Avv. Flaminia Merla PEER2PEER E PRIVACY PEPPERMINT c/ VARI OPERATORI DI TELEFONIA DEFINIZIONI FILE SHARING: Programma che consente ad un utente, connesso alla rete, di mettere a disposizione di altri utenti connessi alla rete files presenti sul proprio computer (c.d. upload) e, contestualmente, di acquisire files presenti sul computers di altri utenti che utilizzano il medesimo programma di file sharing (c.d. download); IP DINAMICO: viene assegnato temporaneamente ad un computer nel momento della connessione; quando l'utente si scollega lo stesso indirizzo viene attribuito ad un altro utente. INDIRIZZO IP: Internet Protocol Address, è un numero che identifica univocamente un dispositivo collegato a una rete informatica. L'indirizzo IP può essere visto come l'equivalente di un indirizzo stradale o un numero telefonico riferito a dispositivi collegati ad una qualsiasi rete telematica. IP STATICO: Gli indirizzi statici vengono utilizzati per identificare dispositivi semi-permanenti con indirizzo IP permanente. L'indirizzo IP è un dato personale? ART. 4 COD. PRIVACY DEFINIZIONI qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; A) TRATTAMENTO: Codice GUID (identificatore unico globale, è un numero pseudo-casuale usato nella programmazione software, per poter distinguere vari oggetti) IL FATTO La società discografica PEPPERMINT ha svolto, tramite la soc. informatica svizzera LOGISTEP, un sistema di “monitoraggio” delle reti P2P, atraverso l'utilizzo di SW specifici che individuano gli indirizzi IP degli utenti connessi alla rete. La LG era poi risalita ai nominativi degli utenti i quali, ritenuti responsabili dello scambio illegale di file, avevano ricevuto una lettera di richiesta di risarcimento danni per tale uso illecito del materiale scaricato dalla rete illegalmente (senza il pagamento dei diritti di privativa) in violazione dell art. 156bis della L. 633/1941. La PP non poteva, da questo codice identificativo, risalire alle generalità complete dell'autore della violazione, in quanto queste erano in possesso unicamente dei gestori. La PP ricorreva al Tribunale affinchè venisse ordinato ai gestori telefonici di fornire le generalità complete degli autori della violazione. Agiva in via d'urgenza, ricorso in via cautelare ex art. 700 c.p.c., in quanto il pericolo nel ritardo consisteva nel fatto che i dati relativi al traffico telefonico erano conservati dal gestore solo per sei mesi. La norme violate dai fruitori del ART. 156 DELLA L. 633/1941. P2P programma Tale norma consente al titolare del diritto di sfruttamento della proprietà intellettuale di chiedere una pronuncia inibitoria di condotte lesive del proprio diritto non solo nei confronti dell'autore della violazione, ma anche nei confronti degli "intermediari" che abbiano reso possibile la violazione. L'ISP, consentendo l'accesso ad Internet, costituisce un intermediario (di servizi) che consente l'esecuzione del file sharing. ART. 156bis DELLA L. 633/1941. Consente al titolare del diritto di sfruttamento di un'opera dell'ingegno di chiedere l'esibizione di "documenti, elementi o informazioni" detenuti dalla "controparte". Il codice privacy D.lgs. 196/2003 La PP ritiene di aver agito legittimamente ed richiama: L'art. 24, comma 1, lettera (f), secondo il quale Il consenso al trattamento dei dati personali non è richiesto - con esclusione della diffusione quando sia necessario "per far valere o difendere un diritto in sede giudiziaria”. TRIBUNALE DI ROMA ORDINANZA DEL 18.8.06 – Sez. feriale Provvedimento Ordina al gestore telefonico di fornire alla PP le generalità, complete (nome; cognome, indirizzo, luogo e data di nascita ovvero, in alternativa, codice fiscale) dei propri clienti od abbonati corrispondenti a ciascuno degli indirizzi IP e dei codici GUID indicati nelle schede allegate da parte ricorrente; Motivazione ...Questo Tribunale ritiene, infatti, che … la illustrazione del modo con il quale tali dati sono stati raccolti, contenuta nel documento .... costituiscano indizi gravi, precisi e concordanti della sussistenza del fenomeno lamentato dalla ricorrente. ....Segue ...Inoltre la descrizione del funzionamento del SW utilizzato dalla PP per recuperare gli indirizzi IP degli utenti che hanno offerto in upload i brani musicali qui in discussione .... è in se concludente e razionalmente accettabile: si tratta infatti di un SW che registra gli indirizzi IP di tutti gli utenti connessi ad un programma di file sharing, ed organizza i relativi dati attraverso altro software che gestisce una banca dati (MS Access 2003"). ....Segue Il modo in cui i dati sono stati recuperati dalla società incaricata dalla PP appare dunque affidabile, accettabile e soprattutto lecito, posto che colui il quale utilizza un programma di file sharing manifesta, per ciò solo, la volontà di accettare che il proprio indirizzo IP sia conoscibile da tutti gli altri utenti che utilizzano il medesimo programma. ....Segue .... la impossibilità per la società ricorrente di conoscere le generalità delle persone che hanno violato il suo diritto di esclusiva consente a queste ultime di reiterare la propri condotta... quanto più viene protratta la illecita attività di upload, tanto maggiore il numero di persone che possono acquisire il file e, di conseguenza, a loro volta offrirlo in upload ad altri utenti che ancora non l'abbiano... ....Segue ...la possibilità di perseverare in tale condotta funge da moltiplicatore degli effetti della condotta illecita .... le sconfinate dimensioni del web, la incontrollabilità della rete, la facilità con la quale è possibile procurarsi un programma di file sharing sono circostanze che rendono serio e concreto il pericolo di sviamento di clientela paventato dalla ricorrente. TRIBUNALE DI ROMA ORDINANZA DEL 9.2.07 – Sez. proprietà intellettuale (reclamo) Motivazione .....Questo Collegio non ritiene condivisibile l'imposizione data dal giudice di prime cure circa il significato da attribuire alla locuzione "controparte" nel testo dell'art. 156 bis L.A. ....Segue ...L'introduzione della norma speciale di cui all'art. 156 bis L.A. evidentemente non può essere letta in tale ottica ordinaria, perché superflua e riduttiva rispetto alla ratio e finalità della nuova normativa predisposta ad hoc dal legislatore nazionale recependo la direttiva comunitaria 2004/48/CE del 29.4.2004 in materia di tutela del diritto di proprietà intellettuale, con la finalità di rafforzare tali posizioni soggettive, appunto enforcemenf of intellectual property rights. ....Segue ....Né tale disposizione normativa interna si pone in contrasto interpretativo con la disciplina comunitaria prevista dalla direttiva 2004/48/CE per l'ostensibilità dei dati, con riguardo al punto (art. 8 § 3 direttiva enforcement) che fa salve le disposizioni regolamentari (nazionali e comunitarie) per la protezione e riservatezza dei dati personali. ....Segue Infatti, tale direttiva è successiva al D.Lgs. 196/2003 di conseguenza costituisce una di quelle regolamentazioni interne fatte salve dalla stessa direttiva, ossia ritenute compatibili con i contenuti della direttiva, e tra le disposizioni da ritenere armonizzate con quest'ultima ricorre certamente l'art. 24 del D.Lgs. 196/2003 che bilancia la tutela dei dati personali con le esigenze di giustizia dei terzi, consentendone l'uso, sicché non autorizzato, ai soli fini di far valere un diritto in giudizio. ....Segue ...... appare inevitabile la conclusione dell'ammissibilità del sacrificio della privacy laddove il trattamento dei dati sia necessario alla tutela di un diritto dinanzi al Giudice, dunque l'art. 24 del D.Lgs. 196/2003 risulta compatibile, oltre che con l'impostazione normativa comunitaria, anche con i principi costituzionali in materia di tutela giurisdizionale P.Q.M. Ordina alla compagnia telefonica di fornire alla PP, entro gg. 15 dalla notifica della presente ordinanza, le generalità complete dei propri clienti ovvero ogni elemento idoneo all'identificazione degli stessi, corrispondenti ai dati acquisiti dalla ricorrente PP (indirizzi IP e codici GUID), indicati ed allegati nel presente procedimento cautelare; GARANTE PRIVACY COMUNICATO STAMPA DEL 18.5.2007 Internet - Caso Peppermint: il Garante privacy si costituisce in giudizio La decisione del Garante nasce dalla volontà di verificare se nella vicenda siano stati rispettati tutti i diritti di protezione dei dati personali. GARANTE PRIVACY COMUNICATO STAMPA DEL 17.7.2007 Caso Peppermint: il Tribunale di Roma accoglie le istanze del Garante e rigetta i ricorsi delle società. Il Tribunale di Roma (Sezione IX civile, specializzata in materia di proprietà industriale e intellettuale) ha accolto le istanze proposte dall'Autorità Garante per la protezione dei dati personali in due delicate controversie riguardanti il rapporto tra il diritto d'autore e la disciplina sulla privacy. GARANTE PRIVACY PROVVEDIMENTO DEL 28.2.2008 Peer-to-peer: illecito ''spiare'' gli utenti che scambiano file musicali e giochi (Peppermint) 1) TRATTAMENTO a) la prima, è consistita nella raccolta e nell'elaborazione automatizzata, anche nell'ambito di banche dati, di innumerevoli informazioni di carattere personale estratte tramite reti peer-to-peer per mezzo di un sw denominato "file sharing monitor" (di seguito, fsm) utilizzato da LG; ...Segue b) la seconda si basa sulla richiesta all'autorità giudiziaria di ordinare a taluni fornitori di servizi di comunicazione elettronica di rivelare le generalità degli intestatari degli interessati. A seguito di alcune prime pronunce del Tribunale di Roma il legale di PP ha inviato diverse lettere a persone individuate quali intestatari di una linea di collegamento a Internet. Con tali lettere si è contestata la violazione dei diritti derivanti dalla produzione di fonogrammi e si è proposta una risoluzione bonaria di un risarcimento del danno pari al versamento di 330 euro. ...Segue ll provvedimento non riguarda, invece, la connessa questione oggetto più specificamente delle predette controversie instaurate presso il Tribunale di Roma nelle quali si è costituito anche il Garante e in cui, a modifica del primo orientamento giurisprudenziale sopramenzionato, il Tribunale ha statuito che i fornitori di servizi di comunicazione elettronica non possono comunicare in sede giurisdizionale civile a PP i nominativi degli interessati ritenuti responsabili di violazioni del diritto d'autore in rete. Ciò, stante la specifica disciplina della conservazione dei dati di traffico, prevista solo per finalità di accertamento e repressione di reati di cui all'art. 132 del cod. privacy. ART. 132 COD. PRIVACY Art. 132. Conservazione di dati di traffico per altre finalità 1.Fermo restando quanto previsto dall'articolo 123, comma 2, (sei mesi per finalità di fatturazione) i dati relativi al traffico telefonico, sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione. 1-bis I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni. CORTE DI GIUSTIZIA DELLE COMUNITÀ EUROPEE SENTENZA 29 GENNAIO 2008, causa C-275/06 Promusicae c/ Telefonica de Espana l diritto comunitario consente agli Stati membri di circoscrivere all'ambito delle indagini penali o della tutela della pubblica sicurezza e della difesa nazionale -a esclusione, quindi, dei processi civili- il dovere di conservare e mettere a disposizione i dati sulle connessioni e il traffico generati dalle comunicazioni effettuate durante la prestazione di un servizio della società dell'informazione. La Corte ha rilevato che anche i dati di traffico conservati per finalità di fatturazione non possono essere utilizzati in "controversie diverse da quelle insorgenti tra i fornitori e gli utilizzatori, relative ai motivi della memorizzazione dei dati avvenuta per attività previste dalle disposizioni [dell'art. 6 della direttiva 2002/58/Ce trettamento dei dati personali e della vita privata nelle comunicazioni elettroniche]" (art. 123 del Codice). ART. 123 DEL CODICE - conservazione dei dati per 6 mesi per finalità di fatturazione; - nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se l'abbonato o l'utente cui i dati si riferiscono hanno manifestato il proprio consenso; - informativa (art. 13) il fornitore del servizio informa l'abbonato o l'utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata del medesimo trattamento ai fini di fatturazione e commercializzazione; SEGUE SENT. COMUNITA' EUROPEA La Corte ha escluso la possibilità che tali dati potessero essere messi a disposizione per controversie civili relative ai diritti di proprietà intellettuale (direttiva 2000/31/Ce relativa a taluni aspetti giuridici dei servizi della Società dell'informazione, in particolare il commercio elettronico, nel mercato interno; direttiva 2001/29/Ce sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione; direttiva 2004/48/Ce sul rispetto dei diritti di proprietà intellettuale; Carta dei diritti fondamentali dell'Unione europea). SEGUE PROVV. GARANTE (funzionamento del SW - FSM) l software fsm consente: a) operazioni effettuabili tramite i comuni client, eccettuata la condivisione di file eventualmente scaricati dalla rete; b) l'archiviazione a scopo di documentazione di tutte le informazioni usualmente caratterizzate da "volatilità", perché non necessarie una volta che la trasmissione dei file è avvenuta; c) di correlare le attività sulle reti p2p di un determinato utente al variare dell'indirizzo Ip assunto, nonché del provider utilizzato; Il sistema fsm consente la raccolta dei seguenti dati: indirizzi Ip dell'offerente, il nome e il valore Hash del file, la misure del file, l'user name, il Guid, la data e l'ora del download. SEGUE PROVV. GARANTE (funzionamento del SW - FSM) In altre parole il software fsm accerta da chi, e quando, viene offerto quale file per un downloading e da chi, quando e per quanto tempo viene effettivamente copiato tale file; riconosce i tentativi dei partecipanti di sistemi di condivisione file di modificare il loro indirizzo Ip; organizza tali informazioni in una banca dati. Anche se non risulta in atti che il sistema fsm svolga attività intrusive o installazioni di software o di altri componenti sul terminale dell'utente che partecipa al file sharing .... il trattamento svolto da LG su incarico di PP non può comunque ritenersi lecito. ...Segue - violato il principio di liceità (la raccolta dei dati è stata effettuata in mancanza di un'autorizzazione) - violato il principio di finalità (in quanto la registrazione sistematica dei dati ha perseguito scopi diversi da quelli tipici delle reti peer-to-peer); - violati i princìpi di buona fede e trasparenza (la raccolta dei dati è avvenuta senza che gli interessati potessero esserne consapevoli, i dati possono essere stati raccolti all'insaputa di abbonati che non sono, necessariamente, i soggetti coinvolti nello scambio dei dati; - violato il principio di proporzionalità (il diritto alla segretezza delle comunicazioni è limitabile solo nell'ambito di un bilanciamento con un diritto di pari grado e, quindi, allo ...Segue Per le modalità con le quali la raccolta dei dati è stata svolta, si è configurata un'attività di monitoraggio vietata a soggetti privati dalla direttiva 2002/58/Ce (art. 122 del Codice). art. 122 del Codice: Informazioni raccolte nei riguardi dell'abbonato o dell'utente E' vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente. Per determinati scopi legittimi relativi alla memorizzazione tecnica per il tempo necessario alla trasmissione della comunicazione o a fornire uno specifico servizio richiesto, è consentito se l'utente ha espresso il consenso, informativa art. 13 che indichi in modo chiaro e preciso, le finalità e la durata del trattamento. ...Segue provvedimento Garante Le reti p2p sono finalizzate allo scambio fra utenti di dati e file per scopi personali, mentre il software fsm "non è destinato allo scambio di dati, ma al monitoraggio ed alla ricerca di dati, che utenti di reti P2P mettono a disposizione a terzi”. L'utilizzo dei dati dell'utente delle reti peer-to-peer può, quindi, avvenire per le finalità sue proprie e non già, in modo non trasparente, per scopi ulteriori, quali quelli perseguiti da LG e PP. l trattamento è viziato anche sotto il profilo della trasparenza e della correttezza, non è stata fornita alcuna informativa preliminare agli utenti. Dalla descrizione del funzionamento del software fsm si è potuto rilevare che, mentre gli indirizzi Ip sono stati acquisiti da un terzo rispetto agli utenti (il tracker), gli altri dati (ossia, i file offerti in condivisione, data e ora del download) sono stati raccolti direttamente presso gli interessati. Il Tribunale di Roma ha riconosciuto, per tali informazioni, la natura di "dati personali" relativi a utenti identificabili i quali dovevano essere informati di tale ulteriore e inatteso trattamento. TUTTO CIO' PREMESSO IL GARANTE DISPONE: ll divieto dell'ulteriore trattamento dei dati personali relativo a soggetti ritenuti responsabili di aver scambiato file protetti dal diritto d'autore tramite reti peer-to-peer e ne dispone la cancellazione entro il termine del 31 marzo 2008. SENTENZA DELL'8 SETTEMBRE 2010 DEL TRIBUNALE FEDERALE DI LOSANNA Gli indirizzi IP sono indubbiamente dati personali e sottostanno quindi alla legge sulla protezione dei dati. La Corte ha definito illecita la pratica di alcune imprese private che acquisiscono segretamente indirizzi IP. Un siffatto modo di agire è privo di una valida giustificazione. La ditta LG non è più autorizzata a raccogliere e a comunicare dati, ossia deve sospendere immediatamente ogni elaborazione di dati nell'ambito dei diritti d'autore. DIRITTI GARANTITI DALLA Art. 2 - La Repubblica riconosce e garantisce i diritti inviolabili COSTITUZIONE dell'uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità, e richiede l'adempimento dei doveri inderogabili di solidarietà politica, economica e sociale. Art. 13 - La libertà personale è inviolabile. Non è ammessa forma alcuna di detenzione, di ispezione o perquisizione personale, né qualsiasi altra restrizione della libertà personale, se non per atto motivato dell'Autorità giudiziaria e nei soli casi e modi previsti dalla legge. Art. 15 - La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell'Autorità giudiziaria con le garanzie stabilite dalla legge.