Sommario: 1. Il delitto di frode informatica e il suo rapporto con la truffa. L’individuazione del momento consumativo nelle truffe on line realizzate mediante ricarica della carta pre-pagata dell’agente. 2. La diffamazione via internet. Questioni problematiche: dalla tempestività della querela all’individuazione del locus commissi delicti. 3. Il trattamento illecito di dati personali sul web e il diritto all’oblio. Il caso Google Italia e il caso Google Spain.
1. Il delitto di frode informatica e il suo rapporto con la truffa. L’individuazione del momento consumativo nelle truffe on line realizzate mediante ricarica della carta prepagata dell’agente[1].
Uno dei principali computer’s crimes introdotti dalla legge n. 547/1993 è la frode informatica (art. 640 ter cod. pen.). La struttura del reato di cui all’art. 640 ter è duplice: da un lato, infatti, si persegue la ipotesi di chi “alteri”, in qualsiasi modo, il funzionamento di un sistema informatico o telematico, intendendosi, per “alterazione” un intervento modificativo o manipolativo sul funzionamento del sistema che viene “distratto” dai suoi schemi predefiniti, in vista del raggiungimento dell’obiettivo, punito dalla norma, di conseguire per sé o per altri un in-giusto profitto con altrui danno. In altri termini, il sistema continua a funzionare ma, appunto, in modo alterato rispetto a quello programmato, il che consente di differenziare la frode informatica dai delitti di danneggiamento informatico (artt. 635 bis, ter, quater, quinquies c.p.) non solo perché in questi ultimi è assente ogni riferimento all’ingiusto profitto, ma anche perché l’elemento materiale dei suddetti reati è costituito dal mero danneggiamento dei sistemi informatici o telematici, e quindi da una condotta finalizzata a impedire che il sistema funzioni o perché il medesimo è reso inservibile (attraverso la distruzione o danneggia-mento), o perché se ne ostacola gravemente il funzionamento. L’altra ipotesi descritta dalla norma è costituita invece dalla condotta di chi intervenga “senza diritto” con qualsiasi modalità, su “dati, informazioni o programmi” contenuti nel sistema, così da realizzare, anche in questo caso, l’ingiusto profitto con correlativo altrui danno: in questa ipotesi, dunque, attraverso una condotta a forma libera, si “penetra” abusivamente all’interno del sistema, e si opera su dati, informazioni o programmi, senza che il sistema stesso risulti in sé alterato. Ora, come precisato dalla Suprema Corte[2], la previsione del reato di frode informatica sotto l’art. 640 ter c.p. ha rappresentato il frutto di una precisa scelta del legislatore, conforme peraltro ad auspici già emersi in sede comunitaria, volta a porre un rimedio all’emersione di fatti di criminalità informatica, da ricondurre all’interno di un articolato “pacchetto” di disposizioni, tutte dedicate a colmare una lacuna normativa che poteva ripercuotersi in termini fortemente negativi su vari ed importati aspetti interferenti su diritti di primario risalto. Il bene giuridico tutelato dal delitto di frode informatica non può, dunque, essere iscritto esclusivamente nel perimetro della salvaguardia del patrimonio del danneggiato, come pure la collocazione sistematica lascerebbe presupporre, venendo chiaramente in discussione anche l’esigenza di tutelare la regolarità di funzionamento dei sistemi informatici, sempre più capillarmente presenti in tutti i settori più importanti della vita economica, sociale ed istituzionale del Paese, oltre che la riservatezza dei dati, spesso sensibili, ivi gestiti, e infine, aspetto non trascurabile, la stessa certezza e speditezza del traffico giuridico fondata sui dati gestiti dai diversi sistemi informatici. Un articolato intreccio, dunque, di valori tutelati, tutti coinvolti nella struttura della norma, che indubbiamente ne qualifica, al di là del tratto di fattispecie plurioffensiva, anche i connotati di figura del tutto peculiare, e quindi “speciale”, nel panorama delle varie ipotesi di “frode” previste dal codice e dalle leggi di settore. In ordine al rapporto con il reato di truffa (distinzione rilevante, ad esempio, in merito all’eventuale competenza investigativa della Procura della Repubblica distrettuale ex art. 51 III co. quinquies c.p.p.), la giurisprudenza di legittimità è concorde nel ritenere che, pur essendo comuni gli elementi costitutivi, il reato di frode informatica si differenzia dal reato di truffa, perché l’attività fraudolenta dell’agente investe non una persona, quale soggetto passivo della stessa, di cui difetta l’induzione in errore, ma il sistema informati-co di pertinenza della medesima, attraverso la manipolazione di tale sistema; il fatto poi che la manipolazione del sistema informatico alla fine possa determinare il compimento di un atto di disposizione patrimoniale da parte di una persona fisica non vale a cambiare la natura del reato di frode informatica, consistendo la differenza rispetto al reato di truffa nel fatto che l’atto di disposizione patrimoniale, nell’ipotesi ex art. 640 ter c.p., consegue alle manipolazioni informatiche anziché a una diretta induzione in errore della vittima. In applicazione di tali coordinate ermeneutiche, è stata ricompresa nell’alveo della previsione criminosa di cui all’art. 640 ter c.p. la condotta illecita di chi, entrato senza diritto in possesso delle cifre chiave e delle password di altre persone, utilizzi contra ius tali elementi per accedere ai sistemi informatici bancari al fine di operare sui relativi dati contabili e disporre bonifici, accrediti o altri ordini, così procurandosi un ingiusto profitto con pari danno per i titolari dei conti oggetto degli interventi di “storno”, mentre invece viene pacificamente sussunta nell’ambito del reato di truffa la vendita on line di beni il cui prezzo viene corrisposto mediante la ricarica della carta postepay dell’agente senza consegna della merce, investendo in tal caso l’azione fraudolenta non il sistema informatico in sé, semplice veicolo della condotta truffaldina, ma direttamente la persona offesa. Ora, proprio in relazione alle truffe on line attuate mediante la ricarica della postepay (ipotesi invero molto frequente nella prassi anche alla luce della diffusione del commercio elettronico disciplinato dal d. lgs. 9 aprile 2003, n. 70), se vi è concordia circa l’inquadramento giuridico del fatto, si registra invece un acceso contrasto giurisprudenziale circa l’individuazione del momento consumativo del reato e, di conseguenza, sulla designazione del giudice territorialmente competente [3]. Al riguardo si registrano due posizioni interpretative nettamente contrapposte. Una prima tesi [4] sostiene infatti che, in caso di proposta od offerta pubblicata su un sito internet, il momento consumativo deve essere individuato non nel luogo in cui avviene l’operazione di ricarica posta in essere dalla persona offesa, ma nella conseguente effettiva provvista di valuta mediante l’accredito indirizzato di una somma di denaro quale corrispettivo per il bene offerto in vendita attraverso uno strumento di pagamento (la carta prepagata) convenuto contrattualmente, e cioè mediante indicazione del relativo codice univoco, qualificandosi come vero e proprio “domicilio informatico” del creditore apparente ai sensi e per gli effetti degli artt. 1182 e 1498 III co. c.c. Tale orientamento si fonda sul presupposto giuridico che il reato di truffa si consuma nel momento dell’effettivo conseguimento dell’ingiusto profitto, con correlativo danno della persona offesa, corrispondente al momento dell’effettiva prestazione del bene economico da parte della vittima, con conseguente passaggio nella sfera di disponibilità del reo [5]. Un diverso approccio ermeneutico [6], invece, evidenzia che il luogo di consumazione di una parte essenziale della condotta truffaldina è quello in cui si realizza il danno patrimoniale immediato e irreversibile per la persona offesa, ovvero quello in cui, a seguito dell’induzione in errore, avviene il trasferimento del denaro, o tramite la ricarica all’ufficio postale, o mediante l’effettuazione dell’operazione telematica realizzata con sistemi di pagamento informatico, ad esempio attraverso la tessera postepal. Questa tesi, ripresa dalla Suprema Corte [7], appare senz’altro più convincente: occorre richiamare infatti il principio di diritto elaborato dalla sentenza n 18 del 21 giugno 2000, con la quale le Sezioni Unite della Cassazione hanno affermato che la truffa è un reato istantaneo e di danno, che si perfeziona nel momento in cui alla realizzazione della condotta tipica da parte dell’autore abbia fatto seguito la deminutio patrimoni del soggetto passivo, per cui nell’ipotesi di truffa contrattuale il reato si consuma non già quando il soggetto passivo assume, per effetto di artifici o raggiri, l’obbligazione della datio di un bene economico, ma nel momento in cui si realizza l’effettivo conseguimento del bene da parte dell’agente e la definitiva perdita dello stesso da parte del raggirato. Ora, nel caso delle truffe on line in cui il prezzo di un bene (mai consegnato) venga corrisposto mediante ricarica della postepay dell’agente, vi è contestualità non solo nel tempo della realizzazione del danno e del profitto, ma anche nel luogo in cui l’operazione di ricarica viene effettuata, in quanto alla perdita del bene economico subita dal soggetto passivo (somma di denaro pagata o accreditata), corrisponde l’acquisizione immediata e definitiva dello stesso bene passato nella concreta disponibilità dell’agente, verificandosi quindi la consumazione del reato nello stesso momento e luogo del compimento dell’operazione di ricarica, la quale determina la diminutio patrimonii della persona offesa e il contestuale illecito arricchimento dell’agente, risultando invece non dirimente il luogo in cui il soggetto attivo riscuota e utilizzi materialmente il denaro. Tale opzione ermeneutica, oltre a essere in linea con i principi giurisprudenziali delineati in tema di truffa contrattuale, presenta il non secondario vantaggio, in un’ottica di tutela processuale delle vittime del reato, di radicare la competenza territoriale nel luogo in cui abitualmente opera la persona offesa, luogo che nel caso delle vendite on line, può essere anche molto distante da quello di residenza dell’imputato, dove in genere avviene la riscossione del denaro ricaricato dalla parte lesa. In ogni caso, attesa la persistente incertezza giurisprudenziale sia all’interno della Procura Generale che della stessa Suprema Corte, sarebbe auspicabile sul punto l’intervento chiarificatore delle Sezioni Unite.
2. La diffamazione via internet. Questioni problematiche: dalla tempestività della querela all’individuazione del locus commissi delicti.
Tra i reati informatici impropri, ovvero i reati comuni che possono eventualmente essere commessi mediante l’utilizzo delle tecnologie informatiche, un posto di primo piano spetta sicuramente alla “diffamazione on line”, ovvero all’offesa dell’altrui decoro realizzata sul web. Alcun dubbio si pone circa la configurabilità del reato di cui all’art. 595 c.p. in caso di offese veicolate attraverso internet, avendo la Suprema Corte affermato, con indirizzo ormai costante [8], che l’immissione di scritti lesivi dell’altrui reputazione nel sistema di internet è idonea a integrare il reato di diffamazione, consumandosi tale reato anche se la comunicazione con più persone e/o la percezione da parte di costoro del messaggio non siano contemporanee alla trasmissione e contestuali tra loro, ben potendo i destinatari trovarsi anche a grande distanza gli uni dagli altri. Mentre infatti nella diffamazione commessa a mezzo posta, telegramma o anche e-mail, è necessario che l’agente compili e spedisca una serie di messaggi a più destinatari, nel caso invece in cui egli crei e utilizzi uno spazio web, la comunicazione deve intendersi effettuata potenzialmente erga omnes, sia pure nel ristretto (ma non troppo) ambito di tutti coloro che abbiano gli strumenti, la capacità tecnica e, nel caso di siti a pagamento, la legittimazione a connettersi. In ogni caso, qualora l’offesa venga arrecata tramite internet, l’evento appare temporalmente, oltre che concettualmente, ben differenziato dalla condotta. E invero, in un primo momento, si avrà l’inserimento in rete, da parte dell’agente, degli scritti offensivi e/o delle immagini denigratorie, e, solo in un secondo momento (a distanza di secondi, minuti, ore, giorni, ecc.), i terzi, connettendosi con il sito e percependo il messaggio, consentiranno la verificazione dell’evento. Pertanto risultano ben configurabili sia il tentativo (l’evento non si verifica perché, in ipotesi, per una qualsiasi ragione, nessuno visita quel sito), sia il reato impossibile (l’azione è inidonea, perché, ad esempio, l’agente fa uso di uno strumento difettoso, che solo apparentemente gli consente l’accesso al web, mentre in realtà il suo messaggio non è mai stato immesso in rete). Né l’eventualità che tra i fruitori del messaggio vi sia anche la persona nei cui confronti vengono formulate le espressioni offensive può indurre a ritenere che in realtà venga in tale maniera integrato il delitto di ingiuria (magari aggravato ai sensi del IV co. dell’art. 594 c.p.), piuttosto che quello di diffamazione. Infatti, il mezzo di trasmissione-comunicazione adoperato (internet), se certamente consente in astratto anche al soggetto vilipeso di percepire direttamente l’offesa, fa sì che il messaggio sia diretto ad una cerchia talmente vasta di fruitori, che l’evento lesivo si colloca in una dimensione ben più ampia di quella interpersonale tra offensore e offeso. D’altronde anche per gli altri media si verifica la medesima situazione: un’offesa propagata dai giornali o dalla radio-televisione è sicuramente percepibile anche dal diretto interessato, ma la fattispecie criminosa che in tal modo si realizza è pacificamente quella ex art. 595 c.p. e non quella di cui all’art. 594. È inoltre affermazione ormai condivisa [9] quella secondo cui la divulgazione di contenuti diffamatori tramite internet possa integrare l’ipotesi aggravata di cui al III co. dell’art. 595 c.p. («offesa recata … con qualsiasi altro mezzo di pubblicità»), ciò in forza di un’interpretazione estensiva che appare consentita dall’ampiezza della locuzione normativa e dalla particolare diffusività del mezzo usato per propagare il messaggio denigratorio. Superata la questione sulla configurabilità del reato di diffamazione on line, la giurisprudenza è stata chiamata poi a occuparsi di alcune questioni di immediato impatto pratico, relative in particolare alla tempestività della querela e all’individuazione del locus commissi delicti. In ordine al primo aspetto, è stato correttamente osservato dalla Suprema Corte [10] che la diffamazione, essendo un reato di evento, si consuma nel momento e nel luogo in cui i terzi percepiscono l’espressione ingiuriosa e dunque, nel caso in cui frasi o immagini lesive siano state immesse sul web, nel momento in cui il collegamento viene attivato; del resto l’interessato normalmente ha notizia dell’immissione in internet della comunicazione o accedendo direttamente in rete, ovvero da altre persone, che in tal modo ne sono venute a conoscenza, il che presuppone, se non l’assoluta contestualità tra immissione in rete e cognizione da parte del diffamato, quantomeno una prossimità temporale, a meno che ovviamente l’interessato non dia prova del contrario [11]. Né comunque, al fine di posticipare il dies a quo per la proposizione della querela, potrebbe essere invocato l’argomento della permanenza in rete del messaggio diffamatorio, perché così ragionando i termini per la proposizione della querela non spirerebbero mai (così come in astratto la prescrizione non maturerebbe mai per una diffamazione a mezzo stampa nel caso in cui, come spesso avviene, una copia del giornale sia conservata a tempo indefinito in una emeroteca comunale). Il vero problema allora è quello di stabilire in concreto i termini della “prossimità temporale” evocata dalla Suprema Corte tra immissione in rete del testo diffamatorio e conoscenza da parte dell’interessato, potendosi al riguardo unicamente osservare, nella consapevolezza di dover compiere un accertamento caso per caso, che, soprattutto nel caso in cui il sito dove è stata riportata la notizia diffamatoria presenti una modesta diffusione, appare ragionevole ipotizzare uno scarto temporale tra pubblicazione del testo e conoscenza da parte della persona offesa di non oltre un mese, salvo prova di un tempo maggiore da parte dell’interessato (nel caso sottoposto alla Suprema Corte nella sentenza sopra citata è stata ritenuta intempestiva la querela sporta a dicembre relativamente a una pubblicazione diffamatoria risalente a luglio). Nel caso di networks nazionali o di maggiore impatto mediatico, appare invece congruo individuare il dies a quo in un lasso di tempo immediatamente successivo alla pubblicazione della notizia diffamatoria, anche se non proprio contestuale, non potendosi equiparare tout court la diffusione on line della notizia a quella che avviene in forma stampata, per la quale deve invece presumersi la contestualità tra pubblicazione e conoscenza da parte dei lettori. Altro problema spinoso in tema di diffamazione on line, per il quale non si registra uniformità di vedute in dottrina e giurisprudenza, è quello relativo all’individuazione del locus commissi delicti. La posizione della giurisprudenza di legittimità è stata invero espressa con due sentenze “gemelle” del 2011 [12], con le quali è stato affermato che, rispetto all’offesa della reputazione altrui realizzata via internet, ai fini dell’individuazione della competenza sono inutilizzabili, in quanto di difficilissima, se non impossibile individuazione, criteri oggettivi unici, quali ad esempio quelli di prima pubblicazione, di immissione di notizia nella rete, di accesso del primo visitatore, né è utilizzabile quello del luogo in cui è situato il server in cui il provider alloca la notizia. Ne consegue che non possono trovare applicazione né la regola stabilita dall’art. 8 c.p.p., né quella fissata dall’art. 9 I co. c.p.p.; in questo peculiare contesto si è quindi ritenuto imprescindibile fare ricorso ai criteri suppletivi fissati dall’art. 9 II co., ossia al luogo di domicilio dell’imputato. Nel motivare le sue conclusioni, la Suprema Corte è partita dalla considerazione che, nel meccanismo di internet, il provider mette a disposizione dell’utilizzatore uno spazio web allocato presso un server, che può trovarsi ovunque: l’inserimento dei dati in questo spazio non comporta alcuna ulteriore attività da parte del fornitore di servizi internet, né di altro soggetto: una volta inserite le informazioni, non si verifica peraltro alcuna diffusione delle stesse, perché i dati inseriti non partono dal server verso alcuna destinazione, ma rimangono immagazzinati a disposizione dei singoli utenti che vi possono accedere attingendo dal server e leggendoli al proprio terminale. Ne consegue che quand’anche esista un preciso luogo di partenza (il server) delle informazioni, lo stesso non coincide con quello di percezione delle espressioni offensive e quindi di verificazione dell’evento lesivo, da individuarsi nel luogo in cui il collegamento viene attivato. Dunque, posto che il sito web da cui viene effettuata l’immissione è destinato a essere visitato da un numero indeterminato di persone, deve presumersi, prosegue la Corte, che all’immissione faccia seguito, in tempi assai ravvicinati, il collegamento da parte di un numero ampio di lettori telematici. Di qui l’affermazione secondo cui il locus commissi delicti della diffamazione telematica è da individuare in quello in cui le offese e le denigrazioni sono percepite da più fruitori della rete, e dunque nel luogo in cui il collegamento viene attivato, e ciò anche nel caso in cui il sito web sia registrato all’estero, purché l’offesa sia stata percepita da più fruitori che si trovano in Italia. Con una pronuncia del 2015 [13], la Corte ha aggiunto che l’upload di un articolo a contenuto diffamatorio deve ritenersi effettuato non nel luogo dove si trova l’elaboratore elettronico che conserva e rende disponibili i dati per l’accesso degli utenti, ma nel luogo in cui il caricamento del dato informatico viene percepito. Del resto, secondo la Corte, poiché non è sempre possibile l’individuazione del soggetto che per secondo legge l’articolo diffamatorio (integrando così il requisito della comunicazione con più persone), viene in rilievo, procedendo a cascata, il luogo di immissione del contenuto diffamatorio, che è idoneo a determinare la competenza territoriale, in quanto unico luogo certo in cuoi è avvenuta almeno parte dell’azione. Orbene, tali impostazioni non appaiono del tutto condivisibili [14].
Ed invero la scelta di avvalersi del criterio residuale del domicilio dell’imputato, oltre a tradire un’eccessiva sfiducia verso le attuali potenzialità tecnologiche, che invero consentono ormai di superare la difficoltà di individuare i luoghi di consumazione del reato (l’immissione in rete dei contenuti diffamatori e l’attivazione dei primi collegamenti dei fruitori del web), si rivela in contrasto con la corretta premessa fattuale relativa alla scissione tra condotta ed evento tipica del reato di diffamazione (e ancor più palese nel caso di comunicazioni a distanza come quelle on line). Ripiegando sulla residenza dell’imputato, infatti, viene eccessivamente sottovalutata la dimensione dell’evento, che invece ha carattere dirimente ai fini della consumazione del reato, e ciò senza considerare che una soluzione che faccia leva sul solo criterio di cui all’art. 9 comma 2 c.p.p. risulta troppo sbilanciata in danno della persona offesa, che si vede costretta a far valere le proprie ragioni in luoghi potenzialmente molto distanti da quello in cui è avvenuta la lesione della sua reputazione. Ben più condivisibile risulta invece l’opzione ermeneutica delle Sezioni Unite civili della Cassazione che, con una pronuncia peraltro richiamata dalle due sentenze in questione [15], hanno affermato che l’evento dell’offesa alla reputazione non si verifica nel momento e nel luogo in cui è realizzata la condotta, ma quando e dove l’evento, manifestandosi, si configura subito come danno risarcibile; il luogo in cui si realizza tale coincidenza è quello in cui si estrinseca la vita di relazione del danneggiato, il che, ad avviso delle Sezioni Unite, consente di uniformare la disciplina in materia di diffamazione in ambito civile e penale, risultando un eventuale sdoppiamento delle regole sulla competenza territoriale non giustificato dalla diversa natura dell’oggetto dei processi. Il radicamento della competenza nel luogo di consumazione dell’evento dannoso si pone peraltro come una sorta di misura di riequilibrio per la persona offesa, consentendole di far valere le proprie ragioni nello stesso ambiente in cui è stata colpita dalla condotta avvertita come diffamatoria.
Appare auspicabile quindi, anche in un’ottica di certezza del diritto, che la giurisprudenza penale, in coerenza con i principi generali dalla stessa già affermati, si ponga nel solco della decisione delle Sezioni Unite civili, ridimensionando le pur oggettive difficoltà insite nelle comunicazioni via web.
3. Il trattamento illecito di dati personali sul web e il diritto all’oblio. Il caso Google Italia e il caso Google Spain.
Emblematica del contrasto tra la sacrosanta libertà del web, cioè di uno spazio virtuale aperto a una platea indefinita di persone, e l’altrettanto doverosa tutela del singolo da in-debite interferenze nella sua sfera privata, è stata la vicenda giudiziaria nota come “caso Google/Vividown”, di cui si è occupata la sentenza n. 5107, emessa dalla Terza Sezione della Corte di Cassazione il 17 dicembre 2013 e depositata il 3 febbraio 2014. Prima di soffermarsi sui principi di diritto elaborati dalla Suprema Corte, appare utile ripercorrere la vicenda storica e processuale oggetto di giudizio. I due amministratori delegati di Google Italy s.r.l. e il responsabile della policy sulla privacy di Google Inc. venivano tratti a giudizio dinanzi al Tribunale di Milano per rispondere dei reati di cui agli artt. 40-595 c.p. e 167 del d.lgs. n. 196/2003 in relazione alla pubblicazione di un video immesso sul sito www.video.google.it, raffigurante un soggetto affetto da sindrome di Down, che veniva preso in giro con frasi offensive e azioni vessatorie riferite alla sua sindrome da parte di altri soggetti minorenni. In primo grado, il Tribunale di Milano, con sentenza del 12 aprile 2010, assolveva gli imputati dal reato di diffamazione (sub specie di omesso impedimento dell’evento ex art. 40 cpv. c.p.), ritenendo non configurabile in capo dell’host provider (ovvero del soggetto che mette a disposizione degli utenti servizi di memorizzazione delle proprie informazioni) l’obbligo giuridico di impedire l’eventuale commissione di reati da parte dagli utenti. Veniva al riguardo sottolineato sia che il d. lgs. n. 70 del 2003 in tema di commercio elettronico esclude un dovere di vigilanza sul contenuto dei materiali divulgati dagli utenti, sia che, in punto di fatto, risulta impossibile in concreto filtrare ex ante i contenuti degli uploader, cioè di coloro che caricano i contenuti sulle piattaforme poste a disposizione dai provider. Viceversa il Tribunale meneghino affermava la penale responsabilità dei tre imputati in ordine al reato di illecito trattamento di dati personali, essendo i manager di Google venuti meno al dovere di avvisare gli uploader degli obblighi imposti dalla legge e del necessario rispetto di tali obblighi e dei rischi ricollegabili a eventuali omissioni, dovere informativo questo derivante, oltre che dal buon senso, dall’art. 13 del d. lgs. n. 196/2003, investendo la violazione ipotizzata anche l’art. 26 del citato d.lgs., in quanto la diffusione del video riguardava dati idonei a rivelare lo stato di salute della persona inquadrata nel video.
In secondo grado, la Corte d’Appello di Milano, con sentenza del 21 dicembre 2012, riformava la pronuncia di primo grado limitatamente alla condanna degli imputati, evidenziando che l’art. 167 del d. lgs. n. 196/2003 non richiama il precedente art. 13 e, dunque, non impone all’internet provider di rendere edotto l’utente circa l’esistenza e i contenuti della legislazione sulla privacy; l’eventuale violazione dell’art. 13, consistente nell’omessa o inidonea informativa all’interessato, viene punita non dall’art. 167, ma dal precedente art. 161, che prevede solo una sanzione amministrativa. La Corte d’Appello escludeva inoltre la sussistenza del dolo specifico richiesto dalla disposizione incriminatrice, in base al rilievo secondo cui gli imputati non erano preventivamente a conoscenza del filmato e dell’immissione del dato personale illecitamente trattato, non essendo comunque punita la fattispecie di cui all’art. 167 del d.lgs. n. 167/2003 con il dolo eventuale individuato dal Tribunale di primo grado in capo agli imputati. Decidendo sull’impugnazione del Procuratore Generale della Repubblica presso la Corte d’Appello di Milano, la Suprema Corte ha rigettato il ricorso, confermando così la sentenza interamente assolutoria resa in secondo grado. Preliminarmente, al fine di individuare compiti e limiti di responsabilità dei soggetti che gestiscono le informazioni inserite sul web, aspetto questo centrale per la risoluzione del caso sottoposto al suo esame, la Corte ha compiuto una puntuale ricostruzione del quadro normativo di riferimento, partendo innanzitutto dalla disamina delle principali disposizioni del c.d. Codice Privacy (d. lgs. 30 giugno 2003, n. 196).
Al riguardo va richiamato in primo luogo il testo della norma incriminatrice di cui si discute, ovvero l’art. 167 (rubricato “Trattamento illecito di dati”):
«Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17, 20, 21 e art. 22, commi 8 e 11, artt. 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni».
Per comprendere il significato di tale fattispecie delittuosa, è necessario ricordare alcune definizioni normative fondamentali, contenute nell’art. 4 del d.lgs. n. 196/2003, e in particolare quelle di trattamento, di dato personale e di titolare del trattamento.
Dunque, per “trattamento”, ai sensi dell’art. 4 comma 1 d.lgs. n. 196/2003, si intende «qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati». Per “dato personale”, invece, si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» [16]. Infine, la nozione di “titolare” individua «la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza» [17]. Ora, se non vi è dubbio che il concetto di “trattamento” è assai ampio, perché comprensivo di ogni operazione che abbia ad oggetto dati personali, indipendentemente dai mezzi e dalle tecniche utilizzati, il concetto di “titolare” è invece molto più specifico, perché si incentra sull’esistenza di un potere decisionale in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati. Dalla definizione legislativa si desume, in altri termini, che titolare del trattamento non è chiunque materialmente svolga il trattamento stesso, ma solo il soggetto che possa determinarne gli scopi, i modi e i mezzi. Il c.d. Codice Privacy prevede inoltre, all’art. 13 co. 2, che l’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi; i diritti di cui all’art. 7 (fra cui il diritto di accesso ai dati personali, il diritto all’aggiornamento e alla rettifica degli stessi); gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’art. 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, insieme al sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’art. 7, è indicato tale responsabile. Prevede inoltre il IV co. dell’art. 13 che, se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al I co., comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. La violazione delle disposizioni dell’art. 13 è punita dal successivo art. 161 del Codice Privacy con una sola sanzione amministrativa di tipo pecuniario. Dall’attento esame della normativa di riferimento, la Corte ha tratto la conclusione che i reati ex art. 167 del Codice Privacy devono essere intesi come reati propri, trattandosi di condotte che si concretizzano in violazioni di obblighi dei quali è destinatario in modo specifico il solo titolare del trattamento e non ogni altro soggetto che si trovi ad avere a che fare con i dati oggetto di trattamento, senza essere dotato dei relativi poteri decisionali [18]. I precetti fissati dagli artt. 13, 17, 23, 26 del Codice Privacy, interpretati in combinato disposto con le norme sanzionatorie degli artt. 161 e 167 stesso, sono infatti tutti diretti al titolare del trattamento, eventualmente nella persona del “responsabile”, ovvero del soggetto preposto al trattamento stesso dal titolare; tali disposizioni presuppongono l’esistenza di un effettivo potere decisionale circa: a) le finalità e le modalità del trattamento cui sono destinati i dati e la comunicazione eventuale dei dati stessi ad altri soggetti, anche attraverso la designazione dei responsabili (art. 13); b) la gestione dei rischi specifici «per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento» (art. 17); c) la ricezione del consenso degli interessati, nel rispetto dei divieti legge (art. 23 e 26). Tanto premesso, la Corte ha ricordato che alla disciplina sulla privacy si affianca quella contenuta nel d.lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico); al riguardo è stato precisato che la disciplina sul commercio elettronico, nel cui ambito è previsto che non rientrano le questioni relative al diritto alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni, viene in rilievo non in via diretta ma solo in via interpretativa, al fine di chiarire ulteriormente e confermare la portata della disciplina in materia di privacy. Ciò posto, è stato evidenziato che l’art. 16 di tale decreto si occupa della figura dell’internet hosting provider, cioè di colui che si limita a prestare un «servizio consistente nella memorizzazione di informazioni fornite da un destinatario del servizio»; si è stabilito al riguardo che, nell’effettuazione di tale servizio, «il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: a) non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione; b) non appena a conoscenza di tali fatti, su comunicazione delle Autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso» [19]. Infine, nel completare la disamina della normativa di riferimento circa la posizione dei soggetti gestori dei motori di ricerca, la Corte ha richiamato il successivo art. 17 del d. lgs. n. 70/2003, significativamente intitolato “Assenza dell’obbligo generale di sorveglianza”; tale norma prevede che «nella prestazione dei servizi di cui agli artt. 14, 15 e 16, il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Fatte salve le disposizioni di cui agli artt. 14, 15 e 16, il prestatore è comunque tenuto: a) ad informare senza indugio l’Autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell’informazione; b) a fornire senza indugio, a richiesta delle Autorità competenti, le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite. Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall’Autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l’accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l’accesso, non ha provveduto ad informarne l’Autorità competente». Ora, dall’esame complessivo della normativa di riferimento, la Corte di Cassazione ha rilevato che nessuna delle disposizioni del Testo unico sulla privacy (d. lgs. n. 196/2003) e della normativa sul commercio elettronico (d. lgs. n. 70/2003) prevede che vi sia in capo al provider un obbligo giuridico di sorveglianza dei dati immessi da terzi sul sito da lui gestito. Né, ha proseguito la Corte, sussiste in capo al provider alcun obbligo sanzionato penalmente di informare il soggetto che ha immesso i dati dell’esistenza e della necessità di fare applicazione della normativa relativa al trattamento dei dati stessi. Dalla definizione del prima richiamato art. 16, si evince infatti che il gestore del servizio di hosting non ha alcun controllo sui dati memorizzati, né contribuisce in alcun modo alla scelta, alla loro ricerca o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all’utente destinatario del servizio che li carica sulla piattaforma messa a sua disposizione; ora, l’esonero di responsabilità dell’hosting provider è subordinato comunque alla duplice condizione che il provider non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e che, non appena a conoscenza di tale circostanza su comunicazione delle Autorità competenti, amministrativa o giudiziaria, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso. In altri termini, finché il dato illecito è sconosciuto al service provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso. Quando invece il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile, esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni penali del Codice Privacy. Tale interpretazione, si legge nella motivazione della Corte, appare ulteriormente confermata dal tenore letterale dell’art. 17 del d. lgs. n. 70/2003, applicabile anche all’hosting service provider; tale norma, infatti, nell’escludere la configurabilità di un obbligo generale di sorveglianza sulle informazioni trasmesse o memorizzate e di un obbligo generale di ricercare attivamente eventuali illeciti, pone a carico dello stesso provider il dovere di informare le Autorità in ordine a presunte attività o informazioni illecite dei quali sia venuto a conoscenza, anche al fine di consentire l’individuazione dei responsabili, individuando in tal modo il punto di equilibrio fra la libertà del provider e la tutela dei soggetti danneggiati. Alla luce di tali premesse ermeneutiche, la Corte ha evidenziato che la posizione di Google Italia s.r.l. e dei suoi responsabili, nel caso della pubblicazione del video raffigurante un soggetto affetto da sindrome di Down, ignobilmente preso in giro dai compagni per la sua condizione fisica (video poi subito rimosso dal provider su richiesta della Polizia Postale), era quella di mero internet host provider, cioè di soggetto che si limita a fornire una piattaforma sulla quale gli utenti possono liberamente caricare i loro video, del cui contenuto questi restano gli esclusivi responsabili; in quest’ottica è stato quindi escluso che gli amministratori della piattaforma Google fossero titolari di alcun trattamento, ribadendosi che gli unici titolari del trattamento dei dati sensibili contenuti nei video caricati sul sito sono gli stessi utenti che li hanno caricati, ai quali soli possono essere applicate le sanzioni, amministrative e penali, previste per il titolare del trattamento dal Codice Privacy. La Suprema Corte ha anche ribadito che la realizzazione e il caricamento sul sito di quel tipo di video da parte degli utenti del servizio “Google video” configura un “trattamento” ai sensi dell’art. 4 I co. lett. a), del Codice Privacy, effettuato in violazione del divieto di diffusione dei dati idonei a rilevare lo stato di salute fissato dal successivo art. 26 V co. [20]. Circa i responsabili della violazione, è stato però ribadito che gli stessi sono da identificarsi negli utenti che hanno caricato il video sulla piattaforma “Google video” e non nei soggetti responsabili per la gestione di tale piattaforma, trattandosi appunto di un mero servizio di hosting, la cui natura rende non configurabile un obbligo generale di controllo in capo ai rappresentanti di Google Italy s.r.l., cioè del gestore del servizio, che non aveva fornito alcun contributo nella determinazione del contenuto dei video dagli utenti. E in ogni caso, ha aggiunto la Corte, la mancata conoscenza da parte del provider del dato sensibile contenuto nel video caricato dagli utenti sul suo sito induce a escludere comunque dal punto di vista soggettivo, la rappresentazione e la conseguente volizione da parte degli imputati del fatto tipico, costituito dall’abusivo trattamento di tale dato. Altro principio che sembra ricavarsi dalla pronuncia della Suprema Corte, anche se non formulato in maniera esplicita, è che la conoscenza da parte dei providers dell’illiceità dei contenuti pubblicati dagli utenti assume rilevanza penale solo a seguito della formale comunicazione dell’Autorità, amministrativa o giudiziaria che sia . Dunque, al fine di ravvisare la responsabilità penale dell’hosting provider, occorre una conoscenza qualificata della natura illecita dell’informazione immessa nella rete, non essendo sufficiente la mera segnalazione di un singolo utente per innescare il meccanismo di rimozione del contenuto ritenuto illecito e determinare così la responsabilità del provider.
Orbene, la pronuncia della Suprema Corte appare corretta, in quanto conforme al dettato normativo vigente, la cui esegesi testuale è risultata puntuale e attenta.
Tuttavia, attesa la gravità della vicenda in esame, rimane la sensazione di inadeguatezza del vigente sistema normativo che non consente un’efficace tutela non solo sanzionatoria, ma anche preventiva, rispetto alla frequente divulgazione sul web di contenuti illeciti, rispetto alla quale appare improprio il richiamo alla “libertà della rete”, che di per sé non può giustificare alcuna sospensione delle regole che presidiano il rispetto dell’altrui dignità. In questo particolare contesto, occorre evidenziare che la controversa problematica del trattamento dei dati personali sul web e della conseguente responsabilità del gestore del motore di ricerca è stata oggetto di una recente sentenza della Corte di Giustizia Europea, emessa nel procedimento tra Google Spain e Google Inc. contro Agencia Española de Protección de Datos (AEPD, ovvero l’equivalente del nostro Garante della privacy) [21].
Questa la vicenda che ha dato luogo alla pronuncia della Corte di Giustizia.
Il 5 marzo 2010 un cittadino spagnolo presentava dinanzi all’AEPD un reclamo contro un quotidiano di larga diffusione, soprattutto in Catalogna, nonché contro Google Spain e Google Inc.; tale reclamo era fondato sul fatto che, allorché un utente di Internet introduceva il nome del cittadino spagnolo nel motore di ricerca del gruppo Google («Google Search»), otteneva dei link verso due pagine del quotidiano del 1998, sulle quali figurava un annuncio, menzionante il nome del reclamante, per una vendita all’asta di immobili connessa a un pignoramento effettuato per la riscossione coattiva di crediti previdenziali. Mediante il reclamo il cittadino spagnolo chiedeva, da un lato, che fosse ordinato al quotidiano di sopprimere o modificare le pagine suddette, affinché i suoi dati personali non vi comparissero più, oppure di ricorrere a taluni strumenti forniti dai motori di ricerca per proteggere tali dati; dall’altro lato, chiedeva che fosse ordinato a Google Spain o a Google Inc. di eliminare o di occultare i suoi dati personali, in modo che cessassero di comparire tra i risultati di ricerca e non figurassero più nei link del quotidiano; il cittadino spagnolo affermava infatti che il pignoramento effettuato nei suoi confronti era stato ormai definito da svariati anni e che la menzione dello stesso era priva di qualsiasi rilevanza. Con decisione del 30 luglio 2010, l’AEPD ha respinto il suddetto reclamo nella parte in cui era diretto contro il quotidiano, ritenendo che la pubblicazione da parte di quest’ultima delle informazioni in questione fosse legalmente giustificata, dato che aveva avuto luogo su ordine del Ministero del Lavoro e aveva avuto lo scopo di conferire il massimo di pubblicità alla vendita pubblica, al fine di raccogliere il maggior numero di partecipanti all’asta. Il reclamo è stato invece accolto nella parte in cui era diretto contro Google Spain e Google Inc., ritenendo il Garante della privacy spagnolo che i gestori di motori di ricerca sono assoggettati alla normativa in materia di protezione dei dati, posto che essi effettuano un trattamento di dati per il quale sono responsabili e agiscono quali intermediari della società dell’informazione; l’AEPD ha ritenuto quindi di essere autorizzata a ordinare la rimozione dei dati nonché il divieto di accesso a talune informazioni da parte dei gestori di motori di ricerca, qualora essa ritenga che la localizzazione e la diffusione delle stesse possano ledere il diritto fondamentale alla protezione dei dati e la dignità delle persone in senso ampio, ivi compresa la semplice volontà della persona interessata a che tali dati non siano conosciuti da terzi. Investita dei ricorsi di Google Spain e Google Inc., l’Audiencia Nacional ha sollecitato l’intervento della Corte di Giustizia per la disamina di una serie di questioni pregiudiziali [22]. Dopo un’articolata esegesi della direttiva 95/46, che, ai sensi del suo art. 1, ha per oggetto la tutela dei diritti e delle libertà fondamentali delle persone fisiche, e segnatamente del diritto alla vita privata, con riguardo al trattamento dei dati personali, nonché l’eliminazione degli ostacoli alla libera circolazione di tali dati, la Corte di Giustizia ha osservato che i sistemi di trattamento dei dati sono al servizio dell’uomo e che essi, indipendentemente dalla nazionalità o dalla residenza delle persone fisiche, debbono rispettare le libertà e i diritti fondamentali delle stesse, in particolare la vita privata. Ciò posto, i giudici di Lussemburgo hanno osservato che l’attività dei motori di ricerca svolge un ruolo decisivo nella diffusione globale dei dati personali, in quanto rende accessibili questi ultimi a qualsiasi utente di Internet che effettui una ricerca a partire dal nome della persona interessata, quindi anche a quegli utenti che non avrebbero altrimenti trovato la pagina web su cui questi stessi dati sono pubblicati; pertanto, nella misura in cui l’attività di un motore di ricerca può incidere, in modo significativo e in aggiunta all’attività degli editori di siti web, sui diritti fondamentali alla vita privata e alla protezione dei dati personali, il gestore di tale motore di ricerca quale soggetto che determina le finalità e gli strumenti di questa attività deve assicurare, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che detta attività soddisfi le prescrizioni della direttiva 95/46, affinché le garanzie previste da quest’ultima possano sviluppare pienamente i loro effetti e possa essere realizzata una tutela efficace e completa delle persone interessate, in particolare del loro diritto al rispetto della vita privata. All’esito del suo articolato percorso motivazionale, la Corte di Giustizia è giunta alle seguenti conclusioni:
1) l’art. 2 lett. b) e d) direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che, da un lato, l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali», ai sensi del citato art. 2 lett. b), qualora tali informazioni contengano dati personali, e che, dall’altro lato, il gestore di detto motore di ricerca deve essere considerato come il «responsabile» del trattamento summenzionato;
2) l’art. 4 § 1 lett. a) direttiva 95/46 deve essere interpretato nel senso che un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della disposizione suddetta, qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro (come avvenuto nel caso di specie, utilizzando Google la propria filiale Google Spain, società avente sede a Madrid, per la promozione delle vendite di spazi pubblicitari generati sul sito web «www.google.com»);
3) gli artt. 12 lett. b), e 14 I co. lett. a) direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita;
4) gli artt. 12 lett. b), e 14 I co. lett. a) direttiva 95/46 devono essere interpretati nel senso che, nel valutare i presupposti di applicazione di tali disposizioni, si deve verificare in particolare se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato. Dato che l’interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli artt. 7 e 8 della Carta, chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, il diritto alla cancellazione dei dati personali viene meno qualora risulti, per ragioni particolari (come il ruolo ricoperto da tale persona nella vita pubblica), che l’ingerenza nei suoi diritti fondamentali sia giustificata dall’interesse preponderante del pubblico ad avere accesso all’informazione in questione [23]. Altra puntualizzazione importante fornita dalla Corte è che le domande ai sensi degli artt. 12 lett. b), e 14 I co. lett. a) direttiva 95/46 possono essere direttamente presentate dalla persona interessata al responsabile del trattamento, il quale deve in tal caso procedere al debito esame della loro fondatezza e, eventualmente, porre fine al trattamento dei dati in questione. Qualora il responsabile del trattamento non dia seguito a tali domande, la persona interessata può adire l’Autorità di controllo o l’Autorità giudiziaria, affinché queste effettuino le verifiche necessarie e ordinino al responsabile l’adozione di misure precise conseguenti. Dunque, la sola richiesta del privato al responsabile del trattamento non fa sorgere in capo al provider alcun obbligo di attivazione, occorrendo comunque il vaglio dell’Autorità Amministrativa o Giudiziaria circa l’equo contemperamento tra l’interesse pubblico ad avere accesso a una determinata informazione e quello del privato a che ciò non avvenga. Sotto tale profilo, quindi, la pronuncia della Corte di Giustizia non sembra porsi in contrasto con i principi elaborati dalla Suprema Corte nella citata sentenza n. 5107/2014 relativa al caso Google Italia, rimanendo sostanzialmente confermata l’impostazione secondo cui il gestore del motore di ricerca ha un onere di attivazione solo quando intervenga una decisione dell’Autorità Amministrativa o Giudiziaria, che valuti preventivamente la sussistenza dei presupposti per l’eventuale rimozione dei contenuti relativi al reclamante. Appare invece innovativa, rispetto alla sentenza della Corte di Cassazione, l’affermazione della Corte di Giustizia secondo cui, «poiché il trattamento dei dati effettuato nel contesto dell’attività di un motore di ricerca si distingue e si aggiunge a quello effettuato dagli editori di siti web e incide ulteriormente sui diritti fondamentali della persona interessata, il gestore di tale motore di ricerca quale responsabile del trattamento in questione deve assicurare, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che tale trattamento soddisfi le prescrizioni della direttiva 95/46, affinché le garanzie previste da quest’ultima possano sviluppare pienamente i loro effetti». La Corte di Giustizia ha cioè evidenziato che, tenuto conto della facilità con cui le informazioni pubblicate su un sito web possono essere riprodotte su altri siti, nonché del fatto che i responsabili della loro pubblicazione non sempre sono assoggettati alla normativa dell’Unione, non sarebbe possibile realizzare una tutela efficace e completa delle persone interessate nel caso in cui queste dovessero preventivamente o in parallelo ottenere dagli editori di siti web la cancellazione delle informazioni che le riguardano.
Inoltre, il trattamento da parte dell’editore di una pagina web, consistente nella pubblicazione di informazioni relative a una persona fisica, può, eventualmente, essere effettuato «esclusivamente a scopi giornalistici» e beneficiare così, a norma dell’art. 9 della direttiva 95/46, di deroghe alle prescrizioni dettate da quest’ultima, mentre non sembra integrare tale ipotesi il trattamento effettuato dal gestore di un motore di ricerca. In questi casi, la persona interessata potrà, se ne ricorrono i presupposti, esercitare i diritti contemplati dagli artt. 12 lett. b), e 14 I co. lett. a) direttiva 95/46 nei confronti del gestore del motore di ricerca, ma non verso l’editore della pagina web. L’attribuzione della veste di titolare del trattamento in capo al gestore del motore di ricerca, sebbene nella sentenza della Corte di Giustizia sia stata circoscritta a un ambito ben definito, ovvero quello relativo all’esercizio del c.d. diritto alla deindicizzazione, è destinata comunque ad aprire nuovi scenari interpretativi, rimettendo in discussione i principi di diritto elaborati dalla Suprema Corte, che peraltro, nella sentenza relativa al caso Google Italia, a conforto dell’asserita impossibilità di qualificare come titolare del trattamento il provider, aveva richiamato la tesi conforme sostenuta proprio nel caso Google Spain dall’Avvocato Generale, le cui conclusioni sul punto non sono state recepite dalla Corte di Giustizia. Ora, al di là di quest’incertezza interpretativa, che ripropone l’esigenza di una maggiore armonizzazione tra le legislazioni degli Stati membri, non risultando conforme per ognuno di questi l’attuazione della direttiva 95/46, la decisione della Corte di Giustizia segna comunque un passo in avanti nella non facile ricerca di un punto di equilibrio tra la libera circolazione delle informazioni in rete e la necessaria tutela delle posizioni individuali [24]. Il diritto all’oblio è stato poi regolato dall’art. 17 del GDPR (Regolamento UE n. 679/2016 sulla protezione dei dati personali, attuato in Italia con il decreto legislativo numero 101/2016), il quale stabilisce una serie di criteri generali e di eccezioni, che non risultano però di facile comprensione. L’art. 17 elenca infatti una serie di motivi in presenza dei quali l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo (e il titolare del trattamento ha l’obbligo di cancellarli senza ingiustificato ritardo); fra le varie ipotesi, l’interessato può chiedere la cancellazione quando i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati, o quando abbia revocato il consenso al trattamento o i dati siano stati trattati illecitamente. Tuttavia, sempre l’art. 17 stabilisce che il diritto alla cancellazione non sussiste quando il trattamento dei dati è necessario per soddisfare alcune esigenze; fra queste, per l’esercizio del diritto alla libertà di espressione e di informazione oppure a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica. Al di là di questi principi generali, resta il problema di stabilire quando il trattamento dei dati personali risulta in concreto “necessario” per esercitare la libertà di espressione e informazione o di archiviazione nel pubblico interesse.
L’ultima parola spetta sempre all’interprete, cioè all’Autorità (garante privacy o giudice) chiamata a decidere se in una certa vicenda sottoposta al suo esame la persona possa legittimamente pretendere che una notizia che lo riguarda, pur legittimamente diffusa in passato, non resti esposta a tempo indeterminato alla possibilità di nuova divulgazione. Da ultimo, va ricordato il nuovo e significativo art. 64 ter delle norme di attuazione del codice di procedura penale, inserito dalla cd. riforma Cartabia (d. lgs. n. 150 del 2022, in vigore dal 30 dicembre 2022), che riconosce formalmente il diritto all’oblio, seppur con dei limiti e nel rispetto di una procedura determinata, tramite la deindicizzazione e la preclusione all’indicizzazione sulla rete internet, dei dati personali riportati nella sentenza o nel provvedimento della persona nei cui confronti sono stati pronunciati una sentenza di proscioglimento o di non luogo a procedere ovvero un provvedimento di archiviazione.
All’esito di questa rapida disamina, può concludersi che il diritto penale del web è ancora un “cantiere aperto”, nel quale si misura la difficoltà di coniugare le sfide della contemporaneità con le categorie giuridiche tradizionali, nella consapevolezza di dover conciliare nuove esigenze di tutela con i meccanismi di garanzia insiti nei fondamentali principi del diritto penale, a iniziare da quelli di legalità e di offensività: alla ricerca di questo delicato equilibrio saranno ancora chiamati nei prossimi anni legislatore, dottrina e giurisprudenza.
[1] Anche il presente testo costituisce una rielaborazione del testo contenuto in M.Santise e-F. Zunica, Coordinate ermeneutiche di diritto penale, Giappichelli, Torino, 2021, V edizione, cap. 18, pag. 875 ss.
[2] Cass., Sez. II, 15 aprile 2011, n. 17748.
[3] Per una ricostruzione della problematica, cfr. C. Pecorella, Truffe on line: momento consumativo e competenza territoriale, in Riv. it. dir. proc. pen., 2012, fasc. 1, pp. 113-134.
[4] Cfr. i decreti della Procura Generale della Cassazione 26 novembre 2013, n. 478, 27 febbraio 2013, n. 74; 12 febbraio 2013, n. 44; 5 luglio 2010, n. 228; 24 gennaio 2008, n. 28 e 29 ottobre 2009, n. 254. In sede di merito si segnala Trib. Rieti, 18 dicembre 2013, secondo cui l’atto di disposizione patrimoniale, essendo posto in essere dalla vittima del reato, non può rientrare nel concetto di «azione» che si riferisce al reo.
[5] Cfr. in tal senso Cass., Sez. II, 22 gennaio 2010, n. 5428. Da ultimo cfr. decreto della Procura Generale della Cassazione 8 settembre 2015, n. 226.
[6] Cfr. i decreti della Procura Generale della Cassazione 3 aprile 2012, n. 113; 23 settembre 2009, n. 228 e 17 ottobre 2009, n. 65.
[7] Cass., Sez. III, 16 giugno 2015, n. 25230.
[8] Ex plurimis, cfr. Cass., Sez. V, 17 novembre 2000, n. 4741 e Cass., Sez. V., 21 giugno 2006, n. 25875.
[9] In termini, cfr. Cass., Sez. V, 16 ottobre 2012, n. 44980 e Cass., Sez. V, 21 luglio 2011, n. 29221.
[10] Cass., Sez. V, 25 luglio 2006, n. 25875.
[11] Così Cass., Sez. V, 14 giugno 2012, n. 23624 e da ultimo Cass., Sez. V, 18 settembre 2015, n. 38099.
[12] Cass., Sez. I, 26 gennaio 2011, n. 2739, in Dir. pen. proc., 2011, fasc. 10, p. 1233 ss., con commento di F. Galluzzo, e Cass., Sez. I, 26 aprile 2011, n. 16307, in Guida dir., 2011, fasc. 24, p. 71 ss., con commento di D. Minotti.
[13] Cass., Sez. V, 21 luglio 2015, n. 31677.
[14] Così F. Galluzzo, in Dir. pen. proc., cit., p. 1234 ss. e D. Minotti, in Guida dir., cit., p. 73 ss.
[15] Si tratta dell’ordinanza SS.UU., 13 ottobre 2009, n. 21661, in Corriere giur., 2010, p. 492 ss., con nota di F. Rolfi, Mass media, diffamazione e competenza territoriale: il punto fermo delle Sezioni Unite, e in Corr. merito, 2010, p. 280 ss., con nota di G. Travaglino, Diffamazione televisiva e competenza per territorio.
[16] Specificazione della nozione di dato personale è quella di dati sensibili, che, in base al richiamato art. 4 del d.lgs. n. 196/2003, sono quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
[17] Strettamente collegata a quella di titolare è la figura del “responsabile”, cioè la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
[18] In ordine alle fattispecie di cui all’art. 167 del d.lgs. n. 196/2003, va altresì richiamata la sentenza della Suprema Corte, Sez. III, 24 maggio 2012, n. 23798, con la quale ci si è soffermati tra l’altro sulla nozione di “nocumento” indicata nella norma incriminatrice; al riguardo si è infatti affermato che l’inciso “se dal fatto deriva nocumento” presente sia al I co. che al II co., integra una condizione obiettiva di punibilità. È stato cioè stabilito che il reato è perfetto quando la condotta si sostanzia in un trattamento dei dati personali, in violazione di precise disposizioni di legge, effettuato con il fine precipuo di trame un profitto per sé o per altri o di recare ad altri un danno, ma la sua punibilità discende dalla ricorrenza di un effettivo “nocumento”, nel senso cioè che il profitto conseguito o il danno causato siano apprezzabili sotto più punti di vista; si è, in altri termini, al cospetto di un reato di pericolo effettivo e non meramente presunto, con il risultato che la illecita utilizzazione dei dati personali è punibile, non già in sé e per sé, ma in quanto suscettibile di produrre nocumento (cosa che, ovviamente, deve essere valutata caso per caso) alla persona dell’interessato e/o al suo patrimonio; in ogni caso, il nocumento che consegue all’illecito trattamento di dati personali può essere di vario genere, quindi non solo economico, ma anche più immediatamente personale, quale ad esempio è stata ritenuta nel caso esaminato dalla Corte con la sentenza n. 23798/2012 la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii (il c.d. spamming).
[19] La norma prosegue stabilendo che le disposizioni di cui al I co. non si applicano se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore e che l’Autorità giudiziaria o quella amministrativa competente può esigere, anche in via d’urgenza, che il prestatore, nell’esercizio delle attività di cui al I co., impedisca o ponga fine alle violazioni commesse.
[20] Il concetto era stato già espresso dalla Corte in un suo precedente (Cass., Sez. III, 4 maggio 2011, n. 17215), nel quale era stato spiegato che, nel diverso ambito del bilanciamento fra diritto di cronaca e protezione dei dati personali, la pubblicazione di un’immagine che rappresenti le condizioni di salute di un soggetto (si trattava in quel caso della foto di una persona ricoverata in fin di vita con il volto devastato da un colpo di arma da fuoco) configura un trattamento di dati personali. E ciò proprio perché il concetto di “trattamento” è ampio e prescinde dall’inserimento dei dati in una vera e propria banca-dati, potendosi concretizzare in qualunque operazione di utilizzazione e diffusione di tali dati, anche per mezzo della rappresentazione fotografica o della ripresa video.
[21] Si tratta della sentenza resa dalla Corte di Giustizia il 13 maggio 2014, n. C-131/12, pubblicata, tra gli altri, in Corriere giur., 2014 (fasc. 12), p. 1471 ss., con commento di G. Scorza, Corte di Giustizia e diritto all’oblio: una sentenza che non convince.
[22] La domanda di pronuncia pregiudiziale verteva sull’interpretazione degli artt. 2 lett. b) e d), 4 § 1, lett. a) e c) 12, lett. b) e 14 I co. lett. a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, p. 31), nonché dell’art. 8 della Carta dei diritti fondamentali dell’Unione europea.
[23] Nel caso sottoposto al suo esame (relativo come detto a un’asta immobiliare legata a un pignoramento effettuato per la riscossione coattiva di crediti previdenziali), la Corte ha affermato che, tenuto conto del carattere sensibile delle informazioni contenute negli annunci immobiliari, nonché del fatto che la loro pubblicazione iniziale era stata effettuata 16 anni prima, la persona interessata vantava un diritto a che tali informazioni non fossero più collegate al suo nome; pertanto, non sussistendo ragioni particolari tali da giustificare un interesse preponderante del pubblico ad avere accesso, nel contesto di una ricerca siffatta, alle informazioni in esame (aspetto questo la cui verifica spetta comunque al giudice del rinvio), la persona interessata può quindi esigere, a norma degli artt. 12 lett. b), e 14 I co. lett. a) direttiva 95/46, la soppressione dei link suddetti dall’elenco dei risultati associati al suo nome.
[24] Nella newsletter n. 397 del 22 dicembre 2014, pubblicata sul sito istituzionale del Garante della Privacy (www.garanteprivacy.it), è stato evidenziato che sono state alcune decine finora le segnalazioni giunte al Garante a seguito della sentenza della Corte di Giustizia europea sul diritto all’oblio. In particolare, è stato ricordato che le segnalazioni e i ricorsi pervenuti al Garante hanno riguardato la richiesta di deindicizzazione di articoli relativi a vicende processuali ancora recenti e in alcuni casi non concluse. In sette dei nove casi definiti (doc. web n. 3623819, 3623851, 3623897, 3623919, 3623954, 3624003 e 3624021) il Garante non ha accolto la richiesta degli interessati, ritenendo che la posizione di Google fosse corretta in quanto è risultato prevalente l’aspetto dell’interesse pubblico ad accedere alle informazioni tramite motori di ricerca, sulla base del fatto che le vicende processuali sono risultate essere troppo recenti e non erano stati ancora espletati tutti i gradi di giudizio. In altri due casi (doc. web n. 3623877 e 3623978), invece, l’Autorità ha accolto la richiesta dei segnalanti, nel primo, perché nei documenti pubblicati su un sito erano presenti numerose informazioni eccedenti, riferite anche a persone estranee alla vicenda giudiziaria narrata, nel secondo, perché la notizia pubblicata era inserita in un contesto idoneo a ledere la sfera privata della persona. Tutto ciò in violazione delle norme del Codice Privacy e del Codice Deontologico che impone di diffondere dati personali nei limiti dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico e di non descrivere abitudini sessuali riferite a una determinata persona identificata o identificabile. L’Autorità ha quindi prescritto a Google di deindicizzare le pagine web segnalate. La prima pronuncia giudiziaria in materia si è avuta da parte del Tribunale di Roma che, con sentenza del 3 dicembre 2015, n. 23771, ha rigettato la richiesta di “deindicizzazione” di un avvocato in relazione a notizie relative a un suo coinvolgimento in vicende giudiziarie, osservando che si trattava di notizie recenti e di interesse pubblico, per cui non vi era spazio per l’operatività del c.d. diritto all’oblio.