Articoli, saggi, Riservatezza, privacy -  Redazione P&D - 2014-02-05

TRATTAMENTO DEI DATI PERSONALI. GOOGLE NON E RESPONSABILE – Sabrina CAPORALE

La pubblicazione di un"immagine che rappresenti le condizioni di salute di un soggetto configura trattamento dei dati personali ai sensi dell"art. 17 e ss. d.lgs. 193/2006.

Ma quand"è che una simile condotta costituisce ipotesi di responsabilità penalmente rilevante?

L"art. 17 Codice della Privacy, prevede che il trattamento di dati che presentano rischi specifici «per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti». Non solo. L"art. 23 dello stesso Codice, dispone che «il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato e che tale consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili».

La violazione di tali ultime disposizioni è sanzionata dall'art. 167, a norma del quale, « Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni»

Ebbene, una recente sentenza della Cassazione si è proprio espressa sul punto.

Nella specie, Essa si è occupata della violazione nell"utilizzo dei dati sensibili riguardanti lo stato di salute di un ragazzo affetto da sindrome di down ripreso dai compagni in un video poi, pubblicato in internet.

Come premesso la questione, in verità assai delicata, vedeva coinvolto un ragazzo down contro l"amministratore delegato di Google Italy s.r.l., e il responsabile della privacy di Google Inc, entrambi imputati per il reato di cui agli articoli 110 c.p. e 167, commi 1 e 2 del decreto legislativo n. 196 del 2003, per aver, in concorso tra di loro e ognuno nella propria rispettiva qualità, acconsentito al trattamento dei dati personali del primo, in violazione degli artt. 23, 17, e 26 dello stesso d.lgs. n. 196/2003; nella specie, con riferimento a un video immesso per la successiva diffusione a mezzo Internet sul sito www.video.google.it, raffigurante quest"ultimo nel momento "in cui veniva preso in giro con frasi offensive e azioni vessatorie riferite alla sua sindrome da parte di altri soggetti minorenni, suoi coetanei".

Oggetto di contestazione, dunque, la violazione, da parte degli imputati, di aver omesso l'informativa sulla privacy, visualizzabile in italiano dalla pagina iniziale del servizio Google video, in sede di attivazione del relativo account, e la violazione per aver pubblicato e diffuso immagini dal contenuto idoneo a rivelare lo stato di salute della persona inquadrata nel video medesimo.

Portata dinanzi alla Cassazione, la vicenda veniva così decisa.

Primo aspetto analizzato, la responsabilità nell'attività di memorizzazione di informazioni in internet ( c.d.hosting).

L"art. 16 d.lgs. n. 70 del 2003 dispone espressamente che il prestatore del servizio, non è assoggettato ad alcun obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.

Di contro, egli è comunque tenuto: a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione; b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite. Può, infatti, dirsi civilmente responsabile del contenuto di tali servizi, nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non abbia agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente».

A una tale conclusione – aggiunge la Corte –si giunge anche muovendo dall'analisi delle definizioni di "trattamento" e "titolare del trattamento" fornite dall" art. 4 del Codice sulla Privacy. "Infatti, se non vi è dubbio che il concetto di "trattamento" sia assai ampio, perché comprensivo di ogni operazione che abbia ad oggetto dati personali, indipendentemente dai mezzi e dalle tecniche utilizzati, il concetto di "titolare" è, invece, assai più specifico, perché si incentra sull'esistenza di un potere decisionale in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati. Dalla definizione legislativa si desume, in altri termini, che titolare del trattamento non è chiunque materialmente svolga il trattamento stesso, ma solo il soggetto che possa determinarne gli scopi, i modi, i mezzi. Come peraltro, emerge dal combinato disposto degli artt. 13, 17, 23, 26 del Codice Privacy)".

(…)"Deve pertanto aggiungersi, che i reati di cui all'art. 167 del Codice Privacy - per i quali qui si procede – sono da configurarsi come reati propri, "trattandosi di condotte che si concretizzano in violazioni di obblighi dei quali è destinatario in modo specifico il solo titolare del trattamento e non ogni altro soggetto che si trovi ad avere a che fare con i dati oggetto di trattamento senza essere dotato dei relativi poteri decisionali".

Se, dunque, come accennato, l"Internet hosting provider, è colui che si limita esclusivamente a prestare un «servizio consistente nella memorizzazione di informazioni fornite da un destinatario del servizio», ne deriva che tale, non ha alcun controllo sui dati memorizzati, né contribuisce in alcun modo alla loro scelta, alla loro ricerca o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all'utente destinatario del servizio che li carica sulla piattaforma messa a sua disposizione".

In altri termini, "finché il dato illecito è sconosciuto al service provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso; quando, invece, il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni penali del Codice Privacy. In via generale, sono, dunque gli utenti ad essere titolari del trattamento dei dati personali di terzi ospitati nei servizi di hosting e non i gestori che si limitano a fornire tali servizi".

Tali principi – conclude la Corte - «trovano applicazione anche nel caso in esame, nel quale a) il video raffigurante un soggetto affetto da sindrome di Down ingiuriato e preso in giro dai suoi compagni proprio in relazione alla sua particolare sindrome era stato caricato su Google video, servizio di Internet hosting, all'insaputa di tale soggetto; b) nei giorni successivi, alcuni utenti avevano segnalato la presenza del video sul sito e ne avevano chiesto la rimozione; c) la rimozione era stata chiesta dalla Polizia postale; d) in quello stesso giorno il video era stato rimosso dal provider. (…)

La posizione di Google Italia S.r.l. e dei suoi responsabili, imputati nel presente procedimento, è infatti quella di mero Internet host provider, secondo la definizione di cui sopra.

Ne deriva, pertanto, che gli imputati non sono titolari di alcun trattamento e che gli unici titolari del trattamento dei dati sensibili eventualmente contenuti nei video caricati sul sito sono gli stessi utenti che li hanno caricati, ai quali soli possono essere applicate le sanzioni, amministrative e penali, previste per il titolare del trattamento dal Codice Privacy»

Questo quanto deciso dal Supremo Organo giudicante.



Autore

immagine A3M

Visite, contatti P&D

Nel mese di agosto 2020 Persona & Danno ha registrato oltre 241.000 visite.

Articoli correlati