Benvenuti nella giungla: la responsabilità degli intermediari della Rete sulle violazioni della Privacy in Europa.

In Europa, tre regimi normativi disciplinano la responsabilità degli intermediari di Internet sulle violazioni della Privacy. Questi sono: 
1. la direttiva dell’E-commerce, che, a determinate condizioni, li esclude dalla responsabilità; 
2. la direttiva sulla protezione dei dati, che impone ai Provider compiti e responsabilità nell’elaborazione dei dati personali;
3. la libertà di espressione, contenuta tra l’altro nella CEDU, che, sotto determinate condizioni, concede agli Internet Provider privilegi e libertà. 
Questo quadro normativo crea diseguaglianza legale ed incertezza.

Introduzione

Negli Stati Uniti quando le aziende di Internet iniziarono ad offrire servizi nel 1980, già si discuteva sulla posizione degli intermediari. Il provider passivo, che non aveva né la conoscenza né il controllo sul post che gli veniva consegnato, non poteva essere ritenuto responsabile di un eventuale contenuto illegale; la responsabilità era quindi di terzi. L’intermediario doveva dimostrare che non era a conoscenza della violazione, di non averne contribuito e non averne ricevuto guadagno.
Nel 1998 si giunge alla seguente distinzione:
- prestatori che offrono l’accesso alla rete ed elaborano i dati tramite network (access provider/semplice trasporto: mere conduit), 
- prestatori che memorizzano temporaneamente sul proprio server materiale proveniente dall’esterno (caching provider), 
- prestatori che memorizzano informazioni o ospitano siti web (hosting provider
- prestatori che offrono collegamenti a siti web o rendono rintracciabili i contenuti attraverso motori di ricerca (content provider).

L’Unione Europea ha un regolamento simile, previsto dalla Direttiva sul commercio elettronico. Ad oggi i provider sono sempre più di natura attiva, fornendo la piattaforma in cui l’informazione viene condivisa, indicizzandola, rendendola tracciabile, pubblicizzando e distribuendo le informazioni in Internet.

Ne sono un esempio: Facebook, Youtube, eBay e WikiLeaks i quali hanno un ruolo attivo nell’ organizzazione e nel funzionamento dei siti web e delle piattaforme. La questione diventa pertanto la posizione che questi hanno, di fronte a materiale di natura violata messo in rete dai loro utenti. 
Siamo quindi difronte ad un quadro legale spesso vago e poco chiaro.

La Direttiva dell’E-Commerce

L’articolo 12 specifica che un access provider non è responsabile delle informazioni trasmesse, a condizione che:
- non dia origine alla trasmissione; 
- non selezioni il destinatario della trasmissione;
- non selezioni né modifichi le informazioni trasmesse.
 
L’articolo 14, sostiene che un hosting provider non è responsabile delle informazioni memorizzate, su richiesta di un destinatario del servizio, a condizione che:
- non sia a conoscenza del fatto che l’attività o l’informazione è illecita e, non sia a conoscenza di fatti che ne rendono manifesta l’illegalità.
- non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.
L’articolo 15 stabilisce che gli Stati Membri non possono imporre agli intermediari un obbligo di sorveglianza preventiva (censura preventiva) sulle informazioni che trasmettono o che memorizzano né l’obbligo di ricercare fatti che indichino la presenza di attività illecite. L’applicazione di un controllo del traffico Internet non è efficace, ed è tecnicamente impossibile dato che richiederebbe interventi eccessivi da parte dei poviders. È previsto solo un sistema di filtraggio delle informazioni che vengono memorizzate sui server; tale misura preventiva garantisce che siti e piattaforme restino liberi da materiale violato.
Nel caso Louis Vuitton, Google non poteva essere ritenuto responsabile dei dati che egli ha memorizzato su richiesta di un inserzionista.
Nel caso Oreal contro Ebay (contenuti illegali inseriti su Ebay dagli utenti), la Corte di Giustizia ha dichiarato che “il solo fatto che il gestore di un mercato online memorizzi sul proprio server le offerte in vendita, stabilisca le modalità del servizio, sia ricompensato per quest’ultimo e fornisca informazioni ai propri clienti non può privarlo dalla responsabilità prevista dalla direttiva n.31/2000”.
Potrebbe essere utile un intervento successivo dei contenuti ritenuti illeciti (controllo dei contenuti inviati dagli utenti). 
Un esempio cui fare riferimento è il caso olandese, in cui un sito di condivisione di file ha filtrato virus e contenuti pornografici ma non ha adottato nessun filtro nei confronti di materiale illegale di diritto d’autore. Il giudice ha concluso che il sito, Mininova, era responsabile del contenuto perché aveva la capacità ed i mezzi per controllare il sito da contenuti illegali ma si è rifiutato di farlo nei confronti di contenuti che violavano la proprietà intellettuale. 
Il blocco e la selezione di materiale offensivo, dispone: 
- Nessun provider o nessun utente deve essere l’editore dell’informazione fornita da un altro provider;
- Nessun provider o utente potrà essere ritenuto responsabile di:
o un’azione fatta in buona fede per limitare l’accesso o la disponibilità di materiale che considera osceno, indecente, lascivo, sporco, violento, molesto, o discutibile; 
o un’azione per attivare o rendere disponibili i contenuti informativi o dei mezzi tecnici per limitarne l’accesso.
Si lascia principalmente ai tribunali e alle autorità l’interpretazione del regime di responsabilità nazionale. L’esistenza di sistemi differenti in materia di responsabilità nei diversi Paesi distorce però il mercato interno. 
Quindi, la direttiva sul commercio elettronico potrebbe applicarsi a questioni relative alla protezione dei dati (senza però portare ad un più basso livello di protezione), o non si applica per niente a tali questioni?
La giurisprudenza della Corte dimostra che una distinzione dovrebbe essere fatta tra diversi tipi di casi. Risulta essere applicabile nei casi in cui gli intermediari sono ritenuti responsabili per un’infrazione commessa da un utente attraverso la rete e nei casi in cui una violazione del diritto della proprietà intellettuale è stata avviata da un utente e viene chiesto ad un Internet provider di fornire il nome e l’indirizzo dell’utente. 
Il caso Promusicae c. Telefonica si incentra sulla richiesta di ottenere i nomi e gli indirizzi degli utenti di Telefonica, i quali sono stati sospettati di aver utilizzato il network KaZaA P2P. Quando il caso è andato in tribunale, Telefonica ha obiettato che potrebbe fornire i dati solo nel contesto di un procedimento penale o nel caso in cui sarebbe stato necessario salvaguardare la sicurezza dell’ordine pubblico, ma non nel contesto di un procedimento civile o come misura provvisoria prima di tali procedimenti. La Corte di giustizia si è astenuta dal fornire una linea standard di interpretazione.
In sintesi, ai sensi della direttiva sul commercio elettronico:
o Il provider passivo è normalmente escluso dalla responsabilità se è conforme ai requisiti specificati nella direttiva;
o I provider attivi che adottano misure e garanzie aggiuntive possono contare sulla esclusione di responsabilità;
o Ci sono provider che sono così attivi che non si qualificano come intermediari di Internet, per esempio gli editori di siti di notizie relativamente alle storie scritte dai propri dipendenti e pubblicate sul proprio sito web.

I provider, ai sensi di tale normativa, sono incoraggiati a rimanere passivi al fine di qualificarsi l’esenzione dalla responsabilità; o al contrario, qualificarsi come “giornalisti” (e non come intermediari), al fine di godere dei privilegi derivanti da tale status.

La Direttiva della protezione dei dati

Gli intermediari di Internet possono essere ritenuti responsabili per le violazioni del diritto alla protezione dei dati di terzi. La Direttiva sulla protezione dei dati si applica quando si incontrano quattro criteri: 
(1) i dati personali;
(2) vengono esaminati; 
(3) da un controllore;
(4)
si applica il principio della territorialità.
(1) I dati personali sono le informazioni in grado di identificare qualcuno nel corso del tempo. Gli ISP elaborano i dati personali di tutti i messaggi, i commenti e i siti web. 
(2) Per “Trattamento” intendiamo: la memorizzazione, l’editoria, la distribuzione, il bloccaggio o la cancellazione dei dati. 
Gli access provider sono esclusi dalla Direttiva della protezione dei dati. 
(3) Un controllore (come ad esempio un motore di ricerca) determina le finalità e le modalità dell’elaborazione o trattamento dei dati personali. Il controllore si contrappone al “processore” che elabora i dati personali in nome del controllore, solo quest’ultimo ne è infatti responsabile. L’ISP che elabora i dati contenuti nei siti web per scopi propri, diventa il controllore.
La responsabilità degli intermediari di Internet ai sensi della Direttiva della protezione dei dati è in gran parte coerente con quella della direttiva sul commercio elettronico. 
Con il consenso dell’utente, i provider possono prendere le informazioni attraverso l’uso di cookie. Ulteriori informazioni possono essere elaborate solo se necessarie o correlate al servizio richiesto dall’utente o per servizi ad esso correlati. I provider sono pertanto responsabili dell’elaborazione. Ad esempio Google aveva generato dei link che riportavano il nominativo di C.Gonzalez collegato all’articolo che un giornale aveva pubblicato on line, avente ad oggetto la vendita all’asta di immobili connessa ad un pignoramento per la riscossione coattiva di crediti previdenziali. Il contenuto del messaggio non era illegale, né era stato richiesto al giornale di rimuovere l’annuncio dall’archivio cartaceo o dal sito. La questione era se Google doveva essere obbligato a eliminare il collegamento alla storia dal suo motore di ricerca e, poteva essere ritenuto responsabile per l’elaborazione dei dati personali dato che aveva indicizzato il materiale ed aveva permesso di ricercarne il contenuto. Potrebbe venir richiesto a Google di bloccare o disconnettere certe informazioni nel suo motore di ricerca, al fine di rispettare il diritto all’oblio. 
Gli intermediari attivi di Internet forniscono l’infrastruttura tecnica e rendono la piattaforma di comunicazione on-line disponibile, quindi spesso saranno parzialmente o totalmente responsabili. Gli utenti di tali reti, caricando i dati personali, anche di terzi, si qualificano come controllori a condizione che la loro attività non sia soggetta all’eccezione delle famiglie (un sito è sconosciuto ed utilizzato a scopo privato) e all’eccezione giornalistica (dati personali elaborati per scopi giornalistici). Quest’ultima eccezione è legata alla protezione della libertà di espressione, sancita dall’articolo 10 della CEDU. Il concetto di “Giornalismo” deve essere interpretato in senso lato: anche i media moderni e gli intermediari attivi possono invocare l’esclusione giornalistica.
L’esenzione può applicarsi anche alle pagine web alle quali si può accedere solo con una password e ai profili privati sui social media che hanno un numero limitato e selezionato di utenti. 
Il confine tra pubblico e privato deve essere determinato caso per caso. 
Nel recente caso di Google Spagna è stata adottata dalla Corte di giustizia un’interpretazione di giornalismo più restrittiva. Gli intermediari attivi di Internet non possono invocare l’esclusione giornalistica se non sono gli editori stessi delle notizie pubblicate. 
Il principio della minimizzazione dei dati specifica che i dati possono essere elaborati solo se necessari e proporzionati ad uno scopo determinato, dovrebbero essere eliminati quando non più necessari e rimanere anonimi quando possibile.
Vi è un Regolamento in corso di attuazione sulla protezione dei dati generali che nel tempo sostituirà la direttiva. La proposta del regolamento contiene obblighi per i controllori e sanzioni molto alte (fino al 2% del fatturato annuo di una azienda) nel caso in cui i controllori non rispettino le norme del regolamento.
In sintesi, ai sensi della direttiva sulla protezione dei dati:
o L’elaboratore dati che agisce sotto l’autorità del controllore dati deve tener conto solo della direttiva dell’e-Privacy;
o Gli intermediari di Internet attivi che determinano l’infrastruttura tecnica (e quindi i mezzi di elaborazione) di un sito web, ma dipendono principalmente dagli utenti del sito per il contenuto ed il materiale, hanno condiviso la responsabilità con gli utenti;
o Gli intermediari di Internet che sono così attivi da essere gli unici responsabili dell’elaborazione dei dati, devono rispettare gli obblighi contenuti nella direttiva sulla protezione dei dati, e in futuro nel Regolamento sulla protezione dei dati generali.

La libertà di espressione

Gli intermediari di Internet possono fare affidamento sui diritti fondamentali al fine di proteggere gli interessi dei loro utenti, ma possono anche, al tempo stesso, voler proteggere i propri di interessi. Per tutelare gli utenti possono invocare il diritto alla privacy ed alla protezione dei dati. L’articolo 10 della CEDU afferma: “Ogni persona ha diritto alla libertà di espressione”, che include la libertà d’opinione e la libertà di ricevere o di comunicare informazioni; i Provider possono contare su tale libertà al fine di tutelarsi.
La CEDU ha adottato un’interpretazione estensiva di tale diritto tanto che è applicabile sia alle ‘informazioni’ considerate inoffensive o indifferenti, ma anche a quelle che offendono, scioccano o disturbano lo Stato e ogni settore della popolazione. Tale interpretazione è in linea con le richieste di pluralismo, base di una società democratica.
Nel caso Delfi contro Estonia, il sito di notizie ha pubblicato un articolo sulla società che forniva servizi di traghetto; mentre l’articolo era dettagliato ed equilibrato, i commenti degli utenti erano meno raffinati. La società ha quindi chiesto al sito di rimuovere tali commenti e pagare i danni causati da questi. Il sito ha rimosso i commenti ma si è rifiutato di risarcire i danni. Ci chiediamo quindi, in che misura il sito è responsabile per i commenti degli utenti? La società non era stata né l’autore né il divulgante dei commenti diffamatori. La società fu ritenuta Comunicante (…) dei commenti — insieme ai loro autori — e ritenuta responsabile per il fallimento nell’impedire la divulgazione e la rimozione di propria iniziativa del commento illecito. La Corte Europea dei diritti dell’uomo nel 2013 ha concluso che al provider non è stato ridotto il suo diritto alla libertà di espressione.
In conclusione, i siti di notizie online, che facilitano le reazioni degli utenti, possono essere ritenuti responsabili per i commenti degli utenti che danneggiano gli interessi di terzi. 
La Corte Europea adotta un’ampia interpretazione della libertà di espressione, le uniche restrizioni sono riconducibili alla sicurezza nazionale, all’integrità territoriale, alla sicurezza pubblica, alla difesa dell’ordine pubblico, alla prevenzione dei reati, alla protezione della salute e della morale, alla protezione della reputazione e dei diritti altrui.
L’articolo 8 della CEDU -diritto alla privacy- si basa sull’articolo 12 della Dichiarazione Universale dei Diritti Umani (DUDU), in cui si afferma: “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella vita privata e familiare, della casa o della corrispondenza, né a lesioni dell’onore e della reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”. Quasi tutti gli elementi della presente disposizione sono incorporati nell’articolo 8 della CEDU, ad eccezione della protezione dell’onore e della reputazione. Tale protezione non è un diritto soggettivo che le persone possono invocare, anche se la CEDU dal 2007 ha sostenuto che gli individui possono, a determinate condizioni, invocare la tutela del proprio onore e della propria reputazione come diritto soggettivo.
In casi come Delfi contro Estonia, due sono i diritti fondamentali che si scontrano. Da un lato abbiamo la libertà di espressione degli intermediari di Internet e dei suoi utenti, e dall’altro il diritto alla privacy di terzi. Questi diritti devono essere visti come interessi equivalenti che devono essere pesati ed equilibrati l’uno con l’altro. I criteri di valutazione includono i seguenti elementi: il contributo ad un dibattito di interesse generale, quanto è nota la persona interessata, il tema della relazione, il comportamento della persona interessata, il metodo per ottenere informazioni e la sua veridicità, il contenuto, la forma e le conseguenze della pubblicazione, nonché la gravità della sanzione inflitta. 
Nel caso Delfi contro l’Estonia le misure adottate da Delfi erano insufficienti ed era legittimo ritenerla responsabile, dal momento che, non ha cercato di sporgere denuncia contro gli autori dei commenti, anzi, ha permesso loro di inviare commenti in forma anonima essendo utenti non registrati. 
La possibilità di inviare commenti in pieno anonimato è un diritto alla privacy; ma il caso Delfi mostra che in realtà si corre un rischio maggiore di essere ritenuti responsabili. 
Infine, occorre ricordare che i giornalisti e i media giornalistici vantano una limitazione della responsabilità. A tal fine la Corte di giustizia ha deciso di adottare un approccio funzionale: è giornalista colui che contribuisce al dibattito pubblico e si impegna nella ricerca giornalistica. È poco chiaro in che misura questo principio vale anche per le piattaforme online, per i siti di notizie e i blogger amatoriali, eppure sembrano non esserci obiezioni ed ostacoli. Il Comitato dei Ministri del Consiglio d’Europa dà una “nuova nozione di Media” dal 2011, in cui suggerisce che anche i blogger amatoriali possono contare sulla protezione supplementare dei giornalisti.
In sintesi, sotto la dottrina della libertà di espressione:
o I provider passivi non possono contare su questo regime perché non condividono, raccolgono o pubblicano alcuna informazione;
o Gli intermediari attivi di Internet possono avvalersi della libertà di espressione;
o I Provider che rispettano garanzie ed obblighi aggiuntivi possono contare sullo status privilegiato di giornalista.

I provider, secondo tale dottrina, sono incentivati ad abbandonare la loro passività, al fine di invocare la libertà di espressione e qualificarsi la posizione privilegiata di “giornalista”, immune da qualsiasi responsabilità.

Conclusione
I provider attivi hanno più controllo sui contenuti che distribuiscono e sono quindi tenuti ad osservare maggiori obblighi di diligenza.
Gli intermediari di Internet possono contare sull’esclusione della responsabilità sotto il regime di e-commerce molto più che sotto il regime di protezione dei dati.
Agli intermediari di Internet a volte viene chiesto di fornire informazioni sugli utenti per monitorare le loro reti o per rilevare e bloccare attività illecite, mettendoli spesso in una difficile posizione; gli intermediari devono giudicare la legittimità delle rivendicazioni e bilanciare i diversi diritti delle due parti. 
I provider sono incoraggiati a rimanere o pienamente passivi, al fine di qualificarsi l’esenzione dalla responsabilità ai sensi dell’e-Commerce e del regime di protezione dei dati, o al contrario, abbandonare la loro passività quasi completamente, al fine di invocare la libertà di espressione e qualificarsi la posizione di medium giornalistico.
I provider attivi hanno molti doveri ed obblighi ai sensi della direttiva sulla protezione dei dati, mentre hanno molte libertà e privilegi nell’ambito della libertà di espressione. 
In conclusione, in Europa per quanto riguarda la responsabilità degli intermediari di Internet la situazione è molto attuale e poco chiara. Di conseguenza, ogni Paese risolve in maniera molto differente i singoli casi, trattati spesso dai tribunali inferiori. 
Sarà il tribunale di diritto a valutare inizialmente le richieste di terzi. Se una terza parte presenta un reclamo motivato male o fornisce prove marginali, prevarranno gli interessi degli utenti. Se, tuttavia, il comportamento dell’utente è illegale e danneggia gli interessi di terze parti, il contrario sarebbe ritenuto vero. 
Per ora il regime di responsabilità per gli intermediari di Internet in Europa rimane un guazzabuglio ed è prevedibile che, per il momento, non saranno apportate modifiche sostanziali. 
Benvenuto nel mondo della responsabilità di Internet, benvenuto nella giungla!

Come accennato, l’American Digital Millennium Copyright Act potrebbe fornire qualche idea per un approccio alternativo in Europa.
Di conseguenza, se l’Internet provider segue la chiara e dettagliata istruzione e le tempistiche indicate dal DMCA, non corre alcun rischio di essere ritenuto responsabile per eventuali danni.
Non vi è alcun motivo per cui questo modello non dovrebbe essere applicato anche in Europa dato che contribuirebbe a gettare luce sulla giungla oscura.