Avv. Flaminia Merla GOOGLE c/ VIVIDOWN PQM Condanna il presidente del CDA, l'amministratore delegato, il responsabile della policy sulla privacy e il responsabile di progetto Google video a sei mesi di carcere per il reato di cui all 'art. 167 comma 1° e 2° del cod. privacy, con le modalità di cui sopra, in quanto al fine di trarne profitto, tramite gli introiti del progetto Google video, procedevano al trattamento dei dati personali in violazione degli art. 23, 17 e 26 del cod. privacy arrecando nocumento alla parte offesa del reato. Con le modalità di cui sopra: ART. 167 Cod. Privacy Trattamento illecito di dati 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che ...., chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. ART. 13 - INFORMATIVA 1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un ...Segue 2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati. 3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico. 4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. ...Segue 5. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile. ART. 23 COMMA 3 - CONSENSO 3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. ART. 26 - GARANZIE PER I DATI SENSIBILI 1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare. 3. Il comma 1 non si applica al trattamento: a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante; b) dei dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria. ART. 17 – TRATTAMENTO CHE PRESENTA SPECIFICHI RISCHI 1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare. Reato Ipotizzato accertati e non Diffamazione nei confronti del minore ritratto e dell'associazione che tutela gli interessi delle persone affette dalla sindrome di Down, menzionata nel video; Art. 595 del Cp (diffamazione) in forma omissiva: i dirigenti della società fornitrice del servizio Web non hanno evitato l'evento che avrebbero avuto l'obbligo giuridico di impedire. Tale obbligo è contenuto nella disciplina in tema di trattamento dei dati personali, che impone al titolare di fornire un'informativa all'interessato, il cui consenso deve essere raccolto con forme precise in presenza di dati sensibili. Nel caso in esame, poi, tenuto conto dei rischi specifici che il trattamento avrebbe potuto comportare, sarebbe stato necessario l'interpello all'Autorità garante, affinché quest'ultima indicasse le misure e gli accorgimenti indispensabili. Google “host attivo” GOOGLE lavora i dati, ordinandoli e rendendoli fruibili agli utenti a fine di lucro. Questa ingerenza rende l'azienda che offre il servizio un vero e proprio titolare del trattamento, in base alla definizione dell'articolo 4, comma 1, lettera f), del Dlgs 196/2003: “titolare” la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Posizione di garanzia del Provider? ...Segue Non vi è dubbio che vi sia stato un trattamento di dati sensibili senza il prescritto consenso e che ciò abbia determinato un danno alla persona offesa; Problematico è comprendere se oltre naturalmente a chi aveva immesso il video in rete avesse l'obbligo di chiedere il consenso della persona ritratta e se sussistesse un fine di profitto nell'intera operazione. A parere del giudice, l'Internet provider corrisponde al titolare del trattamento sia che metta solo a disposizione il servizio di interconnessione, sia che predisponga meccanismi di fruizione delle informazioni da parte degli utenti. Tuttavia non sussisterebbe in capo allo stesso un dovere di richiedere il consenso a tutte le persone ritratte nei filmati, né uno di controllo preventivo dei contenuti, poiché si tratta in entrambi i casi di condotte inesigibili. Può essere richiesta, viceversa - e quindi assume connotati doverosi un'attività di informativa nei confronti degli utilizzatori, cioè delle persone che caricano i filmati, circa l'indispensabile rispetto della normativa a tutela della riservatezza, con particolare riferimento alla necessità di raccogliere il consenso degli interessati. ...Segue L'articolo 13 prevede che il titolare informi «l'interessato» o «la persona presso la quale sono raccolti i dati» circa le caratteristiche del trattamento cui intende sottoporli la legge indica espressamente l'interessato come colui al quale l'informativa va rivolta INTERESSATO + INFORMATIVA + CONSENSO Non sembra davvero rintracciabile il diverso obbligo, cui fa riferimento il giudice, in base al quale il titolare dovrebbe istruire il soggetto che fornisce dati di altri - e che quindi in relazione a essi non è affatto quello che l'articolo 4, comma 1, lettera i) definisce «interessato» - circa le regole generali cui deve sottostare il trattamento. ...Segue Anche volendo ritenere, dunque, per venire alla fattispecie concreta, che nella definizione di «persona presso la quale sono raccolti i dati» possa rientrare chi ha caricato il video, va sottolineato che l'informativa - per come delineata dal legislatore nell'articolo 13 - non deve contenere le regole astratte che disciplinano il corretto trattamento, bensì le peculiarità proprie di quello che il singolo titolare ha intenzione di realizzare. In sintesi: una previsione come quella di cui il tribunale stigmatizza l'assenza - cioè l'avviso a colui presso cui i dati sono raccolti circa la necessità di ottenere il consenso per la raccolta e diffusione dei dati di terzi - non pare tra quelle che la legge impone di inserire nell'informativa. GOOGLE avrebbe dovuto, secondo la sentenza, mettere al corrente i navigatori delle disposizioni in tema di trattamento dei dati personali. L'educazione alla legalità, ovvero l'onere di formare da un punto di vista giuridico i consociati, non si crede possa essere, in casi del genere, oggetto di un obbligo coercibile, specie in capo a un privato. Se la comunicazione di particolari avvertimenti (ma di tipo praticooperativo) può essere accettabile a carico di chi immette sul mercato strumenti intrinsecamente pericolosi - il cui corretto utilizzo richiede magari un'abilità tecnica particolare - ciò è molto meno plausibile nei confronti di chi viceversa offre strumenti del tutto neutri che solo in via eventuale possono contribuire alla commissione di reati. REATO di diffamazione: insussistenza di una posizione di garanzia o di un obbligo di controllo preventivo dei contenuti da parte del