diritto alla riservatezza (privacy) + oblio – Pagina 5

Comunicazione indesiderata nella posta elettronica e dir. 2002/58: insegnamenti intorno alla necessità di consenso previo

Utili precisazioni sull’art. 13 della dir. 2002/58 sulla data protection nelle comunicazioni elettroniche da parte di Corte di Giustizia 25.11.2021, C-102/20, StWL Städtische Werke Lauf a.d. Pegnitz GmbH c. eprimo GmbH, con intervento di Interactive Media CCSP GmbH.

Un imprenditore cita in giudizio un concorrente perchè fa inviare massivamente agli abbonati di un servizio di email gratuito (in quanto finanziato dala pubblicità) messaggi pubblicitari , che compaiono nell’elenco delle email in POSTA IN ARRIVO (anche se la sua natura pubblicitaria non parebbe opaca ma trasparente).

Ritiene anche che ciò costituisca concorrenza sleale (rectius: pratica commerciale sleale) secondo il diritto tedesco.

Il giudice a quo chiede se tale prassi violi la dir. in oggetto e spt. la necessità del previo consenso ex art. 13/1 , secondo cui <<L’uso di sistemi automatizzati di chiamata e di comunicazione senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati o degli utenti che abbiano espresso preliminarmente il loro consenso.>>

La CG risponde, condivisibilmente , in modo positivo: non c’era spazio del resto per risposta diversa.

Se però nel caso specifico ricorra o meno il consenso previo, dipende dal tipo di accordo stipulato dagli utenti con il gestore del servizio gratuito di email, di cui però si deve occupare il giudice a qyuo: <<A tal riguardo, spetta tuttavia al giudice del rinvio stabilire se l’utente interessato, avendo optato per la gratuità del servizio di posta elettronica T-Online, sia stato debitamente informato delle precise modalità di diffusione di una siffatta pubblicità e abbia effettivamente acconsentito a ricevere messaggi pubblicitari come quelli di cui trattasi nel procedimento principale. In particolare, occorre assicurarsi, da un lato, che tale utente sia stato informato in modo chiaro e preciso segnatamente del fatto che i messaggi pubblicitari compaiono nell’elenco dei messaggi privati ricevuti e, dall’altro, che questi abbia espresso il proprio consenso a ricevere tali messaggi pubblicitari in maniera specifica e con piena cognizione di causa (v., in tal senso, sentenza dell’11 novembre 2020, Orange Romania, C‑61/19, EU:C:2020:901, punto 52).>>, § 59.

Quanto al se ciò costiuisca pratica commerciale sleale ex allegato 1 punto 26 dir. 2005/29 (<<Effettuare ripetute e sgradite sollecitazioni commerciali per telefono, via fax, per posta elettronica o mediante altro mezzo di comunicazione a distanza, fuorché nelle circostanze e nella misura in cui siano giustificate dalla legge nazionale ai fini dell’esecuzione di un’obbligazione contrattuale, fatti salvi l’articolo 10 della direttiva 97/7/CE e le direttive 95/46/CE (2) e 2002/58/CE.>>) , la risposta è che ciò è certamente possibile ma … dipende: <<l’allegato I, punto 26, della direttiva 2005/29 deve essere interpretato nel senso che un’attività consistente nella visualizzazione nella casella di posta in arrivo dell’utente di un servizio di posta elettronica di messaggi pubblicitari, in una forma simile a quella di un vero e proprio messaggio di posta elettronica e nella medesima collocazione di quest’ultimo, rientra nella nozione di «ripetute e sgradite sollecitazioni commerciali» degli utenti di servizi di posta elettronica, ai sensi di tale disposizione, qualora la visualizzazione di tali messaggi pubblicitari, da un lato, sia avvenuta con sufficiente frequenza e regolarità per essere qualificata come «ripetute sollecitazioni commerciali» e, dall’altro, possa, in mancanza di un consenso fornito dall’utente di cui trattasi preliminarmente a tale visualizzazione, essere qualificata come «sgradite sollecitazioni commerciali».>>, § 75.

Attività giurisdizionale e trattamento dati: sull’art. 55 par. 3 GDPR

SEcondo l’art 55.3 GDPR <<le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali>>.

Il concedere l’accesso agli atti ad un giornalista da parte di un giudice, secondo quanto previsto dall’l’ordinamento olandese, rientra nella fattispecie regolata da tale disposizione e cioè nel concetto di trattamento effettuato da un autorità giusdizionale in sede di ius dicere?

In particolare il giudice a quo chiede:

<< «1) Se l’articolo 55, paragrafo 3, del RGDP debba essere interpretato nel senso che si può considerare rientrante tra i “trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali” la possibilità, offerta da un organo giurisdizionale, di prendere visione di atti processuali in cui figurano dati personali, possibilità che viene concessa mettendo a disposizione di un giornalista copie degli atti processuali in parola, come descritto nella presente ordinanza di rinvio.

1a) Se sia rilevante per la risposta a tale questione se l’esercizio del controllo, da parte dell’autorità nazionale di controllo, su tale forma di trattamento dei dati incida sull’indipendenza del processo decisionale del giudice in fattispecie concrete.

1b) Se sia rilevante per la risposta a tale questione la circostanza che, secondo l’organo giurisdizionale, la natura e la finalità del trattamento dei dati sia informare un giornalista al fine di metterlo in condizione di dare un migliore resoconto dell’udienza pubblica in un procedimento giurisdizionale, contribuendo così a tutelare l’interesse alla pubblicità e alla trasparenza della giustizia.

1c) Se sia rilevante per la risposta a tale questione se il trattamento dei dati sia fondato su una esplicita base di diritto nazionale.>>

La risposta (al quesito sub a) è condivisibilmente positiva per l’AG Bobek, nelle sue analitiche conclusioni 06.10.2021, C-245/20, X-Z c. Autoriteit Persoonsgegevens .

Molto interessanti le affermazioni finali, § 117 ss ., sub D), circa il rapporto tra data protection e l’attività giurisdizionale

Diritto all’immagine e riproduzione abusiva in DVD musicale

Una signora viene riprodotta in un DVD musicale mentre si intrattiene in spazio pubblico con un signore che non è il marito, palesando una relazione che doveva restare nascosta.

La signora agisce per il risarcimento dei danni (patrimoniali e non, parrebbe).

In primo grado la domanda è rigettata, ravvisando il Tribunale un consenso tacitto, dovendosi interpretare la ripresa visiva come messa in scena concordata per la commercialzizazine del DVd.

In appello la sentenza è riformata e viene riconosciuto alla signora il c.d. prezzo del consenso ipotizzabile. Pertanto il titolare del diritto sul dvd (casa discografica) ricorre in cassazione: la quale decide con sentenza 25.11.2021 n° 36.754, rel. Vella , rigettando il ricorso.

Tre punti:

1) la SC implicitamente ritiene che la competenza delle sezioni specializzate ex art. 3 d. lgs. 168/2003, laddove riferita al diritto di autore, comprende pure la riprodizone dell’immagine altrui ex art. 96 e 97 l. aut.. Conferma infatti la competenza solo perchè non di immaguine si discuteva ma di riservatezza (§ 3.3).

Ora, che il diritto alla riservatezza sia diverso da quello sulla propria immagine (ex art. 10 cc e citt. artt. l. aut.) è possibile , ma richiederebbe approfondimento.

Che invece la competenza giurisdizionale, relativa al diritto di autore ex art. 3,.1.b d. l.g. s 168 cit (<<b) controversie in materia di diritto d’autore e di diritti connessi al diritto d’autore;>>; v-. pure ora il c. 3 bis dell’art. 156 l. aut.) comprenda pure le questioni sul diritto all’immagine ex art. 96-97 l. aut., è errato. Il diritto all’immagine è certamente altro dal diritto di autore e dai diritti connessi; a nulla rileva la sedes materiae e cioè che sia regolato (anche) nella legge che regola il diritto di autore

2) interessante per i pratici, poi, è la distinzione tra l’affermare che il danno non patrimoniale sia in re ipsa e l’affermare invece che possa ritenersi presuntivamente provato (§ 6.1).

3) c’è una (nota) difficoltà logico-concettuale nel riconoscere il danno (patrimoniale, naturalmetne) ex prezzo del consenso a favore di chi mai avrebbe dato il consenso (come nel caso de quo di relazione sentimetnale da tenere nascosta). Non può infatti dirsi ristorare un pregiudizio (lucro cessante) e cioè restituiRE un’opportunità di guadagno che era stata tolta. La somma in realtà ha carattere penale , ma allora c’è un duplice problema: 1) l’art. 156 l. aut. non prevede una sanzione ma solo una compensazione (dubbio parecchio che possa estendersi analogicamente l’art. 125/3 cod. propr. ind.); 2) come che sia, la medesima disposizione , riferendosi a <violazione di un diritto di utilizzazione economica>) è assai dubbio che comprenda pure il diritto all’immagine ex art. 96-97 l. aut. (e art. 10 cc)

Consenso online al trattamento dati espresso nella modalità “sign-in wrap”

La piattaforma di pagamenti Stripe chiede il consenso al trattamento dati con modalità “sign-in wrap”.

La corte del nord califormia ne esamina (brevemente) la validità ed è per la positiva (US Dis. C. NORTHERN DISTRICT OF CALIFORNIA 28.07.2021, Case No.4:20–cv–08196–YGR, Silver e altri c. Stripe inc.).

Premessa: << Internet users can form online contract, and therefore consent, in a variety of ways. See Colgate v. JUUL Labs, Inc., 402 F. Supp. 3d 728, 763 (N.D. Cal. 2019) (discussing different forms of online contracts). The Ninth Circuit recognizes three main types of contracts formed on the internet: “clickwrap”, “browsewrap”, and “sign-in wrap” agreements. “Clickwrap” agreements require website users to click on an “I agree” box after they are presented with a list of terms and conditions. Id. “Browsewrap” agreements do not require the express consent, but instead operate by placing a hyperlink with the governing terms and conditions at the bottom of the website. Id. In “browsewrap” agreements, a user gives consent just by using the website. Id. “Sign-in-wrap” agreements are those that present a screen that states that acceptance of a separate agreement is
required before a user can access an internet product or service. Id.

The Ninth Circuit requires that online contracts put a website user on actual or inquiry notice of its terms. Nguyen v. Barnes & Noble Inc., 763 F.3d 1171, 1177 (9th Cir. 2014). In doing so, the notice must be conspicuous, that is it must put “a reasonably prudent user on inquiry notice of the contracts.” Id. Whether a user has such inquiry notice “depends on the design and content of the website and the agreement’s webpage.” Id >>.

Il contratto allora è valido <<if a plaintiff is provided with an opportunity to review the terms of service in the form of a hyperlink,” and it is “sufficient to
require a user to affirmatively accept the terms, even if the terms are not presented on the same page as the acceptance button as long as the user has access to the terms of service.” Moretti v. Hertz Corp., No. C 13–02972 JSW, 2014 WL 1410432, at *2 (N.D. Cal. Apr. 11, 2014); In re Facebook Biometric Info. Priv. Litig., 185 F. Supp. 3d 1155, 1166 (N.D. Cal. 2016) (user agreement enforceable where user had to “take some action— a click of a dual-purpose box— from which assent might be inferred”). >>

Nel caso specifico <<no dispute exists that Instacart utilized a “sign-in wrap” agreement. Instacart’s purchase checkout page required plaintiffs to agree to Instacart’s terms of service and privacy policy whenever they placed an order. Plaintiffs admit that they were presented with the checkout screen as they completed their Instacart orders. (FAC ¶¶ 59, 72, 84, 97, 110.)>>

Segue riproduzione di uno screenshot della schermata da cui appare chiaramente che l’intermediario è Stripe (Instacart) : l’acquirente non può allora in buona fede sostenere di aver pensato che l’unico contraente fosse il venditore (anzichè pure Stripe/Instacart).

La cui policy sul punto è allora approvata: << The Court finds Instacart’s privacy policy conspicuous and obvious for several reasons. First, the hyperlink to the privacy policy is displayed in a bright green font against a white background, which stands out from most of the surrounding text. Further, the hyperlink to the
privacy policy is located close to the “place order” button, thus it is hard for a user placing an order to miss it. The bold font alerting consumers to the amount of the charge hold placed on their card calls additional attention to the area where Instacart’s privacy policy is located. There is nothing about the text that makes it inconspicuous or nonobvious.
The Court finds that a reasonably prudent user would have been aware of Instacart’s privacy policy when placing an order. This finding comports with other courts that have found similar “sign-in wrap” agreements to be valid Meyer v. Uber Techs., Inc., 868 F.3d 66, 75-76 (2d. Cir. 2017) (“the existence of the terms was reasonably communicated to the user”) (collecting cases); see also Peter v. DoorDash, Inc., 445 F. Supp. 3d 580, 587 (N.D. Cal. 2020). Based thereon, the Court finds that during checkout, plaintiffs were “provided with an opportunity to review the terms” of the privacy policy. Crawford v. Beachbody, LLC, No. 14cv1583– GPC(KSC), 2014 WL 6606563, at *3 (S.D. Cal. Nov. 5, 2014). They were required to take an affirmative step—clicking the “Place Order” button—to acknowledge that they were agreeing to the terms of the privacy policy. They were told the consequences that would follow from clicking the button, including their acceptance of the privacy policy. Plaintiffs decided to place an order after being made aware of the privacy policy. Accordingly, the Court finds that plaintiffs consented to Instacart’s privacy policy each time they placed an order. In re Facebook Biometric Info. Priv. Litig., 185 F. Supp. 3d at 1166 >>

Risarcimento del danno non patrimoniale cagionato da lesione della privacy

Così ha statuito Cass. 11.020 del 26.04.2021, rel. Fidanzia, su istanza ex art. 152 c. priv. (probabilmente ex art. 15 c. priv.) per pubblicazione non giustificata di notizie riservate (precedenti provedimenti disciplinati subiti quale dipendente pubblico di chi ora è sottoposto a procedimneto disciplinere come avvocato):

<<In ordine al risarcimento dei danni, va preliminarmente osservato che questa Corte (vedi Cass. n. 17383 del 20/08/2020) ha già enunciato il principio di diritto secondo cui il danno non patrimoniale risarcibile, ai sensi del D.Lgs. n. 196 del 2003, art. 15 (codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., da cui deriva (come intrinseco precipitato) quello di tolleranza della lesione minima , sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito.

Deve, inoltre, rilevarsi che il danno alla privacy, pur non essendo, come ogni danno non patrimoniale, in “re ipsa”, non identificandosi il danno risarcibile con la lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione, può essere, tuttavia, provato anche attraverso presunzioni (vedi in materia di lesione del danno non patrimoniale dell’onore, Cass. n. 25420 del 26/10/2017, i cui principi, sotto il profilo della prova del danno, sono applicabili anche al caso in esame).>>

Quindi bene aveva deciso il Trib. a quo: <<Il Tribunale di Firenze ha avuto cura di verificare la “gravità della lesione” e la “serietà del danno”, evidenziando che la divulgazione di una pluralità di procedimenti disciplinari a carico dell’avv. M. – “peraltro generica e dunque maggiormente offensiva in quanto allusiva (aperta a qualunque interpretazione soggettiva) “- era stata effettivamente dannosa, determinando conseguenze inevitabilmente negative, oltre che sulla sfera emotiva dell’odierno controricorrente (già provato da procedimenti disciplinati infondati), sulla sua immagine e sulla sua reputazione sociale nel ristretto ambiente lavorativo in cui era da breve tempo entrato (due anni). In particolare, il giudice di merito ha messo in luce la condizione di particolare fragilità in cui si trova un avvocato iscritto all’Ordine forense solo da un paio d’anni, il quale è soprattutto impegnato nella costruzione di una propria immagine e credibilità professionale non solo in relazione ai potenziali clienti, ma anche rispetto a quei colleghi che possono così sensibilmente incidere sulla sua attività, anche per il futuro.>>

Profili processuali sul risarcimento del danno da illecito trattamento dati ex art. 15 cod. privacy

Qualche spunto processuale sul risarcimento del danno ex art. 15 cod. privacy (testo allora vigente) in Cass. ord. 14.618 del 26.5.2018, PF c. Comune di Cellara CS.

Oggi analoga disposizione sta nell’art. 82 del reg. _UE GDPR.

<<2.3. Risulta decisivo osservare che l’illegittimo trattamento di dati sensibili D.Lgs. n. 196 del 2003, ex art. 4 configurabile come illecito ai sensi dell’art. 2043 c.c., non determina un’automatica risarcibilità del danno poichè il pregiudizio (morale e/o patrimoniale) deve essere provato dal danneggiato secondo le regole ordinarie, quale ne sia l’entità e la difficoltà di assolvere l’onere probatorio, trattandosi di un danno-conseguenza e non di un danno-evento, senza che rilevi in senso contrario il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti (Cass. n. 15240 del 03/07/2014). Tuttavia, poichè i danni cagionati per effetto del trattamento dei dati personali, in base al D.Lgs. 30 giugno 2003, n. 196, art. 15 sono assoggettati alla disciplina di cui all’art. 2050 c.c., il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre incombe al danneggiante la prova di aver adottato tutte le misure idonee ad evitare il danno stesso (Cass. n. 10646 del 26/06/2012; Cass. n. 18812 del 05/09/2014).

2.4. La ricorrente opera una non condivisibile sovrapposizione tra i rispettivi oneri probatori e confonde l’onere della prova del danno e del nesso di causalità, che gravava su di lei, con l’onere di provare la condotta scriminante ex art. 2050 c.c., che gravava sull’autore del fatto illecito, senza cogliere la ratio decidendi focalizzata proprio sulla mancata prova dell’assunto costituito dalla avvenuta pubblicazione on cine della delibera in versione integrale, posto che dalle deposizioni dei testi ( F. e M., oltre che C., padre della amministrata) non era emerso che gli stessi avessero visionato il testo integrale della delibera on line>>

I fatti storici sottostanti:

<<P.F., nella qualità di amministratrice di sostegno di C.A., aveva chiesto al Tribunale di Cosenza la condanna del Comune di Cellara al risarcimento dei danni subiti dall’amministrata a causa della pubblicazione sull’albo pretorio on-line del Comune di Cellara della (OMISSIS) con la quale era stata accolta la richiesta di ricovero della stessa presso un centro socio-riabilitativo diurno per disabili, contenente informazioni sul suo stato di salute. Il Comune aveva resistito.>>

Diritto all’oblio, diritto di informazione, cancellazione e deindicizzazione

Il sig. CF chiede al Garante privacy provedimenti affinhcè siano cancellati gli URL o siano deinidiczzate pagine reperite da Google che lo connettono a fatti di mafia.

Non ottiene ragione nè in quella sede nè in Tribunale.

La Cassazione gli dà invece ragione con sentenza n° 15.160 del 31.05.2021 , CF c. Google Italy srl, Google Inc. e Garante Privacy.

la SC prima ricorda la giurisprudenza propria ed europea intema.

Poi procede ad esporre il proprio pensiero: <<orbene, dal complessivo quadro giurisprudenziale e normativo di riferimento si evince – in maniera inequivocabile – che il diritto all’oblio va considerato, atteso il comune fondamento nell’art. 2 Cost., in stretto collegamento con i diritti alla riservatezza ed all’identità personale. Nel bilanciamento tra l’interesse pubblico all’informazione, anche mediante l’accesso a database accessibili attraverso la digitalizzazione di una parola chiave, ed i diritti della personalità suindicati, il primo diviene recessivo allorquando la notizia conservata nell’archivio informatico sia illecita, falsa, o inidonea a suscitare o ad alimentare un dibattito su vicende di interesse pubblico, per ragioni storiche, scientifiche, sanitarie o concernenti la sicurezza nazionale. Tale ultima esigenza presuppone, peraltro, la qualità di personaggio pubblico del soggetto al quale le vicende in questione si riferiscono. In difetto di almeno uno di tali requisiti, la conservazione stessa della notizia nel database è da reputarsi illegittima, e lo strumento cui l’interessato può fare ricorso è la richiesta di “cancellazione” dei dati, alla quale il prestatore di servizi, nella specie Google, è tenuto a dare corso, anche in forza delle menzionate sentenze delle Corti Europee.

Nelle ipotesi in cui sussiste, invece, un interesse pubblico alla notizia, l’interessato, i cui dati non siano indispensabili – non rivestendo il medesimo la qualità di un personaggio pubblico, noto a livello nazionale – ai fini della attingibilità della notizia sul database, può richiedere ed ottenere la “deindicizzazione”, in tal modo bilanciandosi il diritto ex art. 21 Cost., della collettività ad essere informata e a conservare memoria del fatto storico, con quello del titolare dei dati personali archiviati a non subire una indebita compressione della propria immagine sociale (Cass., n. 7559/2020).

In siffatta ipotesi, sussiste, invero, un diritto dell’interessato ad evitare che la possibilità di un accesso agevolato, protratto nel tempo, ai dati personali, attraverso il mero uso di una parola chiave possa ledere il suo diritto all’oblio, inteso in correlazione al diritto all’identità personale, come diritto a non vedersi reiteratamente attribuita una biografia telematica diversa da quella reale, e costituente oggetto di notizie ormai archiviate e superate.>>, § 2.4.14.

Nel caso di specie, il Tribunale ha dato atto che il C. <<aveva chiesto in giudizio, sia la “cancellazione” di determinati URL dal risultato dei motori di ricerca, sia la “deindicizzazione”, che impedisce – come detto – che, digitando una parola chiave, affiorino dal motore di ricerca i dati da questo attinti dai “siti sorgente”, che possono pregiudicare il diritto dell’interessato a non vedersi attribuite certe frequentazioni o certe qualità deteriori. E tuttavia, pur considerando la domanda di cancellazione “sproporzionata ( ) rispetto all’obiettivo perseguito dal ricorrente che si sostanzia nell’eliminazione dell’automatica emersione degli articoli all’inserimento del suo nome”, non ha poi contraddittoriamente ed incongruamente – considerato la non essenzialità, ai fini dell’interesse pubblico alla conoscenza di fatti criminosi commessi nella realtà calabrese, del permanere dell’indicizzazione degli URL, partendo dal nome dell’interessato, combinato con termini come “‘ndrangheta”, “massoneria”, “boss”. Tanto più che dalla riproduzione degli articoli contenuta nella sentenza impugnata, non si evince – sebbene i fatti ivi riportati siano stati accertati come veritieri – alcun coinvolgimento concreto ed effettivo del C. in procedimenti penali per fatti di criminalità organizzata.

2.4.16. La sentenza, pertanto, non si sottrae neppure alla censura – al di là dell’impropria intestazione del motivo che fa riferimento a parametri non più contenuti nel novellato art. 360 c.p.c., comma 1, n. 5 – di vizio di motivazione, apparendo la decisione in esame anche fortemente carente sul piano motivazionale. Ed invero, oltre ai rilievi che precedono, va soggiunto che la notorietà del C., peraltro esclusivamente a livello locale, è stata utilizzata dal Tribunale fondandosi su elementi, come le attività filantropiche e di beneficenza che, ben al contrario, avrebbero dovuto essere logicamente valorizzati ai fini di escludere la necessità del permanere dell’indicizzazione dei documenti in questione, che mettevano in luce – senza alcun positivo elemento di – riscontro aspetti della personalità del soggetto interessato in contrasto con le qualità del medesimo emerse nel giudizio.

1.4.17. Al riguardo, il Tribunale si è, altresì, limitato a considerare esclusivamente il diritto all’oblio – che nella specie riguardava il diritto del C. a non vedersi reiteratamente associato, semplicemente digitando il proprio nome, a fatti ai quali si considerava estraneo – sotto il mero profilo temporale, non ponendolo in raccordo con il diritto alla riservatezza e con quello all’identità personale, al quale è strettamente collegato, e comunque non tenendo conto – del tutto incongruamente – che le intercettazioni, dalle quali gli articoli avevano desunto la fonte delle notizie riferite, risalivano comunque a cinque anni prima della decisione assunta>>, § 2.4.15.

la Corte di Giustizia si conferma circa la messa a disposizioni del pubblico nella diffusione peer to peer. Esamina inoltre la compatibilità della richiesta di informazioni con il GDPR

Corte Giustizia 17.06.2021, C-597/19, Microm c. Telenet, conferma la propria giurisprudenza in tema di comunicazione al pubblico e in particolare in tema di di quella modalità (oggi la più -l’unica- utilizzata) che è la messa a disposizione per il download.

Conferma in particolare l’orientamento in tema di reti peer to peer con la tenica Bit Torrent (v. la sentenza Ziggo The pirate Bay del 14.06.2017, C-610/95).

A nulla rileva che il file sia spezzettato in pacchetti, §§ 43 ss.

E’ riaffermata la conseueta fattispcie costitutiva della violazione, §§ 46 – 47.

Interessante è l’applicazione al caso sub iudice: <<Nel caso di specie, risulta che ogni utente della rete tra pari (peer-to-peer) di cui trattasi che non abbia disattivato la funzione di caricamento del software di condivisione client-BitTorrent carica su tale rete i segmenti dei file multimediali che ha precedentemente scaricato sul suo computer. Purché risulti – circostanza questa che spetta al giudice del rinvio verificare – che gli utenti interessati di tale rete hanno acconsentito all’utilizzo di tale software dando il loro consenso all’applicazione di quest’ultimo dopo essere stati debitamente informati sulle sue caratteristiche, si deve ritenere che detti utenti agiscano con piena cognizione del loro comportamento e delle eventuali relative conseguenze. Una volta accertato, infatti, che essi hanno attivamente acconsentito all’utilizzo di un siffatto software, l’intenzionalità del loro comportamento non è in alcun modo inficiata dal fatto che il caricamento sia automaticamente generato da tale software.>>, § 49.

E poi : <<Per quanto riguarda le reti tra utenti (peer-to-peer), la Corte ha già dichiarato che la messa a disposizione e la gestione, su Internet, di una piattaforma di condivisione che, mediante l’indicizzazione di metadati relativi ad opere protette e la fornitura di un motore di ricerca, consente agli utenti di tale piattaforma di localizzare tali opere e di condividerle nell’ambito di una simile rete costituisce una comunicazione al pubblico, ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29 (sentenza del 14 giugno 2017, Stichting Brein, C‑610/15, EU:C:2017:456, punto 48). 53 Nel caso di specie, come in sostanza constatato dall’avvocato generale ai paragrafi 37 e 61 delle sue conclusioni, i computer dei suddetti utenti che condividono lo stesso file costituiscono la rete tra pari (peer-to-peer) vera e propria, denominata lo «swarm», nella quale essi svolgono lo stesso ruolo dei server nel funzionamento della Rete (World Wide Web)>>, §§ 52-53.

V. la precisazione , che segue la sentenza Renckhoff del 2018, per il caso in cui l’opera fosse presente senza restrizioni in internet: << In ogni caso, anche qualora si dovesse accertare che un’opera è stata previamente pubblicata su un sito Internet, senza restrizioni che impediscano il suo scaricamento e con l’autorizzazione del titolare del diritto d’autore o dei diritti connessi, il fatto che, mediante una rete tra pari (peer-to-peer), utenti come quelli di cui trattasi nel procedimento principale abbiano scaricato segmenti del file contenente tale opera su un server privato e a ciò sia seguita una messa a disposizione mediante il caricamento di tali segmenti all’interno di questa medesima rete significa che tali utenti hanno svolto un ruolo decisivo nella messa a disposizione di detta opera a un pubblico che non era stato preso in considerazione dal titolare di diritti d’autore o di diritti connessi su quest’ultima quando ha autorizzato la comunicazione iniziale (v., per analogia, sentenza del 7 agosto 2018, Renckhoff, C‑161/17, EU:C:2018:634, punti 46 e 47). 58 Consentire una siffatta messa a disposizione mediante il caricamento di un’opera, senza che il titolare del diritto d’autore o dei diritti connessi su quest’ultima possa far valere i diritti previsti dall’articolo 3, paragrafi 1 e 2, della direttiva 2001/29 non rispetterebbe il giusto equilibrio, di cui ai considerando 3 e 31 di tale direttiva, che deve essere mantenuto, nell’ambiente digitale, tra, da un lato, l’interesse dei titolari del diritto d’autore e dei diritti connessi alla protezione della loro proprietà intellettuale, garantita all’articolo 17, paragrafo 2, della Carta dei diritti fondamentali (in prosieguo: la «Carta»), e, dall’altro, la tutela degli interessi e dei diritti fondamentali degli utilizzatori dei materiali protetti, in particolare la tutela della loro libertà di espressione e d’informazione, garantita all’articolo 11 della Carta, nonché la tutela dell’interesse generale (v., in tal senso, sentenza del 9 marzo 2021, VG Bild-Kunst, C‑392/19, EU:C:2021:181, punto 54 e giurisprudenza ivi citata). Il mancato rispetto di tale equilibrio pregiudicherebbe, inoltre, l’obiettivo principale della direttiva 2001/29, che consiste, come risulta dai considerando 4, 9 e 10 della medesima, nella previsione di un elevato livello di protezione a favore dei titolari di diritti che consenta a questi ultimi di ottenere un adeguato compenso per l’utilizzo delle loro opere o di altri materiali protetti, in particolare in occasione di una messa a disposizione del pubblico>>.

Curiosa infine è la seconda questione pregiudiziale: << 60 Il giudice del rinvio chiede, in sostanza, se la direttiva 2004/48 debba essere interpretata nel senso che un soggetto contrattualmente titolare di taluni diritti di proprietà intellettuale, che tuttavia non li sfrutta esso stesso, ma si limita a chiedere il risarcimento del danno ai presunti autori di violazioni, possa beneficiare delle misure, delle procedure e dei mezzi di ricorso di cui al capo II di tale direttiva. 61 Tale questione deve essere intesa come comprensiva di tre parti, vale a dire, in primo luogo, quella relativa alla legittimazione ad agire di un soggetto come la Mircom per chiedere l’applicazione delle misure, delle procedure e dei mezzi di ricorso di cui al capo II della direttiva 2004/48; in secondo luogo, quella inerente alla questione di stabilire se un soggetto del genere può aver subito un pregiudizio, ai sensi dell’articolo 13 di tale direttiva e, in terzo luogo, quella concernente la ricevibilità della sua richiesta di informazioni, ai sensi dell’articolo 8 della direttiva in parola, in combinato disposto con l’articolo 3, paragrafo 2, della medesima>>.

La risposta è positiva, § 96.

Segue poi la trattazione di due questioni relative al bilanciamento tra tutela della proprietà intellettuale e tutela della riservatezza: il titolare aveva infatti chiesto al gestore di ottenere dati personali (numeri IP, nome e indirizzo) dei presunti contraffattori. Precisamente le questioni terza e quarta sono così riformulate: <<il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679 debba essere interpretato nel senso che esso osta, da un lato, alla registrazione sistematica, da parte del titolare dei diritti di proprietà intellettuale, nonché da parte di un terzo per suo conto, di indirizzi IP di utenti di reti tra pari (peer-to-peer) le cui connessioni Internet sono state asseritamente utilizzate nelle attività di violazione e, dall’altro, alla comunicazione dei nomi e degli indirizzi postali di tali utenti a detto titolare oppure a un terzo al fine di consentirgli di proporre un ricorso per risarcimento dinanzi a un giudice civile per il danno asseritamente causato da tali utenti>>, § 101.

La risposta, come spesso, è generica , in quanto per lo più basata su clausole generali: la disposizione cit. del GDPR non osta alla comuncazione di tali informazioni al titolare a condizione <<che le iniziative e le richieste in tal senso da parte di detto titolare o di un terzo siano [1] giustificate, [2] proporzionate e [3] non abusive e [4] abbiano il loro fondamento giuridico in una misura legislativa nazionale, ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58 [dir. sulla privacy nelle comunicazioni elettroniche] , che limita la portata delle norme di cui agli articoli 5 e 6 di tale direttiva>>, § 132 (numeri tra parentesti quadra aggiunti).

Si noti il requisito sub 4, relativo alla necessità di esistenza di disposizione nazionale ad hoc.

Obbligo di restituzione dei dati dal responsabile del trattamento al titolare

Sulla nota querelle tra Movimento 5 Stelle (M5S) e Associazione Rousseau (AR) si è pronunciato il Garante in via di urgenza sulla istanza di consegna dei dati (degli iscritti al M5S) ex art. 28.3.g reg. 676/2016 UE (provv. 01.06.2021 reg. provv. n. 223 del 01.06.2021, doc. web n. 9592011).

La disposizione citata prevede in capo al responsabile il dovere di restituire al trattamento i dati personali trattati .

La mancata consegna nella fase precedente era sostanzialmente articolata sulla carenza di legittimazione attiva nella persona che aveva agito e sulla base del fatto che mancava un contratto regolativo del rapporto responsabile/titolare, come impone il reg. UE nell’incipt dell’art. 28.3.

Il Garante accoglie l’istanza di M5S così motivando:

<<RILEVATO che in base all’art. 28, par. 3, lett. g) del Regolamento, il responsabile del trattamento, “su scelta del titolare del trattamento”, è tenuto a cancellare o a restituire tutti i dati personali “dopo che è terminata la prestazione dei servizi relativi al trattamento” e a provvedere alla cancellazione delle copie esistenti “salvo che il diritto dell’Unione o degli Stati membri preveda laconservazione dei dati”; ritenuto che la predetta disposizione debba trovare applicazione anche laddove l’atto regolatorio delrapporto titolare/responsabile non lo preveda espressamente ovvero, come nel caso esame, sia precedente alla data di entrata invigore del Regolamento (come da atto di designazione dell’Associazione Rousseau quale responsabile del trattamento del 25aprile 2016); ciò allo scopo di tutelare – nel momento in cui subentri un rapporto conflittuale tra le parti – gli interessi del titolare deltrattamento e, in particolar modo, degli interessati che abbiano nel corso degli anni conferito i propri dati al Movimento 5 Stelle sullabase dell’informativa dal medesimo resa;

RITENUTO che, essendo circostanza incontestata che il Movimento sia il titolare del trattamento, è di conseguenza pacifico che, in tale qualità, abbia diritto di disporre dei dati personali degli iscritti per utilizzarli, limitatamente al perseguimento delle proprie finalità. Tali dati, pertanto, potranno essere utilizzati per il perseguimento delle sole finalità istituzionali del Movimento per le quali tali datisono stati ad esso conferiti

RITENUTO pertanto che, con riferimento alla richiesta di consegna dei dati personali degli iscritti al Movimento ricorrano i presupposti per un intervento correttivo dell’Autorità ai sensi dell’art. 58. par. 2, lett. d) del Regolamento; ritenuto quindi di dover ingiungere all’Associazione Rousseau di provvedere, quale responsabile del trattamento, a dare attuazione al disposto di cui all’art.28, par. 3, lett. g) mediante consegna al Movimento 5 Stelle, nelle forme e secondo le modalità indicate dal titolare medesimo, di tutti i dati personali degli iscritti al Movimento, di cui l’Associazione risulti responsabile, entro 5 (cinque) giorni dal ricevimento del presente provvedimento; ciò fermo restando l’ulteriore trattamento dei dati personali di quegli iscritti rispetto ai quali l’AssociazioneRousseau sia al contempo autonomo titolare del trattamento. Nelle more della consegna al Movimento dei dati in questione,Associazione Rousseau dovrà astenersi da ogni ulteriore trattamento dei dati stessi, tranne esplicite, specifiche richieste delMovimento>>.

Due osservazioni:

i) l’anteriorità dei fatti rispetto al reg. UE non risulta dedotta da AR, in base a quanto si legge nel provvedimento (salvo errore).

ii) l’affermazione di esistenza del dovere di riconsegna anche in mancanza di contratto (scritto, direi, pur se la disposizione tace sul punto) è probabilmente giusta. In quanto elemento centrale della difesa AR, però, meritava una motivazione più approfondita.

Consenso al trattamento e oscurità algoritmica

La Cassazione chiarisce il concetto di <consenso> nella disciplina privacy, inr elazione al caso <Mevaluate> (Cass. 14381 del 25.05.2021 , rel. Terrusi).

Il punto di partenza è il provvedimento 24.11.2016 col quale il Garante (G.) dichiarava incompatibile col cod. privacy il sistema di rating reputazionale progettato da società del gruppo Mevaluate (v. provvedimento Piattaforma web per l´elaborazione di profili reputazionali – 24 novembre 2016 Registro dei provvedimenti n. 488 del 24 novembre 2016, [doc. web n. 5796783] ).

L’impugnazione in Tribunale di Mevaluate era stata accolta.

L’Avvocatura dello Stato però ricorre in Cassazione e con successo.

Non è chiarissimo il contesto fattuale (cioè il funzionamento del meccanismo di controllo reputazionale) ; qui però conta il passaggio teorico sul rapporto tra consenso e algoritmi, ove invece la SC è chiara:

<<Il problema, per la liceità del trattamento, era invece (ed è) costituito dalla validità – per l’appunto – del consenso che si assume prestato al momento dell’adesione. E non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considera>>, VII, p. 7/8,.

Motivazione esatta (anche se quasi scontata: è inconcepibile una diversa soluzione), anche se troppo sintetica: nemmeno cita le norme pertinenti. Il ricorrente citava anche l’art. 7 reg. UE 679/2016, oltre che l’ex art. 23 cod. priv. Però la fattispecie normativa esatta è la seconda, essendosi il primo applicato solo a partire dal 25 maggio 2018 (v. il suo art. 99).

Solo che, in un’ottica generale, questo è solo l’inizio del problema. Sempre più numerosi infatti sono i trattamenti algoritmici (peggio: tramite machine learning), il cui assenso allora diventa giuridicamente nullo perchè l’assenziente nulla sa del modus operandi della logica algoritmica impiegata.