull’economia in generale, in particolare sul commercio elettronico.
Infatti, in base a come si sceglie di considerare il criterio di responsabilità del prestatore di servizi si potrebbero avere ripercussioni sugli effetti economici di conservazione dei provider stessi, con conseguente possibile compromissione della libertà.
In questa cornice metodologica si inserisce l’attività svolta, nel mercato digitale ed economico, dagli Internet service providers [9] (ISP), o più comunemente, providers.
Con questo termine si fa riferimento ad un ampio amalgama eterogeneo di intermediari di servizi nella società dell’informazione.
Il provider, solitamente imprenditore commerciale, è un soggetto connesso ad Internet che fornisce un notevole ventaglio di servizi telematici [10].
La caratteristica essenziale dell’ISP consiste nell’instaurazione di un duplice rapporto, da una parte con il gestore della rete di telecomunicazione, e dall’altra con il sistema informatizzato per la trasmissione delle informazioni, meglio noto come Network Information System [11].
Il modo in cui opera il provider è particolarmente interessante, in quanto, per fare in modo che l’utente si colleghi alla rete, assegna al suo Personal computer un “Internet Protocol” (IP)[12], dedito all’indirizzamento e allo scambio, verso e con altri computer, di informazioni, nel rispetto di regole di comunicazione.
Tenuto conto della varietà di servizi offerti agli utenti, occorre operare una distinzione sotto il profilo operativo tra le differenti tipologie di attività poste in essere dai provider, necessaria quest’ultima ai fini del corretto inquadramento della responsabilità dei prestatori di servizi telematici, di cui si parlerà più avanti.
La più rilevante distinzione soggettiva, per quanto concerne gli ISP, può così qualificarsi: “access provider” (fornitore di accesso), “hosting provider” (fornitore di ospitalità), “content provider” (Fornitore di contenuto) e “caching provider” (fornitore di memorizzazione temporanea) [13].
Gli access provider garantiscono l’accesso alla Rete mettendo gli utenti nelle condizioni di interloquire con il Web. Si distinguono poi in due livelli: di primo livello, garantire un accesso diretto alla rete e di secondo livello, garantire un accesso mediato ad internet attraverso il collegamento ad altri provider[14].
Il content provider predispone ed immette in rete il contenuto di un sito web per conto di un utilizzatore finale organizzando il materiale da lui prodotto o a lui fatto pervenire da un committente terzo.
L’host provider fornisce ospitalità ai content provider mettendo a disposizione una porzione del proprio disco rigido, di cui, però, resta proprietario al fine di veicolare le informazioni che si intendono diffondere in rete. Può offrire, altresì, servizi accessori quali la registrazione del nome di dominio e assistenza tecnica.[15]
Il caching provider è il soggetto dedito ad una memorizzazione intermedia e temporanea di informazioni consistente nella riproduzione su di un sito con la funzione di agevolare l’utente nell’attività di ricerca del materiale contenuto nel sito originario, il più delle volte, difficilmente rintracciabile.
Per quanto concerne le differenze soggettive tra le tipologie di providers, si rimarca come centrale si inserisce, nella prospettiva precedentemente citata, il grado di coinvolgimento con l’informazione immessa in Rete.
Per quel che rileva, infatti, nel servizio di “access” il grado di coinvolgimento del l’intermediario è pressoché nullo, differentemente dall’host provider dove il relativo coinvolgimento è legato soprattutto all’ “ospitalità a lungo termine” dell’informazione e alla sua possibile manipolazione da parte del prestatore di servizio di hosting.[16]
In ultima istanza, il grado di coinvolgimento del “content” provider risulta essere, per sua stessa natura, massimo.
Si sottolinea, infine, come la distinzione tra servizi erogati assume pregnanza qualificatoria esclusivamente a livello teorico perché a livello pratico la maggior parte dei providers, come si è già detto, può svolgere contemporaneamente diverse funzioni, cumulando molte delle qualifiche riportate.
- Internet service providers: tra dato normativo e giurisprudenziale
Il dato normativo che permette di delineare il regime di responsabilità del provider è il d.lgs. 9 aprile 2003, n. 70 [17].
In particolare, gli articoli da 14 a 17, differenziano le condizioni integranti la responsabilità dell’intermediario in base al ruolo effettivamente svolto nel contesto dell’illecito.
Prima di andare nello specifico della legge, si vuole ricordare brevemente come nella disciplina precedente al 2003, la responsabilità extracontrattuale su internet era in prevalenza imputabile ai provider [18], in modo da permettere al danneggiato l’individuazione di un soggetto responsabile verso cui far valere i propri interessi in caso di pregiudizio.
L’art. 14 del d.lgs. n. 70/2003 disciplina l’attività di “mere conduit”, che si esplica nel trasmettere, su una rete di comunicazione, informazioni date da un destinatario o nel fornire l’accesso alla rete.
In questo caso, il prestatore non è responsabile delle informazioni trasmesse, a condizione che lo stesso rispettivamente: non dia origine alla trasmissione, non selezioni il destinatario della trasmissione e non selezioni né modifichi le informazioni trasmesse.
Il successivo articolo 15, d.lgs. n. 70/2003, disciplina le attività di “caching”, consistente nella memorizzazione automatica e temporanea di informazioni, stabilendo che, nella prestazione di trasmissione di informazioni fornite da un destinatario del servizio, il provider non è responsabile dell’attività svolta, a condizione che non modifichi le informazioni e si conformi alle condizioni di accesso alle informazioni.[19]
Emerge così, la differenza tra l’attività effettuata dal “caching provider” e quella di cui all’articolo precedente (“mere conduit”); in quest’ultimo caso si parla di una memorizzazione automatica e transitoria, mentre, con riferimento all’attività di “caching”, la memorizzazione è da primo definita dal legislatore, oltre ad essere automatica e temporanea.
Segue la regolamentazione dell’attività di “hosting”, di cui si occupa l’articolo 16, d.lgs. n. 70/2003.
Ai sensi della norma richiamata, i prestatori non sono responsabili delle informazioni memorizzate a patto che non siano effettivamente a conoscenza che l’attività o l’informazione è illecita e non siano al corrente di fatti che rendano manifesta l’illiceità dell’attività o dell’informazione e non appena ne vengono a conoscenza, su comunicazione delle autorità competenti, agiscono immediatamente per rimuovere le informazioni.
L’attività di hosting, essendo peculiare rispetto alle altre attività descritte per il suo carattere tendenzialmente duraturo, risulta essere quella sulla quale la giurisprudenza è intervenuta maggiormente [20].
Si ricorda in tema che, una pronuncia di Cassazione [21] è intervenuta di recente prevedendo un diverso regime di responsabilità tra gli hosting provider “attivi” e “passivi”.
Interessante, poi, richiamare la sottile linea di separazione tra responsabilità penale e civile, imputabile all’hosting provider.
Per la prima è richiesta l’effettiva conoscenza delle attività o delle informazioni illecite da intendersi in senso rigoroso, in rispetto dei principi dell’imputabilità penale.
Per la seconda, invece, si impone una valutazione di colpa per negligenza del prestatore a fronte dell’allegazione della prova della conoscenza sostanziale di fatti che rendano manifesta l’illiceità dell’attività o dell’informazione.
Da ultimo, sempre analizzando il dato normativo, particolarmente significativo si mostra l’analisi dell’art. 17 d.lgs. 70/2003, inserendosi come norma di chiusura nel quadro sopra delineato.
Le disposizioni contenute nei tre commi dell’articolo 17, nel rispetto di quanto detto precedentemente, ribadiscono l’assenza, in seno al provider, di un obbligo di sorveglianza sulle informazioni che trasmette o memorizza.
Si conferma, poi, l’obbligatorietà della condotta attiva volta a informare l’autorità giudiziaria, nel momento in cui il prestatore è a conoscenza dell’illiceità dell’informazione o della notizia. In caso di omissione, il provider ne risponde civilmente.
In sostanza, finché il contenuto illecito è sconosciuto al service provider, questo non può essere considerato responsabile in quanto privo di potere decisionale sul contenuto considerato; quando, invece, il prestatore è a conoscenza del contenuto illecito e non si attiva per la sua immediata rimozione, esso assume a pieno titolo la qualifica di “titolare del trattamento” [22], ne deriva conseguentemente la sua responsabilità sul piano civile, ed eventualmente penale.
II – Rilievi critici nella responsabilità del provider
- Fattispecie e decisione del giudice
Dopo aver, seppur per sommi capi, analizzato la normativa in merito, accompagnata dai casi più meritevoli di attenzione, occorre soffermarsi sulla sentenza[23] oggetto del commento.
La decisione prospettata, prende avvio dalla contestazione mossa dinanzi al Tribunale di Milano[24], da parte di Luigi Strada e di Emergency ONG Onlus[25], causata da un video, pubblicato sulla piattaforma di video-sharing “Youtube”, ritenuto lesivo dell’onore e della reputazione dei ricorrenti.
Nello specifico, quest’ultimi, citano in giudizio “Google Ireland Ltd.”, la quale, in qualità di hosting provider della piattaforma, non ha proceduto alla rimozione del video.
Il giudice di primo grado esclude l’ipotesi di responsabilità civile in capo alla resistente, negando il diritto al risarcimento danni a favore di Luigi Strada e di Emergency ONG Onlus.
La medesima questione viene riproposta in appello.
Gli appellanti rilevano, da una parte, un’applicazione non corretta dell’art. 16 c.1 lett. a) d.lgs. 70/2003[26], e dall’altra, un’erronea valutazione circa l’esimente del diritto di critica, considerando la pubblica notorietà dei soggetti presi in considerazione.
Anche in questo caso, i giudici di appello, negano la responsabilità della società appellata.
In particolare, soffermandosi sulla motivazione, dopo un’analisi esaustiva delle dichiarazioni[27] rese nel video e, tenuto conto del particolare contesto di critica politica prefiguratosi, la corte, operando un bilanciamento tra diritti costituzionalmente garantiti[28], non ravvisa l’idoneità del contenuto video a delineare una “manifesta illiceità”, richiesta dalla norma poc’anzi citata, escludendo così, una violazione del canone di diligenza esigibile dall’hosting provider.
- “Manifesta illiceità”: la lettera di un dato “incerto”
Il caso configurato (inserito in una certa tradizione giurisprudenziale[29]) verte principalmente sul corretto inquadramento, anche dogmatico, del requisito della “manifesta illiceità”.
Infatti, appare evidente che, una configurazione diversa rispetto a quella utilizzata nella risoluzione del caso in esame, avrebbe portato a conseguenze, in termini di responsabilità, notevolmente diverse.
Insistendo su questa linea, la sentenza richiama una celebre pronuncia di legittimità[30], la quale prevede un obbligo di rimozione non appena il prestatore di servizio di hosting sia venuto a conoscenza del contenuto illecito e solamente nell’ipotesi in cui il suddetto contenuto sia manifestamente percepibile.[31]
Nel caso di specie, considerato, il chiaro contesto di critica politica e sociale nel quale si colloca la vicenda, come il necessario bilanciamento tra il diritto alla libera manifestazione del pensiero e il diritto all’onore e da ultimo, la giurisprudenza consolidata in tema di diritto di critica[32], si vuole sottolineare la relativa naturalezza con cui è stata predisposta la decisione del giudice di merito nel catalogare l’ipotesi in oggetto come non manifestamente illecita, giustificando in questo modo la liceità dell’inattività di “Google Ireland Ltd”.
Nella questione in esame, quindi, la semplicità del caso non lascia adito ad altro tipo di interpretazione.
Soffermandosi sul punto, si evince però che, da un certo angolo visuale, la capacità di discernere tra ipotesi di “manifesta illiceità” e “mera illiceità” (che interessa nel caso di specie) sia particolarmente complessa e prettamente legata alla diversità di situazioni che emergono nella realtà fattuale.
Dal punto di vista di chi scrive, la dicotomia precedentemente riportata, nonostante sia condivisa dalla maggior parte della dottrina[33], pare incerta sul piano applicativo in relazione alla vaghezza e difficoltà interpretativa della normativa di riferimento.
Si pensi, a titolo esemplificativo, a situazioni diverse da quella considerata, nelle quali emergono diritti costituzionalmente garantiti difficilmente individuabili, ovvero dove non si ravvisa immediatamente la prevalenza di uno sull’altro.
In questo caso, il corretto inquadramento della fattispecie, tenuto conto della delicatezza[34] del contesto in cui si inserisce, potrebbe essere tanto complesso quanto prolungato tale da pregiudicare le pretese di tutela.
La complessità della questione, assieme all’incertezza sul piano normativo, vengono allo stesso modo in rilievo se si prende in considerazione il dato di cui all’art. 17 comma 1 del d.lgs. 70/2003[35] .
Considerato, infatti, oramai consolidato in giurisprudenza[36] la mancanza di un preciso obbligo di sorveglianza sui contenuti da parte del prestatore di servizio telematico, una difficoltà ulteriore potrebbe ravvisarsi prendendo in considerazione la necessaria convivenza dei due dati normativi.
Per questo motivo, per alcuni, sancire nel medesimo testo di legge, da una parte, l’assenza di un generale obbligo di sorveglianza, mentre dall’altra, la previsione di un obbligo di rimozione immediato in caso di manifesta illiceità, potrebbe apparire una incoerenza.
Anche da quest’ottica, quindi, la questione si inserisce nella forte difficoltà conciliativa del dato letterale, fermo restando la mancanza di una dottrina consolidata capace di districarne i nodi.
- I problemi di una recente invenzione: l’hosting provider “attivo”
Ulteriore analisi merita, a mio avviso, una riflessione sull’interpretazione, da parte della più recente giurisprudenza, in merito ai presupposti necessariamente idonei ad attivare la responsabilità dei provider, che chiaramente esemplifica e testimonia l’incertezza dello scenario moderno. Nell’ambito dell’elaborazione delle corti nazionali[37], influenzata dai risultati a cui è pervenuta la Corte di giustizia, si è infatti registrata la tendenza ad operare una diversificazione interna alla categoria degli hosting provider, delineando in questo modo una separazione fra “hosting provider attivo” e “hosting provider passivo”.
Da una parte, l’hosting provider “passivo” conserverebbe un carattere di neutralità e di imparzialità rispetto alle informazioni che transitano sul sito web. Dall’altra, invece l’hosting provider “attivo” si allontanerebbe dalle precedenti caratteristiche, avvicinandosi alla figura di un vero e proprio gestore di contenuti, condividendone, per questo motivo, l’ipotesi di responsabilità.
E’ ormai noto che il presupposto necessario che permette al provider di poter beneficiare dell’esenzione di responsabilità si riassume nella precondizione che lo stesso agisca come un prestatore neutro, “svolgendo un’attività di ordine meramente tecnico, automatico e passivo, in modo che esso non conosca né controlli le informazioni trasmesse o memorizzate”. In questo scenario, una questione aperta e dibattuta verte sul concreto accertamento della natura neutrale dell’hosting provider che permette di discernere tra le due diverse categorie di prestatori. Si può dire in merito che, la Corte di giustizia ha cristallizzato i caratteri dell’hosting provider “attivo”, senza tuttavia offrire elementi certi che possano aiutare a delineare nel caso concreto una ipotesi di responsabilità o meno. In materia, per questo motivo, è stato attribuito alle corti nazionali l’assiduo compito di individuare la linea di confine tra le due categorie.
Tra i parametri che interessano si sottolinea: da primo, l’inserimento di clausole che potrebbero presupporre l’esercizio di una forma di controllo sulle informazioni fornite dagli utenti; l’inserimento di messaggi promozionali associati ai contenuti pubblicati dagli utenti; la predisposizione di un motore di ricerca che permetta agli utenti di inserire delle parole chiave; la previsione di una procedura di rimozione selettiva per la segnalazione di contenuti ritenuti illeciti dagli utenti; e da ultimo, il caricamento effettuato direttamente, da parte del provider, di alcuni contenuti. Risultano evidenti, in questo contesto, le difficoltà percepibili attraverso il dato normativo, il quale risulta inidoneo a tradurre in modo coerente le diverse fisionomie degli operatori.
Certo, gli sforzi delle corti hanno partorito risultati apprezzabili sul piano della risoluzione dei casi concreti, ma sono comunque da considerarsi parziali finché non consolidati in un dato legislativo. Una linea emersa nella dottrina più celebre[38] , che tiene comunque conto delle problematicità nel delineare un quadro di responsabilità chiaro, si colloca nel verificare se, ed eventualmente in che modo, l’assimilazione tra hosting provider attivo e la responsabilità editoriale possa funzionare.
- Natura della responsabilità e implicazioni sottese
Tra i prestatori di servizi della società dell’informazione, la disciplina dell’hosting provider costituisce il punto più delicato all’interno del quale incardinare la figura generale della responsabilità civile del provider. Infatti, a causa del rischio elevato dettato dalla permanenza durevole delle informazioni e dei contenuti sul sito web, il livello di diligenza richiesto nei confronti dell’intermediario si alza rispetto alle altre tipologie. C’è da segnalare, poi, che il quadro normativo delineato dal d.lgs. 70/2003 segna un’inversione di prospettiva rispetto alla genesi della responsabilità civile utilizzata nel contesto generale della responsabilità civile d’impresa. Tale ambito, al contrario, ha visto un notevole ampliamento della responsabilità dell’imprenditore[39] verso il c.d limite dell’oggettivazione del rischio d’impresa.[40]
In merito[41], c’è chi sostiene che la ratio ispiratrice della normativa si possa spiegare nel considerare che, gravare gli intermediari di una rete di obblighi di diligenza troppo rigorosi nell’erogazione del servizio, potrebbe portare a penalizzare la loro posizione, caricandoli di oneri tecnici, al fine di evitare e prevenire la commissione di illeciti.
Dunque, in questo scenario è necessario tenere in considerazione del diritto alla libertà di impresa; trattasi di un diritto su cui si basa l’attività dell’intermediario, il quale, in presenza di eccessivi oneri e obblighi, potrebbe rinunciare allo svolgimento della propria attività. Secondo il filone dottrinale richiamato, conseguenze secondarie sarebbero comunque coincise con, da una parte, la paralizzazione dell’attività imprenditoriale, oppure, dall’altro, con il rischio di alimentare, nel mercato oligopolistico, gli operatori economicamente più forti.
Inoltre, si è considerato che un riconoscimento generalizzato della responsabilità civile degli internet service providers avrebbe comportato una limitazione della libertà di espressione degli utenti di internet, dato che i primi, in particolar modo gli hosting providers, per evitare il rischio di incorrere in ipotesi di responsabilità civile, sarebbero stati indotti a censurare i contenuti di utenti potenzialmente lesivi di diritti di terzi. Su questo punto, visti i continui sviluppi in tema e la assoluta volubilità della materia, si ritiene obsoleta la classificazione operata dalla Direttiva comunitaria[42] tenuto peraltro conto che, da una parte vi è la tendenza recente da parte dei nuovi intermediari di assolvere più funzioni per cui risulta difficile collocarli normativamente, e dall’altra, la predisposizione di un grado di diligenza diverso tra i prestatori. Per quel che rileva il criterio di imputazione, il formante legislativo nella materia dei servizi della società dell’informazione, il quale risulta tra l’altro recepire le diverse posizioni giurisprudenziali e dottrinali in tema fino ad allora emerse, riconduce specificatamente la responsabilità dell’hosting provider al principio della colpa. Si denota, come non si tratti di una mera colpa declinata in termini generali, ma di una precisa colpa omissiva[43].
L’aspetto che suscita attenzione e che merita, quindi, approfondimento, è legato alla natura prettamente “eccezionale”[44] della natura colposa della responsabilità civile del prestatore di servizio. Infatti, a differenza della colpa commissiva, che costituisce la tradizionale ipotesi di responsabilità civile, la colpa omissiva risulta essere connessa alla mancata azione a tutela di un altrui bene giuridico. Sempre sulla colpa omissiva, stante la discutibilità nel delineare una norma specifica come fonte che la disciplini, occorre prendere le distanze dal considerare la trasgressione del comportamento previsto dalla norma di legge come giudizio automatico di responsabilità. Una ipotesi del genere non farebbe altro che introdurre un’ipotesi di responsabilità oggettiva. La riconduzione della responsabilità del prestatore di servizio di hosting nell’ambito generale della colpa, ed in quello specifico della colpa omissiva, non ha tuttavia fugato i dubbi del precedente intervento normativo.
- Questioni aperte: dal controllo sui contenuti al grado di diligenza
Interessa poi, in linea con quanto detto, chiedersi se ed in che modo le caratteristiche del prestatore di servizio di hosting permettono di controllare la natura illecita del materiale immesso in Internet.
Infatti, confermato l’accoglimento di un sistema di responsabilità soggettiva, occorre stabilire quale sia, in relazione allo studio concreto della fattispecie, il grado di diligenza esigibile da parte dell’hosting provider[45].
La corretta domanda da porsi, e alla quale si cercherà di rispondere, potrebbe essere formulata nel modo seguente: “L’obbligo di controllo sul contenuto illecito, escluso sulla base delle caratteristiche del servizio, può essere individuato sulla base delle caratteristiche del prestatore?” [46].
In primo luogo, conviene rimarcare che il provider non è titolare di vere e proprie competenze giuridiche tali da accertare il carattere illecito delle informazioni o notizie ospitate sul sito web o server, nemmeno potrebbe essere astrattamente investito di un tale ruolo istituzionale.
Ribadendo il dato normativo[47], il controllo sull’illiceità sarebbe esigibile solamente nella misura in cui il materiale ospitato sia manifestamente illecito, ovvero sia possibile identificarlo da chiunque alla stregua dell’ordinaria diligenza, quindi, anche da un soggetto non dotato di competenze giuridiche professionali come il provider[48]. Considerato ciò, secondo la dottrina maggioritaria[49], il risultato raggiunto con la normativa sarebbe tendenzialmente in linea con la giurisprudenza anteriore all’intervento comunitario.[50]
Emerge infatti, da questo indirizzo, lo sviluppo di una certa tradizione lineare che, seppur in mancanza di una individuazione precisa della fonte primaria di responsabilità omissiva in seno al provider, pare abbia raggiunto risultati solidi e condivisibili sull’esigibilità della condotta positiva del prestatore di servizio.
In questa direzione, oltre ad essersi orientate altre pronunce giurisprudenziali di merito[51], si è condiviso l’assunto secondo cui il rispetto dei diritti fondamentali costituisce limite invalicabile per il potere e dovere di condotta, per il quale il sindacato costituzionale non può essere rimesso all’intermediario di servizi della società dell’informazione.
Proseguendo si precisa che, concludendo per quanto concerne il quadro della responsabilità, l’obbligo di valutazione dell’illiceità dei contenuti, anche nel momento in cui risulta essere manifesta, non solo non può essere preteso da chi non abbia una competenza tecnica giuridica, ma prima ancora, laddove siano coinvolti diritti fondamentali, esso deve considerarsi già di per sé escluso per chi non abbia una legittimazione istituzionale, come per l’appunto i provider.
Per i motivi sopra esposti, si ribadisce la peculiarità, non priva di incertezze sul piano interpretativo ed applicativo, della scelta da parte del legislatore di gravare il provider di un obbligo di “ricerca” volto ad accertare l’effettivo contenuto illecito, avendo escluso un dovere di attivazione in tal senso (art. 17 d.lgs. 70/2003), tale da operare una sorta di dissimulazione di una forma di responsabilità oggettiva traslandola dal momento precedente l’immissione dei dati, a quello successivo.
Rimane da interrogarsi se possano sussistere altre ipotesi di responsabilità per il prestatore di servizio di hosting.
In particolare, la questione dibattuta in dottrina[52] verte sulla possibilità del provider di adottare misure specifiche idonee a diminuire il rischio di commissione di illeciti sulla piattaforma.
Ci si potrebbe chiedere a proposito, quale condotta potrebbe tenere il provider nell’attesa di intervento da parte dell’autorità amministrativa o giudiziaria, in particolare se è consentito allo stesso rimanere inerte oppure se sia obbligato ad ospitare sul sito web dichiarazioni da parte di terzi volte ad informare il prestatore ed il pubblico della lamentela.
Da un lato, parte della dottrina[53], pareva condividere un’ipotesi di intervento già prima dell’intervento comunitario, nel senso di disciplinare uno specifico obbligo di previsione, sulla piattaforma, di dichiarazioni da parte degli utenti in merito a presunti atti illeciti a danno di diritti della personalità.
Il dato normativo, invece, parrebbe escludere l’esistenza di altri obblighi di diligenza sancendo l’assenza dell’obbligo di ricerca attiva degli atti illeciti in Rete.
Una soluzione di questo tipo tende ad essere, forse, eccessivamente deresponsabilizzante per il provider.
Infatti, secondo il parere di chi scrive, fatta salva l’irresponsabilità del provider in caso di omessa rimozione del materiale illecito sul sito ospitato, sarebbe stato opportuno prevedere da parte del legislatore nazionale, già ai tempi dell’emanazione del decreto legislativo 70/2003, l’obbligo di adozione di misure tecniche, come quelle sopra richiamate, che avrebbero aumentato la sicurezza interna al sito web.
Sul punto si ritornerà in maniera più approfondita in seguito.
Si vuole, muovere un’ultima considerazione in merito all’assenza di un obbligo di controllo, sulle informazioni che transitano sul sito web, a meno che non si ravvisi un’illiceità manifesta.
Nello specifico, la labilità del margine all’interno del quale si colloca la condotta attiva del provider, per i motivi già emersi, potrebbe portare ad una vera e propria veicolazione delle informazioni che circolano nella rete, venendo in contrasto così con diritti costituzionalmente garantiti, primo fra tutti la libertà di manifestazione del pensiero.
- Elemento soggettivo: l’art. 16 d.lgs. 70/2003 tra dubbi e proposte
Sviscerate, ormai, le principali questioni sottese la responsabilità da prestatori di hosting, vale la pena dedicare spazio al noto carattere della conoscenza (o conoscibilità) del contenuto illecito da parte dell’intermediario.
Al riguardo, partendo sempre dal dato normativo, un noto intervento in dottrina[54] si è interrogato sul corretto inquadramento ermeneutico delle due lettere[55] di cui al comma 1 dell’art. 16 d.lgs. 70/2003.
Nello specifico, ci si chiede se debbano considerarsi come due fattispecie alternative, oppure unite insieme in un’unica fattispecie complessa.
L’interpretazione tende a propendere per la prima ipotesi, esigendo quindi ai fini dell’elemento soggettivo dell’illecito la presenza di una comunicazione da parte dell’autorità.
C’è da dire che, da questo angolo visuale, un’ipotesi di questo tipo, si inserisce nell’ottica di, una già citata, “deresponsabilizzazione” del provider, il quale, in caso di assenza di ordine di rimozione potrebbe essere esente da responsabilità.
Si consideri poi, di seguito su questo tema, come i dubbi interpretativi, non solo ruotano attorno alla costruzione dogmatica delle fattispecie alternative, ma soprattutto emergono sulla portata interpretativa del presupposto della “conoscenza” delineato dal comma 1 lett. a) dell’art. 16.[56]
La contrapposizione che rileva, inerisce l’effettiva conoscenza dell’illiceità da una parte e la conoscenza, nelle azioni risarcitorie, di circostanze che rendono manifesta l’illiceità dall’altra.
I dubbi, in questo senso, si possono inserire sia sull’esatto significato del termine che, sul piano applicativo, può presentare difficoltà legate alla natura del soggetto in questione, sia sulle modalità con cui la conoscenza viene acquisita dal provider.
Su questo ultimo punto, ci si è chiesti, in assenza di criteri rigidi, quando si possa correttamente affermare che il provider sia “a conoscenza” di un fatto illecito, in base a quanto stabilito dal legislatore europeo.
Si ritiene conosciuto quando si è sentito dire che su un portale vi è un contenuto illecito? Quando il fatto ritenuto illecito viene riferito dalla stampa? Quando il soggetto danneggiato pone in essere una denuncia al gestore del sito? Ci può essere una conoscenza indiziaria oppure è necessario un definitivo accertamento da parte dall’autorità amministrativa o giudiziaria?
A fronte della chiara incertezza normativa, gli Stati membri hanno messo a punto pratiche diverse, per verificare la presenza del livello di conoscenza richiesto.
In alcuni Stati membri, i presupposti per la sussistenza della “conoscenza effettiva” sono stati sviluppati dalla dottrina, dalla giurisprudenza oppure in altri sedi.
Gli interventi prevalenti, procedendo ad un’interpretazione sistematica della norma in questione, sono pervenuti nel tempo alla conclusione di ritenere sufficiente la mera diffida del soggetto danneggiato, ai fini della sussistenza dell’«effettiva conoscenza» della condotta illecita dell’utente del servizio.
Risolta dunque la questione legata alla modalità con cui può considerarsi integrato il presupposto della conoscenza dell’illecito, rimane da affrontare, in chiave di confronto tra diverse posizioni dottrinali, un ulteriore dubbio dettato sempre dalla portata interpretativa dell’art. 16.
Infatti, secondo alcuni, la previsione di differenti ipotesi inerenti il presupposto conoscitivo dell’illecito porterebbe a configurare diversi modelli di responsabilità.
Da una parte[57], c’è chi ritiene, forse approssimativamente, che si tratti di una prospettazione di una responsabilità civile da un lato e di una responsabilità penale dall’altro, per la quale è prevista, tra l’altro, un’intensità meno elevata[58] nell’elemento soggettivo rispetto a quella civile.
Dall’altra parte[59], invece, vi è chi ritiene che le ipotesi in esame farebbero riferimento a due diversi criteri di imputazione della responsabilità civile: la colpa e il dolo.
Su questo punto, si approfondisce sottolineando che il provider incorrerebbe in responsabilità a titolo di colpa nel momento in cui non approfondisce la natura illecita di materiale ritenuto sospetto, mentre risponderebbe a titolo di dolo quando rimane inerte di fronte alla certezza dell’illegittimità del contenuto [60].
Entrambe le ipotesi considerate portano ad esiti per lo più sconvenienti in quanto, una diffida da parte di un soggetto reputato ingiustamente leso da un contenuto ritenuto illecito, può rendere il provider soggetto ad una difficile scelta.
Infatti, se il prestatore persegue nella diffida atta a rimuovere il contenuto, può essere tenuto al risarcimento danni se l’utente in giudizio prova la liceità dell’informazione rimossa.
Al contrario, invece, l’inerzia dell’intermediario di fronte ad un contenuto asserito come illecito, lo rende soggetto alle pretese risarcitorie se in sede di giudizio viene accertata l’effettiva illiceità del contenuto.
La responsabilità del provider sarebbe da inquadrarsi, così, come un “pendolo” che oscilla tra la responsabilità contrattuale e quella extracontrattuale.
Una successiva impostazione [61], delineerebbe la possibilità di fare affidamento a codici di regolamentazione interni i prestatori di servizi, si pensi alle linee guida tanto conosciute nei tempi moderni.
Si voglia per la natura non vincolante degli atti considerati e per la forte differenziazione esistente tra i vari prestatori di servizio, la linea prospettata non è da ritenersi perseguibile.
Un’ ultima considerazione richiamata dalla dottrina esprime la fiducia attribuita, nella stipulazione di contratti di prestazione di servizio, alle previsioni di clausole di esonero della responsabilità a fine cautelare per i providers.
I limiti in merito sono diversi: dalla necessaria conformità a specifici requisiti di validità, alla mancanza di tutela nei confronti dei soggetti estranei alla nozione di consumatore.
I notevoli dubbi, dettati non solo dalla complessità del tema, ma anche dalla normativa di riferimento, non potrebbero fare altro che rendere i provider attenti ad interessi di tipo meramente economico rispetto ad interessi giuridici, privilegiando l’utilità delle grandi imprese a scapito delle persone fisiche.
- Segnalazione dei contenuti? Il modello “TikTok”
Considerato quanto detto, in merito alla mancanza di un meccanismo chiaro circa le modalità con cui il controllo successivo ed autonomo del provider debba porsi in essere, v’è ora da chiedersi quali possono essere le altre possibilità attribuite ai providers per rendersi sufficientemente edotti dei presunti contenuti illeciti che potrebbero essere immessi nelle piattaforme digitali.
La direttiva europea[62], già all’epoca dell’emanazione, aveva spinto nel senso di indurre i legislatori nazionali ad intervenire nel merito attraverso tecniche di “notifica e rimozione”[63] per certi versi analoghe a quelle richiamate nell’esperienza statunitense del D.M.C.A.[64]
E’ evidente come le motivazioni favorevoli e condivise[65] sulle procedure di notifica ad opera degli utenti all’interno dei siti ospitati, si possano spiegare alla luce della preoccupazione generalizzata che il sistema di responsabilità omissiva possa tradursi in una sorta di automatismo sanzionatorio tra la condotta e l’evento di danno.
Il dato confortante è legato al fatto che il legislatore europeo recentemente è intervenuto in questa direzione [66].
Ne deriva appunto che il modello raccomandato, sulla base del documento sulla proprietà intellettuale (D.M.C.A), risulta essere definito come c.d. “notice and take down”.
Si tratta di un sistema per mezzo del quale il soggetto leso dalla pubblicazione di un contenuto illecito, può segnalare tale evento al prestatore di servizio della società dell’informazione e, una volta avvenuta la notifica, può maturare il diritto alla rimozione.
In questo senso si inserisce perfettamente la pronuncia in commento, in quanto i ricorrenti, avevano contestato la natura lesiva del video pubblicato attraverso un preciso “form” messo a disposizione da Google per la segnalazione da parte degli utenti.
Il provider diligente, dal canto suo, può beneficiare della esenzione della propria responsabilità anche quando, in un secondo momento, dovesse risultare infondata la “denuncia” promossa dal soggetto che si intendeva danneggiato.
Sulla base della pronuncia europea, le varie società dell’informazione (si pensi a titolo esemplificativo alle note piattaforme digitali come “Facebook”, “Twitter”, “Instagram”) si sono adoperate al fine di prevedere meccanismi del tipo di quelli appena richiamati.
Su questo punto si vuole muovere una considerazione prendendo ad esempio la, oramai globalmente nota, piattaforma di video “TikTok” [67].
Si è già detto che le segnalazioni sono uno strumento di sicurezza attiva di cui le piattaforme si avvalgono ed offrono come servizio ai loro utenti al fine di agevolare il controllo sui contenuti.
Si tenga presente che tale procedura non è così semplice come si sarebbe soliti pensare e, soprattutto, tende ad essere diversa da piattaforma a piattaforma.
Prendendo a modello la piattaforma cinese, per garantire la sicurezza ai suoi iscritti, “TikTok” ha adottato un modulo di segnalazione che si basa soprattutto su accessibilità e trasparenza.
Infatti, occorre rilevare come il numero delle macro-sezioni dedite ad effettuare una segnalazione risulta essere maggiore rispetto alla concorrenza: dai dati raccolti risulta che siano quattordici in totale (a fini comparativi, quattro in più di “Facebook” e “Instagram”, mentre addirittura dieci in più di “Twitter”).
Inoltre, la trasparenza scelta da “TikTok” fa leva sulla maggiore qualità utilizzata per descrivere le sottocategorie di una possibile segnalazione, permettendo così di riuscire ad individuare il contenuto che potenzialmente viola le linee guida grazie a descrizioni specifiche, tenendo poi conto dell’ottima decisione presa dal social network (a partire dal 2019), consistita nell’apertura di c.d. “Centri di trasparenza e responsabilità”.
La distanza con le altre piattaforme è evidente e denota la virtuosità del modello cinese.
In un quadro così delineato, pare logico soffermare sull’incertezza e sul disorientamento che potrebbe creare una situazione come quella prospettata nel quale vi è una forte disomogeneità in tema di “segnalazioni agli utenti” da parte dei vari prestatori di servizio digitale.
Ovviamente, la mancanza di criteri normativi “armonizzanti” non fa altro che confermare la linea introdotta.
Ancora sulla natura delle segnalazioni, in merito c’è chi potrebbe ravvisare nuovamente un “paradosso normativo” in relazione all’art. 17 della direttiva e-commerce[68], confermato poi nella prassi.
Infatti, la necessità di conciliare, da una parte, l’assenza di un obbligo di sorveglianza sui contenuti da parte del provider della piattaforma e, dall’altra, la predisposizione di meccanismi di segnalazione da parte dello stesso intermediario, può risultare altrettanto dubbia sul piano normativo ed applicativo.
Si consideri poi, da ultimo, quei casi nei quali le segnalazioni e le diffide aventi ad oggetto il presunto contenuto illecito di una pubblicazione vengono poste in essere da utenti diversi da quelli che si ritengono direttamente lesi.
Su casi come questi, che recentemente rappresentano oramai la maggioranza in termini numerici, alcuni potrebbero ritenere che permettano un notevole implemento del controllo sui contenuti, aiutando altresì l’algoritmo in termini eventuali di controllo preventivo.
Si dimentica, però, che una tale soluzione potrebbe sacrificare altri diritti, si pensi in primis al diretto alla libera manifestazione del pensiero, del quale Internet è peraltro contesto necessario.
In proposito, delegare gli utenti a segnalare qualsiasi tipo di contenuto, al di là dei pregi sicuramente riscontrabili, potrebbe celare una veicolazione dell’informazione da parte del prestatore di servizio, che si fa carico della diffida dell’utente.
III – G.D.P.R. e ISP: due facce della stessa medaglia
- Sulla responsabilità da trattamento illecito dei dati personali
Tema vasto e particolarmente complesso riveste il rapporto intercorrente tra il regime di responsabilità degli Internet service provider e il regime di responsabilità delineato dal c.d “GDPR”[69].
In primo luogo, prima di entrare nello specifico della questione, ci si appresta ad una breve premessa sulla responsabilità da illecito trattamento dei dati personali.
Il dato normativo da considerare è l’art. 82 GDPR, in particolare il primo comma risulta essere fortemente esplicativo e recita: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.”
Delineata l’ipotesi di responsabilità a livello generale, ai commi successivi si specificano i criteri di imputazione concentrandosi rispettivamente sulla figura del titolare e del responsabile del trattamento.
Il primo stabilisce le finalità e le modalità del trattamento dei dati (ci possono essere eventualmente anche contitolari del trattamento), il secondo, invece, tratta i dati personali per conto del titolare (solitamente è un soggetto esterno all’azienda).
Il rapporto tra i soggetti deve essere disciplinato da un contratto o un diverso atto giuridico, nel quale sono definiti gli obblighi a cui è soggetto il responsabile del trattamento nei confronti del titolare del trattamento.
A titolo di esempio, il contratto deve indicare cosa succede ai dati personali in caso di risoluzione del rapporto.
Il responsabile del trattamento può, inoltre, dare in appalto una parte delle sue funzioni a un altro responsabile del trattamento o nominare un diverso responsabile solo previa autorizzazione scritta del titolare.
Per quanto concerne, la responsabilità in caso di trattamento in violazione delle norme del regolamento europeo[70], il titolare risponde direttamente per il danno cagionato all’interessato in conseguenza di una violazione del regolamento.
Il titolare sarà, eventualmente, responsabile anche nel caso di violazione di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri.[71]
E’ altresì sottolineata la responsabilità solidale per l’intero ammontare del danno nel caso in cui ci siano più titolari o responsabili coinvolti nello stesso trattamento che siano responsabili del danno causato, al fine di garantire l’intero risarcimento.
L’interessato, successivamente all’accertamento, potrà rivolgersi ad ognuno di essi singolarmente o chiedere i danni a tutti in solido.
Da ultimo si vogliono sottolineare i casi in cui titolare o responsabile possono essere esonerati da responsabilità.
Gli stessi devono dimostrare alternativamente che l’evento dannoso non sia imputabile alla loro condotta, ma è dipeso da una causa esterna alla loro sfera di controllo, oppure di
aver adottato tutte le misure prevedibilmente idonee al fine di evitare il danno.
- Due ipotesi di responsabilità
Se si prendono in considerazione le due diverse categorie di responsabilità, previste rispettivamente per il trattamento dei dati personali e per la disciplina degli ISP, si noterebbe che da un confronto emerge un importante contrasto che pregiudica il “doppio binario” di tutela così come delineato dal Reg. 279/2016 e dal d.lgs. 70/2003.
Da una parte, infatti, la previsione dell’applicazione della direttiva comunitaria sul commercio elettronico tende, come si è detto, a limitare la responsabilità del prestatore di servizio, mentre dall’altra, il Regolamento generale sulla protezione dati (all’art. 82) sembrerebbe delineare una sorta di responsabilità oggettiva nei confronti del titolare del trattamento.
Si tenga a mente poi che, un altro motivo di doglianza è attribuito al fatto che, nell’ evoluzione della società dell’informazione, il titolare del trattamento dei dati personali tende a coincidere con l’internet service provider.
Secondo alcuni [72], il contrasto sembra ravvisarsi nella diversa previsione di responsabilità attribuita ai diversi operatori del settore del commercio elettronico.
Infatti, la circostanza che permette all’Hosting provider “passivo” di avvalersi dell’esimente[73] di cui all’art. 16 d.lgs. 70/2003 lo rende parimenti non assoggettato al regime di responsabilità così come previsto dall’art. 82 “GDPR”.
In questa direzione, il criterio d’imputazione della colpa omissiva nei confronti del provider “passivo” permette di parlare di “soggettivizzazione” della responsabilità.
La pericolosa conseguenza si tradurrebbe nella sottrazione dell’hosting provider “passivo” dalla normativa sul trattamento dati.
Invece, sarebbe configurabile in capo all’hosting provider “attivo” una responsabilità “tendenzialmente oggettiva” per violazione delle misure relative al trattamento dati a causa di una sua condotta attiva consistente nell’analizzare o profilare ulteriormente il dato.
Sostanzialmente, gli intermediari che pongono in essere una condotta attiva di organizzazione dei contenuti, diversa dalla mera attività di ordine tecnico (richiamata per i provider passivi), finalizzata al percepimento di un utile d’impresa, pare corretto che debbano perdere il beneficio di esenzione dalla responsabilità di cui al D. Lgs. 70/2003.
Da ultimo, la previsione normativa del Regolamento europeo prevale solamente, quindi, nell’ipotesi in cui il provider ponga in essere un’attività di manipolazione del dato, volto anche alla percezione di un utile.
Centrale sul tema del trattamento dei dati personali si è collocata una pronuncia[74] da parte della Corte di giustizia dell’Unione europea che negli anni si è posta come vero e proprio “leading-case” sia sul tema in oggetto, sia sul tema delicatissimo del c.d. diritto all’oblio digitale.
In particolare, la sentenza, concentrandosi in particolar modo sul ruolo svolto dai gestori di motori di ricerca, ha affermato come gli stessi debbano essere fatti rientrare all’interno della nozione di “responsabile del trattamento” in virtù della particolare attività svolta (si ritiene, infatti, che sia qualificabile come vero e proprio trattamento di dati personali).
Quindi alla luce della normativa e della giurisprudenza analizzata, nonostante il regolamento europeo cerchi di mettere ordine prevedendo specificatamente[75] il rapporto tra le due diverse responsabilità, ancora una volta, la questione importante da sottolineare sembra inerire la difficoltà di discernere nell’applicazione delle diverse discipline, tenuto presente della sempre maggiore mutevolezza dei casi prospettabili nella realtà concreta, in base anche alle implicazioni già delineate in questa sede.
In relazione alla sentenza in commento[76], ci si può lecitamente chiedere in merito se esistesse un rapporto intercorrente tra il titolare del trattamento e il responsabile (che si è detto essere, nella maggior parte dei rapporti telematici, il prestatore di servizio) e se lo stesso fosse propriamente disciplinato e inquadrato nella figura di un atto o negozio giuridico considerato l’obbligo normativo in tal senso.
Inoltre, ci si potrebbe chiedere come si dovrebbe correttamente inquadrare la condotta di “Google Ireland Ltd”. che, ospitante sul suo sito web la piattaforma di pubblicazione di video “Youtube”, sarebbe consistita nel poter utilizzare tutte le informazioni dell’utente in suo possesso al fine di constatare la sussistenza di una “manifesta illiceità”.
Si è già detto, infatti, l’illiceità del contenuto, al di là delle difficoltà del caso, può essere individuato dall’hosting provider nel momento in cui risulta essere manifesta.
La natura dubbia della questione, risiederebbe nella possibilità da parte del provider di avvalersi di prerogative, nella previsione ipotetica di un manifesto contenuto illecito, che potrebbero integrare una responsabilità per trattamento illecito di dati personali, tenuto conto per l’appunto che il provider può utilizzare tutte le informazioni dell’utente in suo possesso.
IV – Conclusioni
Alla luce di quanto sino ad ora analizzato, la sensazione generale, tenendo conto dell’indirizzo delineato nella pronuncia, è che fino ad ora i giudici si siano trovati dinanzi alla risoluzione di controversie con strumenti normativi che, forse a causa delle evoluzioni tecnologiche introdotte dalla Rete, sono apparsi non più sufficientemente idonei a dirimere il conflitto tra diritti. Di qui ne sono derivati sforzi ermeneutici, talvolta “forzati”, a cui sono logicamente seguite critiche e perplessità nei confronti della disciplina vigente. Si tenga poi conto che i numerosi interventi dottrinali e giurisprudenziali a cui si fa accenno, si sono trovati ad effettuare un bilanciamento tra interessi giuridicamente e socialmente rilevanti. Si tratta di operazioni assai delicate, che dovrebbero spettare al legislatore nazionale, se non addirittura comunitario, nelle quali attribuire eccessiva enfasi solamente ad alcuni degli interessi rilevanti rischierebbe di creare effetti imprevedibili. E’ vero poi che, l’importanza del bilanciamento è rimarcata analizzando alcune posizioni dottrinali[77].
Da una parte, infatti, almeno inizialmente, la previsione normativa dell’esenzione di responsabilità del provider si spiega nel garantire un certo livello di sviluppo dell’attività. Tale fenomeno, essendo ormai consolidato, rende necessari interventi diversi, soprattutto in termini di irrigidimento degli obblighi di controllo, al fine di evitare assetti di mercato che agevolino i soggetti economicamente più forti. Dal canto loro, questi ultimi, potrebbero addirittura avvalersi del regime di irresponsabilità vigente per introdurre un sistema di controllo preventivo sui contenuti, allo scopo di rispondere alle convenienze delle proprie strategie commerciali ed economiche.
Da una diversa angolazione, tuttavia, non si può nemmeno accettare di poter controllare ogni contenuto che viene pubblicato, non garantendo la necessaria libertà di espressione. In effetti, la creazione di norme maggiormente repressive potrebbe essere vista come la soluzione più efficace, ma allo stesso modo non bisogna dimenticare gli altri diritti che trovano in Internet una diretta esplicazione come spazio di circolazione di idee, quali, si è già detto, il diritto di esprimere liberamente le proprie opinioni, le proprie idee ed i propri pensieri e, da non sottovalutare, il diritto al libero accesso alla rete. Un sistema normativo atto a contrastare la commissione di illeciti in Internet potrebbe pregiudicare le prerogative richiamate. In questa direzione un perfezionamento dei meccanismi, già previsti, di “notice and take-down” sarebbe un intervento auspicabile. Ad ogni modo, considerata la diversità delle implicazioni e lo sviluppo vertiginoso che ha avuto Internet negli ultimi anni, sicuramente verranno alla luce sempre maggiori complessità per le quali si renderà fondamentale e necessaria un’armonizzazione delle legislazioni interne degli Stati membri dell’Unione Europea.
[1] T.E. FROSINI, Il costituzionalismo nella società tecnologica, in DeJure, voce “Il diritto dell’informazione e dell’informatica”, fasc.3,1 giugno 2020, p. 465.
[2] T.E. FROSINI, Il diritto nella società tecnologica, Milano, 1980.
[3] N. BOBBIO, Il futuro della democrazia, Einaudi, Torino, 1984.
[4] S. RODOTA’, Una Costituzione per Internet?, in Politica del diritto, 2010, fasc.3, pag. 337
[5] D.d.l. cost. n. 1317, 17 febbraio 2014
[6] F. DI CIOMMO, Internet e crisi del diritto privato: tra globalizzazione, dematerializzazione ed anonimato virtuale, in Rivista critica del diritto privato, 2003, pag. 120
[7] Trib. Roma, ordinanza 16/07/2007 (nella quale l’etichetta discografica “Peppermint Jam Records” accusò più di 3.000 utenti di aver violato la legge, dopo che questi ultimi avrebbero illegalmente condiviso file di cui la società deteneva il diritto d’autore. La vicenda ruota attorno alla condotta tenuta dalla casa discografica per aver sorvegliato i movimenti tenuti dagli utenti senza aver dato loro nessuna informazione in merito. In prima istanza il giudice capitolino ravvisa la mancanza di illiceità nella richiesta di risarcimento avanzata dall’etichetta, per poi, secondariamente, sancire definitivamente la modalità illecita della raccolta dati).
[8] Corte giustizia Unione Europea, sentenza 14/06/2017, C‑610/15 (nella specie la controversia adita in via pregiudiziale di fronte alla Corte di giustizia dell’Unione europea viene portata avanti da una fondazione dei Paesi Bassi che protegge gli interessi dei titolari di diritto d’autore nei confronti di due società di accesso ad internet. Gli utenti dei providers, in particolare, si avvalgono della piattaforma online “The Pirate bay” al fine di condividere o scaricare alcuni “files” sui propri portatili. La fondazione ricorrente adisce i giudici dei Paesi Bassi, i quali sospendono il giudizio chiedendo alla Corte di Giustizia di pronunciarsi sull’interpretazione della direttiva europea sul diritto d’autore, in particolare se una piattaforma di condivisione possa violare il diritto d’autore attraverso “una comunicazione al pubblico”. La Corte, analizzando la direttiva, conclude con una risposta positiva alla presente questione.).
[9] G. FRANZONI, Le responsabilità del provider, in AIDA, 1997, pag. 248.
[10] Sui servizi erogati in rete si veda: S. PERON, Responsabilità extracontrattuale: problematiche giuridiche connesse all’utilizzo della rete internet, in Responsabilità civile e previdenza, 2000, p. 820; P. STANZIONE, Commercio elettronico e categorie civilistiche, Giuffrè editore, 2002, p. 61. In queste produzioni dottrinali emerge come le possibilità di servizi siano legate per lo più a: siti web, blog, newsgroup, motori di ricerca e posta elettronica.
[11]Direttiva (EU) del Parlamento europeo e del Consiglio, 6 luglio 2016, n. 1148; D.lgs. 18 maggio 2018, n. 65.
[12] Si tratta di un protocollo che si occupa della frammentazione e dell’indirizzamento dei pacchetti nelle reti digitali, riassumendo così i dati da inviare, separando le informazioni. Emerge per la prima volta in una ricerca pubblicata nel 1974 dall l‘Institute of Electrical and Electronics Engineers (IEEE).
[13] F. CAMILLETTI, La responsabilità civile del provider, in Nomi di dominio, marchi e copyright, 2005, p. 237; M. DE CATA, La responsabilità civile dell’internet service provider, Giuffrè editore, 2010, p. 70.
[14] Si tratta del caso Corte di appello di Milano, sentenza 27/07/2022, n. 2627, nel quale la resistente Google Ireland Inc. non solamente agisce da “hosting provider” come si evince nella pronuncia, ma anche in qualità di “access provider” nei confronti della piattaforma di video-sharing “Youtube”.
[15] A causa del particolare rapporto intercorrente tra il “content” e “host” provider si è sostenuta la tesi secondo cui ci si trova di fronte ad un contratto di locazione di uno spazio telematico, anche se rimane preferibile l’inquadramento del seguente rapporto in un contratto di appalto di servizi.
[16] Questo tema è centrale nel discorso, in quanto la distinzione si incardina sotto il diverso profilo della responsabilità dell’intermediario di servizi telematici.
[17] Il decreto legislativo recepisce la Direttiva 2000/31/CE con la finalità di regolare la responsabilità degli operatori intermediari in modo uniforme, superando le divergenti normative nazionali e le diverse interpretazioni dei giudici. Si veda in merito, E. ANDREOLA, Profili di responsabilità civile del motore di ricerca, in Nuova giurisprudenza civile commentata, 2012, p. 129.
[18] Si rimarcava l’equiparabilità del provider al direttore del giornale. Si cercava di riconoscere in capo all’ISP una responsabilità oggettiva, ai sensi dell’art. 2050 c.c., equiparando il provider all’esercente attività pericolosa.
[19] Si veda a proposito, Trib. Milano, ordinanza 23 maggio 2013, n. 1, in Foro It., Rep. 2013.
[20] Si veda in merito; Trib. Roma, sentenza 22 marzo 2011, in Rep. Foro It, voce Contratto in genere, atto e negozio giuridico, 2013, n. 422; Trib. Milano, sentenza 7 giugno 2011, n. 7860, in Repertorio Foro Italiano 2011, voce Comunicazioni e telefono, n.142; Trib. Pinerolo, sentenza 2 maggio 2012, In Foro It., voce Provvedimenti di urgenza, n. 2199; Trib. Milano, sentenza 25 marzo 2013, in Repertorio Foro It., voce Responsabilità civile, n. 203; Trib. Roma, sentenza 9 luglio 2014, n. 4986, in Repertorio Foro Italiano 2014, Responsabile civile e civilmente obbligato per l’ammenda, n.4; Corte di app. Milano, sentenza 7 gennaio 2015, in Repertorio Foro Italiano 2016, Diritti d’autore, n. 127.
[21] Cass. Civ. sentenza 19 marzo 2019, n. 7708, in Repertorio Foro Italiano 2019, Comunicazioni e telefono, n.61
[22] Si veda, in merito, una pronuncia della Cassazione penale sul significato del termine, Cass. pen., sentenza 3 febbraio 2014, n. 3672, in Diritto di famiglia, 2014, n. 674.
[23] Corte di appello di Milano, sentenza 27/07/2022, n. 2627.
[24] Tribunale civile di Milano, ordinanza 16 novembre 2020.
[25] Si tratta di un’organizzazione non lucrativa ad utilità sociale e scopi umanitari fondata da Luigi Strada nel 1994.
[26] La questione verte in particolar modo sulla sussistenza del requisito della “manifesta illiceità” richiamato dall’articolo in oggetto.
[27] Il video, pubblicato sulla piattaforma “Youtube”, infatti, contiene espressioni colorite ed allusive rivolte in risposta di alcune dichiarazioni poste in essere dallo stesso Luigi Strada, su un tema di particolare interesse pubblico quale la politica migratoria operata dal governo italiano.
[28] Il bilanciamento opera tra la tutela del diritto all’onore e alla reputazione, assunto violato da Luigi Strada ed Emergency ONG Onlus, e il diritto di critica.
[29] Si veda da ultimo, Cass. civ., ordinanza 8 giugno 2022, n. 18430, in Foro It., Rep. 2022, voce “Sentenza, ordinanza e decreto in materia civile”
[30] Cass. civ., sentenza 19 marzo 2019, n. 7708, in Foro it., Rep. 2019, voce Comunicazione e Telefono, n. 2045
[31] La pronuncia distingue questa ipotesi, da quella nella quale manca la prefigurazione del carattere manifestamente illecito, cui logicamente non consegue un onere di rimozione immediata ma una pronuncia da parte dell’autorità amministrativa o giudiziaria sul punto.
[32] Da ultimo si veda la recentissima pronuncia, Cass. civ. ordinanza 12 aprile 2022, n. 11767, in Foro it., Rep. 2022, voce Responsabilità civile, Ingiuria e diffamazione
[33] Si veda a proposito, E. ANDREOLA, Fake news e danno da false informazioni in Internet – II parte, in Responsabilita’ Civile e Previdenza, fasc.6, 1 giugno 2020, p. 2000; R. PANETTA, Il ruolo dell’internet service provider e i profili di responsabilità civile, in Responsabilita’ Civile e Previdenza, fasc.3, 1 marzo 2019, p. 1017
[34] Con l’espressione utilizzata, si vuole alludere alle importanti conseguenze che derivano dalla corretta classificazione dell’illiceità, con riguardo alle ipotesi di responsabilità e di risarcimento.
[35] Si riporta il testo: “Nella prestazione dei servizi di cui agli articoli 14, 15 e 16, il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite”.
[36] Si veda a tal proposito la recente pronuncia di cassazione già precedentemente richiamata, Cass. civ., sentenza 19 marzo 2019, n. 7708, in Foro it., Rep. 2019, voce Comunicazione e Telefono, n. 2045; La medesima questione è ribadita nella sentenza in commento, Corte di appello di Milano, sentenza 27/07/2022, n. 2627.
[37] Si riveda, Cass. civ., sentenza 19 marzo 2019, n. 7708, in Foro it., Rep. 2019, voce Comunicazione e Telefono, n. 2045
[38] M. TESCARO, La responsabilità dell’internet service provider nel d.lgs. 70/2003, in La responsabilità Civile, n. 3, 2010, p. 166
[39] Trattasi di un soggetto a conoscenza di maggiori informazioni e, quindi, maggiormente in grado di evitare il danno.
[40] Il principio dell’oggettivazione del rischio d’impresa rappresenta un principio giuridico consolidato e sostenuto dall’analisi economica del diritto idoneo a scartare dal mercato i soggetti ritenuti economicamente inefficienti, in cui i ricavi non riescano a coprire i costi.
[41] Si veda in questo senso, M. DE CATA, La responsabilità civile dell’internet service provider, Giuffrè editore, 2010
[42] Con la presente, si allude alla previsione normativa contenente la tripartita catalogazione dei prestatori di servizio; “mere conduit”, “caching provider” e “hosting provider”.
[43] Si intende la mancata osservanza di un comportamento positivo che si aveva l’obbligo di tenere.
[44] Si veda, F. CAFAGGI, Profili di relazionalità della colpa, Contributo ad una teoria della responsabilità extracontrattuale, CEDAM editore, 1996.
[45] Si veda a proposito il datato, P. FORCHIELLI, La colpa nel diritto civile, in Enciclopedia Giuridica, 1998, p. 98 ss.
[46] G. COMANDE’ – S. SICA, Il commercio elettronico – Profili giuridici, Giappichelli editore, 2001
[47] Art. 16 d.lgs. 9 aprile 2003, n. 70
[48] Si pensi, a titolo di esempio, ai classici casi di notizie divulgate attraverso un linguaggio offensivo oppure alla contraffazione di marchi noti.
[49] G. CASSANO – F. BUFFA, Responsabilità del content provider e dell’host provider, in Corriere Giuridico, 2003, p. 77 ss
[50] Trib. Roma, sentenza 22 giugno 1999, in Diritto dell’informazione e dell’informatica, 2000; Trib. Napoli, sentenza 28 dicembre 2001, in Diritto dell’informazione e dell’informatica, 2002.
[51] Si veda, Trib Milano, sentenza 16 luglio 2007, in Diritto di internet, 2008; Trib. Siracusa, sentenza 29 giugno 2004, in Foro It., Rep. 2004, 1259.
[52] G. CASSANO, Competenza territoriale per la diffamazione commessa attraverso Internet, in Diritto dell’informazione e dell’informatica, 2001.
[53] R. NATOLI, La tutela dell’onore e della reputazione in Internet: il caso della diffamazione anonima, in Europa e diritto privato, 2001.
[54] A proposito, L. BUGIOLACCHI, La responsabilità dell’host provider alla luce del d.lgs. 70/2003: esegesi di una disciplina dimezzata, in Responsabilità civile e previdenza, 2005, p. 201.
[55] Si precisa che, secondo il dettato all’art. 16 d.lgs comma 1 d.lgs. 70/2003: “non è responsabile il provider pe le informazioni memorizzate se: a) sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione; b) su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o disabilitare l’accesso. “
[56] Nel merito, C. ROSSELLO, G. FINOCCHIARO, E. TOSI, Commercio elettronico, documento informatico e firma digitale, Giappichelli editore, 2003, p. 143.
[57] G.M. RICCIO, La responsabilità degli internet providers nel d.lgs. n. 70/2003, in Danno e responsabilità, 2003, p. 1157.
[58] D. MINOTTI, Responsabilità penale, il provider è tenuto ad attivarsi? Rivista presente in Interlex.it
[59] L. NIVARRA, Responsabilità del provider, in Digesto delle discipline privatistiche, 2003, p. 1195.
[60] Trib. Catania, sentenza 29 giugno 2004, in Diritto dell’informazione e dell’informatica, 2004
[61] G. CASSANO, F. BUFFA, Responsabilità del content provider e dell’host provider, in Corriere Giuridico, 2003, p. 77.
[62] Si veda il Considerando 40 della Direttiva 2000/31/CE.
[63] Ne parla, P. COSTANZO, I newsgroup al vaglio dell’Autorità giudiziaria (ancora a proposito della responsabilità degli attori di Internet), in Diritto dell’informazione e dell’informatica, 1998
[64] “Digital Millennium Copyright Act”, legge del 1996 degli Stati Uniti d’America sul copyright.
[65] Si veda, G. CASSANO, G. SCORZA, G. VACIAGO, Diritto dell’internet – Manuale operativo, Cedam editore, dicembre 2012
[66] Si veda la Raccomandazione (UE), del 1marzo 2018, n. 334, della Commissione Europea “sulle misure per contrastare efficacemente i contenuti illegali online”.
[67] Si tratta di un social network cinese lanciato nel 2016 nel quale gli utenti prevalentemente pubblicano video-clip.
[68] Si tratta di una terminologia alternativa per indicare la “Direttiva sul commercio elettronico”, 2000/31/EU
[69] Si tratta del: “Regolamento generale sulla protezione dei dati”, regolamento dell’Unione europea in materia di trattamento dati personali e privacy, 279/2016.
[70] Si veda nello specifico, art. 82 GDPR e Considerando n. 79 GDPR
[71] Si veda il Considerando 146 della normativa
[72] Si veda, E. TOSI, La disciplina applicabile all’hosting provider per la pubblicazione di contenuti digitali protetti dal diritto d’autore, tra speciale irresponsabilità dell’ISP passivo e comune responsabilità dell’ISP attivo, alla luce di Cassazione 7708/2019 e 7709/2019, in Rivista di Diritto Industriale, fasc.4-5, 2019, p. 226.
[73] Si veda la nota pronuncia di cassazione, Cass. civ., sentenza 19 marzo 2019, n. 7708, in Foro it., Rep. 2019, voce Comunicazione e Telefono, n. 2045
[74] Si tratta della sentenza CGUE 13 maggio 2014, C-131/12 (nella specie la decisione fa seguito al rinvio pregiudiziale proposto dall’ ”Audiencia Nacional”, dinanzi alla quale Google Spain e Google Inc. avevano proposto ricorso avverso la decisione con la quale l’ “Agencia Española de Protección de Datos”, accogliendo la denuncia depositata dalla ricorrente contro le due società, aveva ordinato a Google Inc. di adottare le misure necessarie per rimuovere dai propri indici alcuni dati personali riguardanti l’interessato e di impedire in futuro l’accesso a tali dati.
A tale conclusione, l’agenzia governativa spagnola era giunta sulla base della premessa che i gestori di motori di ricerca, effettuando un trattamento di dati per il quale sono responsabili e agendo quali intermediari della società dell’informazione, sono assoggettati alla normativa in materia di protezione dei dati.
Il ricorso non era invece stato accolto nella parte in cui chiedeva di ordinare di sopprimere o modificare le due pagine ad esso relative.
L’ ”Audiencia Nacional” decideva di sospendere il procedimento e di chiedere alla Corte di giustizia di chiarire l’interpretazione di alcune disposizioni della direttiva 95/46.)
[75] Si veda a proposito, il Considerando 21 del Regolamento UE 279/2016 (nel quale si afferma che il presente regolamento non pregiudica la direttiva.)
[76] Corte di appello di Milano, sentenza 27/07/2022, n. 2627.
[77] Si veda il recente scritto, di A. ALU’, “La responsabilità dei motori dei ricerca: quale regime applicabile?”, in Diritto delle famiglie e delle persone, 2021, p. 338