1.  Con la sentenza che qui si annota la Corte d'Appello di Milano ha assolto i manager di Google[1] per il reato di illecito trattamento di dati (art. 167 D.Lgs. 196/2003), in riforma della decisione di primo grado[2], sul punto ampiamente criticata dalla dottrina[3], confermando, inoltre, l'insussistenza del delitto di diffamazione, realizzato da un utente di Google Video e contestato agli imputati in forma omissiva, mancando in capo al provider una posizione di garanzia e poteri impedivi.

Come noto, il processo scaturisce dalla pubblicazione di un filmato sull'host Google Video che ritrae un ragazzo disabile, umiliato da alcuni compagni all'interno di un edificio scolastico; nella ripresa si sentono anche frasi ingiuriose nei confronti dell'associazione Vivi Down.

L'accusa era costruita in termini di omesso impedimento del reato altrui: il provider avrebbe una posizione di garanzia di protezione sui dati eventualmente trattati dai propri uploader, ricavabile dalle norme del codice della privacy che prescrivono l'informativa agli utenti sul trattamento dei dati (art. 13), l'autorizzazione scritta dell'interessato e quella preventiva del Garante per il trattamento di dati sensibili (art. 26) e, infine, l'adozione di speciali garanzie per il trattamento dei dati sensibili (art. 17)[4].

La decisione di prime cure aveva escluso che i manager del provider fossero gravati da una posizione di garanzia, sostanzialmente con tre argomenti: (i) l'impossibilità di ricostruire dalle norme individuate dall'accusa un generale obbligo di impedimento di reati commessi dagli utenti; (ii) l'inesigibilità di un controllo preventivo di Google Video, impossibile da un punto di vista tecnico; (iii) l'impercorribilità di un'attività di filtraggio preventivo ad opera del provider, che verrebbe trasformato in un censore e renderebbe impossibile il funzionamento della rete.  Su tali basi il Tribunale aveva dunque assolto i manager dall'imputazione di diffamazione perpetrata ai danni dell'associazione Vivi down.

Discorso diverso per l'illecito trattamento dei dati. Il Tribunale, pur non riconoscendo un obbligo di verifica del provider sul contenuto dei video e, nello specifico, l'onere di controllare che gli uploader abbiano ottenuto il consenso al trattamento dei dati personali dagli eventuali interessati - onere di fatto inassolvibile, a fronte di migliaia di video caricati ogni giorno, e comunque non imposto da alcuna norma -, aveva tuttavia ritenuto che gravasse su Google «un obbligo di corretta informazione agli utenti dei conseguenti obblighi agli stessi imposti dalla legge, del necessario rispetto degli stessi, dei rischi che si corrono non ottemperandoli»[5]; obbligo derivante, secondo il Tribunale, dall'art. 13 del D.Lgs. 196/2003  oltre che dal "buon senso"[6]. I manager di Google erano stati conseguentemente condannati ex art. 167 del D.Lgs. 196/2003  per non aver avvisato gli uploader che il trattamento di dati altrui richiede il consenso: una violazione inerente l'informativa e non il consenso, riconducibile - nell'ottica del Tribunale - al perimetro dell'art. 13[7] piuttosto che all'art. 23[8] del codice della privacy.

2. Avverso tale decisione propongono gravame sia la pubblica accusa che le difese degli imputati.

2.1. La richiesta di riforma del P.M. ripercorre le ragioni poste a fondamento dell'esercizio dell'azione, sostenendo il dovere e la possibilità in concreto per i manager di Google di impedire gli illeciti degli uploader attraverso il ricorso a filtri già disponibili all'epoca dei fatti. Le ragioni dell'accusa sono supportate da una memoria del P.G. in cui si prospetta la possibilità di configurare una posizione di garanzia del provider derivante dall'esercizio di un'attività pericolosa[9]. Inoltre, secondo l'accusa, poiché Google Video non agisce da mero intermediario, ma sceglie quali informazioni trasmettere e secondo quali modalità, agendo dunque come c.d. host attivo, non sarebbero applicabili al provider le limitazioni di responsabilità previste dal D.Lgs. 70/2003, che escludono generali obblighi di sorveglianza e di ricerca di attività illecite realizzate dagli utenti in capo ai gestori dei servizi telematici[10].

2.2. Le difese degli imputati con gli atti d'appello e con successive memorie contestano preliminarmente la giurisdizione e la competenza del Tribunale di Milano, essendo i server della società collocati negli Stati Uniti, nonché il difetto di correlazione tra l'imputazione e la decisione in relazione all'illecito trattamento di dati, stante la difforme ricostruzione fattuale e giuridica prospettata dal decidente rispetto a quella contenuta nel capo d'imputazione.

Nel merito, le difese rilevano l'impossibilità di sussumere le condotte contestate nel capo d'imputazione nell'alveo dell'art. 167 D.Lgs. 196/2003, mancando sia l'elemento oggettivo sia quello soggettivo del reato. Segnatamente, quanto all'elemento oggettivo, rilevano che: (i) l'interpretazione del Tribunale si risolve in una doppia analogia in malam partem, giacché l'art. 167 D.Lgs. 196/2003 non richiama, tra le disposizioni di cui costituisce il presidio penale, l'art. 13 e in quanto, a tutto voler concedere, tale norma non richiede l'informativa che - secondo il decidente - Google avrebbe dovuto prestare; (ii) e che a mente della normativa interna[11] e comunitaria[12], il titolare-responsabile del trattamento è colui che decide unitamente all'interessato le modalità e le finalità del trattamento stesso, Google Video è responsabile esclusivamente dei dati degli uploader e solo questi ultimi dei dati contenuti nei filmati caricati: tra tali relazioni non sussiste alcuna "proprietà transitiva" per cui Google non assume alcuna responsabilità in relazione ai soggetti ripresi e ai loro dati personali eventualmente trattati. In punto di elemento soggettivo tre sono le critiche mosse dagli appellanti alla decisione del Tribunale: (i) non vi è prova alcuna che i manager imputati conoscessero il filmato e, a fortiori, sapessero che in esso fossero trattati dati sensibili senza consenso; (ii) il dolo specifico di profitto richiesto dall'art. 167 D.Lgs. 196/2003 è incompatibile con il dolo eventuale ("voluta disattenzione") e con la generica finalità lucrativa di Google Video descritti dal decidente; (iii) non essendoci alcun link pubblicitario collegato ai video, al momento di consumazione dell'illecito e in relazione allo specifico servizio di condivisione, il dolo specifico di profitto resterebbe privo di fondamento fattuale.

3. La Corte d'Appello supera rapidamente le questioni di giurisdizione e competenza rilevando che almeno una parte dei fatti di reato - le conseguenze dannose e il trattamento dei dati - si sarebbe realizzata in Italia e, in particolare, a Milano, sede di Google Italy: ciò è bastevole a fondare la giurisdizione e a radicare la competenza.

3.1. Entrando nel merito, quanto alla diffamazione nei confronti dell'Associazione Vivi Down, il Giudice d'Appello richiama per relationem le motivazioni del Tribunale in punto di radicale assenza di posizione di garanzia in capo al provider e di carenza di poteri impeditivi. La Corte si premura poi di aggiungere due precisazioni, anche in risposta alle doglianze della pubblica accusa. Segnatamente, il decidente esclude, in linea con la giurisprudenza costante di merito[13] e di legittimità[14], che si possa fondare in capo al provider una posizione di garanzia in base agli artt. 57 e 57 bis c.p., in materia di stampa: una tale soluzione è preclusa dal principio di tassatività[15]. D'altro canto, anche a voler ammettere - come prospettato dal P.G. - quale fonte dell'obbligo di impedire reati altrui in capo al provider il carattere pericoloso dell'attività compiuta da Google Video[16], permarrebbe la carenza di poteri impeditivi in capo all'host provider per cui «si finirebbe per richiedere un comportamento inesigibile e di conseguenza non perseguibile penalmente ai sensi dell'art. 40 cpv. c.p.»[17].

3.2. Più complesso e innovativo l'apparato argomentativo con cui la Corte d'Appello perviene alla riforma della sentenza, in relazione all'imputazione di trattamento illecito di dati, e all'affermazione dell'insussistenza del fatto.

Il decidente prende l'abbrivio dalla qualificazione di Google Video come host attivo, cioè come provider che non si limita a memorizzare le informazioni degli utenti ma svolge un attività «non neutra rispetto all'organizzazione ed alla gestione dei contenuti degli utenti, caratterizzata anche dalla possibilità di un finanziamento economico attraverso l'inserimento di inserzioni»[18]. Secondo la Corte d'Appello, però, da tale qualifica non si può in alcun modo far discendere - come vorrebbe la pubblica accusa - un obbligo di predisporre un controllo preventivo in capo al provider, impossibile sia sotto il profilo quantitativo, per la mole di materiale caricata in rete, che qualitativo, non esistendo un filtro che verifichi semanticamente i dati sensibili eventualmente trattati nelle riprese e la corrispondente presenza di un consenso per tali dati[19]. Peraltro, continua la Corte, non sarebbe nemmeno possibile contestare in forma omissiva al provider il trattamento illecito di dati, trattandosi di reato di mera condotta, incompatibile con la clausola di equivalenza di cui all'art. 40 cpv c.p., che opera esclusivamente in relazione ai reati d'evento.

La Corte sottolinea poi la mutazione genetica del fatto tipico compiuta dal giudice di primo grado per addivenire alla condanna degli imputati: «la norma di cui all'art. 167 (...) richiede esplicitamente che l'autore del reato abbia agito non rispettando le disposizioni [ivi] indicate. E nessuna di queste disposizioni impone all'internet provider di rendere edotto l'utente circa l'esistenza ed i contenuti della legge della privacy»[20] . Ad ogni buon conto, prosegue la Corte, «l'eventuale violazione dell'art. 13, ovvero l'omessa o inidonea informativa all'interessato, testualmente non è sanzionata dall'art. 167, bensì dall'art. 161 Legge Privacy», norma quest'ultima che prevede solamente una sanzione amministrativa per la sua violazione.

Esclusa l'ipotesi omissiva propugnata dall'accusa e la ricostruzione giuridica prospettata dal Tribunale, la Corte d'Appello verifica se permangano spazi per una dichiarazione di responsabilità per illecito trattamento dei dati, ricostruendo i rapporti tra le limitazioni di responsabilità previste dal D.Lgs. 70/2003 per i provider e la disciplina sul trattamento dei dati di cui al D.Lgs. 196/2003. Il punto di partenza è la distinzione tra il rapporto che si instaura tra l'host attivo e l'uploader e tra quest'ultimo e coloro i cui dati sono trattati nelle riprese.  Rileva la Corte: «la responsabilità per il trattamento dei dati è legata al mancato adempimento di specifiche condizioni che rendono lecito l'uso di tali dati, ma tali condizioni non possono che essere messe in capo al titolare, al "controller" dei dati medesimi. In effetti trattare un video, acquisirlo, memorizzarlo, cancellarlo, non può significare di per sé trattamento di dati sensibili. Esistono due distinte modalità di trattare dei dati che non possono essere, a parere di questa Corte, considerati in modo unitario»[21]. Ma se così è, allora, prosegue il giudice del gravame, «trattare un video non può significare trattare il singolo dato contenuto, conferendo ad esso finalità autonome con quelle perseguite da chi quel video realizzava. Sarà il titolare del trattamento ad avere l'obbligo di acquisire il consenso al trattamento dei dati personali»[22]. In conclusione, secondo il decidente, Google (rectius i suoi manager) non è in alcun modo titolare dei dati contenuti nei video che memorizza e mette a disposizione degli utenti.

Il rapporto tra i soggetti ripresi e il provider è, dunque, disciplinato dalla normativa sul commercio elettronico che «costituisce unitamente alla normativa sulla privacy un quadro giuridico coerente e completo, e che non può essere letta in modo alternativo ma integrato»[23]. L'host provider non ha alcun obbligo di  vigilare sul materiale che si limita a trasmettere e memorizzare né alcun onere di ricercare fatti o circostanze sintomatici di attività illecite (art. 17 D.Lgs. 70/2003), ma ha il dovere di rimuovere il materiale illecito su richiesta dell'autorità o qualora abbia diretta conoscenza dell'illiceità dei contenuti memorizzati (art. 16 D.Lgs. 70/2003): tale quadro normativo esclude, ulteriormente, la possibilità di configurare una posizione di garanzia in capo ai providers.

Dimostrata la carenza dell'elemento oggettivo del reato nella condotta contestata, il Giudice d'Appello continua il suo percorso argomentativo mostrando come nel caso di specie non sussista nemmeno l'elemento soggettivo dell'illecito. Secondo la Corte non vi è, infatti, alcuna prova che gli imputati fossero a conoscenza del filmato e del suo contenuto. Inoltre, non convince il Giudice del gravame la ricostruzione fattuale del dolo specifico di profitto, richiesto dall'art. 167 D.Lgs. 196/2003, che il Tribunale vorrebbe «costituito dalla palese vocazione economica dell'azienda Google [giacché] l'attività dell'azienda nei suoi molteplici servizi non può che essere considerata lecita e non può essere assunta a prova del dolo»[24]. Al di là del carattere imprenditoriale di Google, elemento irrilevante per l'accertamento del dolo specifico di profitto, non vi è altra prova a supporto della tesi accusatoria, «mancando qualsiasi riscontro di un vantaggio direttamente conseguito dagli imputati, in conseguenza della condotta tenuta, tanto più nell'ambito di un servizio gratuito quale era Google Video e in assenza di link pubblicitari associati allo specifico video, oggetto del procedimento»[25]. Infine, la Corte d'Appello censura la decisione del Tribunale ove ha ritenuto vi fosse «compatibilità tra la forma del dolo eventuale - individuata in capo agli imputati nella sostanza per aver serbato una "voluta disattenzione" nelle politiche societarie relative al trattamento della privacy, al fine dell'ottenimento di buoni risultati di mercato - ed il dolo specifico richiesto dalla norma»[26]. Il Giudice del gravame, uniformandosi alla costante giurisprudenza di legittimità[27], ritiene che la finalità dell'azione (dolo specifico) non possa strutturalmente essere sostenuta da una rappresentazione e da una volizione solo indiretta (dolo eventuale).

4. La sentenza annotata costituisce un importante tassello nella ricostruzione della disciplina giuridica del ciberspazio e nell'individuazione del ruolo che è ivi affidato al provider[28]. Nella vicenda Google Video si gioca, infatti, molto del futuro della rete: non sarebbe possibile l'accesso a milioni di pagine se l'host provider dovesse verificarne il contenuto prima di permetterne l'accesso agli utenti del web.

Per la Corte, ma il giudizio è pienamente condivisibile, il governo di internet e le decisioni su quali contenuti debbano accedere alla rete e quali debbano restarne fuori non possono essere lasciati ai provider: «demandare ad un internet provider un dovere/potere di verifica preventiva, appare una scelta da valutare con particolare attenzione in quanto non scevra da rischi, poiché potrebbe finire per collidere contro forme di libera manifestazione del pensiero»[29]. Come rilevato da autorevole dottrina[30] «è inquietante, in sostanza, l'idea di un privato che verrebbe incaricato di esercitare una sorta di censura per conto dell'ordinamento, avendo i mezzi tecnici ma non quelli culturali per realizzarla».

In definitiva, la Corte d'Appello rettifica la decisione di primo grado nelle sue linee, per così dire, di politica-criminale: anche qualora la rete fosse la «"sconfinata prateria di internet" dove tutto è permesso e niente può essere vietato»[31], l'host provider non può esserne lo sceriffo.

[1] Segnatamente, sono tratti a giudizio i due amministratori delegati di Google Italy, il responsabile del progetto Google Video per l'Europa e il responsabile della policy per la privacy per l'Europa di Google Inc.

[2] Si tratta di Trib. Milano, Sez. IV, 24 febbraio 2010, n. 1972, Est. Magi, in questa Rivista, 12 aprile 2010.

[3] Si richiamano qui, in particolare, le critiche avanzate, seppur sotto profili diversi, da L. Beduschi, Caso Google: libertà d'espressione in internet e tutela penale dell'onore e della riservatezza, in Corr. mer., 2010, in particolare p. 967; R. Lotierzo, Il caso Google-Vivi Down quale emblema del difficile rapporto degli internet providers con il codice della privacy, in Cass. Pen., 2010, pp. 1288 e ss.; A. Manna, I soggetti in posizione di garanzia, in Dir. info., 2010, pp. 779 e ss. Volendo si veda anche A. Ingrassia, Il ruolo dell'internet service provider nel ciberspazio: cittadino, controllore o tutore dell'ordine? Risposte attuali e scenari futuribili di una responsabilità penale dei provider nell'ordinamento italiano, in questa Rivista, 8 novembre 2012, pp. 9 ss.

[4] Per un'ampia illustrazione della prospettiva accusatoria si veda F. Cajani, Quella Casa nella Prateria: gli Internet Service Providers americani alla prova del caso Google Video, in L. Picotti-F. Ruggieri (a cura di), Nuove tendenze della giustizia penale di fronte alla criminalità informatica, Milano, 2012, pp. 223 e ss.

[5] Così la decisione ambrosiana a p. 96.

[6] Ivi, p. 93.

[7] L'art. 13 disciplina l'informativa da dare all'interessato prevedendo specifiche comunicazioni obbligatorie.

[8] L'art. 23 disciplina i caratteri, l'oggetto, la forma e l'acquisizione del consenso dell'interessato per il trattamento dei dati personali.

[9] La tesi del P.G. recupera la ricostruzione giuridica, non coltivata dall'accusa nel giudizio di prime cure, contenuta in un parere pro veritate del Prof. Filippo Sgubbi, pubblicato in Dir. info., 2009, p. 746, richiesto dall'Associazione Vivi Down proprio in relazione alla presente vicenda.

[10] Sulle interazioni tra responsabilità penale dei providers e D.Lgs. 70/2003 si veda G. Corrias Lucente, Ma i network providers, i service providers e gli access providers rispondono degli illeciti penali commessi da un altro soggetto mediante l'uso degli spazi che loro gestiscono?, in Giur. mer., 2004, pp. 2527 e ss. In generale si veda, tra gli altri, la recente analisi di E. Tosi, La responsabilità civile per fatto illecito degli Internet Service Provider e dei motori di ricerca a margine dei recenti casi Google Suggest per errata programmazione del software di ricerca e di Yahoo! Italia per link illecito in violazione dei diritti di proprietà industriale, in Riv. dir. ind., 2012, pp. 44 e ss. Volendo A. Ingrassia, Il ruolo dell'internet service provider, cit., pp. 16 e ss.

[11] Art. 4, comma I, lett. f), D.Lgs. 196/2003.

[12] Art. 2, lettera d), Dir. 95/46/CE  relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati.

[13] Si veda in particolare, Trib. Milano, 25 febbraio 2004, Est. Simi, in Giur. mer., 2004, p. 1922, con nota di F. Resta, La responsabilità penale del provider: tra laissez faire ed obblighi di controllo.

[14] Si tratta di Cass. pen., sez. V, 16 luglio 2010, n. 35511, in questa Rivista, con nota di S. Turchetti, L'art. 57 c.p. non è applicabile al direttore del periodico on line, e in Giust. pen., parte II, 2011, pp. 261 e ss., con nota di V. Spagnoletti, La responsabilità penale del provider tra applicazione della normativa sulla stampa ed esigibilità del controllo sui contenuti di internet; si veda poi Cass. pen., sez. V, 28 ottobre 2011, n. 44126, in questa Rivista, con nota di S. Turchetti, Un secondo "alt" della Cassazione all'applicazione dell'art. 57 c.p. al direttore del periodico on line.

[15] Sostengono che l'applicazione ai providers degli artt. 57 e 57 bis c.p. si risolverebbe in un'applicazione analogica in malam partem, per cui vietata, di norme incriminatrici tra gli altri R. Flor, Tutela penale e autotutela tecnologica dei diritti d'autore nell'epoca di internet, Milano, 2010, p. 454; D. De Natale, La responsabilità dei fornitori di informazioni in internet per i casi di diffamazione on line, in Riv. trim. dir. pen. eco., 2009, p. 539 ss.; V. Zeno Zencovich, La pretesa estensione alla tematica del regime della stampa. Note critiche, in Dir. inform. e informatica, 1998, p. 16.

[16] Peraltro non è condivisa in dottrina la ricostruzione dell'attività dei provider come pericolosa. Per tutti D. Petrini, La responsabilità penale per i reati via internet, Napoli, 2004, p. 169. Dello stesso avviso F. Resta, La responsabilità penale, cit., p. 1725.

[17] Così la decisione qui annotata, p. 23.

[18] In questi termini la sentenza annotata, p. 27.

[19] È interessante riportare il passaggio della decisione a p. 30: «la valutazione dei fini di un immagine all'interno di un video in grado di qualificare un dato come sensibile o meno, implica un giudizio semantico e variabile che certamente non può essere delegato ad un procedimento informatico».

[20] Ivi, p. 29

[21] Ibidem.

[22] Ibidem.

[23] Ivi, p. 30.

[24] Ivi, p. 31.

[25] Ibidem.

[26] Ivi, pp. 31 e 32.

[27] Si veda da ultimo Cass. pen., Sez. III, 12 marzo 2008, n. 15633, in Cass. Pen., 2009, p. 3455.

[28] Si permetta di richiamare sulla stretta interrelazione tra regolamentazione (anche penale), ruolo del provider e caratteri del web A. Ingrassia, Il ruolo dell'internet service provider, cit.

[29] Così la sentenza annotata, p. 28.

[30] Così G. Fornasari, Il ruolo della esigibilità nella definizione della responsabilità penale del provider, in L. Picotti (a cura di), Il diritto penale dell'informatica nell'epoca di internet, Padova, 2004, p. 431.

[31] L'espressione, ormai nota, è contenuta nella sentenza di primo grado del presente processo a p. 95.