Internet Service Provider (ISP) e responsabilità.
Internet Service Provider (ISP)
- WWW e responsabilità
- Cosa si intende per Internet Service Provider (ISP)
- La direttiva 2000/31/CE
- Il D.Lgs. n. 70/2003
- I tre tipi di Internet Service Provider
- I nuovi provider
- Le responsabilità dell'Internet Service Provider
- Deroghe e limitazioni alla responsabilità dei provider
- Esonero di sorveglianza e responsabilità
- Gdpr e ISP
- Le linee guida della Commissione UE
WWW e responsabilità
WWW è l'acronimo delle parole inglesi World Wide Web, traducibile in italiano come "rete di ampiezza mondiale", o più brevemente Web.
Utilizzando l'infrastruttura della rete internet l'utente condivide i contenuti multimediali che tutti ben conosciamo.
La rete è il mezzo attraverso cui tutti possiamo trovare informazioni, lavorare, comunicare e partecipare alla vita virtuale che ci permette di socializzare e condividere, in tutto o in parte, la nostra vita nel mondo reale. Lo scambio di migliaia di informazioni e dati, più o meno personali, nella realtà virtuale si traduce, a volte, in grossi problemi nella vita reale.
Anche se non si possono filtrare a monte le informazioni o valutarne la bontà del contenuto, il che comporterebbe una limitazione alla libertà dell'individuo nell'esprimersi liberamente, i danni provocati o subiti nella realtà virtuale si riverberano nella vita reale.
La violazione di regole (o norme) nella realtà virtuale (online) comportano una qualche forma di responsabilità (penale o civile) che pur restando legata alle personali azioni o omissioni versano i loro effetti dannosi nella vita reale e in alcuni casi possono comportare un riconoscimento di responsabilità per le società che offrono servizi sul web.
Le società che operano online sono facilmente individuabili ed economicamente più solide per chi cerca un risarcimento del danno subito a differenza dell'autore che potrebbe sfuggire o essere insolvente.
I fornitori dei vari servizi agli utenti del web sono gli ISP acronimo di Internet Service Provider.
Cosa si intende per Internet Service Provider (ISP)
Le società di Internet Service Provider (ISP) sono società operanti nel web. Queste società forniscono vari servizi. Gli ISP formano i "nodi" della rete informatica che costituiscono Internet, ossia un insieme di dispositivi hardware collegati fra loro e dotati di appositi software in grado di mettere in comunicazione e fornire un servizio che permette lo scambio e la condivisione di dati. In particolare i servizi forniti dalle ISP sono di: connessione, trasmissione, e memorizzazione dati anche attraverso la messa a disposizione delle proprie apparecchiature. Le ISP hanno lo scopo di fornire un accesso alle principali reti di comunicazione elettronica e di consentire la diffusione passiva di contenuti forniti e creati dai destinatari dei servizi.
Le ISP possono essere persone fisiche o giuridiche che prestano un servizio alle società dell'informazione e fanno da collegamento tra queste e gli utenti per mezzo delle loro strutture.
L'utente stipula un contratto di servizio con il provider e paga un canone per poter usufruire dei servizi messi a disposizione dai provider per avere accesso ad Internet.
Il destinatario del servizio si rivolge alle società di ISP le quali forniscono l'accesso alla Rete Internet svolgendo il ruolo d'interfaccia fra questi e il Network Service Provider (NSP), i quali a loro volta si appoggiano agli operatori di telecomunicazioni.
La normativa sulle società di provider ha sempre escluso la possibilità di imporre obblighi generali di sorveglianza sulle informazioni che trasmettono o memorizzano o di ricerca fatti o circostanze che indichino la presenza di attività illecite. Le società di provider svolgono i loro servizi con neutralità operativa.
Ogni attività in rete passa attraversa i computer di un ISP, che li mette a disposizione.
Queste società, il cui business principale consiste nel creare spazi virtuali, offrono diversi servizi in ragione dei quali sono classificate in diverse categorie a seconda delle attività offerte:
- access provider o gatekeeper (se forniscono l'accesso a Internet, secondo diverse modalità);
- service provider (se forniscono servizi di posta elettronica);
- content provider (se offrono propri contenuti) disciplinato dall'Art. 14 del D. Lgs. n. 70/2003, queste attività consiste nella trasmissione, fornitura, memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse per una durata non supere al tempo ragionevolmente necessario a tale scopo;
- caching, disciplinato dall'Art. 15 del D. Lgs. n. 70/2003, consiste in sostanza nella creazione di copie (cache) di pagine ipertestuali consultate con maggiore frequenza dai navigatori, al fine di rendere più rapida e agevole la ricerca da parte dell'utente;
- host provider (se ospitano contenuti messi in rete dagli utenti), cache provider (se memorizzano siti web in un'area di allocazione temporanea) disciplinata dall'Art. 16 del D. Lgs. n. 70/2003 si caratterizza per la gestione del sito sul server e per la tenuta degli archivi informatici del cliente.
A questi servizi si aggiunge la differenza tra le funzioni:
- Le ISP che forniscono il servizio di housing offrono al cliente il servizio di apertura di un sito gestito direttamente dal cliente, il quale costruisce la sua homepage ed i suoi link ipertestuali;
- Le ISP che forniscono il servizio di hosting offrono al cliente la facoltà di creazione di pagine multimediali e di collegamenti ipertestuali affidata direttamente al provider che, oltre ad immetterle nella rete, provvede al loro aggiornamento periodico.
La direttiva 2000/31/CE
La normativa di riferimento nel settore delle società di provider è la Dir. 2000/31/CE (recepita in Italia con il D. Lgs. n. 70/2003).
La Direttiva 2000/31/CE, cd "Direttiva sul commercio elettronico", regolamenta l'attività degli intermediari della comunicazione in maniera unitaria negli Stati dell'UE, e tipicizza le attività degli ISP in tre tipi: mere conduit provider (attività di semplice trasporto); caching provider (attività di memorizzazione automatica, intermedia e temporanea), hosting (attività di memorizzazione delle informazioni).
La direttiva Dir. 2000/31/CE non si applica ai servizi dei prestatori stabiliti in paesi terzi, questa si auspica si debba coordinare con le diverse organizzazioni internazionali, che si occupano dell'armonizzazione delle normative, in modo da non pregiudicare il funzionamento e la competitività dell'industria europea nel mercato internazionale del commercio per via elettronica.
* Questa normativa non disciplina la responsabilità dei fornitori di contenuti che svolgono l'attività editoriale o comunque di tipo creativo, in quanto questi ultimi rispondono in base al regime ordinario di responsabilità presente in ogni singolo stato UE delle informazioni che diffondono sul web, poiché agiscono in prima persona creando i contenuti diffusi e versati nella rete internet.
Gli artt. 12-15 della direttiva 2000/31/CE
L'Art. 12 della direttiva definisce come mere conduit provider le ISP che svolgendo un'attività di semplice "trasporto di informazioni" su una rete o che ne "forniscono un accesso".
L'Art. 13 della direttiva definisce come caching provider chi esegue una memorizzazione automatica, intermedia e temporanea delle informazioni per rendere più efficace l'inoltro dell'informazione richiesta.
L'Art. 14 della direttiva definisce come hosting provider l'ISP che memorizza per un limitato periodo di tempo le informazioni fornite da un destinatario del servizio su uno spazio apposito del proprio server.
Infine, l'Art. 15 della Dir. 2000/31/CE, prende in esame una forma di limitata responsabilità nella sorveglianza sulle informazioni trasmesse e memorizzate, senza imporre alcun obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite in capo ai provider.
La Direttiva 2000/31/CE, ai sensi degli Artt. 12-14, non fa gravare sui provider gli illeciti commessi dagli utenti attraverso l'utilizzazione dei servizi forniti online. I provider ne rispondono se, nel caso concreto, siano coinvolti o siano venuti meno al dovere di restare neutrali rispetto all'attività compiuta dall'utente.
La Dir.2000/31/CE esclude la responsabilità dei provider entro certi limiti e lascia la facoltà degli Stati membri di adottare normative nazionali che attribuiscano all'autorità giudiziaria o amministrativa il potere di esigere, attraverso un provvedimento inibitorio, la rimozione delle informazioni o la disabilitazione all'accesso alle medesime quando siano ritenute illecite. Gli stati UE singolarmente possono imporre al prestatore di un servizio della società dell'informazione di porre fine ad una attività ritenuta illecita o che viola una norma nazionale. Le autorità competenti possono chiedere e ottenere, per fini previsti dalla legge nazionale o internazionale, alle ISP tutte le informazioni necessarie all'identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati.
Il D.Lgs. n. 70/2003
La Dir. 2000/31/CE è stata recepita nell'ordinamento italiano con il D.Lgs. n. 70/2003.
Il D.Lgs. n. 70/2003 è diretto a promuovere la libera circolazione dei servizi delle società dell'informazione (attività economiche svolte on line), fra le quali rientrano le società di commercio elettronico (comprese tutte le forme di comunicazione destinate a promuovere l'offerta di beni o servizi su internet).
Il D. Lgs. n. 70/2003, disciplina l'attività dei prestatori di servizi in rete e si occupano del regime di responsabilità degli stessi nel caso in cui siano stati commessi illeciti da parte degli utenti.
La normativa prevede un apparente esonero assoluto di responsabilità del prestatore di servizi (Internet Service Provider) e contemporaneamente prevede un dovere di collaborazione con le autorità nazionali (amministrativa di vigilanza o giudiziaria) per arginare le violazioni commesse per loro tramite.
Il Prestatore "provider" svolge un'attività "di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell'informazione non conosce né controlla le informazioni trasmesse o memorizzate" (Considerando 42 Dir. 2000/31).
I tre tipi di Internet Service Provider
Il legislatore italiano ha previsto tre tipi di ISP che svolgono diverse attività di prestazione di servizio per le società dell'informazione e per tale ragione hanno una diversa graduazione di responsabilità e di obblighi da seguire, ma sono accomunati dall'assenza di un obbligo generale di sorveglianza sui contenuti trasmessi o memorizzati nei loro apparati a richiesta del destinatario del servizio.
L'operatore che svolge l'attività di trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o fornisca un accesso alla rete di comunicazione includendo la memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse, a condizione che questa serva solo alla trasmissione sulla rete di comunicazione e che la sua durata non ecceda il tempo ragionevolmente necessario a tale scopo, si definisce ex Art. 14 D. Lgs. n. 70/2003 come attività di mere conduit.
L'operatore che svolge l'attività di trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio con un'attività di memorizzazione automatica e temporanea è definito caching, Art. 15 D. Lgs. n. 70/2003.
Infine, l'operatore che svolge attività di memorizzare le informazioni fornite da un destinatario del servizio è definito hosting, Art. 16 D. Lgs. n. 70/2003.
I nuovi provider
Con l'evolversi della tecnologia e dei servizi richiesti si sono creati nuovi tipi di intermediari i c.d. user-generated contents. L'attività svolta da questi nuovi intermediari fuoriesce da quella normata nella disciplina della direttiva e dal D. Lgs. n. 70/2003. Questi nuovi intermediari svolgono l'attività di pubblicare in spazi virtuali contenuti generati dagli utenti personalmente, con la finalità di diffonderli in più possibile. L'utente svolge un ruolo attivo nel selezionare i dati e caricarli in rete. Questo comporta una presa di responsabilità non indifferente per i nuovi provider.
Le responsabilità dell'Internet Service Provider
La responsabilità del prestatore di servizi su internet viene definita in negativo.
Nel caso in cui si verifichino le condizioni riportate nel D.Lgs. n. 70/2003 il prestatore non potrà essere chiamato a rispondere degli illeciti commessi on-line dal destinatario del servizio.
Viceversa se il provider pone in essere un comportamento contrario a quanto sancito dal D.Lgs. n. 70/2003 si configurerà a suo carico una forma di responsabilità ed eventualmente anche una forma di obbligo di risarcimento per il danno prodotto ai terzi.
L'ISP è responsabile del contenuto da lui stesso veicolato se ha consapevolezza della illiceità dei dati trasmessi o memorizzati. Risponde dei danni cagionati a terzi se non collabora con le autorità preposte (giudiziaria o amministrativa) rimanendo inerte difronte ad un provvedimento che lo informa dell'illecito in corso.
Ogni categoria di provider ha dei presupposti tecnici, normativamente individuati, che prevedono specifiche cause di riconoscimento della responsabilità civile di ognuno.
La norma a cui sono sottoposti gli ISP dal punto di vista della responsabilità è tarata in base alla categoria elaborata, ma non sempre risponde alla dinamica delle nuove tecnologie che avanzano più velocemente rispetto alla norma a cui appartengono.
Uno stesso ISP può svolgere più funzioni e diverse attività, ciò non esime dal regime di responsabilità che la normativa riconosce in capo a questi.
Le società IPS possono avere una diversa catalogazione per l'individuazione della responsabilità.
Si possono dividere in ISP attivi se intervengono nell'elaborazione o nella presentazione dei contenuti che diffondono o ISP passivi se svolgono un ruolo di meri "intermediari".
La possibilità di addebitare una qualche forma di responsabilità in capo ad un provider dipende dai principi generali in materia di imputazione della responsabilità per gli illeciti civili, penali o dalle regole stabilite in attuazione della direttiva sul commercio elettronico presenti nei vari paesi europei.
La responsabilità (eventuale) del provider nel nostro ordinamento si configura alla stregua di una responsabilità secondo le regole comuni:
ü dal punto di vista soggettivo, la normativa riguarda solo gli operatori, siano esse persone fisiche o giuridiche, che prestano un'attività economica o un qualsiasi servizio on line, escludendo i soggetti che agiscono per scopi privatistici.
ü dal punto di vista oggettivo, il legislatore ha riconosciuto alcune ipotesi eccezionali di esonero della responsabilità in particolare per i provider di mere conduit, caching e hosting.
Il D.Lgs. n.70/2003, come la Direttiva, non prevede specifiche ipotesi di reato in capo alle tre figure di provider tipizzate, pertanto si deve fare ricorso alle regole generali dell'ordinamento di responsabilità penale previsto nel nostro ordinamento e sulla giurisprudenza più attenta all'argomento.
ISP stabilito
Da quanto sin qui detto si potrebbe pensare che per essere esente da responsabilità o sfuggire al un provvedimento dell'autorità giudiziaria basti insediarsi in un paese terzo ed esercitare la propria attività presso un paese UE.
In realtà non è così, poiché entra in "gioco" la figura del prestatore stabilito.
Il prestatore stabilito è colui il quale ha una stabile organizzazione ed esercita effettivamente la sua attività economica in uno stato membro UE per un tempo indeterminato, perciò, non è determinate la reale presenza fisica delle attrezzature necessarie a svolgere tale attività, ma l'effettiva attività.
Pertanto, il prestatore non può sottrarsi ad un provvedimento emanato nei suoi confronti dall'autorità giudiziaria o amministrativa di uno stato ove esercita effettivamente la sua attività stabilendo nel territorio di un diverso stato UE i mezzi e le tecnologie necessarie alla prestazione.
Responsabilità civile e penale
Nell'ordinamento italiano è l'art. 2043 del c.c. a prevede il regime di responsabilità per fatto illecito in materia di responsabilità civile e l'interpretazione del Decreto recepito nel nostro ordinamento non sembra esentare da tale configurazione di responsabilità i provider.
Nella sentenza Cass. Civ. Sez. I, del 16 settembre 2021, n. 25070 gli ermellini (confermando un precedente orientamento della sentenza Cass. Civ., Sez, I, 19 marzo 2019, n. 7708) individuano la responsabilità extracontrattuale del prestatore del servizio quando ricopre un ruolo attivo nella vicenda, ovvero se messo a conoscenza dell'illecito perpetrato sulla piattaforma intenzionalmente non interviene adottando le necessarie misure tecniche, che sarebbero state adottate da un operatore normalmente diligente.
Discorso più complesso si deve affrontare nell'ambito della responsabilità penale che ha visto imputazioni di responsabilità in modo altalenante escludendo la sussistenza di una forma di responsabilità per l'ISP nella sentenza Cass. Pen., Sez. III, 17 dicembre 2013, n. 5107 e pochi anni dopo configurare una forma di responsabile per il comportamento tenuto da un legale rappresentante di una società ISP (Cass. Pen., Sez. V, 27 dicembre 2016, n. 54946) individuando nel gestore del sito un concorrente del reato contestato in quanto avrebbe dovuto eliminare il commento diffamatorio dopo aver ricevuto una mail che chiariva la natura diffamatoria del commento stesso.
I possibili modelli di responsabilità oscillano tra due alternative estreme: prevedere la totale impunità dell'ISP funzionale a garantirne la libertà di espressione o riconoscere la responsabilità degli ISP come qualsiasi altro soggetto giuridico per prevenire qualsiasi tipo di illecito.
Parte della giurisprudenza ritiene configurabile una forma di responsabilità penale in capo al provider che dopo aver ricevuto una segnalazione di contenuti illeciti sul proprio portale non si adoperi per rimuovere i contenuti, configurando in capo allo stesso la qualifica di "responsabile del trattamento", che dovrebbe ipoteticamente rispondere del reato previsto dall'Art. 167 d. lgs. 30 giugno 2006, n. 196.
Tuttavia dalla lettura della norma di riferimento il provider è tenuto a rimuovere i contenuti illeciti immessi nella rete previa richiesta dell'autorità giudiziaria per non incorrere in qualsivoglia responsabilità, il fatto che si prodighi a farlo su richiesta avanzata da un utente è un auspicio de iure condendo.
Posta elettronica
L'esigenza della mutata realtà derivante dai nuovi reati di natura informativa ha spinto il legislatore dopo la Convenzione del Consiglio d'Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001, ad ampliare gli orizzonti dell'acquisizione delle prove informatiche.
Con l'introduzione di un ulteriore ipotesi di sequestro prevista dall'art. 254-bis c.p.p. (Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di comunicazione) inserito nel codice di procedura penale dall'art. 8, co. 5, L. n. 48 del 2008, il legislatore ha normato il sequestro dei dati informatici detenuti da un service provider, compresi quelli di traffico e di ubicazione.
L'introduzione del nuovo mezzo di ricerca della prova inserito nell'art. 254-bis c.p.p. recepisce il dettato dell'art. 19, co. 3, della Convenzione di Budapest (entrata in vigore il 1° ottobre 2008). Le parti firmatarie della Convenzione nell'adottare le misure legislative hanno incluso una serie di misure necessarie per consentire alle loro autorità nazionali: a. sequestrare o acquisire in modo simile un sistema informatico o parte di esso o un supporto di salvataggio di dati informatici; b. effettuare e conservare una copia dei dati informatici; c. preservare l'integrità dei dati informatici memorizzati; d. rendere inaccessibili o rimuovere tali dati informatici dal sistema informatico analizzato.
Il tutto garantendo ai fornitori di servizi informatici e telematici la possibilità di continuare ad assicurare la regolare fornitura dei servizi offerti.
Leggi anche La responsabilità del provider
Deroghe e limitazioni alla responsabilità dei provider
Sul punto il considerando n. 42 della Direttiva analizza alcuni aspetti significativi della materia.
Il considerando, su citato, della Direttiva 2000/31/CE chiarisce come le deroghe in merito alla responsabilità dei provider riguardano il solo processo tecnico di attivazione e fornitura di accesso ad una rete di comunicazione sulla quale sono state trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione.
In merito poi alla limitazione di responsabilità lo stesso considerando precisa che le limitazioni alla responsabilità dei prestatori intermedi prevista nella direttiva lascia impregiudicata la possibilità di azioni inibitoria da parte di organi giurisdizionali o autorità amministrative degli stati UE che possono obbligare gli ISP a porre fine a una violazione o a rimediare imponendo anche la rimozione dell'informazione illecita o disabilitando l'accesso alla medesima.
Al contrario il provider non beneficia della deroga quando deliberatamente collabori con un destinatario del suo servizio al fine di commettere un illecito o non si limiti alle attività di semplice strumento neutro di trasmissione di dati.
Il provider deve limitarsi ad un'attività di ordine meramente tecnico, automatico e passivo.
Esonero di sorveglianza e responsabilità
La normativa di riferimento prevede l'assenza di un obbligo generale di sorveglianza delle informazioni da parte dell'ISP, ex Art. 15 della direttiva 2000/31/CE.
L'Art. 17 del D.Lgs. n. 70/2003 ricalca le orme della direttiva e prevede espressamente l'assenza di un obbligo generale di sorveglianza per i contenuti trattati dal provider. Ciò farebbe pensare ad una deroga illimitata della responsabilità del provider, ma in realtà ogni singolo caso deve essere analizzato seguendo sia il dettato normativo sia la lettura che i considerando forniscono in merito, confrontandosi anche con la giurisprudenza maggioritaria dell'UE.
Dalla lettura della norma emerge come il Provider sia sollevato da una serie di obblighi di controllo che pregiudicherebbero inevitabilmente la sua attività (che risulterebbe fortemente rallentata da un controllo preventivo sui dati inseriti dai destinatari dei loro servizi) e lo sviluppo della rete internet (paralizzata dai controlli).
In realtà gli operatori ISP hanno l'obbligo di fornire su richiesta dell'autorità di vigilanza o l'autorità giudiziaria-amministrativa tutto il supporto necessario a identificare il destinatario dei loro servizi con cui hanno accordi di memorizzazioni dati.
I provider sono responsabili in sede civile, al pari dei loro clienti, del contenuto trasmesso o memorizzato se a richiesta dall'autorità di vigilanza non rimuovano il contenuto o impediscano l'accesso al contenuto ritenuto illecito.
La richiesta del privato al provider di cancellare i contenuti illeciti, indipendentemente da come il D. Lgs n. 70/2003 identifichi il provider, va ritenuta sufficiente (o meglio è auspicabile) a far scattare l'obbligo del prestatore di eliminare i contenuti oggetto di segnalazione, senza dover attendere un ordine dell'autorità preposta e conseguentemente a determinare l'insorgere o meno di una responsabilità civile in capo al provider.
Gdpr e ISP
L'entrata in vigore del Regolamento 679/2016 UE non pregiudica l'applicazione della Direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi.
Si legge all'Art 2 co. 4 del Regolamento esplicitamente la non conflittualità fra le due norme.
Ad avvallare quanto normato nel GDPR ci pensa il Considerando 21 secondo il quale: "il presente Regolamento non pregiudica l'applicazione della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, in particolare delle norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli Artt. da 12 a 15 della direttiva stessa. Quest'ultima ha l'obiettivo di contribuire al buon funzionamento del mercato interno garantendo la libera circolazione dei servizi della società dell'informazione tra Stati membri".
Dalla lettura della norma si potrebbe concludere che i provider non dovrebbero poter essere considerati titolari del trattamento in relazione ai dati personali contenuti e trasmessi nei propri server.
Nella nota sentenza cd Google Spain la Corte di Giustizia dell'Unione Europea ha riconosciuto in capo al provider in determinate condizioni l'obbligo di procedere alla cancellazione dei dati personali del richiedente.
Questa sentenza non mette in discussione il principio di neutralità e terziarietà degli internet service provider nella gestione del flusso dei dati su internet, ma legge la disciplina sotto una luce nuova che rimette in discussione la responsabilità di ogni operatore sul web.
La sentenza citata è un caposaldo del nuovo modo di leggere la normativa, ma una lettura più stringente dell'Art. 2 co. 4 del GDPR potrebbe ribaltare le future decisioni della Corte su cause aventi lo stesso oggetto. Infatti, il GDPR esplicitamente fa riferimento alla Dir. 2000/31/CE, sposandone la non applicabilità ai provider di alcuna forma di responsabilità o controllo sui dati memorizzati o trasmessi e non riconoscendo la veste di titolare del trattamento al gestore di un motore di ricerca.
Al gestore del motore di ricerca si può, invece, riconoscere un obbligo di deindicizzare il contenuto della pagina web che ospita dati illeciti se questo ne sia stato puntualmente informato.
Deindicizzazione
In merito alla deindicizzazione che ha visto protagonista un soggetto coinvolto in una vicenda giudiziaria la sentenza C-136/17 GC e a./Commission nationale de l'informatique et des libertés (CNIL) della Corte di Giustizia UE chiarisce come un motore di ricerca può influire anche negativamente sui diritti fondamentali delle persone.
Il gestore di un motore di ricerca è responsabile non della comparsa su una pagina web pubblicata da terzi di dati personali di un soggetto, ma dell'indicizzazione di tale pagina e, in particolare, della visualizzazione dei link verso di essa nell'elenco dei risultati presentati agli utenti di Internet in esito ad una ricerca utilizzando il nome dell'interessato.
Il gestore deve valutare la richiesta di deindicizzazione presentata dall'interessato riguardante uno specifico link basandosi sull'inserimento del nominativo dell'interessato e valutando se detto link risultante nella ricerca sia strettamente necessario per il diritto all'informazione degli utenti di internet.
Resta in capo al gestore del motore di ricerca l'incombenza di deindicizzare i link obsoleti e aggiornare le ricerche per nominativo verso pagine web più attuali e rappresentative della reale e attuale situazione della vicenda descritta nelle pagine.
Il gestore del motore di ricerca nel determinare le finalità e gli strumenti di detta attività deve garantire il soddisfacimento delle prescrizioni del diritto dell'Unione in merito al trattamento dei dati personali, ossia il rispetto della privacy, bilanciandolo con il diritto all'informazione dell'utente di internet.
Nel caso in cui il trattamento riguardi dati manifestamente resi pubblici dalla persona interessata e rispondenti a tutte le condizioni di liceità del trattamento il gestore del motore di ricerca potrà respingere la richiesta di deindicizzazione.
Le linee guida della Commissione UE
Nel 2017 la Commissione UE, in merito alla responsabilizzazione degli ISP, è andata oltre la direttiva 2000/31/CE e al decreto legislativo n. 70/2003 ed ha sviluppato le nuove linee guida volte a suggerire agli ISP procedure volte a garantire un ambiente digitale più sicuro per gli utenti e i fornitori dei servizi internet.
La Commissione UE ha trasmesso al Parlamento Europeo una comunicazione (non vincolante) sul contrasto agli illeciti perpetrati in rete e sul ruolo che gli Internet Service Providers potrebbero ricoprire per contrastarli.
La Commissione UE con la sua comunicazione vuole evitare la diffusione virale dei contenuti offensivi, illeciti o dannosi che le società ISP, loro malgrado, diffondono e quindi suggerendo alle società di dotarsi di sistemi che consentano loro una più rapida identificazione (detection) e rimozione (take down) dei contenuti illegali.
La comunicazione della Commissione per il contrasto ai contenuti illeciti in rete stimola le ISP a intervenire e rimuovere contenuti illeciti senza attendere ordini da un'autorità amministrativa o giudiziaria, in un'ottica di collaborazione tra le società e le autorità nazionali competenti rendendo più rapida la rimozione dei contenuti inappropriati.
Infatti, si sollecitano i prestatori a mettere a disposizione degli utenti, anche in modo anonimo, semplici meccanismi di denuncia di attività illecite in modo da rimuove i contenuti rapidamente a seguito di una valutazione sommaria del contenuto, anche con meccanismi automatizzati.
La Commissione invita le ISP a dotarsi di figure professionali come i c.d. trusted flagger che offrono servizi specializzati nell'identificazione di contenuti illegali.
Le linee guida dovrebbero così stimolare i fornitori dei servizi ad attrezzarsi con nuovi strumenti di diagnosi e prestare particolare attenzione ai contenuti che i destinatari dei loro servizi pubblicano sul web.
Avv. Pietro Bilotta
Via Teresa Augruso 6 – 88022 Curinga (Cz)
pietro.bilotta@avvlamezia.legalmail.it
cell 3333081936
linkedin.com/in/avvocato-pietro-bilotta-1a429b39
Data: 28/09/2022 16:00:00Autore: Pietro Bilotta