Non si conoscono ancora gli estremi della sentenza, ma la notizia sta facendo il giro del mondo. La stessa Google, sul proprio blog ufficiale, fa sapere che David Drummond, Peter Fleischer e George Reyes sono stati condannati per violazione della privacy. L’accusa per il concorso omissivo in diffamazione è caduta, probabilmente in applicazione della disciplina sul commercio elettronico, che sancisce l’irresponsabilità del provider per le attività effettuate dagli utenti sui propri servizi. È stata, invece, rilevata la violazione delle norme in materia di privacy.
Riservatezza e dati personali
Nell’attesa di avere il testo della sentenza, è da rilevare che la direttiva in materia di commercio elettronico non si applica, tra le altre cose, a due direttive che si occupano di privacy. L’articolo 1 del decreto legislativo 70/03, che ha recepito la direttiva, esclude dal campo di applicazione «le questioni relative al diritto alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni di cui alla legge 31 dicembre 1996, n. 675, e al decreto legislativo 13 maggio 1998, n. 171, e successive modificazioni». E le due discipline, in effetti, sono diverse e fra loro indipendenti e questa norma potrebbe avere rafforzato la non applicazione della regola della non responsabilità del provider per la violazione della privacy riscontrata nel caso di specie.
Nel video, di cui abbiamo parlato su Apogeonline all’epoca dei fatti, erano ripresi alcuni studenti dell’Istituto Steiner di Torino mentre vessavano e insultavano un loro compagno affetto da una forma di autismo. Il video era stato caricato su Google Video da una studentessa che, presente all’avvenimento, aveva filmato la vicenda. Le motivazioni della sentenza daranno spunti per ragionare sui limiti possibili all’efficacia della tutela del diritto al controllo dei propri dati nel web contemporaneo e l’articolarsi della responsabilità attraverso la catena di custodia degli stessi. Il problema di base è questo: se un video è un dato personale (ed è sicuramente sensibile, se rivela uno stato di salute), a chi spetta chiedere il consenso alla diffusione di dati di un soggetto terzo? Al fornitore di hosting rispetto all’utente che immette i suoi dati in un servizio o all’utente stesso?
I dati sensibili degli amici
La disciplina in materia di privacy riveste, in questo momento storico, un ruolo di capillare importanza per i diritti che si prefigge di tutelare, messi sotto scacco dagli stessi soggetti che ricadono sotto la sua tutela attraverso la condivisione online la propria vita su blog e social network. Il lifestreaming nasce come condivisione delle proprie relazioni con un pubblico indiscriminato: in questo senso, i problemi maggiori arrivano dalla necessità di rispettare la privacy delle persone che fanno parte della rete di contatti. Se un utente ha il diritto di condividere autonomamente con il resto del mondo le proprie foto, il proprio status (inteso sia in senso 2.0, come ad esempio il proprio umore, sia in quello giuridico, come ad esempio il fatto di essere sposati con una determinata persona) e ogni altra informazione che lo riguarda, non ha invece il diritto di condividere su web dati personali o sensibili che appartengono ad altri.
Nel definire il campo di applicazione della disciplina, infatti, il Codice in materia di protezione dei dati personali chiarisce che questa si applica certamente a persone giuridiche che trattano i dati di soggetti terzi, ma anche ai privati qualora comunichino e diffondano dati di altri anche se i fini sono personali. Secondo l’articolo 5 comma 3, «il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31». Inoltre, secondo il comma 5 dell’articolo 26 i dati idonei allo stato di salute non possono essere diffusi a prescindere dal consenso.
L’informativa
Le regole dell’informativa preventiva e del consenso scritto qualora i dati condivisi siano anche sensibili dovrebbero essere la norma per tutti gli utenti italiani che condividono foto di amici, video, relazioni personali. L’informativa assolve i propri scopi se vi sono indicati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, oltre all’ambito di diffusione dei dati medesimi. Se la diffusione avviene attraverso il web, ogni aspettativa di controllo sulla circolazione dei dati stessi è fugata.
Il problema è noto da tempo, tanto che il Garante, nel pubblicare una guida per un uso consapevole dei social network, così si rivolge a studenti, insegnanti e genitori nel decalogo finale: «Astieniti dal pubblicare informazioni personali e foto relative ad altri senza il loro consenso. Potresti rischiare anche sanzioni penali». In effetti, l’articolo 5 è in linea con la previsione del decalogo e il consenso alla diffusione dei dati dovrebbe essere richiesto da colui che i dati li pubblica e li diffonde, cioè l’utente del servizio utilizzato. È un principio eticamente e giuridicamente corretto.
Oneri per il gestore
Non sappiamo, allo stato, a che titolo Google sia stata ritenuta responsabile, ma nell’articolo della BBC viene rilanciata l’ipotesi che il problema riguardi proprio la mancanza di consenso di tutti i soggetti coinvolti nel video prima che questo fosse messo online. Se questa è la motivazione alla base della sentenza, significa che è stato previsto in capo non all’utente ma al fornitore del servizio di hosting l’onere di chiedere il consenso alla pubblicazione del video. In poche parole Google avrebbe dovuto verificare il contenuto del video, rilevare la presenza di altri soggetti, rintracciarli o imporre all’utente che ha caricato il video di farlo, verificarne l’identità, farli iscrivere alla piattaforma e acquisire il consenso scritto del disabile e dare agli altri la relativa informativa. Oppure, in alternativa, imporre all’utente che ha caricato il video di acquisire egli stesso i necessari consensi e formalmente incaricare Google come responsabile esterno del trattamento dei dati dei soggetti filmati. O, ancora, più semplicemente, bloccarne l’upload.
A queste condizioni, le piattaforme che permettono la pubblicazione di user generated content – non solo Google Video, ma anche Facebook, Ning, Vimeo eccetera – ai fini della privacy avranno l’onere di verificare i contenuti e di ottenere i consensi anche degli utenti non iscritti, con ovvi problemi in merito all’identificazione di ognuno. È chiaro, quindi, che in futuro la giurisprudenza dovrà trovare un equo bilanciamento tra la tutela dei dati di soggetti collegati ai propri utenti e la possibilità concreta dei provider di contenuti di potere erogare i propri servizi.
Prospettive per il futuro
Che cosa avrebbe potuto fare, quindi, Google e quali possono essere le prospettive se una ipotesi di responsabilità per chi fornisce hosting per user generated content dovesse stabilirsi a partire da questo caso? Ci sono due soluzioni possibili al momento. La prima, sicuramente più corretta, è che tali provider chiedano al Garante un interpello per presentare i problemi connessi alle attività specifiche che i comportamenti dei loro utenti pongono in materia di tutela dei dati personali e adeguarsi alla soluzione proposta dall’Autorità. La seconda è stabilire nelle condizioni di servizio un obbligo contrattuale che addossi all’utente l’obbligo di premunirsi dei necessari consensi relativi ai dati personali di eventuali terze persone raffigurate nei loro contenuti e garantire il provider, sotto loro responsabilità, che tutti gli obblighi di legge sono stati adempiuti.