1. Con l'importante sentenza che qui si annota, la Suprema Corte rigetta il ricorso per cassazione proposto dal Procuratore Generale della Repubblica presso il Tribunale di Milano, confermando le assoluzioni dei manager di Google in relazione al delitto di illecito trattamento di dati personali nella cd. vicenda Google vs Vividown. L'arresto giurisprudenziale costituisce un vero e proprio leading case: il Giudice di legittimità disegna i confini di responsabilità dell'host provider¹ non solo in relazione alle questioni in materia di tutela della privacy, ma, più in generale, in ordine ai reati realizzabili dagli utenti della rete avvalendosi degli strumenti offerti dal provider stesso.

Pare utile compendiare rapidamente i fatti oggetto del giudizio e gli approdi delle sentenze di merito (par. 2), per poi affrontare i profili di maggior interesse della decisione della Suprema Corte (par. 3 e seguenti).

2. Come noto, il processo scaturisce dalla pubblicazione di un filmato sull'host Google Video, che ritrae un ragazzo disabile umiliato da alcuni compagni all'interno di un edificio scolastico; nella ripresa si sentono anche frasi ingiuriose nei confronti dell'associazione Vivi Down. Per ciò che qui interessa, tre manager di Google² venivano originariamente imputati per non aver impedito il delitto di diffamazione nei confronti del minore e dell'associazione (artt. 40 cpv. e 595 c.p.) e per aver trattato illecitamente dati personali attinenti alla salute del ragazzo ripreso (art. 167 D.Lgs. 196/2003, c.d. codice della privacy).

Nel giudizio di primo grado, il Tribunale di Milano³ assolveva gli imputati dal delitto di diffamazione, escludendo che vi fosse in capo all'host provider un obbligo di impedire reati commessi dagli utenti; tale esclusione era motivata sia da ragioni giuridiche (la direttiva sul commercio elettronico, attuata nel nostro ordinamento con il D.Lgs. 70/2003, esclude un obbligo di vigilanza sul contenuto dei materiali diffusi dagli utenti), sia da considerazioni di tipo fattuale (l'impossibilità in concreto di filtrare ex ante i contenuti degli uploader). Il Giudice ambrosiano riteneva, invece, integrato il delitto di illecito trattamento di dati personali: Google avrebbe dovuto avvisare gli uploader⁴ degli "obblighi agli stessi imposti dalla legge, del necessario rispetto degli stessi, dei rischi che si corrono non ottemperandoli"⁵; obbligo derivante, secondo il Tribunale, dall'art. 13 del D.Lgs. 196/2003 oltre che dal "buon senso".

Contro la decisione di primo grado proponevano appello sia le difese sia la Pubblica accusa.

Le difese denunciavano l'erronea applicazione dell'art. 167 D.Lgs. 196/2003, che - secondo la loro prospettazione - non punirebbe affatto le violazioni dell'art. 13 del medesimo decreto, sanzionate in via amministrativa dall'art. 161; per di più, l'art. 13 non imporrebbe alcun dovere di informativa "sugli obblighi imposti dalla legge" in tema di privacy; infine, nell'appello degli imputati si rilevava la mancanza di dolo in capo ai manager.

All'opposto, la Pubblica accusa riproponeva nell'atto di gravame le ragioni poste a sostegno dell'azione penale e, segnatamente, le argomentazioni giuridiche da cui emergerebbe un obbligo del provider di impedire i reati realizzati dagli utenti della rete.

La Corte d'Appello⁶ confermava l'assenza di una posizione di garanzia in capo all'host provider e annullava la condanna anche in relazione all'illecito trattamento dei dati personali. Secondo il Giudice del gravame l'art. 167, letto in combinato disposto con l'art. 13, non prevede un obbligo di informare gli uploader sui doveri loro incombenti, derivanti dal Codice della privacy; per di più, i manager di Google non tratterebbero in alcun modo i dati contenuti nei video caricati dagli utenti: il soggetto responsabile del trattamento dei dati contenuti nelle riprese diffuse tramite Google resta l'uploader.

Contro la decisione d'appello proponeva quindi ricorso per cassazione la Procura generale, limitatamente al delitto di illecito trattamento dei dati.

La Procura Generale nel proprio ricorso aveva sostenuto che Google avesse "trattato" i dati contenuti nel video. Tale conclusione sarebbe avvalorata dall'ampia nozione di "trattamento dei dati sensibili" prevista dal D.lgs. 196/2003 e, soprattutto, dall'irrilevanza delle limitazioni di responsabilità previste nel D.Lgs. 70/2003 ai fini della disciplina sanzionatoria sulla privacy; in particolare: (a) lo stesso Decreto sul commercio elettronico escluderebbe all'art. 1, comma II, lett. b), la sua applicabilità in materia di tutela della riservatezza⁷; (b) Google Video non si limitava ad ospitare filmati altrui, ma li indicizzava, traendo anche un profitto dalle inserzioni pubblicitarie: avrebbe svolto, dunque, l'attività tipica del cd. host attivo⁸, a cui non possono applicarsi gli artt. 16 e 17 D.Lgs. 70/2003, non trattandosi di una mera memorizzazione di contenuti degli utenti.

3. Nel rigettare l'impugnazione, la Suprema Corte, con la sentenza in esame, conferma preliminarmente l'assenza di una posizione di garanzia in capo agli internet service provider, giacché nessuna disposizione "prevede che vi sia in capo al provider, sia esso anche un hosting provider, un obbligo generale di sorveglianza dei dati immessi da terzi sul sito da lui gestito"; parimenti, sottolinea la Cassazione, nessuna norma incriminatrice punisce un ipotetico obbligo dei provider di ricordare agli utenti di rispettare la legge.

Entrando nel vivo della propria decisione e nell'esame delle doglianze della Procura Generale, la Cassazione compie una pregevole attività di coordinamento tra la disciplina sul commercio elettronico (D.Lgs. 70/2003) e quella sulla privacy (D.Lgs. 196/2003), specificando i confini della possibile responsabilità dell'host provider (rectius dei gestori).

Il punto è di centrale importanza perché la disciplina sul commercio elettronico pone alcune limitazioni di responsabilità per il provider in relazione agli illeciti realizzati dagli utenti attraverso i contenuti da loro pubblicati. Segnatamente, il D.Lgs. 70/2003 all'art. 17 esclude per l'host provider un generale dovere di sorveglianza sui contenuti degli uploader e all'art. 16 afferma l'irresponsabilità del provider per le condotte illecite tenute dagli utenti, qualora non ne fosse a conoscenza e se, una volta avvisato dall'autorità, abbia provveduto alla rimozione dei contenuti stessi: come si è detto, la questione giuridica, sollevata dalla Procura Generale, attiene proprio all'applicabilità di tali limitazioni anche in materia di privacy (profilo sub a del ricorso) e, in generale, al cd. host attivo (argomento sub b).

3.1. Quanto al punto sub (a), la Cassazione esclude che vi sia una incomunicabilità tra le disposizioni in materia di privacy e di commercio elettronico, rilevando al contrario che i decreti n. 70/2003 e n. 196/2003 debbano essere letti congiuntamente.

Il Giudice di legittimità evidenzia in primo luogo che la definizione del titolare del trattamento dei dati, ai sensi dell'art. 4 D.Lgs. 196/2003, "si incentra sull'esistenza di un potere decisionale in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati. Dalla definizione legislativa si desume, in altri termini, che titolare del trattamento non è chiunque materialmente svolga il trattamento stesso, ma solo il soggetto che possa determinarne gli scopi, i modi, i mezzi".

Tale previsione è perfettamente compatibile con la disciplina sul commercio elettronico, che, come si è visto, esclude la responsabilità del provider che si limiti a memorizzare contenuti, senza conoscerli e senza intervenire in alcun modo su essi. Segnatamente, la Cassazione sottolinea che "finché il dato illecito è sconosciuto al service provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso; quando, invece, il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile, esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni penali del Codice Privacy". In quest'ottica, il D.Lgs. 70/2003 sul commercio elettronico "viene in rilievo non in via diretta ma solo in via interpretativa, al fine di chiarire ulteriormente e confermare la portata che la disciplina in materia di privacy ha già di per sé".

Né è ostativo a tale esegesi, prosegue la Corte, il citato art. 1, comma II, lett. b), D.Lgs. 70/2003, che esclude l'applicabilità delle disposizioni sul commercio elettronico alla tutela della privacy, dato che tale clausola "ha la funzione di chiarire che la tutela dei dati personali è disciplinata da un corpus normativo diverso da quello sul commercio elettronico; corpus normativo che rimane applicabile in ambito telematico anche in seguito all'emanazione della normativa sul commercio elettronico. Da ciò discende l'ovvia conseguenza che l'applicazione delle norme in materia di commercio elettronico deve avvenire in armonia con le norme in materia di tutela dei dati personali; armonia perfettamente riscontrabile nel caso della determinazione dell'ambito di responsabilità penale dell'Internet hosting provider relativamente ai dati sensibili caricati dagli utenti sulla sua piattaforma".

3.2. In ordine al punto sub (b), il Giudice di legittimità supera il rilievo relativo alla natura di cd. host attivo di Google Video, che escluderebbe l'applicabilità delle limitazioni di responsabilità di cui agli artt. 16 e 17 D.Lgs. 70/2003, con un passaggio argomentativo ricchissimo di implicazioni sistematiche: le limitazioni di responsabilità sono applicabili nel caso di specie poiché "il provider si è limitato a fornire ospitalità ai video inseriti dagli utenti, senza fornire alcun contributo alla determinazione del contenuto dei video stessi".

4. Segnato il quadro normativo e sottolineato che il giorno stesso in cui la Polizia postale aveva richiesto a Google la rimozione del video questa era avvenuta, la Corte rigetta il ricorso della Procura Generale. In definitiva, secondo la Corte, nonostante vi sia stato un trattamento illecito di dati personali, in quanto il video effettivamente conteneva dati relativi alla salute del minore ripreso (dati che peraltro non possono essere diffusi nemmeno con il consenso del titolare ex art. 26, comma V, D.Lgs. 196/2003), tale illecito è ascrivibile solo agli uploader e non all'host provider, che non conosceva il contenuto illecito del video e che, non appena è stato avvisato dall'autorità, ha provveduto alla sua tempestiva rimozione.

5. L'insegnamento della Suprema Corte sembrerebbe potersi sintetizzare in tre principi: (i) non è possibile attribuire all'host provider un obbligo di impedire i reati commessi dagli utenti, mancando una norma che fondi l'obbligo giuridico; (ii) le attività compiute dall'host provider sui materiali caricati dagli utenti (che non importino un intervento sul contenuto degli stessi o la loro conoscenza) non fanno venir meno le limitazioni di responsabilità previste dagli artt. 16 e 17 D.Lgs. 70/2003; (iii) solo dal momento della conoscenza dell'illiceità dei contenuti pubblicati dagli utenti può ipotizzarsi una responsabilità del provider per illecito trattamento dei dati realizzata dagli uploaders.

Un'ulteriore specificazione di tale ultimo principio parrebbe emergere tra le pieghe dell'ordito motivazionale: la conoscenza dell'illiceità dei contenuti pubblicati dagli utenti assume rilevanza penalistica solo a seguito di una comunicazione dell'autorità.

Tale connotazione della conoscenza, sembra potersi derivare dal fatto che la Corte, richiamando l'art. 16 D.Lgs. 70/2003, sottolinea che l'host provider non è responsabile per le informazioni memorizzate, a patto che "non sia effettivamente a conoscenza del fatto che il dato o l'informazione è illecita (...); che non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni".

Per di più, dato che, secondo la Cassazione, dalla conoscenza dell'illiceità del dato il provider diviene a sua volta titolare del trattamento, se bastasse una comunicazione di qualsiasi cittadino per integrare l'effettiva conoscenza dell'illecito, il Giudice di legittimità avrebbe conseguentemente dovuto annullare con rinvio la decisione di assoluzione, giacché alcuni utenti avevano avvisato Google del contenuto illecito del video due giorni prima della sua rimozione, intervenuta solo a seguito della comunicazione della Polizia postale, come la stessa Corte ha ricordato.

La necessità di una conoscenza qualificata è punto di fondamentale importanza in relazione al ruolo che il provider assume in rete, specie con riferimento a quelle condotte la cui illiceità non è di immediata e agevole valutazione: se, infatti, è di pronta comprensione l'urgenza di rimuovere un filmato pedopornografico, non altrettanto può dirsi, ad esempio, di un articolo giornalistico eventualmente segnalato come diffamatorio da un utente. Il rischio dell'attribuzione al provider di un inquietante ruolo di censore della rete⁹ sarebbe scongiurato proprio dal rimettere al vaglio dell'autorità la valutazione dell'illiceità dei contenuti diffusi in internet.

In conclusione, si tratta di tre principi che limitano in maniera significativa le responsabilità penali dei gestori dei provider, specie ove si individui esclusivamente nell'autorità - termine ampio che meriterà di essere declinato con maggior precisione - l'unico soggetto deputato a decidere quali contenuti possano restare in rete e quali debbano essere rimossi perché illeciti; nondimeno, restano in capo ai provider gli obblighi di segnalazione alle autorità, previsti da specifiche disposizioni, dei contenuti ritenuti illeciti¹⁰.

Allo stato, pertanto, prioritaria pare, nella prospettiva della giurisprudenza penale, la libertà della rete rispetto alla libertà dalla rete¹¹.

1^ Sono detti host provider quei provider che offrono agli utenti della rete servizi di memorizzazione duratura delle proprie informazioni.

2^ Si tratta dei due amministratori delegati di Google Italy s.r.l. e del responsabile della policy sulla privacy per l'Europa.

3^ Si tratta di Si tratta di Trib. Milano, 12 aprile 2010, n. 1972, Est. Magi, in Corr. mer.,2010, 960 e ss., con nota di Beduschi, Caso Google: libertà d'espressione in internet e tutela penale dell'onore e della riservatezza; per ulteriori commenti si vedano Albamonte, La responsabilità penale dell'internet provider tra libertà di comunicazione e tutela dei singoli, in Quest. Giust., 2010, 184 ss.; Di Ciommo, Programmi filtro e criteri di imputazione/esonero della responsabilità on line. A proposito della sentenza Google/Vivi Down, in Dir. inform. ed informatica, 2010, 829 ss.; Franceschelli, Sul controllo preventivo dei video immessi in rete e i provider. A proposito del caso Google/Vivi Down, in Riv. dir. ind., 2010, 347 ss.; Lotierzo, Il caso Google - Vivi Down quale emblema del difficile rapporto degli internet providers con il codice della privacy, in Cass. pen., 2010, 4003 ss.; Manna, I soggetti in posizione di garanzia, in Dir. inform. ed informatica, 2010, 779 ss.; Pezzella, Google Italia, diffamazione e riservatezza: il difficile compito del provider (e del giudice), in Giur. mer., 2010, 2232 ss.

4^ Ovvero coloro che caricano i contenuti sulle piattaforme poste a disposizione dai provider, nel caso di specie Google Video.

5^ Così la decisione ambrosiana a p. 96.

6^ Corte d'appello di Milano, 21.12.12, n. 8611, Pres. Malacarne, Est. Milanesi, in questa Rivista, 4 marzo 2013, con nota di Ingrassia, La Corte d'Appello assolve i manager di Google anche dall'accusa di illecito trattamento dei dati personali; per un ulteriore commento si veda Bassoli, Esclusa la responsabilità penale di "google" per violazione di dati personali da parte di materiale multimediale immesso da terzi, in Riv. pen., 2013

7^L'art. 1, comma II, specifica: "Non rientrano nel campo di applicazione del presente decreto: (...) b) le questioni relative al diritto alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni di cui alla legge 31 dicembre 1996, n. 675, e al decreto legislativo 13 maggio 1998, n. 171, e successive modificazioni". La l. 675/1996 è stata sostituita proprio dal D.Lgs. 196/2003.

8^ Alla categoria di host attivo si riconducono i provider che non si limitino a memorizzare sui propri server informazioni e dati altrui, ma compiano attività ulteriori quali l'indicizzazione, il filtraggio, la selezione o l'organizzazione dei contenuti. Si veda sul punto, tra gli altri, Tosi, La responsabilità civile per fatto illecito degli Internet Service Provider e dei motori di ricerca a margine dei recenti casi Google Suggest per errata programmazione del software di ricerca e di Yahoo! Italia per link illecito in violazione dei diritti di proprietà industriale, in Riv. dir. ind., 2012, 44 ss.

9^ L'icastica espressione è di Fornasari, Il ruolo della esigibilità nella definizione della responsabilità penale del provider, in Il diritto penale dell'informatica nell'epoca di internet, in Picotti (a cura di), Padova, 2004, p. 434..

10^ Sugli obblighi dei provider di avvisare l'autorità di illeciti realizzati dagli utenti della rete si consenta il rinvio ad Ingrassia, Il ruolo dell'Isp nel ciberspazio: cittadino, controllore o tutore dell'ordine?, in questa Rivista, 8 novembre 2012, 35 ss.

11^ Sui difficili equilibri tra libertà di espressione degli utenti su internet e tutela dei diritti fondamentali di eventuali terzi comunque lesi dai contenuti diffusi nella rete si vedano i fondamentali Picotti, Fondamento e limiti della responsabilità penale dei service-providers in internet, in Dir. pen. proc., 1999, 379 ss.; Seminara, La responsabilità penale degli operatori su internet, in Dir. inform. ed informatica, 1998, 745 ss.; Zeno Zencovich, I rapporti fra responsabilità civile e responsabilità penale nelle comunicazioni su internet (riflessioni preliminari), in Dir. inform. ed informatica, 1999, 1049 ss.